Gibt es von CT Infos zur kommenden EU Datenschutzgrundverordnung?



  • Wer kann uns Infos geben zur demnächst in Kraft tretenden EU Datenschutzgrundverordnung?

    Wenn ich es richtig verstehe müssen wir unsere Nutzung von ChurchTools drastisch überdenken und ändern.

    • Es dürfen nur die minimal notwendigen Daten der Personen erhoben werden.
    • Und nur zu den spezifischen Zwecken, denen die Person aktiv zugestimmt hat.
    • Wie sieht das mit Kommentaren zu Personen aus, die z.B. im Follow-Up erfasst werden? Wenn jemand Einblick in die über sich gespeicherten Daten verlangt, müssen auch diese Informationen herausgegeben werden. Wie wird das von CT unterstützt?
    • Nicht zuletzt: Daten ausgetretener Personen sind nicht zu archivieren, sondern zu löschen.
    • u.v.a.m.

    Gibt's dazu vielleicht ein Webinar? Was wie zu beachten ist?



  • Von der EU DSGVO wird jeder Kunde von ChurchTools betroffen sein.

    Sind in einer beliebigen Form personenbezogene Daten im Spiel, greift die DSGVO. Siehe hierzu auch §1 BDSG*.

    Verstöße wären im Rahmen der ChurchTools Nutzung wahrscheinlich Ordnungswidrigkeiten die nach §43 BDSG* behandelt werden. Was bis zu 50 000€ Geldbuße bedeuten kann.

    Nach §62 BDSG* muss ein Vertrag über die Auftragsdatenverarbeitung zwischen der Gemeinde und ChurchTools geschlossen werden. Meines Wissens gilt das bereits jetzt mit dem aktuellen BDSG, ich weiß aber auch nicht, wie dies aktuell gehandhabt wird.

    Spannend ist auch die Dokumentationspflicht nach §67 BDSG. Hier wäre es super, wenn ChurchTools eine fertige Dokumentation an die Gemeinden ausliefern kann, dann muss dies nicht von jeder Gemeinde selbst gemacht werden (was genau genommen für den hosted Bereich auch gar nicht möglich ist).

    *) neues BDSG, welches ab 25. März 2018 in Kraft tritt. https://dsgvo-gesetz.de/bdsg-neu/

    @Church-Tools wäre schön hier ein Statement von euch zu hören :)


  • admin

    @marcel sagte in Gibt es von CT Infos zur kommenden EU Datenschutzgrundverordnung?:

    Nach §62 BDSG* muss ein Vertrag über die Auftragsdatenverarbeitung zwischen der Gemeinde und ChurchTools geschlossen werden. Meines Wissens gilt das bereits jetzt mit dem aktuellen BDSG, ich weiß aber auch nicht, wie dies aktuell gehandhabt wird.

    Ja, das gilt schon lange ... und genau darum haben wir auch längst so einen Vertrag mit der ChurchTools Innovations GmbH.



  • @andy
    Eine DViA Vereinbarung ist aber ja nur bei gehosteten Instanzen erforderlich.
    Wir sind Selbsthoster. Da müssen wir aber ja um so mehr selber beachten.
    Die o.g. Frage zielt daruf, ob es hierzu Infos seitens CTI GmbH gibt.



  • @Andy @christoph_k21

    DIe Frage hat sich genau genommen auf beides bezogen.

    Für gehostete Varianten ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich, diese entfällt beim Selfhosting.

    Für beide Varianten gilt aber eine entsprechende Dokumentationspflicht. Diese kann beim Hosting durch CT komplett von diesen erstellt werden. Beim Selfhosting kann dieses teilweise von CT sein, da die Dokumentation für die Software entsprechend von CT erstellt werden kann, für das "Drumherum" wie Server & sonstige Infrastruktur, muss die Dokumentation entsprechend vom Hoster erstellt werden.


  • ChurchTools Mitarbeiter

    Datenschutz ist ein wichtiges Thema, daher lassen wir uns schon länger von einem unabhängigen Datenschutzberater (die Firma Ensecur GmbH) beraten. In diesem Zuge haben wir in diesem Jahr unsere internen Prozesse sowie die technischen und organisatorischen Maßnahmen bei uns, in der Software ChurchTools sowie bei unserem Hoster Hetzner Online unter die Lupe genommen. Diese sind im ADV-Vertrag sowie im Anhang mit den technischen und organisatorischen Maßnahmen dokumentiert.

    Die EU DS-GVO bzw. das neue BDSG bringt einige Änderungen in den Bezeichnungen und Formulierungen mit sich, diese müssen wir in der nächsten Zeit noch in unsere Dokumente einpflegen.

    Grundsätzlich besteht für Hosting-Kunden die Möglichkeit, einen Vertrag zur Auftragsdatenverarbeitung (ADV, neue Bezeichnung: "Auftragsverarbeitung") mit uns abzuschließen. Den ADV-Mustervertrag schicke ich gerne auf Anfrage zu.

    Die Anlage zum ADV-Vertrag mit den technischen und organisatorischen Maßnahmen (TOMs) nach §9 BDSG (alt) bzw. §64 BSDG (neu) ist sowohl für Hosting-Kunden also auch für Self-Hoster relevant. Sie kann hier heruntergeladen werden: https://church.tools/wp-content/uploads/2017/12/170227-Anlage-2-toM-der-Webanwendung-ChurchTools.pdf.

    Bitte habt Verständnis dafür, daß wir keine Rechtsberatung durchführen können und daher Fragen wie die von @christoph_k21, bei denen es darum geht, wie Ihr Euch verhalten solltet, nicht beantworten können. An dieser Stelle empfehle ich, Rat beim Datenschutzbeauftragten Eures Gemeindebundes zu suchen. Mit dem ein oder anderen Gemeindebund-Datenschutzbeauftragten sind wir auch schon im Gespräch.

    Zur Fragestellung "Wie kann ChurchTools unterstützen, jemandem auf Anfrage Einblick in die über ihn gespeicherten Daten zu geben", können wir uns gerne unterhalten. Wir analysieren aktuell noch, wie wir diese konkrete Anforderung bestmöglich umsetzen können.

    P.S. das neue BDSG tritt am 25. Mai 2018 in Kraft.



  • Vielen Dank, auch für die Korrektur, da hatte ich einen Dreher im Datum.

    Hier auch noch ein ergänzender Link, den ich eben gefunden habe:
    https://church.tools/de/info/datenschutz-sicherheit/


Anmelden zum Antworten
 

Es scheint als hättest du die Verbindung zu ChurchTools Forum verloren, bitte warte während wir versuchen sie wieder aufzubauen.