HE:Datenschutz/Bericht 2

Aus Piratenwiki
Wechseln zu: Navigation, Suche

Bericht des Datenschutzbeauftragten von April 2019 bis 29.11.2019


Übersicht

Berichte zur Vorstandssitzung 1 DSB-Telkos (Vorstand / Hessen-IT 13 Verdacht auf Datenschutzvorfall 3 Gemeldete Datenschutzvorfälle 0 Schulungen 1 Datenschutzrelevante Vorgaben 1


Hauptthemen

• Datenschutzrelevante Vorfälle • Mitgliederverwaltung (Bundesmahnverfahren) in gemeinsamer Verantwortlichkeit (BV, LV, KV) • Nutzungsbedingungen und Auftragsverarbeitungsvereinbarung für die Aufnahmefunktion der Telko-Server • Ausblick • Pflege des Verarbeitungsverzeichnisses und Transparenzpflichten • DSGVO-Anpassungen und • IT-Konsolidierung • Umgang mit Unterstützerunterschriftsformularen


Fragestellungen aus den Kreisverbänden • Keine  

Onboarding und Bestandsaufnahmen.

Am 10.05.2016 wurde ich als neuer Datenschutzbeauftragter der Piratenpartei in Hessen in der HAL bekannt gegeben.

Der Stand der Dokumentation, den Jürgen Erkmann hinterlassen hat ist eine sehr gute Grundlage, um darauf aufzubauen. Bis mir allerdings klar war, was wo steht, war es eine kleine Herausforderung, die über verschiedene Systeme (Nextcloud, Piratenwiki, Confluernce) verteilten Informationen zu einem Gesamtbild zusammen zu fügen.

Die Hessische IT befindet sich derzeit ein einer Konsolidierungsphase. Inventuren mit genutzten und nicht mehr genutzten Systeme werden laufend aktualisiert. Und besprochen, wie mit den in diesen Systemen/Anwendungen enthaltenen Daten verfahren werden soll.


Verdacht auf Datenschutzvorfälle (Landesverband und Kreisverbände)

• Nutzung eines veralteten Dump, Einladung ausgeschiedener Mitglieder (Keine Meldung erfolgt, da kein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zu erwarten ist)

• Nutzung von Adminrechten der Hessen IT zur Erbringung von Supportdiensten ohne dokumentierte Berechtigung diese Rechte zu diesem Zweck zu nutzen. (Keine Meldung erfolgt, da kein Risiko für die betroffene Person entstanden ist. Die Erstellung eines Berechtigungskonzeptes ist in Planung.

• Unverschlüsselte Webseite mit Kontaktformular Ein Landesverband betriebt eine Webseite mit abgelaufenen Zertifikat. Die Webseite liegt in der Verantwortung des LK direkt, und enthält ein Kontaktformular.

Meldung an die Verantwortlichen gegeben.


Von der Funktionsübertragung zum Joint Controller und doch nicht am Ziel

Zu dem Erbe, das ich übernommen habe, gehört eine vertragliche Grundlage für die Mitgliederverwaltung in gemeinsamer Verantwortlichkeit. Die erforderliche Vereinbarung nach Art. 26 DSGVO hierzu betrifft die KV, den LV und den BV. +

Dem Bundesverband liegen nun Vertragsentwürfe zur Abstimmung vor. Der BV strebt eine einheitliche Regelung für alle Landesverbände an. Dieser nachvollziehbare Ansatz hat leider zu weiteren Verzögerungen geführt.

Ich hoffe auf eine Lösung mit dem neuen Vorstand.  

Nutzungsbedingungen für Telkoräume Die Aufnahmefunktion in den Telko-Räumen stellt eine Auftragsverarbeitung dar. Hierzu sind nun die Nutzungsbedingungen erstellt. Administratoren müssen sich künftig registrieren und den Regeln zustimmen.


Ausblick – Da geht noch mehr Mit dem Datenschutz wird man wie fertig, aber immer besser.

Die kontinuierliche Fortschreibung und Pflege des Verarbeitungsverzeichnisses, das Erfassen geänderter Verarbeitungsprozesse aus der IT-Konsolidierung heraus - sowie die darauf basierende Überprüfung bestehender Datenschutzhinweise wird ein wesentlicher Punkt im nächsten Jahr werden.

Datenschutzrelevante Prozesse werden gelebt, sind aber zum Teil nicht dokumentiert. Das so besser als andersrum, genügt aber den nachweispflichten nicht vollumfänglich. Daher strebe ich an, eine Reihe von Leitlinien, Richtlinien, Prozessbeschreibungen und Konzepten zu erstellen, die die Nachweisfähigkeit der Piraten herstellen sollen.

Noch sind nicht alle Dokumente und Dokumentationen vollständig auf die Anforderungen der DSGVO umgestellt. Insbesondere die Regelungen und Konzepte, die die Ablauforganisation des Datenschutzmanagementsystems abbilden, verweisen teilweise noch auf das BDSG in seiner alten Fassung.

Die Kooperation hierzu mit anderen Landesverbänden wäre in dem Zusammenhang sehr sinnvoll zur Vermeidung von Doppelarbeiten. Die bestehenden Kooperationsformen habe ich bisher zu wenig genutzt.


Da geht noch viel mehr, in den Landkreisen In den Landkreisen zeichnet sich kein einheitliches Bild ab. Im Bereich der IT-Konsolidierung gibt es Landkreise, die in diesem Bereich gut mit der Hessen IT zusammenarbeiten. Darüber hinaus haben einzelne Landkreise bereits Verarbeitungsverzeichnisse erstellt und ihre Datenschutzhinweise ergänzt.

In anderen Landkreisen haben offenbar andere Themen Priorität; insbesondere in Wahlkampfzeiten ist das sehr verständlich. Ein guter Sachverstand in Datenschutzfragen sowie Sensibilität und Motivation sind auch dort erkennbar, wo die Zusammenarbeit ausbaufähig ist.

Um den Administrationsaufwand und auch die Dokumentationsaufwände im Datenschutz zu verringern und Ressourcen für die eigentliche politische Arbeit frei zu setzen, empfehle ich die Zentralisierung und Standardisierung als wesentliche Punkte zur Entwicklung der IT-Infrastruktur. Gerade das CMS der Webseiten sind End-Of-Life. Mit Auslaufen des Supports ist ein sicherer Betrieb nicht mehr gewährleistet. Dies ist nicht nur aus der Sicht des Datenschutzes ein Mangel, es passt m.E. nicht zum Image der Piraten.


Danksagungen An erster Stelle möchte ich einem Vorgänger Jürgen Erkmann danken, für die solide Vorarbeit. Ohne diese Leistung wäre es für mich sehr viel schwieriger, den Landesverband aus Berlin heraus zu betreuen.

Sehr gut unterstützt wurde ich dabei von Ralf, Herbert, Casten und anfangs auch Annette. Auch hier möchte ich mich ausdrücklich bedanken für die Hilfestellungen und den konstruktiven und sehr sachorientierten und freundschaftlichen Umgang.