Neues Bundesdatenschutzgesetz ab Mai


#1

In wie fern wird Hi Org die Änderungen des neues Bundesdatenschutzgesetz übernehmen?

Hierzu zählt vorrangig, das ein Dozent nur seine eigenen Kursdetails sehen kann und nicht mit der Option alle oder keine.


#2

Hallo Dirk,

die beiden Fragen haben inhaltlich nichts miteinander zu tun: durch die aktuelle Gesetzesänderung (Teil 1 Ihrer Frage - BDSG / DSGVO) ändert sich inhaltlich in Bezug auf den Schutz von (personenbezogenen) Daten (Teil 2 Ihrer Frage) eigentlich nichts. Es gibt schon seit Jahren (Jahrzehnten?) das Gebot, die Daten nur demjenigen zugänglich zu machen, der sie sehen / bearbeiten darf und soll.

Um trotzdem die beiden Fragen zu beantworten:

  1. HiOrg-Server ist im Bezug auf die Themen Datenschutz und Datensicherheit schon seit Jahren sehr korrekt aufgestellt. Beispielsweise bieten wir unseren Nutzern bereits seit dies 2009 erstmalig gesetzlich gefordert wurde, eine sehr detaillierte und gut konkretisierte Vorlage eines ADV-Vertrages an. Viele Details und Hintergrundinfos zu diesen Themen finden Sie hier: http://dsds.hiorg-server.de
    Durch die in Kürze anstehende Gesetzesänderung (DSGVO) ergibt sich für unsere bisherigen Kunden/Nutzer die bereits den o.g. ADV-Vertrag mit uns abgeschlossen haben, erfreulicherweise (soweit wir das überblicken und beurteilen können) kein akuter Handlungsbedarf. Das neue Gesetz unterscheidet sich vom aktuell (noch) gültigen nicht wesentlich im Inhalt, sondern nur in einigen Formulierungen (z.B. “Verantwortlicher” statt “Auftraggeber”), sowie durch einige Ergänzungen (wie “Joint Control” oder Datenspeicherung außerhalb Deutschlands), die aber in den meisten Fällen nicht zutreffend sind.
    Update: Am 03.05.2018 hat das saarländische Zentrum für Datenschutz im Rahmen einer von uns beauftragten Prüfung empfohlen, neue AV-Verträge mit allen Kunden abzuschließen. Begründung: je nach Auslegung der neuen Richtlinien könnte eine regional zuständige Behörde auch aufgrund der unwesentlichen neuen Anforderungen den bestehenden Vertrag als unzureichend einschätzen. Um diesem Risiko zu entgehen, stellen wir allen Kunden einen aktualisierten und geprüften AV-Vertrag zur Verfügung.

  2. Welche Daten für welchen Benutzer im HiOrg-Server sichtbar sein sollen, kann nicht starr von uns vorgegeben werden, sondern muss unter Berücksichtigung der Arbeitsabläufe und Gegebenheiten in der einzelnen Organisation, von jedem Admin individuell zunächst ermittelt werden, und dann anhand der Einstellungen und Benutzer-Rechte im HiOrg-Server umgesetzt werden.
    In manchen Gliederungen bzw. Personalkonstellationen ist es z.B. sinnvoll und notwendig, dass Ausbilder Einblick in alle Kursdetails haben - andernorts darf dies nicht so sein.
    Das genannte Beispiel können Sie individuell in Ihrem HiOrg-Server einstellen, u.a. durch die beiden Optionen im Bereich “System - Einstellungen - Ausbildung allgemein - Rechte”:

  • “Ausbilder dürfen TN-Liste fremder Kurse einsehen”
  • “Ausbilder dürfen Kunden-Daten nicht öffentlicher Kurse bereits vor der festen Zuweisung sehen”

Christoph


Datenschutzgrundverordnung 2018
#3

Kurze Frage - weil ich es aktuell nicht weiß… haben wir mit unserem Vertrag automatisch eine ADV Vereinbarung geschlossen oder wird diese nur auf Anforderung geschlossen? Wenn letzteres - entstehen dem Verein zusätzliche Kosten?


#4

Hallo Filipe,

wir fordern aktiv (durch Einblenden einer Meldung für den Admin auf der Übersicht) nur die Zusendung des unterschriebenen Nutzungsvertrages ein. Dieser regelt zwar grundsätzliche Dinge (z.B. Zuständigkeiten) auch im Bereich des Datenschutzes, aber genügt nicht allen gesetzlichen Anforderungen bei Auftragsdatenverarbeitung.

Um juristisch korrekt aufgestellt zu sein, sollten Sie uns also zusätzlich auch die ADV-Vereinbarung zusenden.

Natürlich ist dies völlig kostenneutral.

Grüße,
Christoph


#5

Update:

Am 03.05.2018 hat das saarländische Zentrum für Datenschutz im Rahmen einer von uns beauftragten Begutachtung empfohlen, neue AV-Verträge mit allen Kunden abzuschließen. Begründung: je nach Auslegung der neuen Richtlinien könnte eine regional zuständige Behörde auch aufgrund der unwesentlichen neuen Anforderungen den bestehenden Vertrag als unzureichend einschätzen. Um diesem Risiko zu entgehen, stellen wir allen Kunden einen neuen, aktualisierten und geprüften AV-Vertrag zur Verfügung.

Wir werden zukünftig auch die Unterzeichnung dieses Vertrages per Hinweismeldung auf der Übersicht einfordern, bevor Realdaten im HiOrg-Server verarbeitet werden dürfen.


#6

2 Beiträge wurden in ein neues Thema verschoben: DS-GVO: Verfahrensverzeichnis


#7

Nach §76 BDSG (neu) ist jede Änderung an persönlichen Daten zu protokollieren.

Macht das der HiOrg-Server selbstständig, oder muss eine separate Protokolldatei geführt werden?


DS-GVO: Verfahrensverzeichnis
#8

Hallo Thomas,

dies macht HiOrg-Server selbstständig: siehe “System - Log: Mitglieder”.

Grüße,
Christoph


#9

Danke für die Antwort.

Und wie lange werden diese Daten gespeichert, dauerhaft?


#10

Wir speichern diese Logs für einen Monat, danach werden sie automatisch gelöscht. Wenn Sie die Daten länger vorhalten wollen oder müssen, können Sie dieses Adresslog als “RSS-Feed” abonnieren, und lokal abspeichern. Den dazu notwendigen Link finden Sie hinter den orangenen Icon links unten auf der Seite.


#11

Das ist die Frage. Inwieweit sind wir nach der neuen DSGVO verpflichtet Änderungen an Daten von Mitgliedern zu dokumentieren und nachweisen zu können?


#12

Dies ist insgesamt von den verschiedensten Faktoren abhängig: in welchem Umfeld Sie arbeiten (z.B. kirchlich, privat, Verein), welche Beziehung die Mitglieder zu Ihrer Organisation haben (z.B. Ehrenamtliche, Angestellte, Interessenten, Vereinsmitglieder), welche Daten Sie genau erfassen, aus welchen Gründen und auf welcher rechtlichen Grundlage Sie diese Daten erfassen, und ob es evtl. gesetzliche Anforderungen und Fristen zur Speicherung der Daten gibt (z.B. bei Gehaltsabrechnungen, Rechnungen,…).

Insofern können wir diese Frage gar nicht pauschal beantworten (abgesehen davon, dass wir keine verbindliche juristische Auskunft geben können), und verweisen an Ihren Datenschutzbeauftragten oder Justiziar oder Steuerberater oder sonstige Rechtsberatung.