Datenschutz - Wie sieht der aktuelle Stand bei Euch aus?
-
Datenschutz - Wie sieht der aktuelle Stand bei Euch aus?
-
Hallo,
wenn mit "Euch" ChurchTools gemeint war: wir haben gerade folgende E-Mail an alle unsere Kunden verschickt:
Liebe ChurchTools-Kunden,
in 10 Tagen ist es soweit: die Übergangsfrist für die neue EU-Datenschutz-Grundverordnung (DS-GVO) endet am 25.05.2018.
Mit dieser Verordnung werden die Gesetze zum Datenschutz in Europa vereinheitlicht und die Vorschriften bezüglich der Frage präzisiert, wie Unternehmen ihre Datenverarbeitungsprozesse transparent beschreiben sollen. Dementsprechend führen wir einige notwendige Anpassungen unserer Datenschutzerklärung durch und nehmen in diesem Zuge auch Verbesserungen für ChurchTools-Nutzer in aller Welt vor. Außerdem bieten wir Ihnen an, mit uns einen Auftragsverarbeitungs-Vertrag nach Artikel 28 DS-GVO abzuschließen.
Datenschutzerklärung
Wir haben unsere Datenschutzerklärung an die neue DS-GVO angepaßt. Sie finden die neue Datenschutzerklärung (Stand: 14.05.2018) wie gewohnt auf unsere Webseite im Footer verlinkt. Sie können sie auch direkt über diesen Link aufrufen: https://church.tools/info/datenschutz
Datenschutz-Funktionen in ChurchTools
Wir möchten Sie bezüglich der neuen Datenschutz-Anforderungen bestmöglich unterstützen, daher haben wir in ChurchTools einige neue Datenschutz-Funktionen umgesetzt bzw. sind noch an der Umsetzung.
In der heute veröffentlichten Version sind folgende Funktionen/Verbesserungen enthalten:
- Das E-Mail Tracking wurde aus Datenschutzgründen entfernt.
- für die Self-Hoster wichtig: Dadurch entfällt auch der Aufruf des Cron-Jobs über das Mini-Bild in den E-Mails. Wer bei sich feststellt, dass das Ausliefern der Mails nicht zügig genug geschieht, sollte einen eigenen Cron-Service nutzen. Mehr Infos dazu beim Support.
- Im Log wird jetzt auch die simulierende Person protokolliert.
- Alle datenschutzrelevanten Optionen und Funktionen finden sich jetzt in einem neuen Tab in den Admin-Einstellungen.
- Diese Optionen und Funktionen können nur vom Super Admin (Admin aus der churchtools.config) angepasst werden. Überlicherweise ist das der User mit der ID 1. Auf Anfrage bei unserem Support kann der Super Admin angepaßt werden (ggf. auch mehrere Personen zum Super Admin gemacht werden).
- Die Google Maps Integration kann jetzt in den Datenschutz-Admin-Einstellungen komplett deaktiviert werden.
- Schriftarten werden jetzt lokal geladen und nicht mehr über die Google Server.
- Bei nicht ausreichender Berechtigung für die vollständige Adresse erfolgt nur noch eine grobe Angabe auf der Karte.
In der nächsten Version, die wir zum 28.05. herausbringen wollen, werden voraussichtlich folgenden Funktionen enthalten sein:
- in Anmeldeformularen wird es eine Checkbox zur Einwilligung in die Datenspeicherung geben, inkl. Link zur Datenschutzerklärung der Gemeinde sowie Hinweise zum Widerrufsrecht. Anmeldungen werden erst nach einer nochmaligen Bestätigung gespeichert (Double-Opt-In).
- Die Datenschutzerklärung der Gemeinde kann in den Datenschutz-Admin-Einstellungen angepaßt werden. Sie ist über das Benutzermenü von allen ChurchTools-Users jederzeit einsehbar und auf den Anmeldeformularen verklinkt.
- Beim manuellen Anlegen/Erfassen einer Person können Informationen zu einer außerhalb von ChurchTools erfolgten Einwilligung erfaßt werden.
- Personen können gefiltert werden, ob sie schon eine Einwillung zur Speicherung ihrer Daten erteilt haben.
- ChurchTools-User können selbst die Einwilligung für die Speicherung ihrer Daten bekunden.
- Eltern können die Einwilligung für ihre Kinder erteilen.
- Auskunftsrecht: In den Datenschutz-Admin-Einstellungen können für ein Auskunftsersuchen einer Person alle über sie gespeicherten Daten als PDF ausgegeben werden.
Auftragsverarbeitungs-Vertrag für Europäische Hosting-Kunden
Weil wir in Ihrem Auftrag Daten verarbeiten, müssen Sie laut DS-GVO mit uns einen Vertrag (AV-Vertrag) abschließen. Die Vertragsvorlage sowie der Anhang mit den technischen und organisatorischen Maßnahmen (toM) sind dieser Mail als Anhänge angehängt. Bitte passen Sie den Vertrag auf der ersten Seite an (Ihre Adress-Daten), drucken Sie den Vertrag zweimal aus und unterzeichnen Sie ihn. Nach Zusendungn der Verträge erhalten Sie von uns ein gegengezeichnetes Exemplar zurück.
Weitere Informationen zum Datenschutz
Am 21.04. haben wir ein Webinar zum Thema Datenschutz durchgeführt, welches wir auch aufgezeichnet haben. Hier können Sie es sich noch einmal anschauen bzw. die Aufzeichnung herunterladen:
https://seafile.church.tools/f/6798ef24221b4fbaa3ac/
Angehängt auch die Folien aus dem Webinar von unserem Datenschutz-Beauftragten Herrn Opitz und mir zu der Einführung in die EU-DSGVO sowie zu den Änderungen/Neuerungen in ChurchTools.
Ich möchte Ihnen noch drei Links von Herrn Optiz weitergeben:
Erste Hilfe im neuen Datenschutzrecht
http://www.beck-shop.de/erste-hilfe-datenschutz-grundverordnung-unternehmen-vereine/productview.aspx?product=21443886Anforderungen für Vereine
https://www.lda.bayern.de/media/muster_1_verein.pdfMusterverzeichnis der Verarbeitungstätigkeiten für Vereine
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdfFalls Sie dazu noch Fragen haben, können Sie sich gerne jederzeit unter datenschutz@churchtools.de bzw. support@churchtools.de an uns wenden. Hier können Sie sich auch melden, wenn Sie den AV-Mustervertrag zugeschickt bekommen möchten.
- Das E-Mail Tracking wurde aus Datenschutzgründen entfernt.
-
Mmh. Darf ich fragen, wie weit Ihr mit der neuen Version betreffend Datenschutz seid?
-
@fcgkitzingen
Kam heute online.Viele Grüße,
Jakob -
Hallo in die Runde,
auch wir haben das Thema angepackt (etwas verzögert...).
Mir stellen sich nun diese Fragen:
Was geschieht mit Leuten, die die Einwilligung zur Datenspeicherung in CT (noch) nicht akzeptiert haben? Muß ich diese irgendwann aus CT löschen bzw. archivieren?
Wie handhabt ihr das??Bin dankbar für ein paar Rückmeldungen
Grüße Burkhard
-
@bjabs Personenbezogene Daten dürfen nur mit Einwilligung der betreffenden Person verarbeitet werden. Speichern der Daten in ChurchTools ist eine solche Verarbeitung, die ohne ausdrückliche Einwilligung nicht zulässig ist.
Ergo: ja, die Daten sind zu löschen - es sei denn, es gibt Umstände, die eine weitere Verarbeitung erlauben. Z.B. könnte nach DSGVO Art 6 (1) c) eine Rechtmäßigkeit vorliegen, wenn die Führung eines Mitgliederverzeichnisses verpflichtend ist (laut Satzung bei den meisten Vereine oder z.B. auch bei KdöRs der Fall). Wenn das Mitgliederverzeichnis mit ChurchTools verpflegt wird, darf man u.U. die Personen also gar nicht löschen.
Bei Personen, die kein Mitglied sind und nicht zwingend in einem Verzeichnis geführt werden müssen, sieht das natürlich ganz anders aus.
Natürlich ist dies keine Rechtsberatung sondern meine Interpretation der DSGVO.Praktisch handhaben wir das so, dass wir von jedem, dessen Daten wir verarbeiten, versuchen, eine Einwilligungserklärung zu erhalten. Ist sehr, sehr mühsam. Wir löschen derzeit noch keine Daten. Zum einen sieht es derzeit nicht danach aus, als ob uns jemand wegen unrechtmäßiger Verarbeitung seiner Daten verklagen möchte. Und die Abmahnmaschinerie läuft nur sehr langsam an - und dass uns ein "Mitkonkurrent" auf Unterlassung verklagt ist auch äußerst unwahrscheinlich.
Laut Gesetz wären wir (in manchen Fällen) aber tatsächlich zur Löschung verpflichtet... -
(...) und dass uns ein "Mitkonkurrent" auf Unterlassung verklagt ist auch äußerst unwahrscheinlich.
Bester Satz.
Zum Thema mein Empfinden: gerade der Spagat zwischen "wir speichern Daten für eine Mitgliederverwaltung" und "wir speichern Daten zur weiteren Verarbeitung (Einladungen, pers. Gemeindebriefe, Geburtstagsansagen, etc.)" macht es aber in der Tat inzwischen sehr schwierig und man ist fast gezwungen die anfänglich einfache Struktur in CT durch Gruppen, Tags etc. zu erweitern um allen Anforderungen Rechnung zu tragen.