Inhaltsverzeichnis
Amt Datenschutzbeauftragte
Dieses Dokument beschreibt das Amt des Datenschutzbeauftragten beim MRRC München e.V.
Hauptverantwortung
Kontrolle der Systeme und Verantwortlichen der Syteme auf Umsetzung der DSGVO bzw. MRRC Datenschutzrichtlinien.
In Zusammenhang mit dem Vorstand Prozesse für den Datenschutz erstellen bzw. ausbauen.
Voraussetzung für das Amt
Datenschutzwissen sollte vorhanden sein oder sich angeeignet werden.
Schulungen werden vom Verein unterstützt.
IT Wissen sollte vorhanden sein.
Es wird ein hohes Verantwortungsbewusstsein erwartet.
Einarbeitung in das Amt
Welche IT System betreibt bzw. nutzt der Verein?
Wo werden Datenschutz relevante Daten hinterlegt?
Wer administriert die Systeme in den Datenschutz relevante Daten hinterlegt werden?
Rechenschaftsbericht
Auf der Mitgliederversammlung soll sehr kurz auf die Maßnahmen und den Status vom Datenschutz eingegangen werden.
Einrichtung des Amtes
Anpassung der MRRC Webseite: https://www.mrrc.de/index.php/der-verein/organisation/vorstand-und-weitere-aemter
Anpassung der Weiterleitung der Funktionionsadresse datenschutz@mrrc.de
Person in der Nextcloud anlegen und in die Gruppe Datenschutzbeauftragte packen.
Tätigkeiten
Auftragsverarbeitungsvertrag
Es ist zu prüfen, ob es mit allen Dienstleistern einen Auftragsverarbeitungsvertrag gibt, die Datenschutz relevante Daten verarbeiten.
Datenschutzerklärungen
Prüfung, ob die verschiedenen Datenschutzerklärungen noch aktuell sind.
Wo liegen die unterschriebenen Datenschutzerklärungen?
Sind die Datenschutzerklärungen von ehemaligen Mitgliedern entsorgt.
Datenschutzerklärungen
Prüfung, ob die verschiedenen Datenschutzerklärungen noch aktuell sind.
Wo liegen die unterschriebenen Datenschutzerklärungen?
Sind die Datenschutzerklärungen von ehemaligen Mitgliedern entsorgt.
Datenschutzverpflichtung
Die Dateschutzverpflichtung ist von jedem Funktionsträger mit Zugriff auf Datenschutz relevante Informationen zu unterschreiben und im folgenden Ordner abzulegen.
MRRC_Datenschutz/Datenschutzverpflichtungen
Der Ordner ist zu prüfen und ggf. auch veraltete Datenschutzverpflichtungen zu löschen.
Sicherheitskonzept
Es ist zu prüfen, ob die Datenschutz relevanten Aspekte im Sicherheitskonzept (MRRC_Datenschutz/MRRC Regelungen Datenschutz/MRRC_Sicherheitskonzept.odt) noch aktuell sind.
Dokumente zur Vorstandswechsel
Ist der Kennwortwechsel dokumentiert?
E-Mail Umstellung
Dokument Webmasterwechsel
Ist der Kennwortwechsel dokumentiert?
E-Mail Umstellung
Dokument Social Media Nutzung
Prüfung, ob das Dokument zur Nutzung von sozialen Medien noch aktuell ist.
MRRC_Datenschutz/MRRC Regelungen Datenschutz/MRRC_SocialMediaNutzung.odt
Nextcloud Ordner MRRC_Datenschutz
Der Ordner MRRC_Datenschutz in der Nextcloud ist regelmäßig aufzuräumen.
Dokument Notebook Verlust
Welche Kennungen müssen zurückgesetzt werden?
Schulung der Mitglieder
Der Datenschutzbeauftragte soll Mitglieder mit Zugriff auf Kennwörter und Datenschutz relevante Daten schulen.
Wo speichern Mitglieder die Kennwörter?
DSGVO Grundlagen
Verbesserung vom Datenschutz
Gibt es Möglichkeiten den Datenschutz im Verein zu erhöhen? Es soll aber aber praktikabel bleiben.
Verarbeitungsverzeichnis
Prüfung der Datei MRRC_Datenschutz/MRRC_Verzeichnis_Verarbeitungstätigkeiten.ods
Sind alle Verarbeitungstätigkeiten korrekt hinterlegt?
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
Kontrolle der Systeme
Mit den entsprechenden Verantwortlichen ist einmal im Jahre jedes System zu prüfen, das Datenschutz relevante Daten enthält. In der Regel ist das mit einem Vertreter vom Vorstand durchzuführen, da dieser Zugriff auf die Mitgliederdatenbank hat.
D.h. für folgende System ist zu prüfen, ob die hinterlegten Nutzer noch aktuell sind und sinnvolle Berechtigungen haben.
DokuWiki
Unter der Domain https://doku.mrrc.de läuft das DokuWiki des MRRC.
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Istdokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Sind die Benutzer noch alle im Verein?
Wordpress
Beim Wordpress (https://www.silvesterlauf-muenchen.de/) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Ist die Seite für den Datenschuz noch aktuell?
Joomla Verzeichnisschutz
Um überhaupt auf den Joomal Administrationsbereich zugreifen zu können, gibt es noch einen Verzeichnisschutz.
Welcher Benutzerkreis kennt das Kennwort? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden?
Joomla
Beim Joomla (Test und Produktion) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Ist die Seite für den Datenschutz noch aktuell? https://mrrc.de/index.php/datenschutz
Nextcloud
Beim der Nextcloud müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Istdokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
8.4.1.MRRC_Silvesterlauf
Es ist zu kontrollieren, ob alles Datenschutz relevanten Dateien die älter als 3 Jahre sind gelöscht werden.
Limesurvey
Beim Limesurvey (Umfragesoftware) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wo ist dokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Piwigo
Beim Piwigo (Fotogalerie) müssen die Benutzer und deren Berechtigungen geprüft werden.
Sind die Benutzer noch alle im Verein?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wo ist dokumentiert, wer das Kennwort vom Administrator kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Notebook
Mit einer Person mit den Administrationsrechten für das Notebook werden die Benutzer vom Vereinsnotebook geprüft.
Sind die Benutzer noch alle im Verein und müssen einen Benutzer auf den Notebook haben?
Welcher Benutzerkreis kennt das Kennwort vom Administrator? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
GitHub
Unter GitHub (https://github.com/mrrc-muc) liegen ein paar Skripte für die Webmaster.
Unter der Adresse https://github.com/mrrc-muc/mrrc-webadmin/settings/access ist unter Collaborators zu prüfen, welcher Benutzerkreis Zugriffsrechte hat.
Webmaster Keepass
Die notwendigen Kennungen für die Webmaster sind der Datei MRRC_Webmaster/mrrc_webmaster.kdbx in der Nextcloud hinterlegt.
LG Stadtwerke intern
Es ist bei der LG Stadtwerke zu erfragen, wer vom MRRC für den internen Bereich (https://intern.lg-swm.de) einen Zugang hat. Die Personenliste ist mit dem Vorstand zu prüfen.
Hosteurope
Kundenzugang
Welcher Benutzerkreis hat Zugriff auf das Kundenportal von Hosteurope? Wo ist dokumentiert, wer das Kennwort kennt? Wo speichert dieser Benutzerkreis das Kennwort? Wann ist das Kennwort vom Administrator das letzte Mal geändert worden.
Hinterlegte Kundenkontaktdaten
Prüfung, ob die Kontaktdaten in Hosteurope korrekt sind.
SSH Zugang
Welche Personenkreis hat SSH Schlüssel bei Hosteurope hinterlegt. Nur die Webmaster dürfen den SSH Zugang nutzen.
~/.ssh/authorized_keys
Von jedem öffentlichen Schlüssel soll der Besitzer zu erkennen sein.
FTP Zugang
Es ist zu prüfen, welche FTP Zugänge hinterlegt sind.
E-Mail Konten
Zu prüfen ist, ob die persönlichen E-Mail Konto von Vereinsmitgliedern sind. Das ist mit jemandem vom Vorstand mit Zugriff auf die Mitgliederverwaltung zu prüfen.
Außerdem sollten nur Mitglieder mit Funktionen im Verein ein E-Mail Konto besitzen.
E-Mail Alias
Wer ist in welchen E-Mail-Verteilern hinterlegt?
Welche Personen haben persönliche E-Mails hinterlegt?
Der Datenschutzbeauftragte lässt sich vom Vorstand die Liste der Benutzer für folgende Systeme vorlegen.
Backup
Es ist zu prüfen, ob regelmäßig Backups von allen Websystemen erstellt werden. Backups müssen auch wieder gelöscht werden.
Das erfolgt über CronJob von Hosteurope mit entsprechenden Skripten.
E-Mail Postfächer
Wie kann geprüft werden, das sowohl in persönlichen E-Mail-Postfächern als auch in Gemeinschaftskonten Datenschutz relevante E-Mails gelöscht werden?
Persönliche Postfächer
Sicherstellung das in den persönlichen Postfächern Datenschutz relevante E-Mails gelöscht werden. Ein Indiz ist über Hosteurope zu prüfen, wie viele E-Mails in den persönlichen Postfächern vorhanden sind.
Funktionspostfächer
In den Funktionspostfächern ist zu prüfen, das Datenschutz relevante E-Mails gelöscht werden.
https://www.instagram.com/mrrc_muenchen/
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Kontrollen der Veröffentlichungen, ob diese mit dem Datenschutz konform sind.
https://www.facebook.com/MRRC.Muenchen/
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Kontrollen der Veröffentlichungen, ob diese mit dem Datenschutz konform sind.
Tür zur Geschäftsstelle
Es ist die Dokumentation zur Prüfung, welcher Benutzerkreis die Möglichkeit hat, das Schloss zu konfigurieren.
Wann sind das letzte Mal alle Kennungen gelöscht worden? Spätestens, wenn jemand mit der Möglichkeit der Verwaltung der Codes aus dem Vorstand austritt, müssen alle Codes gelöscht und neu gesetzt werden. Hintergrund ist, das man nicht alles Codes auslesen kann. D.h. ein Code der nicht dokumentiert ist, fällt nicht auf.
Tresor in der Geschäftsstelle
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Abus Schlüsseltresor
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Aktenschrank in der Geschäftsstelle
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Bioracer
?????
Digitales Antragssystem der DOSB
??????
Sparkasse Maestro Karte
Prüfung der Dokumentation, wer das Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Sparkasse Konto
Prüfung der Dokumentation, wer das Passwort kennt.
Personalisierte Zugänge?
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Verein 360
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Vereinsapp
Adminzugang
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Benutzerverwaltung
Es sind Stichproben durchzuführen, ob Nichtmitglieder Zugang haben.
Überprüfung vom Prozess für das Anlegen und Löschen von Benutzern.
Ansprechpartner
Im Bereich mehr ist eine Übersicht von Ansprechpartnern im Verein. Hier ist zu prüfen, ob die genannten Personen noch im Verein sind und das Amt inne haben.
Code für Schloss zum Stadion
Vor der Geschäftsstelle ist ein Minisafe mit Zahlenschloss in dem der Schlüssel für das Licht und die Umkleiden im Dantestadion hinterlegt ist.
Prüfung der Dokumentation, wer den Code kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Vereinsknowhow
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
VNR Verlag Schatzmeister Aktuell
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
VNR Verlag Verein & Vorstand aktuell
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
M-Net Portal
Prüfung der Dokumentation, wer das Admin Passwort kennt und ob der richtige Vorstand als Kontakt hinterlegt ist.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Fritzbox
Admin Kennung
Prüfung der Dokumentation, wer das Admin Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
WLAN Passwort
Prüfung der Dokumentation, wer das WLAN Passwort kennt.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
WLAN Gast Passwort
Das Password für den Gast Zugang soll einmal im Jahr geändert werden.
Prüfung, wann das Passwort das letzte Mal geändert worden ist.
Backup
Von der Fritzbox soll zweimal im Jahr ein Backup gemacht werden und speziell nach einer großen Änderung.
Das Backup liegt in der Nextcloud unter MRRC_Webmaster/Fritzbox Backup
Updates
Es ist zu prüfen, ob all verfügbaren Updates zur Verfügung stehen.
Mitgliederverwaltung Sewobe
Benutzerzugänge
Bei SEWOBE gibt es keine eigene Administrationskennung, aber persönliche Benutzerkennungen können Administratorrechte haben. Es ist zu prüfen, ob sinnvolle Personen dieses Recht haben.
Es ist zu prüfen, ob nur Personen Zugriff auf Sewobe haben, wo es Sinn macht.
Prüfung der Berechtigungen in Sewobe.
Mitgliederdaten
Prüfung, ob der Prozess zum Löschen von Mitgliederdaten eingehalten wird. Das beinhaltet das Informieren der Webmaster über ausgetretene Mitglieder. Verweis auf Dokumente mit den Details.
ServicePortal
Das ServicePortal ist ein Übersicht für die Support Anfragen.
https://serviceportal.sewobe.de
Es ist zu prüfen, ob sinnvolle Personen dieses Recht haben.
LADV
Leichtathletik Datenverarbeitung https://ladv.de
Prüfung der Dokumentation, wer die Benutzerkennung kennt kennt und wann das Passwort das letzte Mal geändert worden ist.