Unterstütze uns! Spende jetzt!

AG Technik/Verfahrensverzeichnis: Unterschied zwischen den Versionen

Aus PiratenWiki
Wechseln zu: Navigation, Suche
(Verfahrensverzeichnis)
K (Technische organisatorische Maßnahmen: Typo)
 
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
{{AG_Technik TopNavigation}}
 
{{AG_Technik TopNavigation}}
 +
=== Technische organisatorische Maßnahmen===
  
===Verfahrensverzeichnis ===
+
{| class="wikitable"
 +
|- style="background-color:#FABF8F"  valign="bottom"
 +
|style="font-size:14pt;font-weight:bold" width="230" height="18" | Technische und organisatorische Maßnahmen §9 BDSG - AG Technik LVBB
 +
|style="font-size:11pt" align="right" width="109" |  
 +
|style="font-size:11pt" align="right" width="350" |  
 +
|style="font-size:11pt" align="right" width="62" |  
 +
 
 +
|- style="background-color:#FFFF00;font-size:11pt"  valign="bottom"
 +
| height="14" | Erfordernis
 +
| Kurzbegriff
 +
| Maßnahme
 +
| align="right" |  
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| height="43" | Zu treffende Maßnahmen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,
 +
| align="right" |  
 +
| align="right" |  
 +
| align="right" |  
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" |  
 +
| align="right" |  
 +
| align="right" |  
 +
| align="right" |  
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| height="68" | 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
 +
| Zutrittskontrolle
 +
| Der Server befindet sich in einem gesicherten Rechenzentrum. Personenbezogene Daten werden nur im geringen Umfang erfasst, in der Regel durch den Betroffenen selbst.
 +
| align="right" |  
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" |  
 +
| align="right" |  
 +
| align="right" |  
 +
| align="right" |  
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| height="162" | 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
 +
| Zugangskontrolle
 +
| Der Zugang erfolgt nur durch Eingabe sicherer Passwörter.  Der Zugriff erfolgt über eine durch SSL-geschützte Internetverbindung. Der Zugriff erfolgt nur durch ihrerseits vollverschlüsselte Eingabegeräte. Ein regelmäßiger Wechsel der verwendeten Passwörter erfolgt. Die Passwörter werden an sicherer Stelle hinterlegt. Änderungen in der Zugangsberechtigung erfolgt durch den Dienstebereitssteller und durch Beschluss der AG Technik.<br />Sicherheitspatches werden nach Bedarf und Dringlichkeit regelmäßig eingepflegt. Die Adminstration erfolgt sowahl ehren- als auch hauptamtlich.
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| height="158" | 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
 +
| Zugriffskontrolle
 +
| Der Zugriff auf Ressourcen wird durch Beschluss der AG Technik geregelt. Hierbei kommen verschiedene Rollen zum Einsatz, die je nach Sachgebiet begrenzt sind. Serveradminstratoren haben technisch bedingt einen Vollzugriff auf alle Instanzen.<br />Massenspeicher werden nur für Datensicherungen verwendet. Die Speicherung der Datensicherungen erfolgen im Rechenzentrum selbst. Die Datensicherungen von Wordpressblogs erfolgen zusätzlich auf einem verschlüsselten Massenspeicher beim Wordpress-Admin.<br />Die Eingabegeräte selbst sind nach dem Stand der Technik gegen unberechtigten Zugriff geschützt.
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| height="130" | 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
 +
| Weitergabekontrolle
 +
| Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| height="78" | 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
 +
| Eingabekontrolle
 +
| Der Zugriff erfolgt über eine SSL-gesicherten Zugang vom Rechner der Admins. Der Zugriff der Admins wird im Systemlog erfasst.
 +
| align="right" | &nbsp;
 +
 
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
{|border="1" cellpadding="4" cellspacing="0" style="margin:1em 1em 1em 0.5em;"
+
|- style="font-size:11pt" valign="top"
|- valign=top style="text-align:left; background-color:#dcdcdc;"
+
| height="123" | 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
!Verfahren
+
| Auftragskontrolle
!Name oder Firma der verantwortlichen Stelle
+
| Die Einhaltung der Verträge zur Auftragsverarbeitung werden von den Admins gewährleistet. Die AV-Verträge sind für den Datenschutzbeauftragten einsehbar und prüfbar. Löschungs- bzw. Sperrungsanweisungen des Auftraggebers können umgesetzt werden. Daten, die in den Verfügungsbereich des Auftraggebers fallen, werden auf Anforderung auf einem physischen Datenträger gegen Empfangsbestätigung übergeben und erst nach Freigabe gelöscht.
!Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
+
| align="right" | &nbsp;
!Anschrift der verantwortlichen Stelle
 
!Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
 
!Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
 
!Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
 
!Regelfristen für die Löschung der Daten
 
!Geplante Datenübermittlung in Drittstaaten
 
!Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Telemedien-Dienst Mailman / Mailserver
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Zweck der Nutzung der Daten ist die Information an die Mitglieder über aktuelle Entwicklungen, Aktionen oder besondere Termine der Piratenpartei Deutschland. Weiterhin werden die Daten genutzt um Mitglieder an ausstehende Mitgliedsbeiträge zu erinnern, sowie für die Einladung zu Parteitagen.
 
|Für den Zweck der Mitgliederinformation werden die E-Mail-Adressen von Mitgliedern der Piratenpartei, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
|Die Daten können für die Abwickelung des Versandes an technische Beauftragte weitergegeben werden.
 
|Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert. Temporär notwendige Zwischenspeicherungen sind nach Versand durch einen technischen Beauftragten umgehend zu löschen.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 BDSG angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Korrespondenz
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Zweck der Nutzung der Daten ist die Information über aktuelle Entwicklungen, Aktionen oder besondere Termine der Piratenpartei Deutschland. Weiterhin werden die Daten genutzt, um Mitglieder an ausstehende Mitgliedsbeiträge zu erinnern sowie für die Einladung zu Parteitagen, bzw. Hauptversammlungen des Landesverbandes un seiner Gleiderungen.
 
|Für den Zweck der Mitgliederinformation werden die Adressen von Mitgliedern der Piratenpartei, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
|Die Daten können für die Abwicklung des Versandes an technische Beauftragte weitergegeben werden.
 
|Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert. Temporär notwendige Zwischenspeicherungen sind nach Versand durch einen technischen Beauftragten umgehend zu löschen.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Eintritt / Veränderung des Status
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Für den Zweck der allgemeinen Mitgliederverwaltung werden Name, Geburtsdatum und Anschrift der Person gespeichert. Zusätzlich können auch E-Mail-Adressen und Geschlecht hinterlegt, werden sowie weitergehende freiwillige Angaben.
 
|Für den Zweck der Mitgliederverwaltung werden die Name, Geburtsdatum und Anschrift, sowie z.T. E-Mail-Adressen und Geschlecht von Mitgliedern der Piratenpartei, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
|Die Daten werden an die Mitgliederverwalter der zuständigen Untergliederungen weitergegeben, sowie technischen Beauftragten für den Versand von Briefen und E-Mails.
 
|Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert. Bei technischer Unterstützung für den Versand von E-Mails oder Briefen sind die Daten nach Abschluss des Versandes unverzüglich zu löschen.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Daten ändern
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Änderungen des Namens, der Anschrift, E-Mail-Adresse oder der Zugehörigkeit zu einer Untergliederung werden gespeichert um eine aktuelle Mitgliederverwaltung zu gewährleisten. Dies gilt analog für freiwillige Angaben.
 
|Für den Zweck der Mitgliederverwaltung werden Änderungen des Namens, der Anschrift, E-Mail-Adresse oder der Zugehörigkeit zu einer Untergliederung, sowie ehemaligen Mitgliedern der Piratenpartei Deutschland gespeichert.
 
|Die Daten werden an die Mitgliederverwalter der zuständigen Untergliederungen weitergegeben.
 
|Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Liquid Feedback (LQFB)
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Für den Betrieb externer technischer Systeme (z.B. Liquid Feedback) können Mitgliedern Identifizierungscodes, welche nicht geeignet sind, das Mitglied außerhalb der Mitgliederverwaltung zu identifizieren, zugeteilt werden. Diese Daten dienen ausschließlich der Identifikation des Mitglieds in der Mitgliederverwaltung.
 
|Jedem Mitglied des LV Brandenburg kann ein solcher Identifizierungscode zugeteilt werden. Dabei handelt es sich um einen Identifizerungscode, der nicht geeignet ist, das Mitglied außerhalb der Mitgliederverwaltung zu identifizieren. Weiterhin werden die Daten über ausgetretene oder verstorbene Mitglieder gespeichert, so sie den Identifizierungscode vor ihrem Austritt, oder dem Tode, erhalten haben.
 
|Die Identifizierungscodes werden den technischen Verantwortlichen der Plattform übermittelt.
 
|Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Austragen (Beendigung der Mitgliedschaft)
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Die Information über den Austritt oder den Tod eines Mitglieds wird gespeichert um eine aktuelle Mitgliederverwaltung zu garantieren.
 
|Die Information über Austritt oder Tod eines Mitglieds werden für die Gewährleistung einer aktuellen Mitgliederverwaltung gespeichert. Dabei wird nicht zwischen Austritt und Tod unterschieden.
 
|Die Daten werden den zuständigen Untergliederungen übermittelt.
 
|Die Daten werden dem Parteiengesetz nach für die Dauer der Mitgliedschaft und 10 Jahre nach Austritt oder Tod des Mitglieds gespeichert.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Akkreditierung von Mitgliedern für Parteitage und Hauptversammlungen
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Informationen über Eingang von Mitgliedsbeiträgen, Stimmberechtigungen, Name, Adresse, Zugehörigkeit zu einer Untergliederung und Alter eines Mitglieds können zum Zwecke der Akkreditierung für Landesparteitage und Parteitage bzw. Hauptversammlungen der nachgeordneten Gliederungen benutzt werden.
 
|Die betroffenen Personengruppen sind die Mitglieder der Piratenpartei Deutschland. Dabei werden Informationen über Eingang von Mitgliedsbeiträgen, Stimmberechtigungen, Name, Adresse, Zugehörigkeit zu einer Untergliederung und Alter eines Mitglieds vorgehalten.
 
|Die Daten können den technischen Verantwortlichen der Akkreditierung zur Verfügung gestellt werden.
 
|Die Daten sind nach Beendigung der Akkreditierung, d.h. dem Ende des Parteitages, umgehend zu löschen.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Zahlungen zum Parteitag / Hauptversammlung
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Da Mitglieder auch zu einem Parteitag ihren Mitgliedsbeitrag bezahlen können, wird die Höhe der Zahlung benötigt.
 
|Die betroffenen Personengruppen sind die Mitglieder der Piratenpartei Deutschland. Dabei werden die Zahlungsmodalitäten (Höhe und Identifizierungsmerkmal des Mitglieds) erfasst. Eindeutige Identifizierungsmerkmale sind die Mitgliedsnummer oder Name, Vorname, Anschrift und Geburtsdatum des Mitglieds.
 
|Die Daten werden den jeweilig zuständigen Schatzmeistern mitgeteilt, damit der Eingang der Zahlung vermerkt werden kann.
 
|Die Daten sind nach Beendigung der Übermittlung umgehend zu löschen.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Übermittlung von Adressen an Schatzmeister
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragte, Schatzmeister
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Nutzung der Mitgliederdaten für den Rechenschaftsbericht des Landesverbandes, sowie deren Untergliederungen für Spenden.
 
|Die betroffenen Personengruppen sind die Mitglieder der Piratenpartei Deutschland die dem Landesverband, oder einer Untergliederung eine Spende entrichtet haben und explizit um namentliche Spende gebeten haben sowie ein eindeutiges Identifizierungsmerkmal (Mitgliedsnummer) hinterlegt haben.
 
|Die Daten können dem Landesschatzmeister sowie den Schatzmeistern der Untergliederungen übermittelt werden.
 
|Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Speicherung von Spenderdaten
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Der Schatzmeister speichert Daten über Spenden für den Rechenschaftsbericht gem. PartG. Die Datenaufbereitung erfolgt durch eigene Instanzen sowie dem Steuerberatungsbüro im Wege der Auftragsdatenverarbeitung.
 
|Für die gesetzlich vorgeschriebene Erstellung des Rechenschaftsberichtes der Piratenpartei Deutschland werden Name, Vorname und Adresse einer Person gespeichert, die an die Piratenpartei Deutschland eine Spende entrichtet hat.
 
|Die Daten werden summarisch im aktuellen Rechenschaftsbericht veröffentlicht. Die Datenaufbereitung erfolgt durch eigene Instanzen sowie dem Steuerberatungsbüro im Wege der Auftragsdatenverarbeitung.
 
|Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Lastschrift / Abbuchungen / SEPA-Verfahren
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Schatzmeister und Mitgliederverwaltungsbeauftragter
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Es werden Daten über erteilte Ermächtigungen zum Einzug von Forderungen durch Lastschriften, Abbuchungen oder SEPA-Lastschriftmandat gespeichert, um den Einzug der durch die Person gewünschten Summe durchzuführen.
 
|Über jede Person welche der Piratenpartei Deutschland ein solches Mandat ausstellt werden Name, Adresse und die entsprechende Bankverbindung gespeichert.
 
|Die Daten werden den Schatzmeistern der zuständigen Untergliederung mitgeteilt.
 
|Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Kontoverbindung bei Eingang
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister und Mitgliederverwaltungsbeauftragter
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Für die Abwicklung der Zahlungseingänge wird die Kontoverbindung eines zahlenden Mitglieds gespeichert.
 
|Für ein Mitglied der Piratenpartei Deutschland, welche seinen Mitgliedsbeitrag per Überweisung entrichtet, wird die Kontoverbindung gespeichert.
 
|Die Daten werden der zuständigen Untergliederung mitgeteilt.
 
|Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Reiseabrechnung
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Für die Abwicklung der Reisekostenabrechnung werden die Reisekosten von Personen gespeichert die für die Reisetätigkeit für die Piratenpartei entschädigt werden.
 
|Für eine Person die im Auftrag der Piratenpartei Reisetätigkeit erfüllt und diese erstattet bekommt, werden Name, Adresse und die Höhe der Reisekosten gespeichert.
 
|Es kommt zu keiner Übermittlung von Daten an Dritte.
 
|Für die Löschung gelten die üblichen gesetzlichen Fristen (insbes. nach AO, HGB und PartG.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|- valign=top
 
|style="background-color:#eee;"|Statistik
 
|Landesverband<sup>'''1'''</sup>
 
|Schatzmeister, Mitgliederverwaltungsbeauftragter
 
|[http://wiki.piratenbrandenburg.de/PiratenWiki:Impressum#Landesgesch%C3%A4ftsstelle Anschrift]
 
|Für die transparenten Darstellung der Entwicklung der Piratenpartei können statistische Daten des Gesamtmitgliederdatensatzes an geeigneter Stelle veröffentlicht werden.
 
|Hierbei werden keine personenbezogene Daten veröffentlicht, sondern nur Durchschnittswerte, sowie Gesamtanzahl. Dies umfasst auch eine Aufschlüsselung der Daten für den Landesverband und desser Gliederungen.
 
|Die Daten werden an geeigneter Stelle veröffentlicht.
 
|Die Daten werden nach Veröffentlichung gelöscht.
 
|Es gibt keine Übermittlung der Daten an Drittstaaten.
 
|Die Maßnahmen der Speicherung sind nach §9 angemessen.
 
<!-- ################################################### -->
 
|}
 
  
'''1''' Piratenpartei Deutschland Landesverband Brandenburg; Leiter der verantwortlichen Stelle: Michael Hensel<br />
+
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
==Sammlung der Dokumentationen über Verfahren und Ressourcen der IT im LV Brandenburg==
+
|- style="font-size:11pt"  valign="top"
===Root-Server===
+
| height="74" | 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
 +
| Verfügbarkeitskontrolle
 +
| Das Rechenzentrum gewährleistet eine sichere operative Umgebung. <br />Soweit personenbezogene Daten erfasst, genutzt und/oder verarbeitet werden, werden diese in einer automatischen Datensicherung gespiegelt.
 +
| align="right" | &nbsp;
  
 +
|- style="font-size:11pt"  valign="top"
 +
| align="right" height="14" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
 +
| align="right" | &nbsp;
  
===NN-Server===
+
|- style="font-size:11pt"  valign="top"
 +
| height="64" | 8 .zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
 +
| Trennungsgebot
 +
| Soweit es erfolderlich ist, personenbezogende Daten überhaupt zu erfassen, nutzen und/oder zu verarbeiten, wird das Trennungsgebot durch die Admins gewährleistet.<br />Pseudonyme werden nicht mit Klarnamen zusammengeführt.
 +
| align="right" | &nbsp;
  
 +
|}
  
----
+
===Verfahrensverzeichnis ===
 +
Link: https://technik.piratenbrandenburg.org/AG_Technik/Verfahrensverzeichnis
  
 
===IT-Sicherheitsrichtlinie===
 
===IT-Sicherheitsrichtlinie===
Zeile 201: Zeile 126:
 
+++ Entwurf+++
 
+++ Entwurf+++
  
*In der Piratenpartei Landesverband Brandenburg ist folgenden IT-Sicherheitsleitlinie gültig:
+
*In der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland ist folgenden IT-Sicherheitsleitlinie gültig:
 
   
 
   
*Die IT unterstützt die unseren Geschäftszweck insbesondere bei der Mitgliederverwaltung und den von der von uns eingesetzten Technik und der auf ihr installierten Anwendungen.
+
*Die IT unterstützt die von ihr eingesetzte Technik und die auf ihr installierten Anwendungen.
  
 
*Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.  
 
*Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.  
Zeile 209: Zeile 134:
 
*Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
 
*Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
 
   
 
   
*Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind das zuständige Mitglied des Landesvorstandes und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
+
*Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind die Koordinatoren der AG Technik und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
  
 
*Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
 
*Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
  
*Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei den PIRATEN Brandenburg zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
+
*Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
  
 
:*Quelle: BSI Grundschutzprofil  
 
:*Quelle: BSI Grundschutzprofil  

Aktuelle Version vom 15. März 2016, 21:39 Uhr

AG Technik | Dashboard | Regeln | Geschäftsordnung | Treffen & Protokolle | Logbuch | Todolist | Verfahrensverzeichnis | Tools & Links | Beschlüsse

Technische organisatorische Maßnahmen

Technische und organisatorische Maßnahmen §9 BDSG - AG Technik LVBB      
Erfordernis Kurzbegriff Maßnahme  
Zu treffende Maßnahmen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,      
       
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), Zutrittskontrolle Der Server befindet sich in einem gesicherten Rechenzentrum. Personenbezogene Daten werden nur im geringen Umfang erfasst, in der Regel durch den Betroffenen selbst.  
       
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), Zugangskontrolle Der Zugang erfolgt nur durch Eingabe sicherer Passwörter. Der Zugriff erfolgt über eine durch SSL-geschützte Internetverbindung. Der Zugriff erfolgt nur durch ihrerseits vollverschlüsselte Eingabegeräte. Ein regelmäßiger Wechsel der verwendeten Passwörter erfolgt. Die Passwörter werden an sicherer Stelle hinterlegt. Änderungen in der Zugangsberechtigung erfolgt durch den Dienstebereitssteller und durch Beschluss der AG Technik.
Sicherheitspatches werden nach Bedarf und Dringlichkeit regelmäßig eingepflegt. Die Adminstration erfolgt sowahl ehren- als auch hauptamtlich.
 
       
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), Zugriffskontrolle Der Zugriff auf Ressourcen wird durch Beschluss der AG Technik geregelt. Hierbei kommen verschiedene Rollen zum Einsatz, die je nach Sachgebiet begrenzt sind. Serveradminstratoren haben technisch bedingt einen Vollzugriff auf alle Instanzen.
Massenspeicher werden nur für Datensicherungen verwendet. Die Speicherung der Datensicherungen erfolgen im Rechenzentrum selbst. Die Datensicherungen von Wordpressblogs erfolgen zusätzlich auf einem verschlüsselten Massenspeicher beim Wordpress-Admin.
Die Eingabegeräte selbst sind nach dem Stand der Technik gegen unberechtigten Zugriff geschützt.
 
       
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), Weitergabekontrolle Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.  
       
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Eingabekontrolle Der Zugriff erfolgt über eine SSL-gesicherten Zugang vom Rechner der Admins. Der Zugriff der Admins wird im Systemlog erfasst.  
       
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), Auftragskontrolle Die Einhaltung der Verträge zur Auftragsverarbeitung werden von den Admins gewährleistet. Die AV-Verträge sind für den Datenschutzbeauftragten einsehbar und prüfbar. Löschungs- bzw. Sperrungsanweisungen des Auftraggebers können umgesetzt werden. Daten, die in den Verfügungsbereich des Auftraggebers fallen, werden auf Anforderung auf einem physischen Datenträger gegen Empfangsbestätigung übergeben und erst nach Freigabe gelöscht.  
       
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), Verfügbarkeitskontrolle Das Rechenzentrum gewährleistet eine sichere operative Umgebung.
Soweit personenbezogene Daten erfasst, genutzt und/oder verarbeitet werden, werden diese in einer automatischen Datensicherung gespiegelt.
 
       
8 .zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Trennungsgebot Soweit es erfolderlich ist, personenbezogende Daten überhaupt zu erfassen, nutzen und/oder zu verarbeiten, wird das Trennungsgebot durch die Admins gewährleistet.
Pseudonyme werden nicht mit Klarnamen zusammengeführt.
 

Verfahrensverzeichnis

Link: https://technik.piratenbrandenburg.org/AG_Technik/Verfahrensverzeichnis

IT-Sicherheitsrichtlinie

+++ Entwurf+++

  • In der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland ist folgenden IT-Sicherheitsleitlinie gültig:
  • Die IT unterstützt die von ihr eingesetzte Technik und die auf ihr installierten Anwendungen.
  • Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.
  • Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
  • Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind die Koordinatoren der AG Technik und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
  • Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
  • Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
  • Quelle: BSI Grundschutzprofil

Verfahrensverzeichnis

Beispiel, wie so etwas aussehen könnte: Server-Dokumentation IT-Bund

Beispiel, wie Notfallverfahren zu planen sind: BSI-Standard 100-4 Notfallmanagement


Gliederung des Verfahrensverzeichnis

  • 1. Notrufnummern
  • 2. Schema Meldewege
  • 3. Schema Wiederanlaufplan
  • 4. Details Meldewege
  • 5. Details Wiederanlaufplan
  • 6. Übersicht über alles, was Nachschlagecharakter hat (Ansprechpartner, Beschaffungsmöglichkeiten, Standorte, etc.)

Prüfpunkte für ein Schema

  • a) Sind sowohl der organisatorische als auch der technische Wiederanlauf beschrieben?
  • b) Sind die wichtigsten Ansprechpartner mit Telefonnummern leicht zu finden?
  • c) Ist das Inhaltsverzeichnis verständlich und schnell zu begreifen?
  • d) Sind Abhängigkeiten zwischen den EDV-Systemen beschrieben?
  • e) Wird beim Wiederanlauf zwischen unterschiedlichen Sicherungskonzepten unterschieden?
  • f) Gibt es Hinweise auf die Wiederbeschaffung zentraler EDV-Komponenten?
  • g) Werden zeitliche Restriktionen (z.B. an Wochenenden oder nachts) berücksichtigt?
  • h) Kann ein technisch versierter Handelnder, mit den Beschreibungen zum technischen Wiederanlauf etwas anfangen?

Wiederanlaufplan nach Crash

  • 1. Netzwerkkomponenten
  • 2. Speichersysteme
  • 3. Netzwerkdienste
  • 4. virtuelle Systeme und Betriebssysteme
  • 5. Datenbanken
  • 6. Endanwendungen