Liebe Frau Winter, lieber Herr Schröder, endlich habe ich die nötige Zeit gefunden, mir Ihre Auflistung zu den Pflichtangaben lt. Art. 30 DSGVO zum Verfahren "Zusendungen" samt zugehörigen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO anzusehen. Sorry, dass ich das nicht früher habe einschieben können. So ganz überzeugt bin ich allerdings von den zugesandten Unterlagen nicht wirklich (wäre es ein zu reviewendes Paper zu einer Konferenz im FB, könnte ich das übrigens so definitiv nicht annehmen... :-(). Die zugesandten Unterlagen werfen m.E. einige Rückfragen auf, die wir vermutlich abschließend bis Freitag nicht werden beantworten / lösen können. Aufgrund der Darstellung der Unterlagen bin ich zudem zur Überzeugung gelangt, dass die GI hier in jedem Fall wird nachbessern müssen. Ich bin dennoch der Meinung, deswegen und trotz einiger Bedenken nicht den Umzug unserer Mailinglisten weiter rauszögern zu wollen/müssen, weil die bestehende Alternative, alles bei Alten zu belassen, mir erst recht nicht gefällt. Bitte klären Sie mit Ihrem Datenschutzbeauftragten meine Rückfragen und senden Sie mir die nachgeforderten Unterlagen, soweit diese tatsächlich existieren, alsbald zu. Vielen Dank! @ Matthias und Herr Schröder: Trotz einiger Bedenken gebe ich hiermit den Umzug der Mailinglisten des Fachbereichs unter Berücksichtigung der weiteren Beschlüsse der letzten FB-LG-Sitzung frei. Bitte die weiteren Schritte einleiten. Schönen Dank! Bei meinem Review habe ich ergänzend die Angaben zu "Zusendungen" aus der Datenschutzerklärung (abrufbar unter https://gi.de/datenschutz/) hinzugezogen. In der Datenschutzerklärung wird an dieser Stelle leider nicht auf Mailinglisten und die dazugehörige Verarbeitung personenbezogener Daten (auf Basis der Einwilligung) hingewiesen! Hinweise im Abschnitt "Zwecke im Rahmen Ihrer Einwilligung (Art. 6 Abs. 1 a DSGVO)" sind in der bestehenden Form ebenfalls nicht für die offenen Mailinglisten des Fachbereichs anwendbar, da sich darin ausdrücklich und gewollt auch Nicht-Mitglieder befinden. Hier besteht aus meiner Sicht insoweit eine Unvollständigkeit, die in jedem Falle im Laufe des Umzugs geschlossen werden muss. Rückfragen: Ist eine Anpassung der Datenschutzerklärung geplant, der die Informationspflichten aus Art. 13 DSGVO im Besonderen für offene Mailinglisten erfüllt? Oder muss das unpraktischerweise pro Mailingliste technisch an geeigneter Stelle (i.d.R. also der Webseite, auf der man sich in die zugehörige Mailingliste eintragen kann) untergebracht werden, was zu zahlreichen Anpassungsarbeiten für den FB aber auch die betreffenden FGs führen würde? (hier hatten wir uns von dem Umzug versprochen, zentralen Service der GI komfortabel nutzen zu können, da diese Fragen ja auch für andere Mailinglisten relevant sind...) Gemäß den vorgelegten Unterlagen liegen angeblich folgende Konzepte vor, die ich hiermit anfordere: - Sicherheitskonzept (zur Beschreibung der technischen und organisatorischen Maßnahmen; das vorgelegte Dokument trägt jedenfalls nicht diesen Titel, so dass es sich ggf. um ein gesondertes Dokument handeln könnte) - Berechtigungs-/Rollenkonzept (für Mailman 3) - Notfallkonzept (für Mailman 3) - Datenschutz-Management (für Mailman 3) - Incident-Response-Management (für Mailman 3) - Datenschutzfreundliche Voreinstellungen (in Mailman 3) - Archivierungs-, Lösch- und Entsorgungskonzept (für Mailman 3) - (genehmigte!) interne Verhaltensregeln gemäß Art. 40 DSGVO [die Angabe "DSB" betrachte ich hier als Druckfehler] Ich bin sehr gespannt, wie diese Konzepte denn konkret aussehen, sodenn es sie tatsächlich gibt. Ich bezweifle das mindestens hinsichtlich der angeblich von den Aufsichtsbehörden genehmigten internen Verhaltensregeln, da ich sonst sicher davon schon gehört/gelesen hätte. Auch wüsste ich keinen plausiblen Grund, warum die GI ein solches Verfahren durchgeführt haben sollte. Rückfragen: Was ist im Kontext der GI denn unter "Mandanten-Trennung" zu verstehen? Sollen hier die verschiedenen Untergliederungen der GI als "Mandanten" angesehen werden? (sollte dann deutlicher formuliert werden...) Und inwiefern besteht bei Mailman 3 hardwareseitig denn eine physische Trennung der Daten? Rückfrage: Ist das Notfallkonzept nur beschränkt auf die Reaktion auf Verletzungen des Schutzes personenbezogener Daten? (Art. 32 DSGVO bezieht sich da auf die zugehörigen Systeme/Dienste...) Oder gibt es damit 2 Notfallkonzepte (eines für die Systeme, das andere für Datenpannen)? Die Angabe der Maßnahmen erfolgt in den vorgelegten Dokumenten insgesamt recht generisch und wenig konkret. Mit den vorliegenden Angaben kann ich faktisch das erreichte Sicherheitsniveau für die Mailinglisten (im Sinne eines dem Risiko angemessenen Schutzniveaus nach Art. 32 Abs. 1 DSGVO) nicht ermitteln. Das ist bedauerlich. Denn wir hatten uns von dem Umzug ja insbesondere versprochen, hier mehr Gewissheit zu bekommen... Rückfragen zu folgenden beispielhaften Einträgen (keine vollständige Auflistung): - "Verschlüsselung der Daten": Wie? Welche Daten? Werden Daten in Mailman 3 unabhängig von der Transportverschlüsselung, die ja über einen separaten Aufzählungspunkt abgehandelt wird, echt verschlüsselt abgelegt? - "sichere Passwörter / Anforderungen an Passwörter": Soll heißen? Welchen Anforderungen müssen Passwörter im Kontext von Mailman 3 erfüllen? Wird da zwischen Nutzer- und Admin-Passwörtern unterschieden? - "Verschlüsselung von Datenträgern": Auch von Festplatten, auf denen Mailinglistendaten liegen? - "Firewalls": Mehrere? Ist das so? - "elektronische Signatur": Ist das so? Soll insbesondere im Kontext von Mailman 3 konkret was heißen? Die eingesetzten Unterauftragnehmer, im Kontext von Mailman 3 "Postorius", sind nicht im Sinne des HGB eindeutig bezeichnet. Auch ist nirgendwo angegeben, ob mit diesen geeignete Vereinbarungen zur Auftragsverarbeitung abgeschlossen wurden. Rückfrage: Wie ist die Auftragstätigkeit von Postorius im Kontext von Mailman 3 abgesichert? Welche Aufgaben hat hierbei der Auftragsverarbeiter? Rückfrage: Wie soll die Löschungsfrist von 3 Jahren nach Widerruf im Kontext der Mailinglisten umgesetzt werden? Was genau soll da dann gelöscht werden? Die unpräzise und m.E. teilweise unpassende Auflistung legt jedenfalls den Verdacht nahe, dass die beschriebenen Maßnahmen nicht dem Stand der Technik entsprechen und gar nicht alle aufgeführten Maßnahmen tatsächlich wirksam umgesetzt sind. Das bereitet mir jetzt angesichts der bestehenden Sorgfaltspflichten, denen ich als Sprecher des Fachbereichs Sicherheit unterliege, offen gestanden, schon etwas Mühe... Gerade ein Verein mit starkem Bezug zur Informatik sollte hier m.E. besser aufgestellt sein, als das jetzt nach Durchsicht der Unterlagen für mich den Anschein erweckt. Mit freundlichen Grüßen Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Prüfer für § 8a Abs. 3 BSIG mit zusätzlicher Prüfverfahrenskompetenz (AUDEG), zugelassener Auditor für Recht und Technik von Datenschutzmanagementsystemen (ADCERT), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "Datenschutz an Hochschulen" (2004), "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Co-Autor der Bücher "Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern" (2018) und "Formularhandbuch Datenschutzrecht", 2. Auflage (2018), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4; seit 2011), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" (seit 2012), der GI-Fachgruppe "Management von Informationssicherheit" (seit 2007; als Sprecher von 02/2009 bis 11/2013) und des GI-Fachbereichs "Sicherheit - Schutz und Zuverlässigkeit" (seit 2009; als Sprecher seit 11/2016) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec GmbH & Co. KG Einsteinstr. 55 / OG.5 89077 Ulm Fon: +49 731 20589-11 Fax: +49 731 20589-29 bernhard.witt@it-sec.de www.it-sec.de Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Dipl.-Ing.(FH) Holger Heimann Den it.sec Datenschutzhinweis finden Sie hier. ----------------------------------------- -----Ursprüngliche Nachricht----- Von: FB-LG <fb-lg-bounces@gi-fb-sicherheit.de> Im Auftrag von Bernhard C. Witt Gesendet: Freitag, 12. April 2019 15:33 An: Leitungsgremium des GI-Fachbereiches Sicherheit <fb-lg@gi-fb-sicherheit.de> Cc: Viktor Schröder <viktor.schroeder@gi.de> Betreff: [FB-LG] WG: Fwd: Auszug der Verarbeitungstätigkeit "Zusendungen" / TOMs Hallo zusammen, hat leider aus irgendeinem Grund die Mailadresse von Matthias verschluckt, sorry. Redundant das Ganze daher nochmal von meinem dienstlichen Account. Die besten Grüße Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Prüfer für § 8a Abs. 3 BSIG mit zusätzlicher Prüfverfahrenskompetenz (AUDEG), zugelassener Auditor für Recht und Technik von Datenschutzmanagementsysteme (ADCERT), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "Datenschutz an Hochschulen" (2004), "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Co-Autor der Bücher "Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern" (2018) und "Formularhandbuch Datenschutzrecht", 2. Auflage (2018), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4; seit 2011), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" (seit 2012), der GI-Fachgruppe "Management von Informationssicherheit" (seit 2007; als Sprecher von 02/2009 bis 11/2013) und des GI-Fachbereichs "Sicherheit - Schutz und Zuverlässigkeit" (seit 2009; als Sprecher seit 11/2016) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT-Forensik des BSI an it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de DATENSCHUTZ: Über den Umgang mit Ihren im Rahmen unserer Geschäftsbeziehung erhaltenen personenbezogenen Daten (Kontaktdaten etc.) möchten wir Sie gemäß Art. 13, 14 DSGVO entsprechend informieren. Verantwortlicher ist die it.sec GmbH & Co. KG, dsb@it-sec.de. Die Rechtsgrundlagen für die Verarbeitung dieser personenbezogenen Daten finden sich in Art. 6 Abs. 1 lit. b), c) und f) DSGVO. Zweck der Datenverarbeitung sowie unser berechtigtes Interesse ist die Durchführung der zwischen unserem und Ihrem Unternehmen bzw. Ihrer Unternehmensgruppe bestehenden Geschäftsbeziehung. Ihre Daten werden für die Dauer des Bestehens der Geschäftsbeziehung aufbewahrt und anschließend gelöscht, vorbehaltlich eventuell bestehender gesetzlicher Aufbewahrungsfristen oder wenn wir die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen noch benötigen. Sofern Sie in eine anderweitige Verwendung eingewilligt haben, werden wir die Daten löschen, sobald Sie Ihre Einwilligung widerrufen. Zugriff auf die Daten haben nur unsere Mitarbeiter und Dienstleister, soweit diese die Daten zur vereinbarten Aufgabenerledigung benötigen. Ggf. werden die Daten an öffentliche Stellen aufgrund gesetzlicher Bestimmungen (z.B. Ermittlungsbehörden) übermittelt. Datenübermittlungen an sonstige Dritte oder in Drittstaaten finden ggfs. im Rahmen der Kommunikation innerhalb der an der Geschäftsbeziehung beteiligten Unternehmen bzw. Unternehmensgruppen oder weiteren, von Ihnen genannten Ansprechpartnern aufgrund von Anweisungen Ihres Unternehmens statt. Des Weiteren finden ggf. Datenübermittlungen in Drittstaaten im Rahmen des Einsatzes unserer Dienstleister statt. Damit verbundene Datenübermittlungen in Drittstaaten sind abgesichert durch einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO oder durch geeignete Garantien gemäß Art. 46 DSGVO. Sie haben bei Vorliegen gewisser Voraussetzungen gemäß Art. 15 bis Art. 18 DSGVO ein Recht auf Auskunft, Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten oder ein Recht auf Einschränkung der Datenverarbeitung durch uns. Zudem können Sie der weiteren Verarbeitung Ihrer personenbezogenen Daten widersprechen, Art. 21 Abs. 1 DSGVO. Des Weiteren haben Sie das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, Art. 77 Abs. 1 DSGVO. Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann ----------------------------------------- -----Ursprüngliche Nachricht----- Von: FB-LG <fb-lg-bounces@gi-fb-sicherheit.de> Im Auftrag von bernhard.witt@uni-ulm.de Gesendet: Freitag, 12. April 2019 15:28 An: Leitungsgremium des GI-Fachbereiches Sicherheit <fb-lg@gi-fb-sicherheit.de> Cc: viktor.schroeder@gi.de Betreff: [FB-LG] Fwd: Auszug der Verarbeitungstätigkeit "Zusendungen" / TOMs Liebe Kolleginnen und Kollegen, heute gingen bei mir beiliegende Unterlagen der Geschäftsstelle zur Verwaltung der Mailinglisten samt zugehörigen TOMs ein. Haben Sie vielen lieben Dank für die prompte Zulieferung, Herr Schröder! Damit "tickt" nunmehr ab heute die 4-Wochen-Frist, die wir auf unserer letzten FB-LG-Sitzung vereinbart haben. Wenn möglich, bitte nicht die volle Frist ausreizen, sondern etwaige Kommentare (vor allem, falls diese fundamental ausfallen sollten ;-)) schon zeitnah über den Mail-Verteiler oder direkt an mich posten. Sonst kann ich wiederum nicht ordentlich unsere offizielle Rückmeldung der Geschäftsstelle und unserem Mailinglisten-Admin mitteilen. Beide Ansprechpartner habe ich in dieser Mail ausdrücklich CC gesetzt. Erbitte hiermit also eine Rückmeldung aus dem FB-LG bis zum 3. Mai 2019. Vielen Dank! Die besten Grüße und Wünsche für die nahenden Ostertage! Bernhard C. Witt (Sprecher GI-FB Sicherheit) ----- Weitergeleitete Nachricht von viktor.schroeder@gi.de ----- Datum: Fri, 12 Apr 2019 12:11:55 +0000 Von: Viktor Schröder <viktor.schroeder@gi.de> Antwort an: Viktor Schröder <viktor.schroeder@gi.de> Betreff: Auszug der Verarbeitungstätigkeit "Zusendungen" / TOMs An: "bernhard.witt@uni-ulm.de" <bernhard.witt@uni-ulm.de> Cc: Cornelia Winter <cornelia.winter@gi.de>, GI-Datenschutz <Datenschutz-GI@he-c.de> Sehr geehrter Herr Witt, nach Abstimmung mit unserem Datenschutzbeauftragten erhalten Sie im Anhang den Auszug der Verarbeitungstätigkeit "Zusendungen" aus dem Verfahrensverzeichnis sowie die Technische und organisatorische Maßnahmen (TOM) der Geschäftsstelle. Für weitere Fragen steht Ihnen auch unser Datenschutzbeauftragter zur Verfügung. Bitte senden Sie Ihre Anfrage an die für die GI eingerichtete E-Mailadresse <Datenschutz-GI@he-c.de>. Technische Fragen zur Verarbeitungstätigkeit oder den TOMs werde ich erst nach meinem Urlaub ab dem 22. April beantworten können. Mit freundlichen Grüßen Viktor Schröder **** Leiter IT-Services +49 228 302-156 Gesellschaft für Informatik e.V. (GI) -------------------------------------------------- Zentrale im Wissenschaftszentrum Ahrstraße 45 · 53175 Bonn Tel.: +49 228 302-145 Fax: +49 228 302-167 E-Mail: bonn@gi.de Hauptstadtbüro im Spreepalais am Dom Anna-Louisa-Karsch-Str. 2 · 10178 Berlin Tel.: +49 30 7261566-15 Fax: +49 30 7261566-19 E-Mail: berlin@gi.de Website: www.gi.de <http://www.gi.de> Datenschutz: www.gi.de/datenschutz <http://www.gi.de/datenschutz> ----- Ende der weitergeleiteten Nachricht -----