Auftragsverarbeitungsvertrag notwendig für Churchtools App?



  • Müssen wir ein Auftragsverarbeitungsvertrag mit Churchtools für die Nutzung von Churchtools App abschliessen?



  • @fcgkitzingen Wenn ihr self-hoster seid, müsstet ihr meines Wissens nach keine Auftragsverarbeitung abschließen, weil die personenbezogenen Daten ja über die App von eurer Instanz abgefragt werden. Die einzige Frage ist, wie man da Push-Benachrichtigungen der App behandelt, die z.B. über den Google Play Service oder die Apple Push-Benachrichtigungsdienste abgewickelt werden. Aber das wäre dann glaube ich ein größeres Fass...



  • @daniel_ Ja. Kann sein. Wir sind Selbst-Hoster.



  • @daniel_ Datenschutz ist ein großer Fass, wo sowieso aufgemacht wird. :-D



  • Folgendes ist meine persönliche Einschätzung, ich bin aber kein RA oder sowas.

    Ich denke es kommt darauf an, wer die Daten an Google / Apple weitergibt:

    • Gehen die Daten direkt von euch dort hin, benötigt ihr einen AVV mit Google / Apple.
    • Falls diese erst zu CT gehen und von dort weitergeleitet werden, dann benötigt ihr einen AVV mit CT.

    Ist man kein Selfhoster benötigt man sowieso einen AVV mit CT, welches dann wiederum einen AVV mit Google / Apple hat oder haben sollte.



  • @Marcel Zurzeit sehe ich persönlich, also der Pastorengehilfe Sven Markus vom Pastor der Freie Christengemeinde Kitzingen aus meinem aktuellen Verständnis rund um das Thema Datenschutz es so: Auftragsverarbeitungsvertrag mit Google und Apple müssen aufgrund der Nutzung von Google Play und Apple Store abgeschlossen werden. Da man nicht weiss, was alles die Apps, wie z.B. Churchtools, Whatsapp und andere Apps können und wer was programmiert hat oder umprogrammieren (Hacken) könnte. Jedoch nach meinem aktuellen Wissen gibt es keine Auftragsverarbeitungsverträge speziell nur für Google Play und Apple Store.



  • @fcgkitzingen ich weiß nicht, wie die Push notifications im speziellen für Selfhoster umgesetzt sind. Habt ihr euch bei FCM (Firebase Cloud Messaging) oder ähnliches registriert & die Accesstoken in CT eingetragen?

    • Falls ja gebt ihr die personenbezogenen Daten weiter & vermutlich müsst ihr einen AVV mit eurem entsprechend Dienstleister abschließen.

    • Falls nein, geht es vielleicht über die CT Server & CT nutzt ihrerseits FCM oder ähnliches, dann braucht ihr wahrscheinlich nen AVV mit CT.

    @churchtoolsmitarbeiter wie läuft das mit den Notifications technisch?


  • admin

    oha, ich persönlich denke ja, das hier gerade was ziemlich verdreht wird. Aber das sollten echt die @Churchtoolsmitarbeiter aufklären.


  • ChurchToolsMitarbeiter

    Wir haben bei ChurchTools einen kleinen Proxy-Server laufen der die Pushbenachrichtigungen der ChurchTools Installationen entgegennimmt und sie dann an Google und Apple weiterschickt.

    Dieser Dienst speichert keinerlei Daten sondern leitet die Pushbenachrichtigungen nur weiter. Ein solcher Dienst ist nötig, weil man um mit den Pushbenachrichtigungsdiensten zu kommunizieren ein Zertifikat benötigt.



  • @fcgkitzingen dann würde ich behaupten, dass ihr einen AVV mit CT benötigt, sofern pbz Daten (bspw. Namen) in den Push Notifications enthalten sind.



  • @Marcel Aha. Dies freut mich, dass ich jetzt Bescheid weiss. Apps benötigen also für Push-Benachrichtigungen einen Server vom Apphersteller. Aber bei der Antwort vom Churchtools-Mitarbeiter wird die Aussage gesagt, dass keinerlei Daten gespeichert werden. Nur weil jetzt der Server die Daten weiterleitet muss nun ein Auftragsverarbeitungsvertrag mit Churchtools abgeschlossen werden? Ich erkenne darin das Thema "Weiterleitungen von Push-Benachrichtigungen mit personenbezogenen Daten".

    Oh, Mann. Es ist schon ein richtiges Abenteuer mit dem Thema "Datenschutz". Dies bedeutet für mich, dass wir als Gemeinde mit jedem Softwarehersteller von Apps, wo unsere Gemeinde benötigt aufgrund von Weiterleitungen der Push-Benachrichtigungen einen Auftragsverarbeitungsvertrag benötigen.


Log in to reply