Verarbeitungstätigkeiten gem. Art. 30 DSGVO bzw. §70 BDSG (neu) (Verfahrensverzeichnis)

Verantwortlicher und erhebende Stelle

Die erhebende und verantwortliche Stelle ist der Teckids e.V., Rochusstr. 2-4, 53123 Bonn, vertreten durch seinen Vorstand gemäß Impressum der Website.

Datenschutzbeaustragter

Organisatorischer Datenschutzbeauftragter des Teckids e.V. ist Jochim Selzer.

Betroffene Personen

Von der Erhebung und Speicherung personenbezogener Daten betroffen sind ausschließlich Personen, die sich direkt und mit ausdrücklichem Wunsch bei einem Teckids-Dienst anmelden und ihre Daten selber übermitteln. Eine Erhebung von Daten weiterer Personen findet nicht statt.

Eine besondere Personenklasse sind Mitglieder des Vereins sowie ggf. deren Eltern (bei Minderjährigen).

Erhebung von Daten und deren Zwecke

Accountregisrierung

Die Accountregistrierung findet vor der Nutzung eines jeglichen Teckids-Systems statt und ist obligatorisch. Die folgenden Daten werden erhoben:

Datum

Zweck

Benutzername (Pseudonym)

Technische Gründe, benötigt zum Login

Vorname und Nachname

Identifikation bei rechtlichen Fragen und zwecks Auskunftspflicht

E-Mail-Adresse

Kontaktierung bei rechtlichen Fragen oder Problemen mit dem Account

Geburtsdatum

Zweites Merkmal zur Identifikation bei rechtlichen Fragen oder Problemen mit dem Account, Altersprüfung zwecks Jugendschutz

Veranstaltungsanmeldung

Bei der Anmeldung zu Veranstaltungen werden weitere personenbezogene Daten abgefragt, die für die Organisation, Abrechnung und pädagogische Betreuung notwendig sind.

Datum

Zweck

Postanschrift

Rechnungsadresse, Notfallinformation für pädagogische Betreuung

Handynummer (optional)

Organisatorische Gründe, zur Kontaktaufnahme während unbeaufsichtigter Phasen der Veranstaltung

Schule, Klasse

Organisatorische Gründe, Gruppenzusammenstellung (Vermeidung von Gruppen ausschließlich schon vorher bekannter Teilnehmender), Einschätzung des Kenntnisstands durch pädagogisches Personal und Tutoren

Vorname und Nachname der Erziehungsberechtigten

Rechtliche Gründe (gesetzliche Vertretung), Kontaktinformation für Notfall

Handynummer der Erziehungsberechtigten

Kontaktinformation für Notfall

Bankverbindung (optional)

Abrechnung

Nach der Anmeldung werden in Papierform weitere Informationen abgefragt. Diese werden jedoch nicht automatisiert verarbeitet oder elektronisch gespeichert:

Datum

Zweck

Essenswünsche

Verpflegungsplanung (z.B. Vegetarier, Unverträglichkeiten, etc.)

Medikamentengabe

ggf. notwendige Kontrolle der Medikamenteneinnahme bei Veranstaltungen

Nutzung der Dienste

Bei der Nutzung von Teckids-Diensten werden automatisch weitere Daten erhoben. Allgemein fallen bei der Nutzung der Dienste folgende Daten an:

Datum

Zweck

IP-Adresse

Technische Gründe (Serverlog, Sicherheit, Missbrauchsvermeidung)

Aufgerufene Seiten, Logins

Technische Gründe (Serverlog, Sicherheit, Missbrauchsvermeidung)

Verwendeter Client (Browser, Betriebssystem)

Technische Gründe (Serverlog, Sicherheit, Missbrauchsvermeidung)

Datum und Uhrzeit des Aufrufs

Technische Gründe (Serverlog, Sicherheit, Missbrauchsvermeidung)

Referrer (Ursprungsseite)

Technische Gründe (Serverlog, Sicherheit, Missbrauchsvermeidung)

Anmeldung als Mitglied

Zu Mitgliedern werden weitere personenbezogene Daten gespeichert.

Datum

Zweck

Vor- und Nachname

Mitgliederverwaltung

Postanschrift

Mitgliederverwaltung

E-Mail-Adresse

Mitgliederverwaltung

Telefonnummern

Mitgliederverwaltung

Bankverbindung (optional)

Mitgliederverwaltung

Eintrittsdatum

Mitgliederverwaltung

Die oben genannten Daten werden zusätzlich im Bezug auf die Erziehungsberechtigten gespeichert, sofern das Mitglied minderjährig ist.

Besondere Kategorien personenbezogener Daten

Aus den oben genannten Angaben zu Essen und Medikamenten lassen sich ggf. Rückschlüsse auf Gesinnung, Religion sowie Gesundheit der betroffenen Personen ziehen. Eine strukturierte Speicherung, AUswertung oder Weitergabe dieser Daten erfolgt jedoch nicht.

Zugriff auf Daten

Die folgenden Personengruppen haben Zugriff auf die erhobenen personenbezogenen Daten:

Gruppe

Betroffene Personen

Zugriff

Zweck

Administratoren

Alle

schreibend

Verwaltung

Vorstand

Alle

nur lesend

Verwaltung, rechtliche Belange

Pädagogische Leitung

Alle

nur lesend

pädagogische Belange, Veranstaltungsleitung

Betreuer

Teilnehmende der betreuten Veranstaltung

nur lesend

pädagogische Belange, Notfallangaben

Tutoren

Teilnehmende der betreuten Veranstaltung

nur lesend

pädagogische Belange, Koordination und Planung

Vereinsmitglieder

Vereinsmitglieder, die gesondert zugestimmt haben

nur lesend

Vereinskommunikation

Weitergabe von Daten an Dritte

Grundsätzlich erfolgt keine Weitergabe personenbezogener Daten an Vereinsfremde, mit den folgenden Ausnahmen:

Empfänger

Betroffene Personen

Zweck

Organisatoren von Konferenzen

Teilnehmende einer Veranstaltung

Erstellung von Namensschildern o.ä.

Beherbergungsbetriebe

Teilnehmende einer Veranstaltung

ggf. melderechtliche Verpflichtung, Jugendschutz oder Verpflegungsliste

Verkehrsunternehmen

Teilnehmende einer Veranstaltung

ggf. rechtliche Verpflichtung

Teilnehmende derselben Veranstaltung

Teilnehmende derselben Veranstaltung

Zum Kontaktaufbau und -erhalt können Teilnehmende von Veranstaltungen gegenseitig mit ihrem vollen Namen zu Kontaktlisten hinzugefügt werden, jedoch nur, wenn alle Betroffenen persönlich und in direktem Kontakt an derselben Veranstaltung teilnehmen

Mitgliederdaten

Kontakt- und Adressdaten von Mitgliedern werden, nach gesonderter Zustimmung des Mitglieds, an andere Vereinsmitglieder weitergegeben, um das Ziel des Gemeinschaftsaufbaus und der Kommunikation zu fördern.

Speicherung von Daten

Alle erhobenen personenbezogenen Daten werden in einem zentralen LDAP-Verzeichnis gespeichert.

Sofern zusätzliche Daten verarbeitet werden (z.B. in der Buchhaltung), erfolgt die Verarbeitung pseudonymisiert anhand einer Personennummer. Diese kann nur aufgelöst werden, solange der LDAP-Datensatz vorhanden ist.

Änderung und Löschung von Daten

Die Änderung oder Löschung von Daten ist eine E-Mail an verein@teckids.org notwendig. Die Anfrage wird auf ihre Richtigkeit geprüft, in einem Ticketsystem persistent dokumentiert und ggf. zur Umsetzung (Vier-Augen-Prinzip) an die Systemadministration weitergegeben.

Durch die vollständige Pseudonymisierung in anderen Systemen ist dort keine Korrektur notwendig; nach Löschung des zentralen LDAP-Eintrags ist eine Identifizierung und Zuordnung nicht mehr möglich.

Automatisch erhobene Daten (siehe Server-Logs) werden nach vier Wochen vollständig gelöscht bzw. in eine anonyme Statistik überführt.

Auskunft an betroffene Personen

Auskunft an betroffene Personen über die gespeicherten Daten erteilen wir ungehend nach Anfrage per E-Mail an vorstand@teckids.org und nach hinreichender Prüfung der Berechtigung.

Die Auskunft erfolgt maschinen- und menschenlesbar in Form eines LDAP-Auszugs im LDIF-Format, per verschlüsselter E-Mail oder auf CD-ROM auf dem Postweg.

Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO und §64 BDSG (neu)

Der Teckids e.V. ergreift die folgenden technischen und organisatorischen Maßnahmen im Zusammenhang mit der Erhebung, Speicherung und Änderung personenbezogener Daten:

Bereich

Maßnahme

Zugangskontrolle

Elektronische Zugangskontrolle im Rechenzentrum

Datenträgerkontrolle

Vollverschlüsselung aller Datenträger, RAID-Absicherung aller Datenträger, Tägliches mehrfach redundantes Backup aller Datenträger

Speicherkontrolle

Ersteingabe der Daten erfolgt ausschließlich durch den Betroffenen selber, Speicherung direkt im LDAP-Verzeichnis. Änderung nur durch beschränkten Personenkreis nach Vier-Augen-Prinzip (Vorstand und Systemadministration)

Benutzerkontrolle

Zugriff nur mit Benutzername und Passwort, Verpflichtende Passwortrichtlinie, Privilegierter Zugriff (Administration) nur mit Zwei-Faktor-Authentifizierung

Zugriffskontrolle

Obligatorische Anwendung von Zugriffsregeln aus zentraler Datenbank, Konsolidierung aller Zugriffsregeln an einer Stelle

Übertragungskontrolle

Dokumentation aller Vorgänge im persistenten Ticketsystem

Eingabekontrolle

Automatisiertes Audit-Log

Transportkontrolle

Übertragung zwingend TLS-gesichert

Wiederherstellbarkeit

Mehrfach redundantes Backup, regelmäßiger Restore-Test

Zuverlässigkeit

Automatisches Monitoring

Datenintegrität

Sicherheit der LDAP-Datenbank und des Backends

Verfügbarkeitskontrolle

Mehrfach redundantes Backup, Offsite-Backup

Trennbarkeit

LDAP-ACLs getrennt nach Benutzerkreis, Frontend mit fachlicher Datenanzeige nach Benutzerkreis, Vermeidung der Speicherung nur einmalig benötigter Daten in der Datenbank

Sonstige Nutzung

Alle erhobenen Daten werden zu statistischen Zwecken verarbeitet und die Ergebnisse veröffentlicht, sowohl vereinsintern als auch im Rechenschafts- bzw. Transparenzbericht. Hierbei werden ausschließlich kumulierte Daten verwendet (z.B. Summe, Durchschnitt, Anzahlen), jedoch keine Einzeleinträge, auch nicht pseudonymisiert oder anonymisiert.

Sofern ein Abonnement vorliegt, können Kontaktdaten zur Zustellung von Einladungen und Newslettern verwendet werden.

TeckidsWiki: Teams/Systemadministration/Verfahrensverzeichnis (last edited 2019-01-13 21:25:49 by nik)