Datenschutz bei Bundesverband

#1 Um es kurz zu fassen besteht hier folgendes Problem:

- Ein bundesweit tätiger Verband mit etwa 180 000 Mitgliedern und 2-3000 Ortsvereinen beschäftigt eine hauptamtliche Geschäftsführerin
- Dieser Verband hat beschlossen die Mitgliederverwaltung per Software einzuführen
- Die Software wurde von einer Privatperson "programmiert" die ebenso für die Serververwaltung zuständig ist


Nun wird von Mitgliedern angezweifelt das diese Software datenschutzrechtliche Bestimmungen einhält.


Der Softwarehersteller und die Geschäftsführerin beharren darauf das dieses Programm stabil laufen würde. Datenschutzrechtliche Bestimmungen zu verletzen weisen der Programmierer, die Bundesgeschäftsführerin und sonstige Kommentatoren weit von sich.

Bedenkenträger werden als Saboteure und Miesmacher verunglimpft.


Die Verbindungsdaten für einen Vollzugriff auf den FTP Server waren unverschlüsselt ersichtlich, der Programmierer erwartet aber eine Entschuldigung für die Offenlegung dieser Sicherheitslücke. Um die anschaulich zu verdeutlichen habe ich hier die erste Stellungnahme des Programmierers ungekürzt wieder gegeben.

Zitat

Jetzt reichts aber langsam! Der Verfasser des Beitrags Spiegel-Abo hat sich bei uns schriftlich entschuldigt, weil bewiesen ist, dass die Daten nicht vom BDRG-Server stammen können. Noch besser wäre es gewesen, er hätte das Ergebnis seiner Recherche hier im Forum veröffentlicht. Der BDRG hat sich erkundigt, woher die Daten denn kamen. Ergebnis: sie wurden legal gekauft, aber nicht vom BDRG oder von uns. Von Gruberhans erwarten wir, dass er seine rufschädigende, Unterstellung ... nettes Sümmchen kassiert... hier widerrufen wird, eine entsprechende Mail oder eine entsprechende schriftliche Entschuldigung erwarten wir für eine Archivierung zusätzlich. Sollte sich seine Unterstellung als geschäftsschädigend erweisen, werden wir rechtliche Schritte einleiten.


Leider ist Gruberhans und andere Verfasser von Beiträgen den falschen Informationen vom Themenstarter Catwalk75 aufgesessen. Mit seiner Einleitung .. man hört und liest.. wird klar, dass seine Infos nicht von kompetenter Stelle sind. Dazu hatte er 2 Jahre Zeit! Was sensible Daten im Sinne des BDSG, sind kann jeder im § 3 Abs. 9 BDSG nachlesen. Wer dann noch behauptet, das Geburtsdatum sei ein solches, liefert (bewusst?) falsche Informationen. Der letzte Satz des § 9 BDSG ist in diesem Zusammenhang zu interpretieren.
Die Darstellung des Ablaufs der Eingabe an den BDRG ist ebenfalls falsch. Wir erhielten diese Eingabe von einem Präsidiumsmitglied (ich glaube einem der Vizepräsidenten) mit der Info, dass einige Punkte bereits beantwortet sind. Wozu dann noch eine Eingangsbestätigung? Inzwischen hat er, unserer Meinung nach, erschöpfende Auskunft über alle Fragen erhalten. Dazu gibt es keinen Beitrag im Forum!
Das Programm ist seit 7 Jahren bei ca. 700 Vereinen im Einsatz. Es läuft stabil. In der gesamten Zeit wurde nie festgestellt oder auch nur der Verdacht erhoben, dass Datensätze weitergegeben wurden oder auf andere Weise in "fremde Hände" gelangten. Seit 2 Jahren ist veröffentlicht und bekannt, dass dieses Programm für alle Vereine des BDRG eingeführt wird. Die LV waren einstimmig dafür. Warum hat Catwalk75 seine Bedenken erst geäußert, als das Programm ca. 2.500 mal installiert war? Vorher war genug Zeit, sich zu informieren. Wir werden die getroffenen Sicherheitsvorkehrungen nicht allgemein veröffentlichen, denn das wäre ja einem "potenziellen Angreifer" nützlich. Aber so viel: Die DB BDRG liegt wohlbehütet beim in Deutschland führenden Provider 1&1. Die dort herrschenden Sicherheiten kann jeder selbst nachschlagen, sie hier aufzulisten würde den Rahmen dieses Beitrags sprengen.
Bei Organisation und Programmierung ist darauf Rücksicht zu nehmen, dass mehrere Tausend Anwender mit unterschiedlichsten EDV-Kenntnissen dieses bedienen müssen. Der von uns gewählte Weg der Bedienungsführung und der Hilfen ist aus dieser Situation zu bewerten.
Fehlgeschlagene Installationen (keine 10%) haben verschiedene Ursachen. Die häufigste ist die Einstellungen der jeweiligen FW. Bei der Installation wird darauf hingewiesen, dass bei Problemen mit uns Verbindung aufgenommen werden soll. Dann ist auch eine solche in wenigen Minuten erfolgreich.
Wir bitten darum, zukünftige Beiträge vor Veröffentlichung selbst zu überprüfen.
Unsere Kontaktdaten finden Sie auf unserer HP: www.baierdv.de

Der Thread dazu befindet sich [url=http://www.huehner-info.de/forum/showthread.php/64578-Elektronische-Mitgliedererfassung-des-BDRG-%28Datenschutz-und-Softwareprobleme%29?highlight=bdrg]hier (Link).[/url]

Die Mailadresse der Bundesgeschäftsstelle des Verbandes findet sich [url=http://www.bdrg.de/?redid=350545]hier.[/url]

Die verantwortliche Datenverarbeitungsfirma findet sich [url=http://baierdv.de/]hier.[/url]

Ein Saboteursvorwurf mit hanebüchenden Stellungnahmen von Baier Datenverarbeitung findet sich [url=http://www.rgzvereine-kv-herford.de/aktuelles/bericht_30.htm]hier.[/url]



Da in diesem Forum sehr gerne zensiert wird habe ich zur Sicherheit alles per Screenshot dokumentiert, bei imageshack hochgeladen:



[url=http://imageshack.us/photo/my-images/801/seite1f.jpg/][img=http://imageshack.us/scaled/thumb/801/seite1f.jpg][/url]

[url=http://imageshack.us/photo/my-images/854/seite2p.jpg/][img=http://imageshack.us/scaled/thumb/854/seite2p.jpg][/url]

[url=http://imageshack.us/photo/my-images/18/seite3t.jpg/][img=http://imageshack.us/scaled/thumb/18/seite3t.jpg][/url]
[url=http://imageshack.us/photo/my-images/822/seite4.jpg/][img=http://imageshack.us/scaled/thumb/822/seite4.jpg][/url]


[url=http://imageshack.us/photo/my-images/69/seite5l.jpg/][img=http://imageshack.us/scaled/thumb/69/seite5l.jpg][/url]
[url=http://imageshack.us/photo/my-images/824/seite6s.jpg/][img=http://imageshack.us/scaled/thumb/824/seite6s.jpg][/url]
[url=http://imageshack.us/photo/my-images/542/seite7r.jpg/][img=http://imageshack.us/scaled/thumb/542/seite7r.jpg][/url]


Sollten die .exe Dateien von [url=http://baierdv.de/bdvvvw/downloads.html]hier[/url] verschwinden bevor sie ausreichend dokumentiert wurden findet sich bestimmt auch kurzfristig ein Platz der dieses kostenlose Programm beherbergt.



Es wäre wirklich nett wenn sich vielleicht ein, zwei Leute finden würden die das angebracht kommentieren könnten um der Geschäftsführerin zu erklären was sensible Daten im Sinne des BDSG sind, und dem Softwarehersteller erläutern könnten, weswegen man eine IP im Internet nicht geheim halten kann.

#2

Zitat

Pfeifenpfeifer postete
....Da in diesem Forum sehr gerne zensiert wird habe ich zur Sicherheit alles per Screenshot dokumentiert, bei imageshack hochgeladen:
...

Kannst Du das irgendwie belegen?

T S

#3 Habe mir das jetzt mal soweit durchgelesen.
Irgendwie erscheint es mir hier das es sich schon um persönliche Quereleien handelt z.T. - die Fragen die Catwalk75 auf dem Thread da schreibt, können durch die Analyse des Programms sowieso nicht alleine geklärt werden.
Also bleibt nur noch übrig ob das Programm nun die Daten die man eingibt (Mitgliedsdaten, Name, Geb. Datum, Anschrift, ...) unverschlüsselt versendet?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 Ja, ich habe mir das auch durchgelesen. Da ist ja schon ein gewisses Misstrauen.

Ich denke mal, dass man da zumindest für die technikaffineren Benutzer einfach manche Fragen noch beantworten muss.

Zitat

Es wäre wirklich nett wenn sich vielleicht ein, zwei Leute finden würden die das angebracht kommentieren könnten um der Geschäftsführerin zu erklären was sensible Daten im Sinne des BDSG sind,

Ich glaube, dass hier auch nicht zwingend das BDSG gilt, da das eher als Auffanggesetz zu sehen ist, sondern für Vereine eher das Landesdatenschutzgesetz, welches sich aber wiederum häufig auf die Regelungen des BDSG bezieht. Für den Bereich Baden-W. habe ich ein tolles Dokument gefunden:
LINK
In dem Dokument sind auch die Begriffsbestimmungen schön erklärt und wie mit personenbezogenen Daten umzugehen ist.

Ob die Daten zur Übermittlung verschlüsselt werden sollten kann man z.B. hier nachlesen LINK >> also JA.

Zitat

und dem Softwarehersteller erläutern könnten, weswegen man eine IP im Internet nicht geheim halten kann.

Das ist doch sowieso irrelevant. Die IP kann ja ruhig bekannt sein, der Zugriffsschutz muss nur gewährleistet sein.
Nebenbei, wir sind hier ein IT-Forum und können keinerlei Rechtsberatung machen. Evtl. wäre es bei den verhärteten Fronten sinnig mal einen Rechtsanwalt zu beauftragen. Der kann einem dann auch evtl. einen Aufgabenkatalog erstellen, welche Voraussetzungen die Software erfüllen muss. Und dann kann man einen Soll- Ist- Vergleich machen.
Vielleicht sollte man die offenen Fragen einfach mal sammeln und dem Programmhersteller darauf reagieren lassen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Und sollte ein Verein mit so vielen Mitgliedern nicht auch einen Datenschutzbeauftragten haben? (Das ist m.E. sogar gesetzlich vorgeschrieben.)
Was sagt der dazu?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 Deine Frage Gool habe ich mir auch gestellt - wie kommen die überhaupt ohne aus. Ich meine sollte sich der Vorwurf bewahrheiten und mit den sensiblen Daten wurde tatsächlich schindluder getrieben, dann können die doch zumachen....

#7 Ich finde mit Datenschutz wird heute soooo lax umgegangen, gruselig eigentlich.... grummel - aber im Endeffekt ist ja jeder selbst schuld der seine Daten angibt irgendwo im Netz...