DSGVO - Einwilligung zurückziehen



  • Hallo ChurchTools Team,

    in dem letzten Update Log hatte ich zwar gelesen, dass Personen die Einwilligung nun selber zurückziehen können, jedoch dachte ich, dass dies irgendwie Gesetzes konform implementiert wird. Heute habe ich durch Zufall entdeckt, dass zwei Personen die Einwilligung zurück gezogen habe. Jedoch wurde niemand per Mail oder sonst irgendwie darüber informiert. Auch wurde der Account nicht gesperrt oder automatisch ins Archiv verschoben. Im Grunde genommen sind wir der DSGVO nicht nachgekommen, aber das war auch nicht mal möglich, weil wir keine Info über die Rücknahme der Einwilligung erhalten haben.

    Hier wäre eine Nachbesserung sehr wichtig, da man sonst diese Funktion nicht nützen kann.
    Es wäre auch gut, wenn man die Rücknahme der Einwilligung bestätigen müsste und ein Hinweisfeld erscheint, was dies bedeuten würde (Text sollte von Admin gepflegt werden können). In unserem Fall würde es z.B. für Mitglieder bedeuten, dass wir sie nicht mehr als Mitglieder führen können.

    Wäre gut, wenn sich jemand das Thema zeitnah anschauen würde.

    Gruß
    Markus


  • ChurchToolsMitarbeiter

    Vielen Dank für Deine Nachricht. Ja, das hast Du recht, das ist noch nicht komplett, da entwickeln wir noch weiter. Nur das Sperren des Accounts hilft ja nicht, weil die Daten ja weiter vorhanden sind. In das Archiv schieben ist gefährlich, weil dadurch je nach Einstellung auch Daten dann automatisch gelöscht werden sollen.

    Was wir auf jeden Fall noch machen wollen, dass der Admin eine Nachricht bekommt.

    Was Du aber jetzt schon machen kannst, Du kannst im Log danach schauen und suchen, dort wird es alles ordentlich aufgeführt, wer wann der Einwilligung widersprochen hat.

    0_1543920007851_53769fad-ed53-42e4-879b-ca9fe911e7ed-image.png



  • Danke für deine Antwort.
    Ich bin mir gerade nicht sicher, in welchem Zeitraum man dem Widerspruch nachkommen muss, aber wäre es dann nicht möglich, dass der Account dann erstmal nur noch den Admins oder den Mitarbeitern, die das Recht "Personen ohne DSGVO sehen" (neues Recht) sichtbar ist? Das käme dem Archiv gleich und man wäre schon einmal direkt nach dem Widerspruch Gesetzes konformer. Als Verein muss man personenbezogene Daten nach dem Widerspruch nicht löschen, man muss jedoch den Zugang dieser Daten beschränken.

    Auf Grund eines Log Eintrags bin ich erst auf dieses Problem aufmerksam geworden, das war aber ein Zufall. Bei einer recht aktiven Kirche reichen die sichtbaren Logfiles jedoch nicht weit zurück und es wäre mühsam jeden Tag danach zu suchen.

    Dann muss ich erstmal bei unserer Kirche diese Option wieder deaktivieren und die Rücknahme der Einwilligung geht nur auf schriftlichen Weg. Damit verschwindet aber auch die Option, dass man per ChurchTools die Einwilligung durchführen kann.



  • Nach meinem Verständnis der DSGVO werden hier grad einige Dinge zusammen geschmissen. Aber auch ich bin nur Laie, also prüft bitte selbst nochmal ob meine Aussagen stimmen.

    Zunächst gibt es einen Unterschied zwischen Daten die ihr führen müsst um euren rechtlichen Pflichten als Gemeinde nach zu kommen und solchen die ihr verarbeitet um beispielsweise eure Musikteams zu organisieren.

    Erstere müsst ihr führen, da kann die entsprechende Person erstmal keinen Einspruch erheben. Natürlich müssen diese Daten entsprechend geschützt sein. Von daher könnt ihr sie schon als Mitglieder führen, allerdings eben beispielsweise nicht mehr über ihren Musikdienst informieren.
    Wir haben momentan noch den Status "Mitglied ohne DS" für Personen die Mitglied sind, allerdings noch nicht eingewilligt haben. Das soll aber abgeschaft werden sobald wir mit der Einführung von CT fertig sind.

    Zum anderen gibt es einen Unterschied zwischen einem Widerspruchsrecht und einem Recht auf Löschen/ Vergessenwerden.
    Nur weil jemand der Verarbeitung widerspricht heißt das noch lange nicht, dass ihr die Daten löschen müsst. Erstmal müsst ihr nur die Verarbeitung beenden, beispielsweise durch archivieren.


  • admin

    @jmrauen vielleicht ist es auch noch sinnvoll, dass hier berücksichtigt wird, dass es einen Unterschied zwischen dem Widerrufen (Einwilligung zurückziehen) und dem widersprechen der weiteren(!) Verarbeitung der Daten gibt.

    Letzteres Konzept fahren wir nach Beratung und Empfehlung durch den BFP-DSB. Also zumindest bei den BFP Gemeinden kann es so sein, dass Leute über die Verarbeitung informiert werden und dieser weiteren Verarbeitung widersprechen, ohne gleich ihre Zustimmung widerrufen zu müssen.

    CT bildet z.Z. nur den ersten Fall ab, nicht aber den vom BFP empfohlenen.

    Just a thought



  • @MarkusP sagte in DSGVO - Einwilligung zurückziehen:

    Es wäre auch gut, wenn man die Rücknahme der Einwilligung bestätigen müsste und ein Hinweisfeld erscheint, was dies bedeuten würde (Text sollte von Admin gepflegt werden können). In unserem Fall würde es z.B. für Mitglieder bedeuten, dass wir sie nicht mehr als Mitglieder führen können.

    Das Recht der betroffenen Person, der Verarbeitung von personenbezogener Daten, zu widersprechen ergibt sich aus §21 DSVGO. Legt die betroffene Person Widerspruch gegen die Verarbeitung ein, verarbeitet der Verantwortliche die pbz Daten nicht mehr, es sei denn, "er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen".
    Als schutzwürdiger Grund wird die Mitgliedschaft in einem Verein / einer Religionsgemeinschaft (vermutlich - bisher gibt es keine Rechtsprechung) anerkannt. D.h., wird mit dem Widerspruch zur Datenverarbeitung nicht gleichzeitig der Austritt erklärt, dürfen bzw. müssen (einige) Daten auch weiterhin verarbeitet (=in der Mitgliederliste gespeichert) werden.

    Aber auf jeden Fall wäre eine Benachrichtung von Admins (oder noch besser, von durch den Admins bestimmten Personen) bei einem Widerspruch absolut wünschenswert / notwendig!!!
    s. auch dieses Feature-Request:



  • Mich würde - seitens Churchtools - mal ein aktueller Status bzgl der Problematik interessieren.

    Hatte gestern einen neuen Feature-Request aufgemacht, da ich nicht davon ausgegangen war, dass das Thema so lange schon offen ist... die Mailbenachrichtigung der Admins (als ersten Schritt) sollte ja nicht so aufwendig sein, oder?



  • @j-gross
    Ich stimme dir da zu, das Thema sollte deutlich höher in der Prio angesiedelt sein, hab gradet gevotet.

    Allerdings geht es mE nicht nur um das Zurückziehen der Einwilligung, sondern auch um die Erteilung selbst. Nach wie vor gibt es keine Möglichkeit, einfach einzustellen, dass jemand bei Erstanmeldung eine Erteilung geben muss (oder zumindest keine weiteren Infos sieht, bevor er sie nicht erteilt hat. Rechtlich ist das zwar nicht verbunden, aber es hilft der Motivation nicht, wenn der Nutzer alle Dienste nutzen kann, ohne dass er Zustimmung erteilt hat)

    siehe auch meinen Feature Request
    https://forum.church.tools/topic/4821/zugang-erst-nach-zustimmung-zu-dsgvo

    Auch scheint mir nicht gut, dass wir da im Forum unter uns diskutieren müssen, aber keine Kommunikation mit dem ChurchTools Support selbst stattfindet. Das hebt zwar vielleicht unsere Stimmung, löst aber leider das problem nicht.


  • admin

    Verschoben von "Lob&Kritik" in die Feature-Wünsche ...



  • @ThomasW Kann dir nur voll und ganz zustimmen - manche Feature-Request (bzw. eher Bug-Reports), die rechtliche Dinge betreffen, werden hoffentlich seitens Churchtools priorisiert und unabhängig der Votes zeitnah bearbeitet....


  • ChurchToolsMitarbeiter

    Servus zusammen, ich bring das Thema nochmal ins Gespräch bei uns und melde mich dazu, sobald ich was weiß.


  • ChurchToolsMitarbeiter

    Servus zusammen. Ich hab gute Nachrichten: das Feature wurde umgesetzt. Der Admin bekommt jetzt eine Nachricht.
    https://intern.church.tools/?q=churchwiki#/WikiView/filterWikicategory_id:0/doc:Changelog-3.0/


Log in to reply