Gibt es von CT Infos zur kommenden EU Datenschutzgrundverordnung?



  • Wer kann uns Infos geben zur demnächst in Kraft tretenden EU Datenschutzgrundverordnung?

    Wenn ich es richtig verstehe müssen wir unsere Nutzung von ChurchTools drastisch überdenken und ändern.

    • Es dürfen nur die minimal notwendigen Daten der Personen erhoben werden.
    • Und nur zu den spezifischen Zwecken, denen die Person aktiv zugestimmt hat.
    • Wie sieht das mit Kommentaren zu Personen aus, die z.B. im Follow-Up erfasst werden? Wenn jemand Einblick in die über sich gespeicherten Daten verlangt, müssen auch diese Informationen herausgegeben werden. Wie wird das von CT unterstützt?
    • Nicht zuletzt: Daten ausgetretener Personen sind nicht zu archivieren, sondern zu löschen.
    • u.v.a.m.

    Gibt's dazu vielleicht ein Webinar? Was wie zu beachten ist?



  • Von der EU DSGVO wird jeder Kunde von ChurchTools betroffen sein.

    Sind in einer beliebigen Form personenbezogene Daten im Spiel, greift die DSGVO. Siehe hierzu auch §1 BDSG*.

    Verstöße wären im Rahmen der ChurchTools Nutzung wahrscheinlich Ordnungswidrigkeiten die nach §43 BDSG* behandelt werden. Was bis zu 50 000€ Geldbuße bedeuten kann.

    Nach §62 BDSG* muss ein Vertrag über die Auftragsdatenverarbeitung zwischen der Gemeinde und ChurchTools geschlossen werden. Meines Wissens gilt das bereits jetzt mit dem aktuellen BDSG, ich weiß aber auch nicht, wie dies aktuell gehandhabt wird.

    Spannend ist auch die Dokumentationspflicht nach §67 BDSG. Hier wäre es super, wenn ChurchTools eine fertige Dokumentation an die Gemeinden ausliefern kann, dann muss dies nicht von jeder Gemeinde selbst gemacht werden (was genau genommen für den hosted Bereich auch gar nicht möglich ist).

    😉 neues BDSG, welches ab 25. März 2018 in Kraft tritt. https://dsgvo-gesetz.de/bdsg-neu/

    @Church-Tools wäre schön hier ein Statement von euch zu hören 🙂


  • admin

    @marcel sagte in Gibt es von CT Infos zur kommenden EU Datenschutzgrundverordnung?:

    Nach §62 BDSG* muss ein Vertrag über die Auftragsdatenverarbeitung zwischen der Gemeinde und ChurchTools geschlossen werden. Meines Wissens gilt das bereits jetzt mit dem aktuellen BDSG, ich weiß aber auch nicht, wie dies aktuell gehandhabt wird.

    Ja, das gilt schon lange ... und genau darum haben wir auch längst so einen Vertrag mit der ChurchTools Innovations GmbH.



  • @andy
    Eine DViA Vereinbarung ist aber ja nur bei gehosteten Instanzen erforderlich.
    Wir sind Selbsthoster. Da müssen wir aber ja um so mehr selber beachten.
    Die o.g. Frage zielt daruf, ob es hierzu Infos seitens CTI GmbH gibt.



  • @Andy @christoph_k21

    DIe Frage hat sich genau genommen auf beides bezogen.

    Für gehostete Varianten ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich, diese entfällt beim Selfhosting.

    Für beide Varianten gilt aber eine entsprechende Dokumentationspflicht. Diese kann beim Hosting durch CT komplett von diesen erstellt werden. Beim Selfhosting kann dieses teilweise von CT sein, da die Dokumentation für die Software entsprechend von CT erstellt werden kann, für das "Drumherum" wie Server & sonstige Infrastruktur, muss die Dokumentation entsprechend vom Hoster erstellt werden.


  • ChurchToolsMitarbeiter

    Datenschutz ist ein wichtiges Thema, daher lassen wir uns schon länger von einem unabhängigen Datenschutzberater (die Firma Ensecur GmbH) beraten. In diesem Zuge haben wir in diesem Jahr unsere internen Prozesse sowie die technischen und organisatorischen Maßnahmen bei uns, in der Software ChurchTools sowie bei unserem Hoster Hetzner Online unter die Lupe genommen. Diese sind im ADV-Vertrag sowie im Anhang mit den technischen und organisatorischen Maßnahmen dokumentiert.

    Die EU DS-GVO bzw. das neue BDSG bringt einige Änderungen in den Bezeichnungen und Formulierungen mit sich, diese müssen wir in der nächsten Zeit noch in unsere Dokumente einpflegen.

    Grundsätzlich besteht für Hosting-Kunden die Möglichkeit, einen Vertrag zur Auftragsdatenverarbeitung (ADV, neue Bezeichnung: "Auftragsverarbeitung") mit uns abzuschließen. Den ADV-Mustervertrag schicke ich gerne auf Anfrage zu.

    Die Anlage zum ADV-Vertrag mit den technischen und organisatorischen Maßnahmen (TOMs) nach §9 BDSG (alt) bzw. §64 BSDG (neu) ist sowohl für Hosting-Kunden also auch für Self-Hoster relevant. Sie kann hier heruntergeladen werden: https://church.tools/wp-content/uploads/2017/12/170227-Anlage-2-toM-der-Webanwendung-ChurchTools.pdf.

    Bitte habt Verständnis dafür, daß wir keine Rechtsberatung durchführen können und daher Fragen wie die von @christoph_k21, bei denen es darum geht, wie Ihr Euch verhalten solltet, nicht beantworten können. An dieser Stelle empfehle ich, Rat beim Datenschutzbeauftragten Eures Gemeindebundes zu suchen. Mit dem ein oder anderen Gemeindebund-Datenschutzbeauftragten sind wir auch schon im Gespräch.

    Zur Fragestellung "Wie kann ChurchTools unterstützen, jemandem auf Anfrage Einblick in die über ihn gespeicherten Daten zu geben", können wir uns gerne unterhalten. Wir analysieren aktuell noch, wie wir diese konkrete Anforderung bestmöglich umsetzen können.

    P.S. das neue BDSG tritt am 25. Mai 2018 in Kraft.



  • Vielen Dank, auch für die Korrektur, da hatte ich einen Dreher im Datum.

    Hier auch noch ein ergänzender Link, den ich eben gefunden habe:
    https://church.tools/de/info/datenschutz-sicherheit/



  • Gibt es zu diesem Thema mittlerweile Neuigkeiten? Gab es also konkrete Entwicklungen in die Richtung? Beispielsweise hinsichtlich "Right to be informed" oder "Right to be forgotten"?


  • ChurchToolsMitarbeiter

    Hallo @ohneworte ,
    wir sammeln gerade Ideen, wie wir Euch mit ChurchTools-Funktionen helfen können, die Anforderungen der DSGVO umzusetzen.

    Bezüglich "Right to be informed": Es gibt heute schon die Möglichkeit, für neu angelegte Personen automatisch einmalig eine Datenschutz-Mail zu versenden, die auflistet, welche Daten erfaßt wurden (z.B. Name, Adresse, Telefonnummer, E-Mail, ...), natürlich ohne die konkreten Inhalte. Diese Mail kann in den Admin-Einstellungen aktiviert werden. Sie kann natürlich nur versendet werden, wenn zu der Person auch die E-Mail-Adresse erfaßt wurde.

    Um Euch bezüglich des Auskunftsrechts zu unterstützen, wollen wir eine Funktion umsetzen, die es dem Admin einfach erlaubt, alle über eine Person gespeicherten Daten per Knopfdruck ausgeben zu lassen.

    Es gibt auch schon Ideen für Workflows zur Anlage von Personen, damit für die Neuanlage von Personen ein Freigabeprozess realisiert werden kann. So wird sichergestellt, dass auch wirklich die Einwilligung der Person vorliegt.

    Wir sind mit manchen Ideen noch am Anfang. Wenn Ihr dazu Anregungen habt, oder sogar konkrete Vorstellungen, dann schreibt uns bitte an datenschutz@churchtools.de



  • Dieser Beitrag wurde gelöscht!