(Dieser Forumsbeitrag ist auch als
englische Version verfügbar.)
Als Softwareanbieter können wir leider keine Rechtsberatung in Bezug auf die Datenschutz-Grundverordnung geben, wir hoffen aber, dass wir Ihnen mit dem folgenden Forumsbeitrag einen kleinen Überblick zu dem Thema geben können. Unsere Angaben sind somit auch lediglich Hinweise und ohne Gewähr, für detailliertere Informationen wenden Sie sich bitte an eine Rechtsberatung.
In KürzeWir beachten die Anforderungen der DSGVO vollumfänglich auf unserer Webseite und in unserem Event-Management-System ConfTool Pro. Da die Nutzung des Systems und der Daten unter der Verantwortung der Organisatoren der Tagungen steht, richtet sich die DSGVO in Bezug auf die Anwendung unseres Systems ConfTool Pro primär an Sie als Organisatoren des Events. Sie sind als Organisator somit der verantwortliche Betreiber des Systems. Die ConfTool GmbH agiert dabei als Auftragsverarbeiter im Sinne der DSGVO Artikel 28.
Was WIR tun- Wir stellen sicher, dass alle personenbezogene Daten ausschließlich verschlüsselt übertragen werden.
- Wir verwenden Zwei-Faktor-Autorisierung für alle administrativen Zugriffe. Diese stehen auch Ihnen in den Sicherheitseinstellungen zur Verfügung. Wir empfehlen die Nutzung ist für alle Benutzer mit Zugriff auf Benutzerdaten.
- Jede Veranstaltung verwendet eine separate ConfTool-Datenbank, es gibt keine Referenzen zwischen den Events. So stellen wir sicher, dass das Prinzip der Datentrennung berücksichtigt wird.
- Wir löschen alle Daten Ihres Events nach dem Ende des Vertrags von unserem Server.
- Unsere PCs, Laptops und Backupmedien verwenden ausschließlich verschlüsselte Festplatten für alle Daten.
- Wir lassen unsere Server regelmäßig von COMODO nach Sicherheitslücken gemäß der PCI-Richtlinien scannen.
- Wir haben entsprechende Sicherheits-, Datenschutz- und Backup-Konzepte. Das entsprechende Dokument können wir auf Anfrage gerne bereitstellen.
Was SIE tun sollten- Wichtig: Jeder Betreiber einer Website bzw. eines webbasierten Systems muss seine Besucher über die Vorgänge aufklären, bei denen personenbezogene Daten verarbeitet werden. Nach der DSGVO ist hierfür eine einfach verständliche Datenschutzerklärung notwendig. Wir raten daher dringend dazu, dass sie diese auf Ihrer Website veröffentlichen. Folgende Tools helfen Ihnen dabei:
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
https://www.e-recht24.de/muster-datenschutzerklaerung.html
https://datenschutz-generator.de/
https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/#1486566991979-267050fd-1e13
Den Link auf die Datenschutzerklärung können Sie im ConfTool-System auf der Seite
Übersicht > Einstellungen > Grundlegende Stammdaten
aktivieren. Hier finden Sie als Hilfe auch eine vorgegebene Datenschutzerklärung, die wir aber ohne Gewähr zur Verfügung stellen.
Siehe angehängtes Foto Nr. 1. - Wichtig: Die Organisatoren müssen alle Benutzer fragen, ob sie mit der Speicherung und Verarbeitung ihrer Daten einverstanden sind. In Conftool Pro finden Sie eine entsprechende Funktion zur Einwilligung zur Datenverarbeitung hier:
Übersicht > Einstellungen > Grundlegende Stammdaten
Dies sollte auf alle Fälle aktiviert werden (bei allen Neuinstallationen seit Januar 2018 ist es als Standard aktiviert). Bitte passen Sie den Einwilligungstext gegebenenfalls gemäß Ihren Anforderungen an.
Siehe angehängtes Foto Nr. 2. - Falls Sie schon viele Benutzer in der Datenbank haben und sichergehen möchten, dass alle die Datenschutzerklärung beim nächsten Login sehen und bestätigen, können Sie dies hier einstellen:
Übersicht > Einstellungen > Einstellungen für die Registrierung und Verwaltung von Benutzern > Grundlegende Einstellungen für die Benutzerregistrierung und -verwaltung
und bei „Überprüfe die Pflichtfelder bei der Anmeldung (beim Login)“ die Option „Immer“ auswählen.
Siehe angehängtes Foto Nr. 3. - Sofern Sie Benutzerdaten von einem Event zum nächsten kopieren möchten, sollten Sie dies schon bei der Einwilligung berücksichtigen, da auch hierfür eine Einwilligung vorliegen muss.
Der Transfer der Daten von einer Tagung zur nächsten kann dem Grundsatz der Zweckbindung und der Datenminimierung widersprechen, sofern es keine gravierenden Gründe für den Transfer gibt. - In der Regel müssen alle Organisationen, die personenbezogene Daten speichern und verarbeiten, ein „Verzeichnis von Verarbeitungstätigkeiten“ erstellen, in dem Sie alle Prozesse erfassen, bei denen personenbezogene Daten verarbeitet werden. Es müssen dabei die jeweils betroffenen und verantwortlichen Personen benannt werden. Dieses Verzeichnis ist nicht öffentlich und dient der internen Qualitätskontrolle.
- Wir raten dazu, eine Vereinbarung zur Auftragsverarbeitung mit allen Dienstleistern abzuschließen, die in Ihrem Auftrag mit personenbezogenen Daten in Kontakt kommen. Der Vertrag bestätigt, dass der Auftrags¬verarbeiter die Daten „gemäß den Weisungen des für die Verarbeitung Verantwortlichen“ behandelt. Dies wäre auch mit der ConfTool GmbH ratsam, wie auch mit Buchhaltern, E-Mail-Anbietern und anderen Dienstleistern, die in Kontakt mit den Daten kommen. Gewöhnlich versenden wir eine entsprechende Vereinbarung zusammen mit unserem Angebot. Sollten Sie keines erhalten haben, senden Sie uns bitte eine E-Mail, sodass wir Ihnen die Vereinbarung zuschicken können.
- Minimieren Sie die im ConfTool erfassten Daten auf die notwendigen Daten. Insbesondere Daten, wie das Geburtsdatum, die Religionszugehörigkeit oder eine Passnummer führen für Sie zu deutlich erhöhten Anforderungen bezüglich des Datenschutzes.
- Stellen Sie bitte sicher, dass sie alle lokal gespeicherten Daten sicher abspeichern, sodass Dritte keinen Zugang zu den Geräten erhalten können. Hierfür ist zumindest die Sicherung mit Passwörtern notwendig und bei mobilen Geräten (Laptops, USB-Stick etc.) sollten die Speichermedien verschlüsselt sein. Versenden Sie personenbezogene Daten nie unverschlüsselt (z.B. per E-Mail, auf unverschlüsselten USB-Sticks, CDs etc.).
- Löschen Sie personenbezogene Daten, die nicht weiter benötigt werden und stellen Sie sicher, dass Dritte keinen Zugriff auf die Daten erhalten (z.B. indem Sie entsprechende Ausdrucke mit einem Aktenvernichter zerkleinern).
- Sofern in Ihrer Organisation regelmäßig über 10 Personen mit der Datenverarbeitung beschäftigt sind, müssen Sie einen Datenschutzbeauftragten benennen und sowohl bei der für Ihr Bundesland verantwortlichen Behörde melden als auch in der Datenschutzerklärung aufführen. Er soll bei Ihnen den Datenschutz überwachen und dient auch als Bindeglied zu den Benutzern und den Behörden.