Hallo zusammen, irgendwie ist meine Mail hängen geblieben und laut Mailinglisten-Archiv auch nicht zugestellt worden. Neuer Versuch. Die besten Grüße Bernhard C. Witt ----- Weitergeleitete Nachricht von bcwitt@it-sec.de ----- Liebe Frau Winter, lieber Herr Schröder, endlich habe ich die nötige Zeit gefunden, mir Ihre Auflistung zu den Pflichtangaben lt. Art. 30 DSGVO zum Verfahren "Zusendungen" samt zugehörigen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO anzusehen. Sorry, dass ich das nicht früher habe einschieben können. So ganz überzeugt bin ich allerdings von den zugesandten Unterlagen nicht wirklich (wäre es ein zu reviewendes Paper zu einer Konferenz im FB, könnte ich das übrigens so definitiv nicht annehmen... :-(). Die zugesandten Unterlagen werfen m.E. einige Rückfragen auf, die wir vermutlich abschließend bis Freitag nicht werden beantworten / lösen können. Aufgrund der Darstellung der Unterlagen bin ich zudem zur Überzeugung gelangt, dass die GI hier in jedem Fall wird nachbessern müssen. Ich bin dennoch der Meinung, deswegen und trotz einiger Bedenken nicht den Umzug unserer Mailinglisten weiter rauszögern zu wollen/müssen, weil die bestehende Alternative, alles bei Alten zu belassen, mir erst recht nicht gefällt. Bitte klären Sie mit Ihrem Datenschutzbeauftragten meine Rückfragen und senden Sie mir die nachgeforderten Unterlagen, soweit diese tatsächlich existieren, alsbald zu. Vielen Dank! @ Matthias und Herr Schröder: Trotz einiger Bedenken gebe ich hiermit den Umzug der Mailinglisten des Fachbereichs unter Berücksichtigung der weiteren Beschlüsse der letzten FB-LG-Sitzung frei. Bitte die weiteren Schritte einleiten. Schönen Dank! Bei meinem Review habe ich ergänzend die Angaben zu "Zusendungen" aus der Datenschutzerklärung (abrufbar unter https://gi.de/datenschutz/) hinzugezogen. In der Datenschutzerklärung wird an dieser Stelle leider nicht auf Mailinglisten und die dazugehörige Verarbeitung personenbezogener Daten (auf Basis der Einwilligung) hingewiesen! Hinweise im Abschnitt "Zwecke im Rahmen Ihrer Einwilligung (Art. 6 Abs. 1 a DSGVO)" sind in der bestehenden Form ebenfalls nicht für die offenen Mailinglisten des Fachbereichs anwendbar, da sich darin ausdrücklich und gewollt auch Nicht-Mitglieder befinden. Hier besteht aus meiner Sicht insoweit eine Unvollständigkeit, die in jedem Falle im Laufe des Umzugs geschlossen werden muss. Rückfragen: Ist eine Anpassung der Datenschutzerklärung geplant, der die Informationspflichten aus Art. 13 DSGVO im Besonderen für offene Mailinglisten erfüllt? Oder muss das unpraktischerweise pro Mailingliste technisch an geeigneter Stelle (i.d.R. also der Webseite, auf der man sich in die zugehörige Mailingliste eintragen kann) untergebracht werden, was zu zahlreichen Anpassungsarbeiten für den FB aber auch die betreffenden FGs führen würde? (hier hatten wir uns von dem Umzug versprochen, zentralen Service der GI komfortabel nutzen zu können, da diese Fragen ja auch für andere Mailinglisten relevant sind...) Gemäß den vorgelegten Unterlagen liegen angeblich folgende Konzepte vor, die ich hiermit anfordere: - Sicherheitskonzept (zur Beschreibung der technischen und organisatorischen Maßnahmen; das vorgelegte Dokument trägt jedenfalls nicht diesen Titel, so dass es sich ggf. um ein gesondertes Dokument handeln könnte) - Berechtigungs-/Rollenkonzept (für Mailman 3) - Notfallkonzept (für Mailman 3) - Datenschutz-Management (für Mailman 3) - Incident-Response-Management (für Mailman 3) - Datenschutzfreundliche Voreinstellungen (in Mailman 3) - Archivierungs-, Lösch- und Entsorgungskonzept (für Mailman 3) - (genehmigte!) interne Verhaltensregeln gemäß Art. 40 DSGVO [die Angabe "DSB" betrachte ich hier als Druckfehler] Ich bin sehr gespannt, wie diese Konzepte denn konkret aussehen, sodenn es sie tatsächlich gibt. Ich bezweifle das mindestens hinsichtlich der angeblich von den Aufsichtsbehörden genehmigten internen Verhaltensregeln, da ich sonst sicher davon schon gehört/gelesen hätte. Auch wüsste ich keinen plausiblen Grund, warum die GI ein solches Verfahren durchgeführt haben sollte. Rückfragen: Was ist im Kontext der GI denn unter "Mandanten-Trennung" zu verstehen? Sollen hier die verschiedenen Untergliederungen der GI als "Mandanten" angesehen werden? (sollte dann deutlicher formuliert werden...) Und inwiefern besteht bei Mailman 3 hardwareseitig denn eine physische Trennung der Daten? Rückfrage: Ist das Notfallkonzept nur beschränkt auf die Reaktion auf Verletzungen des Schutzes personenbezogener Daten? (Art. 32 DSGVO bezieht sich da auf die zugehörigen Systeme/Dienste...) Oder gibt es damit 2 Notfallkonzepte (eines für die Systeme, das andere für Datenpannen)? Die Angabe der Maßnahmen erfolgt in den vorgelegten Dokumenten insgesamt recht generisch und wenig konkret. Mit den vorliegenden Angaben kann ich faktisch das erreichte Sicherheitsniveau für die Mailinglisten (im Sinne eines dem Risiko angemessenen Schutzniveaus nach Art. 32 Abs. 1 DSGVO) nicht ermitteln. Das ist bedauerlich. Denn wir hatten uns von dem Umzug ja insbesondere versprochen, hier mehr Gewissheit zu bekommen... Rückfragen zu folgenden beispielhaften Einträgen (keine vollständige Auflistung): - "Verschlüsselung der Daten": Wie? Welche Daten? Werden Daten in Mailman 3 unabhängig von der Transportverschlüsselung, die ja über einen separaten Aufzählungspunkt abgehandelt wird, echt verschlüsselt abgelegt? - "sichere Passwörter / Anforderungen an Passwörter": Soll heißen? Welchen Anforderungen müssen Passwörter im Kontext von Mailman 3 erfüllen? Wird da zwischen Nutzer- und Admin-Passwörtern unterschieden? - "Verschlüsselung von Datenträgern": Auch von Festplatten, auf denen Mailinglistendaten liegen? - "Firewalls": Mehrere? Ist das so? - "elektronische Signatur": Ist das so? Soll insbesondere im Kontext von Mailman 3 konkret was heißen? Die eingesetzten Unterauftragnehmer, im Kontext von Mailman 3 "Postorius", sind nicht im Sinne des HGB eindeutig bezeichnet. Auch ist nirgendwo angegeben, ob mit diesen geeignete Vereinbarungen zur Auftragsverarbeitung abgeschlossen wurden. Rückfrage: Wie ist die Auftragstätigkeit von Postorius im Kontext von Mailman 3 abgesichert? Welche Aufgaben hat hierbei der Auftragsverarbeiter? Rückfrage: Wie soll die Löschungsfrist von 3 Jahren nach Widerruf im Kontext der Mailinglisten umgesetzt werden? Was genau soll da dann gelöscht werden? Die unpräzise und m.E. teilweise unpassende Auflistung legt jedenfalls den Verdacht nahe, dass die beschriebenen Maßnahmen nicht dem Stand der Technik entsprechen und gar nicht alle aufgeführten Maßnahmen tatsächlich wirksam umgesetzt sind. Das bereitet mir jetzt angesichts der bestehenden Sorgfaltspflichten, denen ich als Sprecher des Fachbereichs Sicherheit unterliege, offen gestanden, schon etwas Mühe... Gerade ein Verein mit starkem Bezug zur Informatik sollte hier m.E. besser aufgestellt sein, als das jetzt nach Durchsicht der Unterlagen für mich den Anschein erweckt. Mit freundlichen Grüßen Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Prüfer für § 8a Abs. 3 BSIG mit zusätzlicher Prüfverfahrenskompetenz (AUDEG), zugelassener Auditor für Recht und Technik von Datenschutzmanagementsystemen (ADCERT), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "Datenschutz an Hochschulen" (2004), "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Co-Autor der Bücher "Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern" (2018) und "Formularhandbuch Datenschutzrecht", 2. Auflage (2018), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4; seit 2011), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" (seit 2012), der GI-Fachgruppe "Management von Informationssicherheit" (seit 2007; als Sprecher von 02/2009 bis 11/2013) und des GI-Fachbereichs "Sicherheit - Schutz und Zuverlässigkeit" (seit 2009; als Sprecher seit 11/2016) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec GmbH & Co. KG Einsteinstr. 55 / OG.5 89077 Ulm Fon: +49 731 20589-11 Fax: +49 731 20589-29 bernhard.witt@it-sec.de www.it-sec.de Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Dipl.-Ing.(FH) Holger Heimann Den it.sec Datenschutzhinweis finden Sie hier. ----------------------------------------- ----- Ende der weitergeleiteten Nachricht -----