Admidio Team

Blog

EU-Datenschutz-Grundverordnung (DSGVO) und die Arbeit mit AdmidioEU-Datenschutz-Grundverordnung (DSGVO) und die Arbeit mit Admidio
08.04.2018

Ein Beitrag von Hanabi:

Datenschutz spielt schon immer eine wesentliche Rolle in der Vereinsverwaltung. Mit der zum 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung wird EU-weit ein einheitlicher Standard zum Datenschutz geschaffen. Für diejenigen, die schon bisher die Vorgaben des Bundesdatenschutzgesetzes (BDSG) eingehalten haben, bringt die DSGVO zwar einige neue Begriffe, aber nun nicht das große Chaos herbei. So wird das bisherige Verfahrensverzeichnis durch ein Register von Verarbeitungstätigkeiten ersetzt, welches aber ähnlich strukturiert ist. Das Bayrische Landesamt für Datenschutzaufsicht hat zur Einführung der DSVGO ein mit nur 2 Seiten sehr kompaktes Merkblatt für Vereine herausgebracht, welches aber die wesentlichen Anforderungen an Vereine enthält.  Weiterhin gibt es ein auf einer Seite zusammengefasstes Muster für das Verzeichnis von Verarbeitungstätigkeiten.

Was ist aus datenschutzrechtlicher Sicht in der Nutzung von Admidio zu beachten?

Artikel 24 der DSGVO fordert, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um die Datensicherheit zu gewährleisten. Hierzu gehören unter anderem:

  • Gesicherte Kommunikation zwischen Browser des Benutzers und Server: Dies bedeutet, dass die Homepage, auf der Admidio läuft, mittels SSL gesichert wird.
  • Gesicherte Kommunikation über E-Mail: Mail-Adressen des Vereins sollten zwingend über eine verschlüsselte Verbindung (SSL/TLS) senden und empfangen. „E-Mail made in Germany“ entspricht dieser Anforderung.
  • Sicherheit des Serverstandortes: Da die DSGVO ein einheitliches Datenschutzrecht in Europa schafft, dürfen wir als diejenigen, die Daten verarbeiten, davon ausgehen, dass ein angemessenes Datenschutzschutzniveau in allen Rechenzentren in der EU vorliegt. Weiterhin definiert die DSGVO auch sichere Drittstaaten außerhalb der EU. Diese lassen sich jedoch an einer Hand abzählen. Personenbezogene Daten dürfen nicht in Staaten außerhalb der EU (+ sichere Drittstaaten) übermittelt werden, es sei denn, durch eine Risikofolgeabschätzung gelingt der Nachweis, dass ein mit der EU vergleichbares Datenschutzniveau vorliegt. Für uns als Admidio-Nutzer ist dies dann relevant, wenn wir im Hosting-Paket unseres Anbieters ein CDN (Content Delivery Network) aktiviert haben, wodurch die Seite (und damit auch die Daten aus den Modulen Fotos und Downloads) auf mehreren Servern weltweit parallel gehostet werden. Admidio darf daher nicht in Kombination mit einem CDN genutzt werden.

Unsere MySQL-Datenbank für Admidio liegt auf dem Server eines Internethosters, dass heißt, sämtliche Zugriffe auf die Datenbank, egal ob  Schreiben, Ändern, Speichern oder Auswerten, finden nicht bei uns selbst, sondern einem Dritten statt. Mit diesem müssen wir eine vertragliche Vereinbarung zur Verarbeitung der Daten in unserem Auftrag schließen. Dies ist in Art. 28 DSGVO geregelt. Zumindest bei den größeren Hostingdiensten kann ein entsprechender Vertrag zur Auftragsverarbeitung direkt im Control-Center heruntergeladen werden.

Achtung bei der Anzahl der Zugriffsberechtigten auf Admidio: Während die EU-Datenschutzgrundverordnung nur einen relativ allgemeinen Rahmen fasst, wann ein Datenschutzbeauftragter zu ernennen ist, greift für in Deutschland ansässige Vereine zusätzlich die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu). Dies regelt auch für nichtöffentliche Stellen, also auch für Vereine, dass ein Datenschutzbeauftragter unabhängig von den Anforderungen der DSGVO bestellt werden muss, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Es sollte daher jeder Verein sorgfältig überlegen, wer alles Zugriff auf die Daten erhält.

Für weitergehende Fragen zum Datenschutz im Verein empfehle ich die Lektüre des Konzeptpapieres des Landesbeauftragten für Datenschutz Baden-Württemberg. Auf dieser Basis haben wir für unseren Verein unter anderem eine Datenschutzordnung aufgebaut. Unser Gesamtkonzept inklusive der Erklärung zu Fotorechten und der Handhabung des Rechts auf Vergessen könnt Ihr auf unserer Homepage nachlesen.

Schlussbemerkung: Dies ist ein redaktioneller Beitrag, der lediglich die Auffassung des Autors zu Handhabungsfragen im Zusammenspiel zwischen Verein und DSGVO wiedergibt. Dieser Beitrag entspricht dem Entwicklungsstand vom 08.04.2018. Eventuell im Nachhinein durch den Gesetzgeber oder Aufsichtsbehörden vorgenommene Änderungen oder Ergänzungen an Gesetzestext oder Bewertungen sind daher durch die Verwender zu prüfen.