Dokumente¶

Bei der Vereinsarbeit oder auch bei internen und externen Projekten arbeiten häufig mehrere Personen an einem Dokument bzw. müssen auf die gleichen Informationen zugreifen. Daher ist regelkonformes Arbeiten an Dokumenten und insbesondere deren Ablage sehr wichtig. Die Richtlinien für Speicherdienste im CCT (s. Wiki) müssen zwingend beachtet werden.

Ablage von Dokumenten¶

Zuerst ist die CCT-Cloud (Ressortarbeit und Projekte) zu nutzen. Das Wiki ist der zentrale Wissensspeicher. Das WMS der zentrale Dokumentationsspeicher, für Dinge, die alle im CCT interessieren.

Wenn ihr gemeinsam an Dokumenten arbeitet, bietet sich das Tool Dropbox an. ABER bitte beachtet den nicht ausreichenden Datenschutz, den Dropbox bietet. Für sensible Dateien und Informationen, wie sie oft auf externen Projekten vorkommen, ist Dropbox daher nicht geeignet und darf nicht verwendet werden!

Dateibenennung¶

Dateinamen sollten nach dem Muster JJJJMMTT_Inhalt_Username vergeben werden. Beispiel: “20120203_CCT-Handbuch_su“

E-Mail¶

Grundregeln beim E-Mailen¶

Bei der Versendung von E-Mails sollten einige Grundregeln beachtet werden. Diese mögen für die meisten Leute selbstverständlich erscheinen. Dennoch seien hier noch einmal die Wichtigsten erwähnt:

Grundsätzlich gilt: Nichts schreiben, was man dem Adressaten nicht auch ins Gesicht sagen würde.
Nie mehr Leute anmailen als sinnvoll und nötig, d.h. bitte keine Mails an “alle@cct-ev.de“: “Hallo Projektmanager, ich habe da ein neues Projekt…“ oder ähnliches.
Einen aussagekräftigen Betreff verwenden.
Ein Kürzel vor dem Betreff erleichtert dem Empfänger die Arbeit. Mögliche Kürzel sind z.B. act, reply und info. Beispiel: „act: KEB des Projektes XY fehlt in Projektdatenbank“
Möglichst keine E-Mails verfassen, die verschiedene Bereiche bzw. Aufgaben betreffen, da sie sonst nicht eindeutig zu E-Mail-Ordnern zugeordnet werden können.
Attachments nur senden, wenn nötig. Dies gilt umso mehr, je größer das Attachment und der Empfängerkreis sind.

Es sind immer die CCT-üblichen Signaturen zu verwenden und diese auch aktuell halten.

Wichtige Verteiler¶

Datensicherung¶

Im Rahmen des Mitgliedsprojektes „Outsourcing kritischer IT-Infrastruktur“ wurde der Grundstein für die komplette Ablösung selbstgeghosteter Lösungen gelegt, um hardwarebedingte Downtimes zu minimieren. Im ersten Schritt wurde dazu im Jahr 2016 der E-Mail-Server migriert. Im Anschluss daran wurde 2018 die eigene Serverfarm durch eine VPS Lösung von Contabo ersetzt.

In einem 1-Wochen-Rhythmus wird ein Voll-Back-Up aller unserer Systeme erstellt. Ferner wird jeden Tag ein inkrementelles Back-Up zum Voll-Back-Up erstellt. Dieses System wird analog auf Monats- und Jahresbackups angewandt. Das Löschen nicht mehr benötigter Backups erfolgt automatisiert in umgekehrter Reihenfolge wobei jeweils das älteste jeder Zeiteinheit (Tag, Monat und Jahr) behalten wird.

Datenschutz¶

Datenschutz wird im CCT ganzheitlich gelebt. Im Rahmen des Endes der Übergangsphase zur Umsetzung der Datenschutzgrundverordnung und des BDSG-neu zum 25. Mai 2018 wurden bereits erste Maßnahmen umgesetzt. Hierzu zählte unter anderem das Entfernen sämtlicher, im Rahmen der neuen Regelung unrechtmäßig erhobener und nicht durch überwiegende, berechtigte Interessen des Vereins gedeckte Daten aus unseren IT-Systemen. Gleichzeitig wurde für neue Erhebungsvorgänge entsprechend angepasste Datenschutzerklärungen, Opt-in Systeme und AVVs ausgerollt, sowie die Position des Datenschutzbeauftragten besetzt. Die Maßnahmen richten sich an den gesetzlichen Rahmenbedingungen aus werden fortlaufend angepasst. Folgend ein Überblick über vereinsinterne Maßnahmen und Rahmenbedingungen zum individuellen Beitrag des Einzelnen bei der Umsetzung.

Datenschutzbeauftragter:¶

Diese Position ist für das CCT verpflichtend zu besetzen und wird gegenwärtig proaktiv bei, den Datenschutz betreffenden Themen, sowohl interner, als auch externer Natur konsultiert. Hierzu zählt das Feedback über die Gestaltung und die Bewertung der inhaltlichen Komponente von Datenerhebungsvorgängen, wie auch Schlüsseldesignentscheidungen bei der Einführung von IT-Systemen. Der Datenschutzbeauftragte wirkt unterstützend bei der Ausarbeitung, der Anpassung und dem Ausrollen datenschutzrechtlicher Verträge und Dokumentationen (AVV, Gemeinsame Zuständigkeit, Datenschutzfolgeabschätzung, Verfahrenverzeichnis). Ebenfalls wird nicht-konformes Verhalten bei Bekanntwerden durch den Datenschutzbeauftragten gegenüber den einzelnen CCTler*innen geäußert. Dies hat bereits zu einer nachhaltigen Verbesserung des Datenschutzes geführt. Des Weiteren ist der Datenschutzbeauftragte hauptsächlich zuständig für Datenschutztrainings, welche den CCTler*innen im Rahmen des Onboardings, sowie auf freiwilliger Basis im Halbjahres Rhythmus angeboten werden. Den Projekt GbRs steht es frei, selbstständig einen Datenschutzbeauftragten zu ernennen, dies ist jedoch verpflichtend, sofern die GbR aus mehr als sieben Gesellschafter*innen besteht.

Dokumentationspflichten¶

Aufgrund der Struktur, Ausrichtung und Mitgliederzahl des CCT kommen wir mit einem Minimum an Dokumentationspflichten aus. Um eine Grundlage für die Verarbeitung zu schaffen, sind Einwilligungen im Sinne des Art. 6 Abs. 1 von jeder Person, welche in den Geltungsbereich des Verarbeitungsvorganges fällt, immer dann einzuholen, wenn der Verarbeitungszweck durch vorherige Einwilligungserklärungen noch nicht abgedeckt ist, jene Erklärung zum Zeitpunkt der Erhebung bereits widersprochen wurde oder diese durch Überschreitung der Gültigkeitsdauer, sofern angegeben oder im Sinne des Art. 17 1a unwirksam wird. Hierzu ist der Zeitpunkt der Einwilligung mit Datum und Urzeit zu protokollieren. Darüber hinaus muss die Einwilligung durch den Nutzer selbst kommen, vorausgewählte Felder sind unzulässig. In externen Projekten, auch externen Mitgliedsprojekten kann es in Abhängigkeit vom konkreten Projektinhalt zu empfehlen, teilweise auch verpflichtend sein, eine Datenschutzerklärung zu erheben. Ein Verzeichnis von Verarbeitungstätigkeiten ist nicht erforderlich da das CCT weniger als 250 Personen umfasst und die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Die Notwendigkeit und der Umfang einer Datenschutzfolgeabschätzung (DSFA) werden gegenwärtig neu ermittelt. Die Verantwortlichen wurden bereits informiert. Die aktuelle Argumentation geht zunächst davon aus, dass keine Verarbeitungsvorgänge im CCT für eine DSFA qualifiziert sind, da der Schutzklasse 3 zugehörige Daten gemäß DIN 66399 Klassierung im CCT e.V. nicht verarbeitet werden. Dies gelte auch für Bewerberdatensätze, da diese pseudonymisiert und auf verschiedenen IT-Systemen abgelegt sind und eine Reproduktion der kompletten Datensätze nur unter erheblichem Aufwand möglich ist. Verträge Das CCT verfügt über Auftragsverarbeitungsverträge (AVV) mit gegenwärtig vier Unternehmen im EWR und zwei weiteren, welche durch das EU-US Privacy Shield abgedeckt sind. Diese Liste wird durch kontinuierlichen Ausbau der Services und verstärken Einsatz von Public Cloud Dienstleitungen zunehmend erweitert. Das Vertragsverhältnis mit, nicht auf der ausschließlichen Inanspruchnahme fremder Fachleistungen beruhenden, externen Firmen kann in der Regel gut beschrieben werden, jedoch ist ein AVV im Binnenverhältnis mit der jeweiligen Projekt-GbR nicht zu empfehlen, da in der vorliegenden Beziehung beide Parteien Entscheidungsbefugnis über die erhobenen Datenbestände haben, kein kategorisches Nutzungsverbot der Datenbestände der jeweils anderen Partei gilt und das CCT teilweise ebenfalls in Beziehung zu den, von der Verarbeitung betroffenen Personen stehen kann. Diesbezüglich ist die aktuelle Bewertung, den Sachverhalt durch eine Vereinbarung gemäß Art. 26 Abs. 1 umzusetzen. Ein Muster hierfür ist im Projektleiterpackage zu finden. Diese oder eine analoge Vereinbarung ist zwingend mit dem CCT abzuschließen, wenn die von dem CCT e.V. zur Verfügung gestellten Dienste genutzt werden sollen oder sich das Projektteam zum erheblichen Teil aus aktiven CCTler*innen bildet.

Technisch organisatorische Maßnahmen (TOM)¶

Im Rahmen des Outsourcings kritischer IT-Infrastruktur gingen viele technisch-organisatorische Maßnahmen auf unser Auftragsverarbeiter über. Darüber hinaus muss das CCT durch seine BYOD-Policy auf große Eigenverantwortung seiner Mitglieder*innen setzen. Für jedes Ziel wurden unter Berücksichtigung des Stands der Technik TOMs abgeleitet:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)¶

Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen
Zugangskontrolle: Keine unbefugte Systembenutzung, (sichere) Kennwörter,
Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
Trennungskontrolle: in Teilen getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;

Integrität (Art. 32 Abs. 1 lit. b DSGVO)¶

Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch Verschlüsselung
Eingabekontrolle Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, u.a.: Protokollierung und Loggen von Benutzernamen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)¶

Verfügbarkeitskontrolle Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, u.a.: Backup-Strategie, Virenschutz, Firewall;
Schnelle Wiederherstellbarkeit durch regelmäßige Backups Verfahren zur regelmäßigen Überprüfung,

Bewertung und Evaluierung (Art. 32 Abs.1 lit. D DSGVO; Art. 25 Abs. 1 DSGVO)¶

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);

Datenschutzfreundliche Voreinstellungen:¶

Bei der Konzeption und Umsetzung neuer IT-Systeme wird der Datenschutzbeauftragte proaktiv informiert und in das Geschehen mit eingebunden. Die Administratoren aller unserer verwendeten IT-Systeme (Private und Public Cloud) sind sich über die Bedeutung und Umsetzung von Datenschutzfreundlichen Voreinstellungen bewusst. Sofern Verbesserungspotenzial von außen erkennbar ist wird hierauf hingewiesen und dies eingearbeitet.