Rundbrief 08 2008-09 Datenschutz und Datensicherheit mit Ro.Cas und Ro.Web

Ähnliche Dokumente
Rotary International Distrikt 1842 DICO-Newsletter Mai 2015

Partnerportal Installateure Registrierung

Versand des Wochenberichts an andere Rotary Clubs

RotaryOnline ClubAdministration

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Registrierung im Portal (Personenförderung)

Benutzerverwaltung Business- & Company-Paket

Rotary International Distrikt 1842 DICO-Newsletter Februar 2015

Anlegen eines DLRG Accounts

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Leichte-Sprache-Bilder

Tevalo Handbuch v 1.1 vom

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Sicherer Mailversand des Referats Automatisiertes Auskunftsverfahren (IS14 der Bundesnetzagentur)

INNER WHEEL DEUTSCHLAND

Zugang zum Online-Portal mit Passwort Benutzeranleitung (Stand 01/2015)

Was meinen die Leute eigentlich mit: Grexit?

Jetzt neu: Online Reporting Schritt für Schritt durch das Online Reporting (OLR) Online Liedmeldung

Urlaubsregel in David

Die Anmeldung zum Prüfungsvorbereitungsportal von Westermann in fünf einfachen Schritten:

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Kurzanleitung zur Bereitstellung von Sachverhalten und Lösungen zum Universitätsrepetitorium auf dem Server unirep.rewi.hu-berlin.

Ehescheidungsformular

Bedienungsanleitung für den SecureCourier

Leitfaden zur Nutzung von binder CryptShare

Securebox. > Anwenderleitfaden.

Registrierung am Elterninformationssysytem: ClaXss Infoline

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

Nutzung dieser Internetseite

Die Bundes-Zentrale für politische Bildung stellt sich vor

Danke, dass sie sich für die Infoliste der Moodleveranstaltung eingetragen haben.

Web Interface für Anwender

Anleitung OpenCms 8 Inhaltstyp Kommentare

Bedienungsleitfaden ERINNERUNGSDIENST. Ein Service für gesündere Zähne und gesundes Zahnfleisch unterstützt von

FORUM HANDREICHUNG (STAND: AUGUST 2013)

Umstellung einer bestehenden T-Online Mailadresse auf eine kostenlose T-Online Fre -Adresse

Neuer Downloadbereich

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

MOM - Medienforum Online-Medien Anleitung zum Ändern der Login-Nummer und des Passworts

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Sparkasse Duisburg. versenden aber sicher! Sichere . Anwendungsleitfaden für Kunden

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Kurzanleitung SEPPmail

Benutzerverwaltung mit Zugriffsrechteverwaltung (optional)

Sichere s. Kundeninformation zur Verschlüsselung von s in der L-Bank

Informationsblatt zu den Seminaren am Lehrstuhl. für Transportsysteme und -logistik

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

DELFI. Benutzeranleitung Dateiversand für unsere Kunden. Grontmij GmbH. Postfach Bremen. Friedrich-Mißler-Straße Bremen

Anmeldung zu Seminaren und Lehrgängen

Wie kann ich mein Profil pflegen und/oder ihm ein PDF hinzufügen? Sie vermissen die Antwort auf IHRE Frage? Bitte lassen Sie uns Ihnen weiterhelfen:

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

ACCOUNTS. Wer ist marken mehrwert und was passiert mit den Daten? Wozu brauche ich einen Account bei marken mehrwert?

Passwort Recovery über Stud.IP. Verfahren zum Zurücksetzen des Nutzerkonto-Passworts

Die YouTube-Anmeldung

CONTInuität und Leistung seit 1970

Alle Infos zum neuen Abo & Service-Bereich

Anleitung für die Online-Bewerbung über LSF auf Lehrveranstaltungen aller Lehramtsstudiengänge

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Zur Teilnahme am Webinar bitten wir Sie, sich auf der Lernplattform der Firma edudip zu registrieren.

Ticketregistrierung. Schritt 1.) Öffnen Sie in Ihrem Browser die Seite Klicken Sie auf Tickets.

2) Geben Sie in der Anmeldemaske Ihren Zugangsnamen und Ihr Passwort ein

Technische Universität Dresden Professur für Germ. Linguistik und Sprachgeschichte. moodle

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

Version 1.0 Datum Anmeldung... 2

Registrierung als webkess-benutzer

SICHERN DER FAVORITEN

Bedienungsanleitung Online Rechnung für Telekommunikationsdienste

Wonneberger Homepage

Anleitung für die Lohnmeldung via ELM-Standard mittels PartnerWeb

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Das Persönliche Budget in verständlicher Sprache

SEPA-Anleitung zum Release 3.09

CodeSaver. Vorwort. Seite 1 von 6

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

Kurzanleitung für Verkäufer

Handbuch für Gründer. Daniela Richter, Marco Habschick. Stand: Verbundpartner:

Kundenleitfaden zur Sicheren per WebMail

Willkommen im Online-Shop der Emser Therme GmbH

Leitfaden zur Nutzung des System CryptShare

EWE Online-Rechnung. Bedienungsanleitung -Telekommunikation

Anleitung WLAN BBZ Schüler

Elternzeit Was ist das?

Online-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße Neckargemünd

Sie erreichen den Online Ticketshop unter folgender Web Adresse:

BAPS Basel Psychologie Studien

Anmeldung boniup Portal bei bestehendem BackOffice

Das Festkomitee hat die Abi-Seite neu konzipiert, die nun auf einem (gemieteten) Share Point Server

Bereich METIS (Texte im Internet) Zählmarkenrecherche

Microsoft Office 365 Migration Benutzerdaten

Transkript:

Rundbrief 08 2008-09 Datenschutz und Datensicherheit mit Ro.Cas und Ro.Web Gisbert Kuhtz Claudiusstr. 10 06618 Naumburg T. 0151 23063942 F. 03445 750715 dico1800@rotary-naumburg.de www.rotary1800.org DICO im Distrikt 1800 02.02.2009

Sehr geehrte Präsidentinnen und Präsidenten! Sehr geehrte Sekretäre und Internetbeauftragte! In den vergangenen Monaten ist mehrfach das Thema Datenschutz - aus unterschiedlichen Gründen - an mich herangetragen worden, wobei in der Regel bereits nicht zwischen Datenschutz und Datensicherheit unterschieden worden ist. Tatsächlich werden beide Begriffe gern vermengt. Ein Thema, das bereits lange vor Einführung von RO.CAS und RO.WEB auf der Ebene der Distrikt in Zusammenarbeit mit der Rotary Verlags GmbH diskutiert worden ist (aber seinerzeit selten in den Focus der Clubs geraten ist) und auch wieder Gegenstand umfangreicher Diskussionen im Kreis der 14 DICO S der deutschen Distrikte ist. Nachfolgender Text soll dazu dienen, einerseits Aufklärung zu leisten und zum anderen aber auch die Sensibilität des Einzelnen im Umgang mit seinen Daten zu erhöhen. Eingangs ist deutlich festzustellen, dass RO.CAS stärker, als alle bisherigen Datenspeicherungsverfahren bei Rotary das Prinzip des Datenschutzes und der Datensicherheit verfolgt und implementiert hat. Folgende Grundlagen gelten hierzu: 1. Der Vertrag zwischen Rotary und dem Provider (Fa. Henworx) Der Vertrag ist im Auftrage des Deutschen Governorrates stellvertretend für die Distrikte und durch Mitwirken von zwei dazu beauftragte Governors, die selbst Juristen sind (PDG 1880 Thorwart und PDG 1860 Mäurer) und des Sprechers der DICO s, Herwig Niggemann (RC Hattingen), ausgearbeitet und vom Governorrat, vertreten durch seinen damaligen Vorsitzenden PDG Goehrmann verabschiedet und zwischen Verlag und Provider geschlossen worden. Dazu kommt die jeweilige Vereinbarung zwischen Verlag und Distrikt, die Rechte und Pflichten weiterleitet In dieser Vereinbarung zwischen Verlag und Provider sind die wesentlichen Vereinbarungen der Verpflichtung zum Datenschutz und zur Datensicherheit enthalten, die für die Clubs wichtig sind und aus ihrer Sicht dort eingeflossen sind: Der Verlag hat durch diesen Vertrag sehr eng ausgelegte Nutzungsrechte erhalten, die der Provider streng einhalten muss und die vom Verlag nicht anders gestaltet werden können. Danach erhält der Verlag ausschließlich die Daten aus RO.CAS" die für die beiden Aufgabe "Herausgabe des Mitgliederverzeichnisses" und der Abonnentenverwaltung des Pflichtabonnements Rotary Magazin erforderlich sind. Der Club als der "Herr seiner Daten" kann dabei detailliert bestimmen, welche Daten überhaupt zur Verfügung Seite 2

gestellt werden. Bis auf die Pflichtdaten Name, Vorname können alle anderen Daten für das Mitgliederverzeichnis seitens des Clubs unterdrückt werden. Für die Abonnentenverwaltung erhält der Verlag eine fest definierte Datensatzstruktur, die ausschließlich den Namen inkl. der üblichen Anredetitel und die Adresse, die für die Zustellung des Abonnements ausgewählt worden ist. Da das Abo ein Pflichtbezug ist, muss der Club angeben, ob das Rotary Magazin oder welches Alternativ-Magazin bezogen wird, danach richtet sich dann die Datenübermittlung. Der Club selbst hat den Schlüssel der Datensicherheit in der Hand: dem Clubsekretär wird einmalig ein Zugangspasswort für den Club durch den Distrikt übermittelt. Dabei wird darauf verwiesen, dass dieser Zugangsschlüssel sofort nach Erhalte geändert werden soll. Wird dies eingehalten (Nichteinhaltung ist ein fahrlässiger oder grob fahrlässiger Verstoß des Clubsekretärs gegen Datenschutzbestimmungen), gibt es für niemanden anders eine Zugriffsmöglichkeit auf die Daten, weder der Governor noch Distrikt Internetbeauftragter, noch Verlag noch sonst jemand. Der Club selbst hat durch RO.CAS erstmalig Arbeitswerkzeuge zur Einhaltung strenger Datenschutzbestimmungen erhalten, die es bislang bei Rotary nicht gab. Jedes Mitglied kann in einfacher Weise einsehen, welche seiner Daten überhaupt weitergegeben werden (Datenschutzstammblatt). Dieses Papier, das vom Clubsekretär ausgedruckt dem Mitglied übergeben werden soll, ermöglicht dem Mitglied, jedes einzelne Datenfeld entweder zu akzeptieren oder zu streichen. Daran muss sich der Club halten. Außerdem muss das Mitglied auf diesem Papier schriftlich seine Zustimmung zur Benutzung, Speicherung und Weitergabe in der vom Club festgelegten Form durch seine Unterschrift erteilen. Damit erst kommt der Clubsekretär seinen Verpflichtungen zur Einhaltung von Datenschutzbestimmungen nach (hierzu ist anzumerken, dass dies vor RO.CAS in kaum einem Club gemacht worden, obwohl es natürlich schon lange galt und in einer Formulierung des Verlags den Sekretären auch als Verpflichtung mitgeteilt wurde.) Zur Vereinfachung von clubinternen Wünschen kann auch pauschal jedes Datenfeld für den ganzen Club gesperrt werden. Dann werden ausschließlich die Namen der Mitglieder inkl. Name des Clubs weitergegeben. Dieses Recht wurde sogar 2008/2009 von einem Club voll wahrgenommen: Datenschutz ist also sehr weitreichend geregelt. Die Weitergabe der Daten oder Nutzung der Daten zu anderen, als den vorgesehen Zwecken ist dem Verlag vertraglich untersagt. Der Provider hat sich zu sehr strengen Sicherheitsvorkehrungen vertraglich verpflichtet. Die Einhaltung wird von den DICO s überwacht. Seite 3

2. Datenschutz - Weitergabe innerhalb von Rotary Die Clubdaten werden nur in einzelnen Bereichen, soweit dies in Rotary als Verpflichtung des Clubs festgelegt ist, weitergereicht: das betrifft ausschließlich den Distrikt, bzw. als Verfügungsberechtigter den Governor. Dieser kann und wird in der Regel dem Distriktssekretär und/oder dem DICO eine Unterberechtigung geben. Die dem Distrikt zur Verfügung gestellten Daten beziehen sich ausschließlich auf die Vorstandsämter in den Clubs. Es werden keine anderen personenbezogenen Daten der Mitglieder bereitgestellt. Die Personenbezogenen Daten der Vorstandsmitglieder der Clubs umfassen nur die Daten, die für die Arbeit des Distrikts erforderlich sind: es sind dies: Name, Vorname, Titel, Anrede, Privatanschrift, Amt, E-Mail-Adresse. Es werden keine anderen Daten übermittelt. Alle anderen Daten aus den Clubs, die dem Distrikt (Governor) zur Verfügung gestellt werden sind nicht personenbezogen, sondern anonym (wie z.b. Altersstatistik des Clubs). Der Wochenbericht des Club steht dem Distrikt als Einblick in das Wochenberichtsarchiv aller Clubs zur Verfügung. Dem Wochenbericht beispielsweise beim Versand angehängte Dokumente sind für den Distrikt vorhanden. Somit besteht auch im Rahmen des Distrikts eine streng festgelegt, sehr eingeschränkte Verfügbarkeit von Daten, die weit über das früher übliche Verfahren "vor RO.CAS" hinausgeht. In diesem Zusammenhang ein Wort zur Frage der zu vergebenden Passwörter auf der clubeigenen Homepage für den internen Bereich. Hier tauchte u.a. die Frage auf, dass jedes Mitglied bei der Registrierung ein Passwort vergibt und dieses dem CICO unverschlüsselt vorliege. Richtig ist, dass nach Registrierung eines Mitglieds auf der clubeigenen Homepage das Datum der Registrierung, die durch das Mitglied angegebene Email-Adresse und das selbst vergebene Zugangspasswort durch das System an den clubeigenen Systemadministrator mitgeteilt werden. Dies kann der Sekretär, der Internetbeauftragte oder wer auch immer sein. Dieser ist jedoch auf jeden Fall durch den Club (und niemanden sonst) bestimmt. Es wird derjenige Adressat durch das System genutzt, dessen Email-Adresse im System als Administratoradresse angegeben ist. Auch diese Adresse wird nur durch den Anwender im jeweiligen Club angegeben. Sinn und Zweck ist, dass bei vergessenen Zugangsdaten der clubinterne Systemadministrator Hilfe leisten kann und den Überblick behält. Nicht mehr und nicht weniger. Im Übrigen hat man bei fast jeder Online-Anwendung, bei der ein Passwort vergeben wird, die Möglichkeit, das vergessene Passwort beim Administrator abzufordern. Es wurde darüber hinaus argumentiert, dass viele Internetnutzer nicht für jede Anwendung, für jede Website ein gesondertes Kennwort nutzen, das wäre kaum sinnvoll zu verwalten, sondern zumeist mit einer überschaubaren Zahl von Kennwörtern arbeiten. D.h. aber, dass die Kenntnis eines fremden persönlichen Kennwortes auch für andere Internetanwendungen missbraucht werden kann. Seite 4

Dies mag zutreffend sein. Doch liegt gerade und ausschließlich die Vergabe und der Grad der Sicherheit eines Passwortes im Verantwortungsbereich des jeweilige Nutzers. Ein weiteres Argument war, dass man nicht wisse, an wie viele und an welche email Accounts diese automatische email Nachricht mit meinem persönlichen Kennwort weitergeleitet worden ist, wer sich jetzt mit meinem persönlichen Kennwort auf der Seite einloggen kann. Diesem Argument ist aber schon lange Rechnung getragen dadurch, dass sich unter dem Eingabefeld für die Registrierung folgender Hinweis befindet: Sicherheitshinweis: Das von Ihnen gewählte Passwort liegt dem Systemadministrator unverschlüsselt vor. Beachten Sie dies bei der Auswahl. Falls Sie Ihr Kennwort vergessen haben, senden Sie eine E-Mail an den Systemadmin und Sie erhalten Ihr Kennwort mitgeteilt. 3. Datensicherheit Der Datenverkehr zwischen Club und RO.CAS erfolgt ausschließlich über ein zertifiziertes Sicherheitsprotokoll (https), womit Daten nur verschlüsselt im Internet übertragen werden. Die Daten selbst liegen bei einem großen europäischen Rechenzentrum des Unternehmens level3 in Berlin. Der Provider Henworx hat keinen Zugang zur Technik, sondern ist nur Administrator des Programms und der Daten. Das Unternehmen heinlein-support Berlin besorgt das technische Management der Hostcomputer (tägliche Backups, Sicherheitsmaßnahmenaktualisierung). Somit ist in drei Kategorien getrennt, wer wofür Zutritt und Zuständigkeit hat. Die Mitarbeiter von Henworx sind durch eine spezielle im Vertrag mit dem Verlag formulierte Auflage zur Verschwiegenheit verpflichtet. Zusammenfassung: Die deutschen DICO s, die in einer ständigen Arbeitsgemeinschaft das Konzept RO.CAS betreuen sind der Meinung, dass man hiermit ein hohes Maß an Datensicherheit erreicht, sofern der Club selbst dies einhält. Daher wird auch verstärkt durch Aufklärung der Club und der Clubsekretär auf seine hohe Verpflichtung seitens der DICO s hingewiesen. (siehe die Online-Anleitung für die Clubsekretäre unter ro-cas.de/help und im Forum für RO.CAS-Nutzer ro-cas.de/forum und vielfältige Anschreiben und Hinweise an die Clubs). Die technische Sicherheit der Daten ist dadurch, dass keine Daten mehr auf irgendwelchen privaten oder firmeneigenen Computern gelagert werden erheblich gesteigert. Datendiebstahl durch Hardwarediebstahl (Laptops!) ist daher bei RO.CAS nicht möglich, Missbrauch in Unternehmen, die Daten auf firmeneigenen Servern benutzen, sind ebenfalls durch RO.CAS unterbunden: Alle Daten liegen auf einem als sehr sicher einzustufendem System. Das wichtigste Thema bei Rotary ist daher: Bewusstsein und Kenntnis auf Clubebene zu schaffen, wie man mit den Daten der Mitglieder umgeht. Daran arbeiten die DICO s ständig in Seminaren und Aufklärungshinweisen. Seite 5

Es erscheint auch wichtig, dass Distriktsekretäre und Governors dieses Konzept mittragen und mitwirken, dass Clubs verantwortungsvoll mit RO.CAS umgehen. Der Club (d. h. die Mitglieder des Clubs) ist uneingeschränkt der Herr seiner Daten -das sollte immer wieder betont und Richtlinie aller Vorgänge bei RO.CAS sein. verfasst durch Herwig Niggemann Sprecher der DICO s in Deutschland aufbereitet und ergänzt durch Gisbert Kuhtz, DICO im Distrikt 1800 Seite 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback