Die EU-Datenschutzgrundverordnung gebietet die transparente Information von Mitgliedern und Dritten über die Verarbeitung ihrer Daten durch den Verein. Die Verarbeitung von personenbezogener Daten ist zur Erfüllung der satzungsgemäßen Aufgaben und Ziele des CSSA e.V. (vgl. §3 der Satzung) zwingend erforderlich.
Daher hat die Mitgliederversammlung des CSSA die nachfolgende Datenschutzordnung beschlossen:
Der CSSA verarbeitet alle für die Begründung, Pflege und Abrechnung der Mitgliedschaft im Verein erforderlichen Daten. Dazu gehören
Zur Erfüllung seiner satzungsgemäßen Aufgaben und der Ziele des Vereins informieren Vorstand und Geschäftsstelle die interessierte Öffentlichkeit über Aufgaben, Tätigkeiten, Mitglieder und Organisations-struktur des Vereins auf einer öffentlich zugänglichen Website (https://www.cssa.de). Im Rahmen von Veranstaltungen können nach entsprechendem Hinweis zu Zwecken der Presse- und Öffentlichkeitsarbeit von den Teilnehmern und Referenten Aufnahmen in Ton und Bild gefertigt und verbreitet werden.
Einer gesonderten Einwilligung von Mitgliedern bedarf es dabei weder bei der Erhebung, noch der Übermittlung oder Offenbarung solcher Daten, soweit nicht der Betroffene im Einzelfall widerspricht und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Bei der Nutzung der Website werden keine personenbezogenen Daten der User geloggt und keine IP-Adressen gespeichert.
Der CSSA fördert sowohl die Kollaboration seiner Mitglieder untereinander als auch die Vernetzung mit anderen Institutionen und Ansprechpartnern aus dem IT Security Bereich in zahlreichen Veranstaltungen, Arbeitsgruppen und Aktivitäten.
Der Vorstand und die Geschäftsstelle informieren die Mitglieder daher über Ereignisse und Ergebnisse der Vereinsaktivitäten, insbesondere über den Stand der Kollaboration und die Beiträge einzelner Mitglieder.
Für diese Zwecke können sie personenbezogene Daten von Mitgliedern auch ohne deren gesonderte Einwilligung verarbeiten und vereinsintern bekanntmachen, soweit nicht der Betroffene im Einzelfall widerspricht und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Soweit vereinsöffentliche Mitgliederverzeichnisse eingerichtet werden, enthalten diese nur solche Daten, die von den Betroffenen selbst für diesen Zweck angegeben wurden. Mitgliederverzeichnisse werden nur an Vorstandsmitglieder und andere Mitglieder ausgehändigt, wenn die Kenntnis der jeweiligen konkreten Mitgliederdaten für die Erfüllung der satzungsgemäßen Zwecke erforderlich ist. Der Vorstand und die Geschäftsstelle händigen solche Daten anderer Mitglieder nur gegen die Versicherung aus, dass die Adressen nicht zu anderen Zwecken verwendet werden.
Der Austausch von IT Security-relevanten Informationen und Daten (z.b. Beschreibungen von Vorfällen und Bedrohungen, Indicators of Compromise) gehört zu den wesentlichen satzungsgemäßen Aktivitäten des CSSA. Er erfolgt vereinsintern sowohl persönlich, als auch über eine elektronische Sharing-Plattform. Ergänzend bietet CSSA seinen Mitgliedern Möglichkeiten des Informationsaustausches wie ein Dokumentations-Wiki, einen Secure-Data-Room und einen elektronischen Chat an. Personenbezogene Daten werden dabei durch geeignete technische und organisatorische Maßnahmen vor der Kenntnisnahme Dritter geschützt. Aufbau und Sicherheitskonzept der Plattformen sind in der Geschäftsstelle dokumentiert.
Zur Förderung der Vernetzung und Zusammenarbeit mit relevanten Institutionen und Experten aus dem IT Security Bereich können Vorstand und Geschäftsstelle Kontakte (Namen, Funktion, Kontaktdaten) von Mitgliedern ggf. an externe Ansprechpartner weitergeben, soweit der Betroffene nicht im Einzelfall widerspricht und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die Mitglieder werden über die Weitergabe ihrer Kontaktdaten informiert.
Entsprechend Art. 6 Abs. 1 Lit. f) DS-GVO verarbeitet der Verein zur Erfüllung seiner satzungsgemäßen Ziele auch Daten von anderen Personen als von Vereinsmitgliedern. Diese ist zur Wahrnehmung berechtigter Interessen des Vereins erforderlich und erfolgt ohne gesonderte Einwilligung, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Beim Austritt, Ausschluss oder Tod des Mitglieds werden die personenbezogenen Daten des Mitglieds archiviert. Personenbezogene Daten des austretenden Mitglieds, die Kassenverwaltung betreffen, werden gemäß den steuergesetzlichen Bestimmungen bis zu zehn Jahre ab der schriftlichen Bestätigung des Austritts durch den Vorstand aufbewahrt.
Die Verarbeitung der Daten erfolgt im CSSA auf Basis der gesetzlichen Regelungen des Art. 6 Abs. 1 Lit. b) und f) DSGVO zur Erfüllung seiner satzungsgemäßen Ziele und nur in Ausnahmefällen allein auf Basis einer freiwilligen Einwilligung des Betroffenen.
Alle von einer Datenverarbeitung durch den CSSA Betroffenen haben das Recht, über die sie betreffenden personenbezogenen Daten Auskunft zu erhalten. Auch können sie die Berichtigung unrichtiger Daten verlangen. Darüber hinaus steht diesen unter bestimmten Voraussetzungen das Recht auf Löschung von Daten, das Recht auf Einschränkung der Datenverarbeitung sowie das Recht auf Datenübertragbarkeit zu.
Die Verarbeitung der Daten beim CSSA erfolgt jedoch regelmäßig auf Basis der gesetzlichen Regelungen des Art. 6 Abs. 1 Lit. b) und f) DSGVO. Nur in Ausnahmefallen bedarf die Verarbeitung eines freiwilligen Einverständnisses im Sinne des Art. 6 Abs. 1 Lit. a). Nur in diesen Fällen haben die Betroffenen das Recht, die Einwilligung für die zukünftige Verarbeitung zu widerrufen.
Alle von einer Datenverarbeitung des CSSA Betroffenen haben ferner das Recht, sich bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die Anschrift der zuständigen Aufsichtsbehörde lautet: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf.
Der Vorstand ist ermächtigt, die für die Einhaltung des Datenschutzes notwendigen, weiteren Vorkehrungen für den Verein zu treffen, insbesondere Verfahrensverzeichnisse für den Verein zu erstellen, Beauftragte für den Datenschutz zu benennen, Formulare wie Verpflichtungs- und Einwilligungserklärungen einzuführen oder Berechtigungskonzepte zu verabschieden.
Soweit vom Vorstand kein Datenschutzbeauftragter benannt wurde, sind Fragen und Betroffenenrechte gegenüber dem CSSA durch Mitteilung an die Geschäftsstelle des CSSA e.V., Pariser Platz 6, 10117 Berlin, auszuüben.