Blog - General

New wiki page how to configure the profile

We have set up a new wiki page about the profile. If you are interested please have a look at the page and give us some feedback within the forum.

Security improvements in Admidio 4.1

Admidio 4.1 has received several improvements to prevent cross-site scripting (XSS) attacks, which we would like to present here. This should also encourage you to update to version 4.1 as soon as possible.

The most obvious change you might stumble over first is the change from the ID in a URL to the UUID (Universal unique identifier). This turns the unique ID of a record in a table e.g. 298 into a longer unique UUID e.g. 123e4567-e89b-12d3-a456-426614174000 . We have introduced these UUIDs at all places in the program where IDs are called via the URL. What is the advantage of this new identification of a record? With the old ID, you quickly notice that it is simply incremented by one digit with each data record. So as an attacker I can easily build a script that calls the URL to delete a member in a loop.
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=1
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=2
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=3
...
Now all I have to do is direct a logged in administrator to my website and run this script. Then all members are deleted.
With the UUID I can not do this so easily, because I do not know the IDs. These are almost worldwide unique and can not be traced. To create such a script as an attacker, he would need access to your member administration beforehand and would have to read out the UUIDs of the members.
If you have previously stored links with an ID somewhere, you must now adapt them.
The previous URL: https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_id=1 must be changed to the following URL: : https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_uuid=123e4567-e89b-12d3-a456-426614174000
A list of all possible transfers to the modules can be found in our wiki.

Another change in Admidio 4.1 is the introduction of a CSRF token. This is a longer random ID which is regenerated with every page visit. The token is now sent to the server with every form and every executing call. The server compares the sent token with the token stored there and executes the function only if these two tokens are identical. With this adjustment it can be prevented that someone executes a link, e.g. the one above, on a foreign web page. The foreign site usually does not know your current session token.

Both adjustments make your site more secure against so called Cross-Site-Scripting (XSS) attacks where the attacker leads logged in users to his site to execute his customized scripts. It was and is not possible to execute a script directly on your installation, which changes data without the user consciously doing so.

---------------------------------------------------------------------------------

Admidio 4.1 hat verschiedene Verbesserungen zur Prävention von Cross-Site-Scripting (XSS) Attacken bekommen, welche wir hier kurz vorstellen wollen. Dies soll euch auch dazu animieren möglichst zeitnah auf die Version 4.1 zu aktualisieren.

 

Die offensichtlichste Änderung über die ihr vielleicht auch als erstes stolpern werdet, ist die Umstellung von der ID in einer URL zu der UUID (Universal unique identifier). Damit wird aus der eindeutigen ID eines Datensatzes in einer Tabelle z.B. 298 eine längere einzigartige UUID z.B. 123e4567-e89b-12d3-a456-426614174000 . Diese UUIDs haben wir an allen Stellen im Programm eingeführt an denen IDs über die URL aufgerufen werden. Was ist der Vorteil dieser neuen Identifikation eines Datensatzes? Bei der alten ID stellt man schnell fest, dass diese mit jedem Datensatz einfach um eine Stelle hochgesetzt wird. Als Angreifer kann ich also leicht ein Script bauen, welches die URL zum Löschen eines Mitglieds in einer Schleife aufruft.

https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=1

https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=2

https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=3

Nun muss ich nur noch einen angemeldeten Administrator auf meine Webseite leiten und dieses Script ausführen lassen. Anschließend sind dann alle Mitglieder gelöscht.

Mit der UUID kann ich dies nicht so einfach machen, da ich die IDs nicht kenne. Diese sind nahezu weltweit einmalig und können nicht nachvollzogen werden. Um so ein Script als Angreifer zu erstellen, bräuchte er vorher Zugang zu eurer Mitgliederverwaltung und müsste die UUIDs der Mitglieder auslesen.

Habt ihr vorher irgendwo Links mit einer ID hinterlegt, so müsst ihr diese nun anpassen.

Die bisherige URL: https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_id=1 muss auf folgende URL geändert werden: : https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_uuid=123e4567-e89b-12d3-a456-426614174000

Eine Auflistung aller möglichen Übergaben zu den Modulen findet ihr in unserem Wiki.

 

Eine weitere Änderung von Admidio 4.1 ist die Einführung eines CSRF-Token. Dies ist eine längere zufällige ID, welche bei jedem Seitenbesuch neu generiert wird. Das Token wird jetzt mit jedem Formular und jedem ausführenden Aufruf mit an den Server geschickt. Dieser vergleicht das gesendete Token mit dem dort hinterlegten Token und führt die Funktion nur aus, sofern diese beiden Token identisch sind. Mit dieser Anpassung kann verhindert werden, dass jemand auf einer fremden Webseite einen Link, wie z.B. den oberen ausführt. Die fremde Seite kennt i.d.R. nicht euer aktuelles Session-Token.

 

Beide Anpassungen machen eure Seite sicherer gegen sogenannte Cross-Site-Scripting (XSS) Attacken bei der der Angreifer angemeldete Benutzer auf seine Seite führt um dort dann seine angepassten Skripte ausführen zu lassen. Es war und ist bisher nicht möglich gewesen direkt auf eurer Installation ein Script auszuführen, welches Daten verändert, ohne dass der Benutzer dies bewusst durchgeführt hat.

 

What is new in Admidio 4.1

What is new in Admidio 4.1?

We have made a lot of changes within Admidio 4.1. You can find a list of all changes at GitHub. Within this article we will describe the main changes.

Category Report

The Category Report plugin is now tightly integrated into Admidio. Here you have the possibility to evaluate the assignment of members to roles or categories. The evaluation can be freely configured and saved.

Import users

It is now possible to import an Excel file or an Open Document file directly in addition to a pure CSV file. You can simply select this in the import dialog. Depending on the format, there are further options available, such as the selection of the spreadsheet for Excel or the separator for the CSV file.

When assigning the fields from the file to the profile fields, the system now suggests an assignment, provided that the names in the file correspond to the profile field names. The suggestion can be edited, of course.

A new feature for administrators is the import of access data. If a user does not yet have access data, you can now import the user name and password. The corresponding users can then log in to the system directly with this data.

User management

You can now create your own list in the user administration. The fields of the list are then displayed as columns in the user administration. Thus you have now a possibility to adapt the user administration to your needs.

Messages

In the area of messages and e-mails a lot has been done in this version. You can now save the e-mail attachments, so that you also have the possibility to view sent file attachments via the Admidio interface in the future.

You can now use already sent e-mails as a template for a new e-mail. You can also forward sent e-mails.

In the system settings there is now the possibility to create a test e-mail. This allows you to quickly test your settings. With this function there is also an extended error output, which supports you better in case of a wrong configuration, so that you can find the error in the configuration faster.

Password forgotten

The "Forgot password" function has been completely revised. After entering your username or email address, you will now receive an email with a link to reset your password. If you click on the link, you will be taken to your website and you will have to enter a new password yourself. For security reasons, no new password will be sent via e-mail. Also, the password reset link is only valid for half an hour to reduce possible misuse.

Change notifications

With this version it is now possible that changes to profile data and changes to role memberships are sent as e-mail notifications to an administrator. The previous value of a profile field, as well as the newly assigned value of a profile field is sent. This allows data changes to be quickly reviewed by others. The function is optional and must be actively switched on.

Other Changes

- Chat in the message module has been removed from Admidio.
- When registering, all data from the registration can now be optionally transferred for already existing users.
- Finnish translation was added

 

-------------------------------------------------------------------------------------------

 

Was ist neu in Admidio 4.1?

Wir haben viele Änderungen in Admidio 4.1 vorgenommen. Sie können eine Liste aller Änderungen auf GitHub finden. In diesem Artikel werden wir die wichtigsten Änderungen beschreiben.

Kategoriereport

Das Plugin Kategoriereport ist jetzt fest in Admidio integriert. Ihr habt hier die Möglichkeit die Zuordnung von Mitgliedern zu Rollen oder Kategorien auszuwerten. Die Auswertung kann dabei frei konfiguriert und abgespeichert werden.

Benutzer importieren

Es ist jetzt möglich neben einer reinen CSV-Datei auch direkt eine Exceldatei oder eine Open-Document-Datei zu importieren. Ihr könnt dies im Importdialog einfach auswählen. Je nach Format stehen euch noch weitere Optionen zur Verfügung, wie z.B. die Auswahl des Tabellenblatts bei Excel oder das Trennzeichen bei der CSV-Datei.

Bei der Zuordnung der Felder aus der Datei zu den Profilfeldern schlägt das System jetzt eine Zuordnung vor, sofern die Namen in der Datei den Profilfeldnamen entsprechen. Der Vorschlag kann natürlich bearbeitet werden.

Neu hinzugekommen ist für Administratoren der Import von Zugangsdaten. Sofern ein Benutzer noch keine Zugangsdaten besitzt, könnt ihr Benutzername und Passwort nun importieren. Die entsprechenden Benutzer können sich anschließend direkt mit diesen Daten im System anmelden.

Benutzerverwaltung

In der Benutzerverwaltung könnt ihr nun eine eigene Liste hinterlegen. Es werden anschließend die Felder der Liste als Spalten in der Benutzerverwaltung angezeigt. Somit habt ihr nun eine Möglichkeit die Benutzerverwaltung an eure Bedürfnisse anzupassen.

Nachrichten

Im Bereich der Nachrichten und E-Mails hat sich sehr viel in dieser Version getan. Ihr könnt nun die E-Mail-Anhänge speichern, so dass ihr auch über die Admidio-Oberfläche zukünftig die Möglichkeit habt euch versendete Dateianhänge anzuschauen.

Bereits versendete E-Mails könnt ihr nun als Vorlage für eine neue E-Mail nehmen. Dazu könnt ihr versendete E-Mails weiterleiten.

In den Systemeinstellungen gibt es bei den E-Mails jetzt die Möglichkeit eine Test-E-Mail zu erzeugen. Damit könnt ihr eure hinterlegten Einstellungen schnell testen. Bei dieser Funktion gibt es auch eine erweiterte Fehlerausgabe, die euch bei einer falschen Konfiguration besser unterstützt, so dass ihr den Fehler in der Konfiguration schneller finden könnt.

Passwort vergessen

Die Funktion „Passwort vergessen“ ist komplett überarbeitet worden. Nachdem ihr dort den Benutzernamen oder die E-Mail-Adresse eingegeben habt, bekommt ihr jetzt eine E-Mail mit einem Link zum Zurücksetzen eures Passworts zugeschickt. Klickt ihr auf den Link, so landet ihr auf eurer Webseite und müsst selber ein neues Passwort vergeben. Aus Sicherheitsgründen wird jetzt kein neu generiertes Passwort über E-Mail versendet. Auch der Link zum Zurücksetzen des Passworts ist nur eine halbe Stunde gültig um einen möglichen Missbrauch zu reduzieren.

Änderungsbenachrichtigungen

Mit dieser Version ist es jetzt möglich, dass Änderungen an Profildaten und Änderungen an Rollenzugehörigkeiten als E-Mail-Benachrichtigungen an einen Administrator versendet werden. Es wird der bisherige Wert eines Profilfelds, sowie der neu zugeordnete Wert eines Profilfelds versendet. Somit können Datenänderungen von anderen schnell überprüft werden. Die Funktion ist optional und muss aktiv eingeschaltet werden.

Weitere Änderungen

- Der Chat im Nachrichtenmodul wurde aus Admidio entfernt.
- Bei der Registrierung können jetzt optional bei bereits existierenden Benutzern alle Daten aus der Registierung übernommen werden.
- Die finnische Übersetzung wurde hinzugefügt

Update of Forum and Wiki Software

We have just made major updates to our wiki software (DokuWiki) and our forum software (phpbb). The look and feel should nearly be the same as before. But if you encounter any problems with the new software just open a new thread in the forum and tell us about the problem or your suggestion for improvement.

----------------------

Wir haben gerade größere Aktualisierungen unserer Wiki-Software (DokuWiki) und unserer Foren-Software (phpbb) vorgenommen. Das Look and Feel sollte fast das gleiche sein wie zuvor. Sollten ihr jedoch Probleme mit der neuen Software haben, so erstellt einfach einen neuen Thread im Forum und teilt uns das Problem oder euren Verbesserungsvorschlag mit.

Country specific translations are possible

Within version 4 of Admidio it's possible to add a country specific translation of a language. We have already implement this for portuguese. So there is the language portuguese with the language code pt that will represent the language spoken within Portugal. In addition to that we add portuguese brazilian with the language code pt-BR that will represent the language that is spoken in Brazil.

Now if you like to add translations for example German-Swiss or German-Austria please write us a short line and we will try to do the necessary steps with you.

Set up e-mail templates

Since version 3.0 it's possible to use e-mail templates within Admidio. This was a hidden feature because there was no preference that could be set or something like a documentation.

Now we have improve this feature within version 4.0 and therefore created a small documentation which also describe the usage in Admidio 3.x. So have a look at this documentation and have a small preview of a enhancement in the next version. (There is no release date now available for version 4)

Here you can read about it:

English: Set up e-mail templates

German: E-Mail-Vorlagen erstellen

New features and important changes in Admidio 3.3

In the following we have put together a short description of the big changes in this version for you. In addition to these highlights, there are of course a lot of minor changes, which we have implemented in this version.

Authorization system

We have made major changes to the authorization system in this release. Central components remain the roles. However, you can now assign categories to roles. Here you can distinguish whether these roles are only allowed to see or edit objects in the category. You can assign any role to any category.
If you work with multiple organizations, you can still choose to have this category visible to multiple organizations. We have merged this setting with the new role-based feature.
If you work with relationships, it is now possible to specify that users of a relationship role can also edit the profile of the assigned relationship. This is useful, for example, in the parent-child relationship. Here you can specify that the relationship role parents are allowed to edit the profiles of the children.
The visibility of former members has now been severely curtailed. Only users who are allowed to assign users to the role can see the alumni. You can continue to be the leader of a role if you have been given the appropriate rights.

Configurable menu

You can freely configure the main menu with this version. There is now a new module, which you will also find in the menu under the item "Menu". Here you can see every menu entry and you can move it in the order. It is also possible to add own menu items and to link. The visibility of your own menu items can be restricted via roles. (Attention: then only the menu item will be hidden, the page behind it must be provided with rights separately)

Extension of the event module

In the event module, the functionalities of the participants registration have been revised and expanded. In addition to the known possibilities of acceptance and cancellation, a new conditional approval can now be made in this version. Cancellations for appointments can now also be managed via the configuration in the system settings, whether they should be permanently stored and displayed. In previous versions, entries were automatically removed when canceling from the database. The list of participants has also been revised and has been given a new status within the version. It can now be configured, saved and defined as system-wide standard list for appointments in the system settings independently of the standard list for roles with parameters (we will of course provide a standard list when updating). A long-awaited feature has also found its way: Participants now finally have the option to enter comments and other people to their registration, if the appointment is configured accordingly. Appointment manager, roles with right to edit appointments and of course administrators can maintain and change the details of participants. A retrospective change of the registration status of the participants was also prevented. This is only possible through appropriate persons with right, analogous to the participant change and care. Appointments have now set an automatic login and change deadline at the start time of the corresponding appointment as standard. The registration deadline can also be freely defined within the appointment as another new feature.

Other improvements

  • added new languages: indonesian, spanish, swahili and chinese simple
  • Allow flexible fields list within registration

Change in the event rights

So far, you could assign different roles for each event in the field visible for and only members of these roles could see the event. If the event registration was activated, then only members of these roles could register for the event.

We have now changed this logic in the course of the rights revision. As in the other modules with categories, the rights for visibility are defined via the category. There you can assign any role to any category and then only members of these roles are allowed to see the dates of the corresponding category. In addition, there is still one role assignment per event, but here are the roles defined, which may register for an event.

When updating from a version smaller than 3.3, the event registrations are accepted and filled from the roles of the old field visible for. However, the visibility is not set in the categories, because this was previously at the event level and there is no meaningful logic to summarize this and assign it to a category, since different events of a category can have different visibility.

Please check your configuration for the visibility of the events and adjust them manually!

Change in the invisible roles

With version 3.3 we have abolished the invisible roles. Invisible roles were active roles in which the rights were evaluated, but which did not appear in overviews, lists, etc.

Since this was confusing in some places and not consistently used everywhere, we have removed this feature. All invisible roles are visible in the 3.3. You can also achieve the invisible role effect through the available permissions settings of roles.

 

-----------------------------------------

Im folgenden haben wir eine kurze Beschreibung der großen Neuerungen in dieser Version für euch zusammengestellt. Neben diesen Highlights gibt es natürlich noch eine Menge kleinerer Änderungen, welche wir in dieser Version umgesetzt haben.

Berechtigungssystem

Wir haben in dieser Version größere Änderungen am Berechtigungssystem vorgenommen. Zentraler Bestandteil bleiben weiterhin die Rollen. Allerdings könnt ihr nun Kategorien Rollen zuordnen. Dabei könnt ihr unterscheiden, ob diese Rollen Objekte der Kategorie nur sehen oder diese auch bearbeiten dürfen. Ihr könnt dazu jeder Kategorie beliebige Rollen zuordnen.
Arbeitet ihr mit mehreren Organisationen, so könnt ihr weiterhin festlegen, ob diese Kategorie für mehrere Organisationen sichtbar ist. Diese Einstellung haben wir mit der neuen Funktion auf Rollenbasis zusammengelegt.
Arbeitet ihr mit Beziehungen, so ist es nun möglich festzulegen, dass Benutzer einer Beziehungsrolle das Profil der zugeordneten Beziehung auch editieren können. Dies ist zum Beispiel sinnvoll bei der Eltern-Kind-Beziehung. Hier kann festgelegt werden, dass die Beziehungsrolle Eltern die Profile der Kinder bearbeiten dürfen.
Die Sichtbarkeit von ehemaligen Mitgliedern ist jetzt stark eingeschränkt worden. Es können nur noch Benutzer, welche der Rolle Benutzer zuordnen dürfen, die Ehemaligen sehen. Leiter einer Rolle können Sie somit weiterhin, falls sie das entsprechende Recht gesetzt bekommen haben.

Konfigurierbares Menü

Ihr könnt mit dieser Version das Hauptmenü frei konfigurieren. Dazu gibt es jetzt ein neues Modul, welches ihr auch im Menü unter dem Punkt „Menü“ findet. Hier seht ihr jeden Menüeintrag und könnt diesen in der Reihenfolge verschieben. Ebenfalls ist es nun möglich eigene Menüpunkte hinzuzufügen und zu verlinken. Die Sichtbarkeit der eigenen Menüpunkte können über Rollen eingeschränkt werden. (Achtung: Es wird dann nur der Menüpunkt ausgeblendet, die dahinterliegende Seite muss separat mit Rechten versehen werden)

Erweiterung des Terminmoduls

Im Terminmodul wurden die Funktionalitäten der Teilnehmeranmeldung überarbeitet und erweitert. Neben den bekannten Möglichkeiten der Zu- und Absage, kann jetzt neu in dieser Version, eine Zusage unter Vorbehalt getätigt werden. Auch können Absagen zu Terminen jetzt über die Konfiguration in den Systemeinstellungen verwaltet werden, ob diese dauerhaft gespeichert und dargestellt werden sollen. In vorherigen Versionen wurden Einträge bei Absage aus der Datenbank automatisch entfernt. Die Teilnehmerliste wurde ebenfalls überarbeitet und hat innerhalb der Version einen neuen Stellenwert bekommen. Sie kann nun unabhängig der Standardliste bei Rollen mit Parametern konfiguriert, gespeichert und als systemweite Standardliste für Termine in den Systemeinstellungen definiert werden (eine Standardliste stellen wir natürlich bereit beim Update). Ein lang ersehntes Features hat ebenfalls den Einzug gefunden: Teilnehmer haben nun endlich auch die Möglichkeit Kommentare und weitere Personen zu ihrer Anmeldung anzugeben, wenn der Termin dementsprechend konfiguriert ist. Terminleiter, Rollen mit Recht Termine zu bearbeiten und natürlich Administratoren können die Angaben der Teilnehmer pflegen und ändern. Eine rückwirkende Änderung des Anmeldestatus der Teilnehmer wurde ebenfalls unterbunden. Dies ist nur noch durch entsprechende Personen mit Recht, analog der Teilnehmeränderung und Pflege möglich. Termine haben nun einen automatischen Anmelde- und Änderungsschluss zum Startzeitpunkt des entsprechenden Termins als Standard gesetzt. Der Anmeldeschluss kann aber auch innerhalb des Termins, als weiteres neues Feature, optional frei definiert werden.

Weitere Verbesserungen

  • neue Sprachen hinzugefügt: indonesisch, spanisch, swahili and chinesisch
  • die Profilfelder bei der Registrierung können frei gewählt werden

Änderung bei den Terminrechten

Bisher konntet ihr bei jedem Termin im Feld sichtbar für diverse Rollen zuordnen und nur diese Rollen konnten den Termin sehen. War die Terminanmeldung aktiviert, dann konnten sich auch nur Mitglieder dieser Rollen bei dem Termin anmelden.

Diese Logik haben wir jetzt im Zuge der Rechteüberarbeitung geändert. Wie in den anderen Modulen mit Kategorien werden die Rechte für Sichtbarkeit über die Kategorie definiert. Dort könnt ihr jeder Kategorie beliebige Rollen zuordnen und es dürfen dann nur Mitglieder dieser Rollen die Termine der entsprechenden Kategorie sehen. Zusätzlich gibt es weiterhin eine Rollenzuordnung pro Termin, allerdings werden hier die Rollen definiert, die sich für einen Termin anmelden dürfen.

Bei dem Update von einer Version kleiner als die 3.3 werden die Terminanmeldungen übernommen und aus den Rollen des alten Feldes sichtbar für befüllt. Allerdings wird die Sichtbarkeit in den Kategorien nicht gesetzt, da diese vorher auf Terminebene war und es hier keine sinnvolle Logik gibt, dies zusammenzufassen und einer Kategorie zu zuordnen, da verschiedene Termine einer Kategorie andere Sichtbarkeiten haben können.

Bitte prüft für die Sichtbarkeit der Termine eure Konfiguration und passt diese manuell an!

Änderung bei den unsichtbaren Rollen

Mit Version 3.3 haben wir die unsichtbaren Rollen abgeschafft. Unsichtbare Rollen waren aktive Rollen, bei denen die Rechte ausgewertet wurden, welche aber in Übersichten, Listen usw. nicht erschienen.

Da dies an einigen Stellen zu Verwirrung führte und nicht überall konsequent genutzt wurde, haben wir diese Funktion entfernt. Alle unsichtbaren Rollen sind in der 3.3 sichtbar. Ihr könnt den Effekt der unsichtbaren Rolle auch über die verfügbaren Rechteeinstellungen der Rollen erreichen.

EU-Datenschutz-Grundverordnung (DSGVO) und die Arbeit mit Admidio

Ein Beitrag von Hanabi:

Datenschutz spielt schon immer eine wesentliche Rolle in der Vereinsverwaltung. Mit der zum 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung wird EU-weit ein einheitlicher Standard zum Datenschutz geschaffen. Für diejenigen, die schon bisher die Vorgaben des Bundesdatenschutzgesetzes (BDSG) eingehalten haben, bringt die DSGVO zwar einige neue Begriffe, aber nun nicht das große Chaos herbei. So wird das bisherige Verfahrensverzeichnis durch ein Register von Verarbeitungstätigkeiten ersetzt, welches aber ähnlich strukturiert ist. Das Bayrische Landesamt für Datenschutzaufsicht hat zur Einführung der DSVGO ein mit nur 2 Seiten sehr kompaktes Merkblatt für Vereine herausgebracht, welches aber die wesentlichen Anforderungen an Vereine enthält.  Weiterhin gibt es ein auf einer Seite zusammengefasstes Muster für das Verzeichnis von Verarbeitungstätigkeiten.

Was ist aus datenschutzrechtlicher Sicht in der Nutzung von Admidio zu beachten?

Artikel 24 der DSGVO fordert, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um die Datensicherheit zu gewährleisten. Hierzu gehören unter anderem:

  • Gesicherte Kommunikation zwischen Browser des Benutzers und Server: Dies bedeutet, dass die Homepage, auf der Admidio läuft, mittels SSL gesichert wird.
  • Gesicherte Kommunikation über E-Mail: Mail-Adressen des Vereins sollten zwingend über eine verschlüsselte Verbindung (SSL/TLS) senden und empfangen. „E-Mail made in Germany“ entspricht dieser Anforderung.
  • Sicherheit des Serverstandortes: Da die DSGVO ein einheitliches Datenschutzrecht in Europa schafft, dürfen wir als diejenigen, die Daten verarbeiten, davon ausgehen, dass ein angemessenes Datenschutzschutzniveau in allen Rechenzentren in der EU vorliegt. Weiterhin definiert die DSGVO auch sichere Drittstaaten außerhalb der EU. Diese lassen sich jedoch an einer Hand abzählen. Personenbezogene Daten dürfen nicht in Staaten außerhalb der EU (+ sichere Drittstaaten) übermittelt werden, es sei denn, durch eine Risikofolgeabschätzung gelingt der Nachweis, dass ein mit der EU vergleichbares Datenschutzniveau vorliegt. Für uns als Admidio-Nutzer ist dies dann relevant, wenn wir im Hosting-Paket unseres Anbieters ein CDN (Content Delivery Network) aktiviert haben, wodurch die Seite (und damit auch die Daten aus den Modulen Fotos und Downloads) auf mehreren Servern weltweit parallel gehostet werden. Admidio darf daher nicht in Kombination mit einem CDN genutzt werden.

Unsere MySQL-Datenbank für Admidio liegt auf dem Server eines Internethosters, dass heißt, sämtliche Zugriffe auf die Datenbank, egal ob  Schreiben, Ändern, Speichern oder Auswerten, finden nicht bei uns selbst, sondern einem Dritten statt. Mit diesem müssen wir eine vertragliche Vereinbarung zur Verarbeitung der Daten in unserem Auftrag schließen. Dies ist in Art. 28 DSGVO geregelt. Zumindest bei den größeren Hostingdiensten kann ein entsprechender Vertrag zur Auftragsverarbeitung direkt im Control-Center heruntergeladen werden.

Achtung bei der Anzahl der Zugriffsberechtigten auf Admidio: Während die EU-Datenschutzgrundverordnung nur einen relativ allgemeinen Rahmen fasst, wann ein Datenschutzbeauftragter zu ernennen ist, greift für in Deutschland ansässige Vereine zusätzlich die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu). Dies regelt auch für nichtöffentliche Stellen, also auch für Vereine, dass ein Datenschutzbeauftragter unabhängig von den Anforderungen der DSGVO bestellt werden muss, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Es sollte daher jeder Verein sorgfältig überlegen, wer alles Zugriff auf die Daten erhält.

Für weitergehende Fragen zum Datenschutz im Verein empfehle ich die Lektüre des Konzeptpapieres des Landesbeauftragten für Datenschutz Baden-Württemberg. Auf dieser Basis haben wir für unseren Verein unter anderem eine Datenschutzordnung aufgebaut. Unser Gesamtkonzept inklusive der Erklärung zu Fotorechten und der Handhabung des Rechts auf Vergessen könnt Ihr auf unserer Homepage nachlesen.

Schlussbemerkung: Dies ist ein redaktioneller Beitrag, der lediglich die Auffassung des Autors zu Handhabungsfragen im Zusammenspiel zwischen Verein und DSGVO wiedergibt. Dieser Beitrag entspricht dem Entwicklungsstand vom 08.04.2018. Eventuell im Nachhinein durch den Gesetzgeber oder Aufsichtsbehörden vorgenommene Änderungen oder Ergänzungen an Gesetzestext oder Bewertungen sind daher durch die Verwender zu prüfen.

Review Admidio at Capterra and get a gift card

Thank you for being a valued Admidio customer!  If you like Admidio as much as we do you can help us to spread the word. Since some months we are listed at Capterra. We are working with Capterra to gather your thoughts.  Please take a moment to write a short review on your experience with Admidio.

They are offering a $20 gift card to the first 10 users who write a qualifying review.  Approximately 2 weeks after your review is published, Capterra will send you a link to redeem your choice of Amazon (recommended for US users), Visa (recommended for international reviewers), Starbucks (recommended for US users), or a donation to the Clean Water Fund.

Get Started At  http://www.capterra.com/reviews/164152/Admidio/new?utm_source=vendor&utm_medium=email&utm_campaign=ss_3710&utm_term=2114687_164152_campaign01&utm_content=10_20

Please use the link above to be able to get the gift card. The review must be done in english!

Admidio 3.2.12 released

We update some libs and of course fix some bugs.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 3.2 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio

The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 to version 3

The Admidio Team

-----------------------------------------------------------------------------------

Wir haben einige Bibliotheken aktualisiert und natürlich ein paar Fehler behoben.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 3.2 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren

Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 auf Version 3

Das Admidio Team