Unterstütze uns! Spende jetzt!

AG Technik/Verfahrensverzeichnis: Unterschied zwischen den Versionen

Aus PiratenWiki
Wechseln zu: Navigation, Suche
(Typo)
K (Technische organisatorische Maßnahmen: Typo)
 
(9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
{{AG_Technik TopNavigation}}
 
{{AG_Technik TopNavigation}}
==Entwurf des Verfahrensverzeichnisses des LV Brandenburg==
+
=== Technische organisatorische Maßnahmen===
  
===Verfahrensverzeichnis ===
+
{| class="wikitable"
 +
|- style="background-color:#FABF8F"  valign="bottom"
 +
|style="font-size:14pt;font-weight:bold" width="230" height="18" | Technische und organisatorische Maßnahmen §9 BDSG - AG Technik LVBB
 +
|style="font-size:11pt" align="right" width="109" |  
 +
|style="font-size:11pt" align="right" width="350" |  
 +
|style="font-size:11pt" align="right" width="62" |  
  
====Vorgänge====
+
|- style="background-color:#FFFF00;font-size:11pt"  valign="bottom"
 +
| height="14" | Erfordernis
 +
| Kurzbegriff
 +
| Maßnahme
 +
| align="right" |  
  
*a.) Telemedien-Dienst Mailman / Mailserver
+
|- style="font-size:11pt"  valign="top"
*b.) Korrespondenz
+
| height="43" | Zu treffende Maßnahmen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,
*c.) Eintritt / Veränderung des Status
+
| align="right" |  
*d.) Daten ändern
+
| align="right" |  
*e.) Liquid Feedback (LQFB)
+
| align="right" |  
*f.) Austragen (Beendigung der Mitgliedschaft)
 
*g.) Akkreditierung von Mitgliedern für Parteitage und Hauptversammlungen
 
*h.) Zahlungen zum Parteitag / Hauptversammlung
 
*i.) Übermittlung von Adressen an Schatzmeister
 
*j.) Speicherung von Spenderdaten
 
*k.) Lastschrift/Abbuchungen/SEPA-Verfahren
 
*l.) Kontoverbindung bei Eingang
 
*m.) Reiseabrechnung
 
*n.) Statistik
 
  
====I. Angaben zur verantwortlichen Stelle (§ 4e Satz 1 Nr. 1-3 BDSG)====
+
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" |  
 +
| align="right" |  
 +
| align="right" |  
 +
| align="right" |  
  
Name der verantwortlichen Stelle:<br />
+
|- style="font-size:11pt"  valign="top"
Piratenpartei Deutschland<br />
+
| height="68" | 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
Landesverband Brandenburg<br />
+
| Zutrittskontrolle
Leiter der verantwortlichen Stelle:<br />
+
| Der Server befindet sich in einem gesicherten Rechenzentrum. Personenbezogene Daten werden nur im geringen Umfang erfasst, in der Regel durch den Betroffenen selbst.
Markus Freitag<br />
+
| align="right" | &nbsp;
  
Anschrift der verantwortlichen Stelle:<br />
+
|- style="font-size:11pt"  valign="top"
Piratenpartei Deutschland<br />
+
| align="right" height="14" | &nbsp;
Landesverband Brandenburg<br />
+
| align="right" | &nbsp;
- Landesgeschäftsstelle -<br />
+
| align="right" | &nbsp;
August-Bebel-Straße 68<br />
+
| align="right" | &nbsp;
14482 Potsdam<br />
 
Telefon +49(0)331-28129565<br />
 
E-Mail: vorstand@piratenbrandenburg.de<br />
 
  
====II. Angaben zu den Verfahren automatisierter Verarbeitung (§ 4e Satz 1 Nr. 4-8 BDSG)====  
+
|- style="font-size:11pt"  valign="top"
 +
| height="162" | 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
 +
| Zugangskontrolle
 +
| Der Zugang erfolgt nur durch Eingabe sicherer Passwörter.  Der Zugriff erfolgt über eine durch SSL-geschützte Internetverbindung. Der Zugriff erfolgt nur durch ihrerseits vollverschlüsselte Eingabegeräte. Ein regelmäßiger Wechsel der verwendeten Passwörter erfolgt. Die Passwörter werden an sicherer Stelle hinterlegt. Änderungen in der Zugangsberechtigung erfolgt durch den Dienstebereitssteller und durch Beschluss der AG Technik.<br />Sicherheitspatches werden nach Bedarf und Dringlichkeit regelmäßig eingepflegt. Die Adminstration erfolgt sowahl ehren- als auch hauptamtlich.
 +
| align="right" | &nbsp;
  
a) Telemedien-Dienst Mailman / Mailserver
+
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
a1. Name oder Firma der verantwortlichen Stelle:
+
|- style="font-size:11pt"  valign="top"
 +
| height="158" | 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
 +
| Zugriffskontrolle
 +
| Der Zugriff auf Ressourcen wird durch Beschluss der AG Technik geregelt. Hierbei kommen verschiedene Rollen zum Einsatz, die je nach Sachgebiet begrenzt sind. Serveradminstratoren haben technisch bedingt einen Vollzugriff auf alle Instanzen.<br />Massenspeicher werden nur für Datensicherungen verwendet. Die Speicherung der Datensicherungen erfolgen im Rechenzentrum selbst. Die Datensicherungen von Wordpressblogs erfolgen zusätzlich auf einem verschlüsselten Massenspeicher beim Wordpress-Admin.<br />Die Eingabegeräte selbst sind nach dem Stand der Technik gegen unberechtigten Zugriff geschützt.
 +
| align="right" | &nbsp;
  
Piratenpartei Deutschland<br />  
+
|- style="font-size:11pt" valign="top"
Landesverband Brandenburg<br />
+
| align="right" height="14" | &nbsp;
Anschrift und Kommunikationsdaten siehe I.<br />
+
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
a2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
+
|- style="font-size:11pt"  valign="top"
 +
| height="130" | 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
 +
| Weitergabekontrolle
 +
| Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.
 +
| align="right" | &nbsp;
  
Schatzmeister, Mitgliederverwaltungsbeauftragte
+
|- style="font-size:11pt"  valign="top"
+
| align="right" height="14" | &nbsp;
a3. Anschrift der verantwortlichen Stelle:
+
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
Piratenpartei Deutschland<br />  
+
|- style="font-size:11pt" valign="top"
Landesverband Brandenburg<br />
+
| height="78" | 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
Anschrift und Kommunikationsdaten siehe I.<br />
+
| Eingabekontrolle
 +
| Der Zugriff erfolgt über eine SSL-gesicherten Zugang vom Rechner der Admins. Der Zugriff der Admins wird im Systemlog erfasst.
 +
| align="right" | &nbsp;
  
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
a4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
+
|- style="font-size:11pt"  valign="top"
 +
| height="123" | 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
 +
| Auftragskontrolle
 +
| Die Einhaltung der Verträge zur Auftragsverarbeitung werden von den Admins gewährleistet. Die AV-Verträge sind für den Datenschutzbeauftragten einsehbar und prüfbar. Löschungs- bzw. Sperrungsanweisungen des Auftraggebers können umgesetzt werden. Daten, die in den Verfügungsbereich des Auftraggebers fallen, werden auf Anforderung auf einem physischen Datenträger gegen Empfangsbestätigung übergeben und erst nach Freigabe gelöscht.
 +
| align="right" | &nbsp;
  
Zweck der Nutzung der Daten ist die Information an die Mitglieder über aktuelle Entwicklungen, Aktionen oder besondere Termine der Piratenpartei Deutschland. Weiterhin werden die Daten genutzt um Mitglieder an ausstehende Mitgliedsbeiträge zu erinnern, sowie für die Einladung zu Parteitagen
+
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
a5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
+
|- style="font-size:11pt"  valign="top"
 +
| height="74" | 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
 +
| Verfügbarkeitskontrolle
 +
| Das Rechenzentrum gewährleistet eine sichere operative Umgebung. <br />Soweit personenbezogene Daten erfasst, genutzt und/oder verarbeitet werden, werden diese in einer automatischen Datensicherung gespiegelt.
 +
| align="right" | &nbsp;
  
Für den Zweck der Mitgliederinformation werden die E-Mail-Adressen von Mitgliedern der Piratenpartei, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
+
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
a6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
+
|- style="font-size:11pt"  valign="top"
 +
| height="64" | 8 .zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
 +
| Trennungsgebot
 +
| Soweit es erfolderlich ist, personenbezogende Daten überhaupt zu erfassen, nutzen und/oder zu verarbeiten, wird das Trennungsgebot durch die Admins gewährleistet.<br />Pseudonyme werden nicht mit Klarnamen zusammengeführt.
 +
| align="right" | &nbsp;
  
Die Daten können für die Abwickelung des Versandes an technische Beauftragte weitergegeben werden.
+
|}
  
a7. Regelfristen für die Löschung der Daten:
+
===Verfahrensverzeichnis ===
 
+
Link: https://technik.piratenbrandenburg.org/AG_Technik/Verfahrensverzeichnis
Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert. Temporär notwendige Zwischenspeicherungen sind nach Versand durch einen technischen Beauftragten umgehend zu löschen.
 
 
 
a8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
a9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 BDSG angemessen.
 
 
 
b) Korrespondenz
 
 
 
b1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
b2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
b3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
b4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Zweck der Nutzung der Daten ist die Information über aktuelle Entwicklungen, Aktionen oder besondere Termine der Piratenpartei Deutschland. Weiterhin werden die Daten genutzt, um Mitglieder an ausstehende Mitgliedsbeiträge zu erinnern sowie für die Einladung zu Parteitagen, bzw. Hauptversammlungen des Landesverbandes un seiner Gleiderungen.
 
 
 
b5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Für den Zweck der Mitgliederinformation werden die Adressen von Mitgliedern der Piratenpartei, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
 
 
b6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten können für die Abwicklung des Versandes an technische Beauftragte weitergegeben werden.
 
 
 
b7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert. Temporär notwendige Zwischenspeicherungen sind nach Versand durch einen technischen Beauftragten umgehend zu löschen. 
 
 
 
b8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
b9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
c) Eintritt / Veränderung des Status
 
 
 
c1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
c2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
c3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
c4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Für den Zweck der allgemeinen Mitgliederverwaltung werden Name, Geburtsdatum und Anschrift der Person gespeichert. Zusätzlich können auch E-Mail-Adressen und Geschlecht hinterlegt, werden sowie weitergehende freiwillige Angaben.
 
 
 
c5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Für den Zweck der Mitgliederverwaltung werden die Name, Geburtsdatum und Anschrift, sowie z.T. E-Mail-Adressen und Geschlecht von Mitgliedern der Piratenpartei, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
 
 
c6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden an die Mitgliederverwalter der zuständigen Untergliederungen weitergegeben, sowie technischen Beauftragten für den Versand von Briefen und E-Mails.
 
 
 
c7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert. Bei technischer Unterstützung für den Versand von E-Mails oder Briefen sind die Daten nach Abschluss des Versandes unverzüglich zu löschen.
 
 
 
c8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
c9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
d.) Daten ändern
 
 
 
d1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
d2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
d3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
d4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Änderungen des Namens, der Anschrift, E-Mail-Adresse oder der Zugehörigkeit zu einer Untergliederung werden gespeichert um eine aktuelle Mitgliederverwaltung zu gewährleisten. Dies gilt analog für freiwillige Angaben.
 
 
 
d5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Für den Zweck der Mitgliederverwaltung werden Änderungen des Namens, der Anschrift, E-Mail-Adresse oder der Zugehörigkeit zu einer Untergliederung, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
 
 
d6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden an die Mitgliederverwalter der zuständigen Untergliederungen weitergegeben.
 
 
 
d7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert.
 
 
 
d8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
d9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach § 9 angemessen.
 
 
 
e.) Liquid Feedback (LQFB)
 
 
 
e1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
e2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
e3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
e4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Für den Betrieb externer technischer Systeme (z.B. Liquid Feedback) können Mitgliedern Identifizierungscodes, welche nicht geeignet sind, das Mitglied außerhalb der Mitgliederverwaltung zu identifizieren, zugeteilt werden. Diese Daten dienen ausschließlich der Identifikation des Mitglieds in der Mitgliederverwaltung.
 
 
 
e5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Jedem Mitglied des LV Brandenburg kann ein solcher Identifizierungscode zugeteilt werden. Dabei handelt es sich um einen Identifizerungscode, der nicht geeignet ist, das Mitglied außerhalb der Mitgliederverwaltung zu identifizieren. Weiterhin werden die Daten über ausgetretene oder verstorbene Mitglieder gespeichert, so sie den Identifizierungscode vor ihrem Austritt, oder dem Tode, erhalten haben.
 
e6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Identifizierungscodes werden den technischen Verantwortlichen der Plattform übermittelt.
 
 
 
e7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert.
 
 
 
e8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
e9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach § 9 angemessen.
 
 
 
f.) Austragen (Beendigung der Mitgliedschaft)
 
 
 
f1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
f2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
f3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
f4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Die Information über den Austritt oder den Tod eines Mitglieds wird gespeichert um eine aktuelle Mitgliederverwaltung zu garantieren.
 
 
 
f5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Die Information über Austritt oder Tod eines Mitglieds werden für die Gewährleistung einer aktuellen Mitgliederverwaltung gespeichert. Dabei wird nicht zwischen Austritt und Tod unterschieden.
 
 
 
f6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden den zuständigen Untergliederungen übermittelt.
 
 
 
f7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert.
 
 
 
f8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
f9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
g.) Akkreditierung von Mitgliedern für Parteitage und Hauptversammlungen
 
 
 
g1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
g2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
g3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
g4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Informationen über Eingang von Mitgliedsbeiträgen, Stimmberechtigungen, Name, Adresse, Zugehörigkeit zu einer Untergliederung und Alter eines Mitglieds können zum Zwecke der Akkreditierung für Landesparteitage und Parteitage bzw. Hauptversammlungen der nachgeordneten Gliederungen benutzt werden.
 
 
 
g5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Die betroffenen Personengruppen sind die Mitglieder der Piratenpartei Deutschland. Dabei werden Informationen über Eingang von Mitgliedsbeiträgen, Stimmberechtigungen, Name, Adresse, Zugehörigkeit zu einer Untergliederung und Alter eines Mitglieds vorgehalten.
 
 
 
g6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten können den technischen Verantwortlichen der Akkreditierung zur Verfügung gestellt werden.
 
 
 
g7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten sind nach Beendigung der Akkreditierung, d.h. dem Ende des Parteitages, umgehend zu löschen.
 
 
 
g8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
g9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
h.) Zahlungen zum Parteitag / Hauptversammlung
 
 
 
h1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
h2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte
 
 
 
h3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
 
 
h4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Da Mitglieder auch zu einem Parteitag ihren Mitgliedsbeitrag bezahlen können, wird die Höhe der Zahlung benötigt.
 
 
 
h5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Die betroffenen Personengruppen sind die Mitglieder der Piratenpartei Deutschland. Dabei werden die Zahlungsmodalitäten (Höhe und Identifizierungsmerkmal des Mitglieds) erfasst. Eindeutige Identifizierungsmerkmale sind die Mitgliedsnummer oder Name, Vorname, Anschrift und Geburtsdatum des Mitglieds.
 
 
 
h6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden den jeweilig zuständigen Schatzmeistern mitgeteilt, damit der Eingang der Zahlung vermerkt werden kann.
 
 
 
h7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten sind nach Beendigung der Übermittlung umgehend zu löschen.
 
 
 
h8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
h9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
i.) Übermittlung von Adressen an Schatzmeister
 
 
 
i1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
i2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragte, Schatzmeister
 
 
 
i3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
i4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Nutzung der Mitgliederdaten für den Rechenschaftsbericht des Landesverbandes, sowie deren Untergliederungen für Spenden.
 
 
 
i5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Die betroffenen Personengruppen sind die Mitglieder der Piratenpartei Deutschland die dem Landesverband, oder einer Untergliederung eine Spende entrichtet haben und explizit um namentliche Spende gebeten haben sowie ein eindeutiges Identifizierungsmerkmal (Mitgliedsnummer) hinterlegt haben.
 
 
 
i6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten können dem Landesschatzmeister sowie den Schatzmeistern der Untergliederungen übermittelt werden.
 
 
 
i7. Regelfristen für die Löschung der Daten:
 
 
 
Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
 
 
i8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
i9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
j.) Speicherung von Spenderdaten
 
 
 
j1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
 
 
j2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister
 
 
 
j3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
 
 
j4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Der Schatzmeister speichert Daten über Spenden für den Rechenschaftsbericht gem. PartG.
 
Die Datenaufbereitung erfolgt durch eigene Instanzen sowie dem Steuerberatungsbüro im Wege der Auftragsdatenverarbeitung.
 
 
 
j5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Für die gesetzlich vorgeschriebene Erstellung des Rechenschaftsberichtes der Piratenpartei Deutschland werden Name, Vorname und Adresse einer Person gespeichert, die an die Piratenpartei Deutschland eine Spende entrichtet hat.
 
 
 
j6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden summarisch im aktuellen Rechenschaftsbericht veröffentlicht.
 
Die Datenaufbereitung erfolgt durch eigene Instanzen sowie dem Steuerberatungsbüro im Wege der Auftragsdatenverarbeitung.
 
 
 
j7. Regelfristen für die Löschung der Daten:
 
 
 
Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
 
 
j8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
j9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
 
 
k.) Lastschrift/Abbuchungen/SEPA-Verfahren
 
 
 
k1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
k2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Schatzmeister und Mitgliederverwaltungsbeauftragter
 
 
 
k3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
k4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Es werden Daten über erteilte Ermächtigungen zum Einzug von Forderungen durch Lastschriften, Abbuchungen oder SEPA-Lastschriftmandat gespeichert, um den Einzug der durch die Person gewünschten Summe durchzuführen.
 
 
 
k5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Über jede Person welche der Piratenpartei Deutschland ein solches Mandat ausstellt werden Name, Adresse und die entsprechende Bankverbindung gespeichert.
 
 
 
k6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden den Schatzmeistern der zuständigen Untergliederung mitgeteilt.
 
 
 
k7. Regelfristen für die Löschung der Daten:
 
 
 
Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
 
 
k8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
k9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach § 9 angemessen.
 
 
 
l.) Kontoverbindung bei Eingang
 
 
 
l1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
l2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister und Mitgliederverwaltungsbeauftragter
 
 
 
l3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
l4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Für die Abwicklung der Zahlungseingänge wird die Kontoverbindung eines zahlenden Mitglieds gespeichert.
 
 
 
l5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Für ein Mitglied der Piratenpartei Deutschland, welche seinen Mitgliedsbeitrag per Überweisung entrichtet, wird die Kontoverbindung gespeichert.
 
 
 
l6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:  
 
 
 
Die Daten werden der Zuständigen Untergliederung mitgeteilt.
 
 
 
l7. Regelfristen für die Löschung der Daten:
 
 
 
Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
 
 
l8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
l9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
Die Maßnahmen der Speicherung sind nach § 9 angemessen.
 
 
 
m.) Reiseabrechnung
 
 
 
m1. Name oder Firma der verantwortlichen Stelle:  
 
 
 
Piratenpartei Deutschland<br /
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
m2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister
 
 
 
m3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
m4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Für die Abwicklung der Reisekostenabrechnung werden die Reisekosten von Personen gespeichert die für die Reisetätigkeit für die Piratenpartei entschädigt werden.
 
 
 
m5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Für eine Person die im Auftrag der Piratenpartei Reisetätigkeit erfüllt und diese erstattet bekommt, werden Name, Adresse und die Höhe der Reisekosten gespeichert.
 
 
 
m6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Es kommt zu keiner Übermittlung von Daten an Dritte.
 
 
 
m7. Regelfristen für die Löschung der Daten:
 
 
 
Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
 
 
m8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
m9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach § 9 angemessen.
 
 
 
n) Statistik
 
 
 
n1. Name oder Firma der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
n2. Vorstände und die mit der Leitung der Datenverarbeitung beauftragten Personen:
 
 
 
Schatzmeister, Mitgliederverwaltungsbeauftragter
 
 
 
n3. Anschrift der verantwortlichen Stelle:
 
 
 
Piratenpartei Deutschland<br /> 
 
Landesverband Brandenburg<br />
 
Anschrift und Kommunikationsdaten siehe I.<br />
 
 
 
n4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
 
 
 
Für die transparenten Darstellung der Entwicklung der Piratenpartei können statistische Daten des Gesamtmitgliederdatensatzes an geeigneter Stelle veröffentlicht werden.
 
 
 
n5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
 
 
 
Hierbei werden keine personenbezogene Daten veröffentlicht, sondern nur Durchschnittswerte, sowie Gesamtanzahl. Dies umfasst auch eine Aufschlüsselung der Daten für den Landesverband und desser Gliederungen.
 
 
 
n6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
 
 
 
Die Daten werden an geeigneter Stelle veröffentlicht.
 
 
 
n7. Regelfristen für die Löschung der Daten:
 
 
 
Die Daten werden nach Veröffentlichung gelöscht.
 
 
 
n8. eine geplante Datenübermittlung in Drittstaaten:
 
 
 
Es gibt keine Übermittlung der Daten an Drittstaaten.
 
 
 
n9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind:
 
 
 
Die Maßnahmen der Speicherung sind nach § 9 angemessen.
 
 
 
 
 
==Sammlung der Dokumentationen über Verfahren und Ressourcen der IT im LV Brandenburg==
 
===Root-Server===
 
 
 
 
 
===NN-Server===
 
 
 
 
 
----
 
  
 
===IT-Sicherheitsrichtlinie===
 
===IT-Sicherheitsrichtlinie===
Zeile 647: Zeile 126:
 
+++ Entwurf+++
 
+++ Entwurf+++
  
*In der Piratenpartei Landesverband Brandenburg ist folgenden IT-Sicherheitsleitlinie gültig:
+
*In der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland ist folgenden IT-Sicherheitsleitlinie gültig:
 
   
 
   
*Die IT unterstützt die unseren Geschäftszweck insbesondere bei der Mitgliederverwaltung und den von der von uns eingesetzten Technik und der auf ihr installierten Anwendungen.
+
*Die IT unterstützt die von ihr eingesetzte Technik und die auf ihr installierten Anwendungen.
  
 
*Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.  
 
*Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.  
Zeile 655: Zeile 134:
 
*Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
 
*Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
 
   
 
   
*Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind das zuständige Mitglied des Landesvorstandes und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
+
*Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind die Koordinatoren der AG Technik und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
  
 
*Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
 
*Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
  
*Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei den PIRATEN Brandenburg zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
+
*Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
  
 
:*Quelle: BSI Grundschutzprofil  
 
:*Quelle: BSI Grundschutzprofil  
Zeile 694: Zeile 173:
 
====Wiederanlaufplan nach Crash====
 
====Wiederanlaufplan nach Crash====
  
*1. Netzwerkomponenten
+
*1. Netzwerkkomponenten
 
*2. Speichersysteme
 
*2. Speichersysteme
 
*3. Netzwerkdienste
 
*3. Netzwerkdienste
Zeile 706: Zeile 185:
 
<!-- Kategorien -->
 
<!-- Kategorien -->
 
[[Kategorie:AG Technik|Verfahrensverzeichnis]]
 
[[Kategorie:AG Technik|Verfahrensverzeichnis]]
[[Kategorie:Technik]]
 

Aktuelle Version vom 15. März 2016, 21:39 Uhr

AG Technik | Dashboard | Regeln | Geschäftsordnung | Treffen & Protokolle | Logbuch | Todolist | Verfahrensverzeichnis | Tools & Links | Beschlüsse

Technische organisatorische Maßnahmen

Technische und organisatorische Maßnahmen §9 BDSG - AG Technik LVBB      
Erfordernis Kurzbegriff Maßnahme  
Zu treffende Maßnahmen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,      
       
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), Zutrittskontrolle Der Server befindet sich in einem gesicherten Rechenzentrum. Personenbezogene Daten werden nur im geringen Umfang erfasst, in der Regel durch den Betroffenen selbst.  
       
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), Zugangskontrolle Der Zugang erfolgt nur durch Eingabe sicherer Passwörter. Der Zugriff erfolgt über eine durch SSL-geschützte Internetverbindung. Der Zugriff erfolgt nur durch ihrerseits vollverschlüsselte Eingabegeräte. Ein regelmäßiger Wechsel der verwendeten Passwörter erfolgt. Die Passwörter werden an sicherer Stelle hinterlegt. Änderungen in der Zugangsberechtigung erfolgt durch den Dienstebereitssteller und durch Beschluss der AG Technik.
Sicherheitspatches werden nach Bedarf und Dringlichkeit regelmäßig eingepflegt. Die Adminstration erfolgt sowahl ehren- als auch hauptamtlich.
 
       
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), Zugriffskontrolle Der Zugriff auf Ressourcen wird durch Beschluss der AG Technik geregelt. Hierbei kommen verschiedene Rollen zum Einsatz, die je nach Sachgebiet begrenzt sind. Serveradminstratoren haben technisch bedingt einen Vollzugriff auf alle Instanzen.
Massenspeicher werden nur für Datensicherungen verwendet. Die Speicherung der Datensicherungen erfolgen im Rechenzentrum selbst. Die Datensicherungen von Wordpressblogs erfolgen zusätzlich auf einem verschlüsselten Massenspeicher beim Wordpress-Admin.
Die Eingabegeräte selbst sind nach dem Stand der Technik gegen unberechtigten Zugriff geschützt.
 
       
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), Weitergabekontrolle Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.  
       
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Eingabekontrolle Der Zugriff erfolgt über eine SSL-gesicherten Zugang vom Rechner der Admins. Der Zugriff der Admins wird im Systemlog erfasst.  
       
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), Auftragskontrolle Die Einhaltung der Verträge zur Auftragsverarbeitung werden von den Admins gewährleistet. Die AV-Verträge sind für den Datenschutzbeauftragten einsehbar und prüfbar. Löschungs- bzw. Sperrungsanweisungen des Auftraggebers können umgesetzt werden. Daten, die in den Verfügungsbereich des Auftraggebers fallen, werden auf Anforderung auf einem physischen Datenträger gegen Empfangsbestätigung übergeben und erst nach Freigabe gelöscht.  
       
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), Verfügbarkeitskontrolle Das Rechenzentrum gewährleistet eine sichere operative Umgebung.
Soweit personenbezogene Daten erfasst, genutzt und/oder verarbeitet werden, werden diese in einer automatischen Datensicherung gespiegelt.
 
       
8 .zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Trennungsgebot Soweit es erfolderlich ist, personenbezogende Daten überhaupt zu erfassen, nutzen und/oder zu verarbeiten, wird das Trennungsgebot durch die Admins gewährleistet.
Pseudonyme werden nicht mit Klarnamen zusammengeführt.
 

Verfahrensverzeichnis

Link: https://technik.piratenbrandenburg.org/AG_Technik/Verfahrensverzeichnis

IT-Sicherheitsrichtlinie

+++ Entwurf+++

  • In der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland ist folgenden IT-Sicherheitsleitlinie gültig:
  • Die IT unterstützt die von ihr eingesetzte Technik und die auf ihr installierten Anwendungen.
  • Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.
  • Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
  • Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind die Koordinatoren der AG Technik und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
  • Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
  • Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
  • Quelle: BSI Grundschutzprofil

Verfahrensverzeichnis

Beispiel, wie so etwas aussehen könnte: Server-Dokumentation IT-Bund

Beispiel, wie Notfallverfahren zu planen sind: BSI-Standard 100-4 Notfallmanagement


Gliederung des Verfahrensverzeichnis

  • 1. Notrufnummern
  • 2. Schema Meldewege
  • 3. Schema Wiederanlaufplan
  • 4. Details Meldewege
  • 5. Details Wiederanlaufplan
  • 6. Übersicht über alles, was Nachschlagecharakter hat (Ansprechpartner, Beschaffungsmöglichkeiten, Standorte, etc.)

Prüfpunkte für ein Schema

  • a) Sind sowohl der organisatorische als auch der technische Wiederanlauf beschrieben?
  • b) Sind die wichtigsten Ansprechpartner mit Telefonnummern leicht zu finden?
  • c) Ist das Inhaltsverzeichnis verständlich und schnell zu begreifen?
  • d) Sind Abhängigkeiten zwischen den EDV-Systemen beschrieben?
  • e) Wird beim Wiederanlauf zwischen unterschiedlichen Sicherungskonzepten unterschieden?
  • f) Gibt es Hinweise auf die Wiederbeschaffung zentraler EDV-Komponenten?
  • g) Werden zeitliche Restriktionen (z.B. an Wochenenden oder nachts) berücksichtigt?
  • h) Kann ein technisch versierter Handelnder, mit den Beschreibungen zum technischen Wiederanlauf etwas anfangen?

Wiederanlaufplan nach Crash

  • 1. Netzwerkkomponenten
  • 2. Speichersysteme
  • 3. Netzwerkdienste
  • 4. virtuelle Systeme und Betriebssysteme
  • 5. Datenbanken
  • 6. Endanwendungen