Am Mittwoch, 16. Dezember 2015, 14:43:39 schrieb heynmoeller@gmx.net:
Alle ADMINS müssen sich mit dem thema beschäftigen, da es uns alle angeht. Der gesamte Vorstand sollte sich hier einbringen.
Das Thema Datenschutz wird hier aktuell sehr erhitzt diskutiert. Eine Richtung oder konkrete Ziele gehen in der Diskussion aber unter. Darum würde ich gerne ein paar beruhigende und fokussierende Sätze dazu loswerden.
Grundsätzlich ist Datenschutz ein relevantes Thema das aktuell an verschiedenen Stellen angesprochen wird. Jedoch ist das Thema nur eines von vielen mindestens ebenso wichtigen Themen. Darum möchte ich darum bitten, dass wir dieses Thema mit etwas mehr Besonnenheit angehen und nicht zu sehr nach kurzfristigen Lösungen streben. Wir sind beim Thema Datenschutz gut aufgestellt und das Risiko, dass unberechtigte bei uns Daten raustragen ist sehr gering.
Nichtsdestotrotz gibt es Punkte an denen wir arbeiten können. Zugriffskontrolle (shared/single Accounts), Eingabekontrolle (logging) und Datensparsamkeit (PiWik) sind Punkte, die jetzt sehr explizit angesprochen wurden. Aber wir sind flexibel und in der Lage diese Probleme zu lösen.
Da das Thema Datenschutz einen sehr großen Einfluss auf alle Bereiche der Community hat, ist mir wichtig, dass wir die Diskussion darum kontrolliert und mit einem Blick aufs Ganze führen. Ich würde es gerne vermeiden, dass wir hier auf der Mailingliste ein konkretes Tool rauspicken und daran Datenschutzregelungen durchexerzieren oder dass wir uns hier gegenseitig mit Vorwürfen bewerfen. Das führt im Ergebnis zu langen unverständlichen Threads und zu Frustration bei allen Beteiligten.
Wenn sich jemand mit dem Thema Datenschutz beschäftigen möchte (Pic & Pascal?), dann fände ich es gut, wenn diese Personen einmal schriftlich ein grobes Planungsdokument ausarbeiten in der Fragen geklärt werden wie: * Wer arbeitet an dem Planungsdokument mit? * Welchen Datenschutzgrad wollen wir? (vorstellbares Maximum oder Einklang von Datenschutz mit Aufwand oder nur das was das BDSG vorschreibt oder...) ** Wie sehen die Interessen der verschiedenen Gruppen im FFNW aus (Vorstand, Admin-Team, Community, unbekannter User) * Welche Software wird eingesetzt und was kann die Datenschutztechnisch umsetzen (Benutzermodell, erhebung/nichterhebung von Daten) * Lässt sich das Thema Datenschutz auf bestimmte Bereiche und Anwendungen eingrenzen ** Gibt es Bereiche die besonders relevant sind und die man sich zuerst ansehen muss (z.B. Server, PiWik, Mitgliedsdaten, Adressen auf Mailinglisten) * Wer übernimmt das Thema Datenschutz nach Abschluss der Erstellung von Datenschutzvorgaben personell (Datenschutzbeauftragter?)? ** Welche Revisionsmöglichkeiten können der/den Person/en an die Hand gegeben werden? * Bis wann soll der Prozess der Erstellung von Datenschutzvorgaben abgeschlossen sein (konkretes und personell realistisches Datum)? * Gibt es sonstige Punkte die noch relevant sind (Aufwand Accountmanagement?) * Literaturrecherche ** z.B. https://www.datenschutzzentrum.de/wirtschaft/dsmanage.htm
Auf Basis dieses Dokuments sollte dann eine konkrete, schriftliche Datenschutzpolicy erarbeitet werden, die wir veröffentlichen können und die nach einer Übergangsfrist für alle Bereiche verbindlich ist. An der Erarbeitung dieser Policy wird sich dann auch der Vorstand beteiligen.
Ihr habt ja schon ein Pad aufgemacht, das ist sehr gut! Vielleicht könnt ihr noch einige Aspekte aus dieser Mail einfließen lassen.
Nochmal das Pad: https://pad.ffnw.de/p/Datenschutz
Viele Grüße Clemens
P.S. CC an den Vorstand, weil der hier explizit angesprochen wurde.