Neues Bundesdatenschutzgesetz ab Mai


#1

In wie fern wird Hi Org die Änderungen des neues Bundesdatenschutzgesetz übernehmen?

Hierzu zählt vorrangig, das ein Dozent nur seine eigenen Kursdetails sehen kann und nicht mit der Option alle oder keine.


#2

Hallo Dirk,

die beiden Fragen haben inhaltlich nichts miteinander zu tun: durch die aktuelle Gesetzesänderung (Teil 1 Ihrer Frage - BDSG / DSGVO) ändert sich inhaltlich in Bezug auf den Schutz von (personenbezogenen) Daten (Teil 2 Ihrer Frage) eigentlich nichts. Es gibt schon seit Jahren (Jahrzehnten?) das Gebot, die Daten nur demjenigen zugänglich zu machen, der sie sehen / bearbeiten darf und soll.

Um trotzdem die beiden Fragen zu beantworten:

  1. HiOrg-Server ist im Bezug auf die Themen Datenschutz und Datensicherheit schon seit Jahren sehr korrekt aufgestellt. Beispielsweise bieten wir unseren Nutzern bereits seit dies 2009 erstmalig gesetzlich gefordert wurde, eine sehr detaillierte und gut konkretisierte Vorlage eines ADV-Vertrages an. Viele Details und Hintergrundinfos zu diesen Themen finden Sie hier: http://dsds.hiorg-server.de
    Durch die in Kürze anstehende Gesetzesänderung (DSGVO) ergibt sich für unsere bisherigen Kunden/Nutzer die bereits den o.g. ADV-Vertrag mit uns abgeschlossen haben, erfreulicherweise (soweit wir das überblicken und beurteilen können) kein akuter Handlungsbedarf. Das neue Gesetz unterscheidet sich vom aktuell (noch) gültigen nicht wesentlich im Inhalt, sondern nur in einigen Formulierungen (z.B. “Verantwortlicher” statt “Auftraggeber”), sowie durch einige Ergänzungen (wie “Joint Control” oder Datenspeicherung außerhalb Deutschlands), die aber in den meisten Fällen nicht zutreffend sind.
    Update: Am 03.05.2018 hat das saarländische Zentrum für Datenschutz im Rahmen einer von uns beauftragten Prüfung empfohlen, neue AV-Verträge mit allen Kunden abzuschließen. Begründung: je nach Auslegung der neuen Richtlinien könnte eine regional zuständige Behörde auch aufgrund der unwesentlichen neuen Anforderungen den bestehenden Vertrag als unzureichend einschätzen. Um diesem Risiko zu entgehen, stellen wir allen Kunden einen aktualisierten und geprüften AV-Vertrag zur Verfügung.

  2. Welche Daten für welchen Benutzer im HiOrg-Server sichtbar sein sollen, kann nicht starr von uns vorgegeben werden, sondern muss unter Berücksichtigung der Arbeitsabläufe und Gegebenheiten in der einzelnen Organisation, von jedem Admin individuell zunächst ermittelt werden, und dann anhand der Einstellungen und Benutzer-Rechte im HiOrg-Server umgesetzt werden.
    In manchen Gliederungen bzw. Personalkonstellationen ist es z.B. sinnvoll und notwendig, dass Ausbilder Einblick in alle Kursdetails haben - andernorts darf dies nicht so sein.
    Das genannte Beispiel können Sie individuell in Ihrem HiOrg-Server einstellen, u.a. durch die beiden Optionen im Bereich “System - Einstellungen - Ausbildung allgemein - Rechte”:

  • “Ausbilder dürfen TN-Liste fremder Kurse einsehen”
  • “Ausbilder dürfen Kunden-Daten nicht öffentlicher Kurse bereits vor der festen Zuweisung sehen”

Christoph


Datenschutzgrundverordnung 2018
#3

Kurze Frage - weil ich es aktuell nicht weiß… haben wir mit unserem Vertrag automatisch eine ADV Vereinbarung geschlossen oder wird diese nur auf Anforderung geschlossen? Wenn letzteres - entstehen dem Verein zusätzliche Kosten?


#4

Hallo Filipe,

wir fordern aktiv (durch Einblenden einer Meldung für den Admin auf der Übersicht) nur die Zusendung des unterschriebenen Nutzungsvertrages ein. Dieser regelt zwar grundsätzliche Dinge (z.B. Zuständigkeiten) auch im Bereich des Datenschutzes, aber genügt nicht allen gesetzlichen Anforderungen bei Auftragsdatenverarbeitung.

Um juristisch korrekt aufgestellt zu sein, sollten Sie uns also zusätzlich auch die ADV-Vereinbarung zusenden.

Natürlich ist dies völlig kostenneutral.

Grüße,
Christoph


#5

Update:

Am 03.05.2018 hat das saarländische Zentrum für Datenschutz im Rahmen einer von uns beauftragten Begutachtung empfohlen, neue AV-Verträge mit allen Kunden abzuschließen. Begründung: je nach Auslegung der neuen Richtlinien könnte eine regional zuständige Behörde auch aufgrund der unwesentlichen neuen Anforderungen den bestehenden Vertrag als unzureichend einschätzen. Um diesem Risiko zu entgehen, stellen wir allen Kunden einen neuen, aktualisierten und geprüften AV-Vertrag zur Verfügung.

Wir werden zukünftig auch die Unterzeichnung dieses Vertrages per Hinweismeldung auf der Übersicht einfordern, bevor Realdaten im HiOrg-Server verarbeitet werden dürfen.


#6

2 Beiträge wurden in ein neues Thema verschoben: DS-GVO: Verfahrensverzeichnis


#7

Nach §76 BDSG (neu) ist jede Änderung an persönlichen Daten zu protokollieren.

Macht das der HiOrg-Server selbstständig, oder muss eine separate Protokolldatei geführt werden?


DS-GVO: Verfahrensverzeichnis
#8

Hallo Thomas,

dies macht HiOrg-Server selbstständig: siehe “System - Log: Mitglieder”.

Grüße,
Christoph


#9

Danke für die Antwort.

Und wie lange werden diese Daten gespeichert, dauerhaft?


#10

Wir speichern diese Logs für einen Monat, danach werden sie automatisch gelöscht. Wenn Sie die Daten länger vorhalten wollen oder müssen, können Sie dieses Adresslog als “RSS-Feed” abonnieren, und lokal abspeichern. Den dazu notwendigen Link finden Sie hinter den orangenen Icon links unten auf der Seite.


#11

Das ist die Frage. Inwieweit sind wir nach der neuen DSGVO verpflichtet Änderungen an Daten von Mitgliedern zu dokumentieren und nachweisen zu können?


#12

Dies ist insgesamt von den verschiedensten Faktoren abhängig: in welchem Umfeld Sie arbeiten (z.B. kirchlich, privat, Verein), welche Beziehung die Mitglieder zu Ihrer Organisation haben (z.B. Ehrenamtliche, Angestellte, Interessenten, Vereinsmitglieder), welche Daten Sie genau erfassen, aus welchen Gründen und auf welcher rechtlichen Grundlage Sie diese Daten erfassen, und ob es evtl. gesetzliche Anforderungen und Fristen zur Speicherung der Daten gibt (z.B. bei Gehaltsabrechnungen, Rechnungen,…).

Insofern können wir diese Frage gar nicht pauschal beantworten (abgesehen davon, dass wir keine verbindliche juristische Auskunft geben können), und verweisen an Ihren Datenschutzbeauftragten oder Justiziar oder Steuerberater oder sonstige Rechtsberatung.


#13

Hallo,

als bestellter DSB fällt mir im System etwas auf, was technisch geändert müsste.
Es gilt die zweckgebundene Erhebung von pers.bez. Daten,parallel gilt die Minimierung der zu erhebenden Daten.

Was meine ich im speziellen? Wenn sich ein Teilnehmer online zu einem Kurs anmeldet, dann ist er verpflichtet eine Adresse anzugeben. Grundsätzlich ist diese Angabe bei firmeninternen Veranstaltungen (InHouse) nicht nötig. Wir lassen diese technische Vorgehensweise von unser Aufsichtsbehörde gerade prüfen.

Unsere Juristen sind sich hier aber schon einig und empfehlen die Adressdaten “Optional” zu erheben, bzw. die Möglichkeit dem Kurs-Admin zu überlassen.


#14

Hallo,

Wir arbeiten derzeit an einem Update, mit dem es möglich sein wird, abhängig vom Typ des Kunden (privater Selbstzahler, BG / Firma) individuell festzulegen, welche Datenfelder erhoben werden. Dieses Update ist schon einige Zeit in Arbeit, aber die Veröffentlichung verzögerte sich bisher immer wieder, weil noch weitere Abhängigkeiten und Fehler entdeckt wurden. Wir rechnen mit einer Freigabe im Laufe dieser Woche.


#15

guten morgen,

prima das freut mich!
Eure Updates werden immer schneller und besser, auch das ist erfreulich


#16

Guten Morgen,

Das Update ist seit gestern 22 Uhr eingespielt.


#17

Ähm jetzt bin ich verwirrt…was für ein Sinn macht die Option BG und Firma??? Das schnallt der Teilnehmer niemals. Und man merkt wieder einmal, dass bei euch privater Unternehmer Erfahrungen fehlen.

Schon mal daran gedacht, das sich die Unternehmen (unsere Kunden) eure Plattform anschauen? Die stellen mir dann genau die selbe Frage.

Jetzt haben Sie ein Problem gelöst und erzeugen aber gleich mal ein neue,grandios.


#18

Guten Morgen Dirk,

wir freuen uns immer über hilfreiche Rückmeldung. Wenn dies dann auch noch nett und konstruktiv formuliert ist um so mehr :slight_smile:

Tatsächlich gibt es ja nicht nur die Selbstzahler und die BG-Teilnehmer, sondern in nicht unerheblichem Umfang auch TN die zwar von einer Firma (/Verein) entsandt werden, aber nicht über eine BG abgerechnet werden sollen. Daher braucht es neben der Option “BG” auch noch eine weitere Option, für die zuletzt genannte Gruppe.

Für den Firmeninhaber der seine Mitarbeiter schickt (die nicht per BG abgerechnet werden sollen) ist diese Differenzierung sicherlich klar: er macht sich ja selbst gerade Gedanken darum, ob die BG die Teilnahme finanzieren könnte, oder ob die Kosten bei ihm bleiben. Für den einzelnen Teilnehmer der vom Chef geschickt wird, ist es eventuell wirklich nicht so einfach zu unterscheiden/verstehen.

Hätten Sie einen besseren Vorschlag zur Formulierung ??

Grüße,
Christoph


#19

guten morgen lieber Christoph,

sorry für meine Formulierungen, ich würde diese gerne etwas erklären. Zuerst einmal ist die Idee insgesamt GUT. Im IT Bereich weiss ich aber auch, dass man irgendwann den Wald vor lauter Bäumen nicht mehr sieht.Damit meine ich konkret die Betrachtungsweise. Wir haben ca. 4500 Kursteilnehmer (nicht alle über Hi Org) jeglicher Herkunft und wir sind ein privates Unternehmen mit genau einer Schnittstelle. Das ist im übrigen genau das, was bei ALLEN Hilfsorganisation fehlt. Das haben wir Live bei einer Besprechung mit der BG erlebt!

Die BG wünscht sich mehr Input, aber es kommt fast nur von den Privaten etwas. www.vpeh.de
Und das würde ich mir auch HIER wünschen. Ich war nun lange genug bei einer Hi Org um zu wissen wie die Ticken, nämlich gar nicht! Die wenigsten haben ein Interesse Großkunden oder Konzerne von Anfang bis Ende zu betreuen. Dazu gehört mehr als nur ne Präsentation durch zu klicken.

Wir müssen uns also Gedanken machen, wie man sowas Kundenorientiert anbieten kann. Die Plattform Hi Org eine Lösung von vielen anderen. Was genau war mein Problem? Ich sage einem Konzernkunden bzgl. DSGVO ja Hi Org ändert die Plattform und Adressdaten sind optional. Der Kunde freut sich und schaut es sich an. Darauf hin bekomme ich eine Anruf mit der Frage, ob das mein Ernst ist.Damit war der Kurstyp gemeint, der mir ehrlich gesagt nicht sofort aufgefallen ist.

Warum flippt ein Großkunde bei sowas aus? Genau dieser tickt anders als Programmierer. Denn der sieht die Dummheit seiner Angestellten und die entsprechende Konsequenz daraus. Bei über 4000 Teilnehmer pro Jahr sind mehr als genug dabei, die einfach dumm sind.Dabei ist es egal wie selbsterklärend etwas erscheint.Wir haben einen Kunden wo 70% der Teilnehmer trotz Anleitung nicht im Stande sind die Anmeldung bei Hi Org richtig durchzuführen.

Ich muss auch ehrlich zugeben, dass wir mit nun ca 80.000 Teilnehmern in unser Firmengeschichte mich nicht einmal daran erinnern kann, das eine Firma einen Teilnehmer in den Kurs schickt und es dann selber zahlt.

Was ist unsere Erfahrung, die Firma bucht einen geschlossenen eigenen Kurs und zahlt diese selber oder BG.Oder der Teilnehmer zahlt privat und holt es sich von der Firma wieder.

Ist euch das selber eingefallen, oder gab es konkret diesen Umsetzungswunsch?

Das Szenario wird so enden, dass sich viele Teilnehmer als Firma anmeldende Rechnung dann an den Kunden geht. Der flippt aus, weil per Mail evtl. was anderes abgesprochen war und wechselt im schlimmsten zu einem anderen Anbieter. Wir verlieren den Kunden und wir haben dazu den gesamten Verwaltungsaufwand.

Das Wiederrum ist einer Hi Org egal, weil da ja FSJler blöd rumsitzt und dafür Zeit hat.

Wie gesagt, im Grunde eine gute Idee! Aber dann muss bitte eine Erklärung hinterlegt sein, so dass der Teilnehmer das liest und ihm klar ist was die Folgen sind.Die Erklärung sollte dann erscheinen, wenn die entsprechende Option gewählt wird

Ihr seit auf einem guten Weg, weiter so.


#20

Hallo Dirk,

seit gestern haben wir die verschiedenen Optionen auf der öffentlichen Teilnehmer-Anmeldung klarer dargestellt und jeweils mit einer Erklärung versehen, so dass die potentiellen Teilnehmer nun die passende Auswahl nun hoffentlich etwas treffsicherer schaffen.

image