Umarme die Ähnlichkeiten, liebe die Unterschiede, in all unseren Angelegenheiten

Informationssicherheitsrichtlinie

Die Sechster Datenschutzgrundsatz Diese Richtlinie verpflichtet Organisationen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Region 9 hat in dieser Richtlinie die einzuhaltenden Prozesse (organisatorische Maßnahmen) und die zu ergreifenden technischen Maßnahmen zur Datensicherheit dargelegt.

Geltungsbereich dieser Richtlinie

Diese Richtlinie gilt für alle, die personenbezogene Daten von oder im Auftrag der Region 9 verarbeiten. Dies umfasst Funktionsträger, Verbindungsbeamte des Kuratoriums, Ausschussvorsitzende, Ausschussmitglieder, Servicekoordinatoren oder Vertreter der Versammlung, Gastgeber der jährlichen Versammlung und des Kongresses sowie andere OA-Mitarbeiter. Alle sind dafür verantwortlich, dass alle von ihnen verarbeiteten personenbezogenen Daten sicher aufbewahrt und nicht (mündlich, schriftlich oder versehentlich) an unbefugte Dritte weitergegeben werden.

Allgemeine Grundsätze

OA ist eine anonyme Gemeinschaft, und unsere 12. Tradition besagt: „Anonymität ist die spirituelle Grundlage all dieser Traditionen und erinnert uns stets daran, Prinzipien über Persönlichkeiten zu stellen.“ Wir behandeln Informationen über andere Mitglieder vertraulich. Diese Richtlinie steht im Einklang mit der 12. Tradition. Persönliche Informationen dürfen weder informell weitergegeben noch an Personen eingesehen werden, die nicht dazu berechtigt sind. Daten müssen sicher aufbewahrt und, sobald sie nicht mehr benötigt werden, sicher gelöscht oder vernichtet werden. Bei Verlust oder Diebstahl von Daten muss dies unverzüglich gemäß dem in diesem Dokument beschriebenen Verfahren gemeldet werden. Beim Datentransfer ist besondere Sorgfalt geboten, um Datenverluste zu vermeiden.

Papierdokumente

Wenn personenbezogene Daten auf Papier gespeichert werden (z. B. eine Teilnehmerliste), müssen sie an einem sicheren Ort aufbewahrt werden, wo Unbefugte sie nicht einsehen können.

Papier und Akten müssen in einer verschlossenen Schublade oder einem verschlossenen Aktenschrank aufbewahrt oder ordnungsgemäß vernichtet werden, sobald sie für unsere Zwecke oder Prüfungsanforderungen nicht mehr benötigt werden. Papierkopien müssen sicher geschreddert oder verbrannt werden, wenn sie nicht mehr benötigt werden. Das Zerreißen oder Zusammenknüllen von Papier ist keine sichere Entsorgungsmethode.

Die Anwesenheitslisten der Versammlungen sollten gemäß der Datenschutzrichtlinie vernichtet werden, sobald sie nicht mehr benötigt werden.

Elektronische Daten

Auf Computern und Geräten, die zum Zugriff auf personenbezogene Daten verwendet werden, muss aktuelle Software installiert sein, da ältere Software nicht mehr durch Sicherheitsupdates unterstützt wird. Sicherheitsupdates sollten installiert werden.

Auf den Geräten sollte stets eine Antiviren-/Antimalware-Software installiert und auf dem neuesten Stand gehalten werden. Diese wird bei Bedarf von der Region bereitgestellt.

Sichere Passwörter sind unerlässlich, um elektronische Geräte und Dienste, die zum Datenzugriff genutzt werden (E-Mail, Google Workspace usw.), zu schützen. Passwörter dürfen nicht wiederverwendet, weitergegeben, in Dateien gespeichert oder in unsicheren Passwort-Schlüsselbunden oder Browsern abgelegt werden. Idealerweise sollte eine Passwortverwaltungssoftware verwendet und mit einem sicheren Passwort geschützt werden. Hinweise zur Auswahl und Verwendung von Passwörtern finden Sie hier. werden auf dieser Seite erläutert.

Bei der Nutzung eines gemeinsam genutzten Computers müssen passwortgeschützte Dienste nach Beendigung der Arbeit geschlossen werden. Dateien und Ordner dürfen nicht geöffnet bleiben, und der Bildschirm muss gesperrt werden, wenn man ihn verlässt.

Das WLAN zu Hause muss nach dem höchsten verfügbaren Standard verschlüsselt sein (idealerweise WPA2). Vorschläge zur Sicherung des WLANs zu Hause:

  • Ändern Sie Ihren Router-Administrator-Benutzernamen und Ihr Passwort, sodass diese nicht dem Standard Ihres Routers entsprechen.
  • Ändern Sie den Broadcast-Namen für Ihr WLAN (die SSID), sodass er nicht den Router beschreibt.
  • Aktivieren Sie die Firewalls und deaktivieren Sie die Gastnetzwerke.
  • Halten Sie die Firmware auf dem neuesten Stand.
  • Sofern Ihr Router nicht abgesperrt ist, schalten Sie WPS (die One-Push-Taste zum Herstellen einer Verbindung mit Ihrem Router) aus.

Offene WLAN-Netzwerke dürfen nicht zum Zugriff auf persönliche Daten verwendet werden.

Mobile Geräte

Besondere Sorgfalt ist beim Schutz mobiler Geräte geboten: Sie müssen passwortgeschützt und idealerweise verschlüsselt sein. Unverschlüsselte USB-Geräte sind besonders unsicher, da sie leicht verloren gehen können. Im Idealfall sollten auf den Geräten Fernlöschprogramme installiert sein, damit sie im Falle eines Diebstahls gelöscht werden können.

Google Suite

Die Funktionsträger der Region 9, die Verbindungsbeamten des Kuratoriums, die Ausschussvorsitzenden, die Ausschussmitglieder, die Servicekoordinatoren oder die Vertreter der Versammlung sowie andere OA-Mitglieder nutzen die Google Suite zum Speichern von Informationen. Die Zwei-Faktor-Authentifizierung muss aktiviert und ein sicheres Passwort verwendet werden.

Dokumente müssen am richtigen Ort gespeichert werden; Mehrfachkopien desselben Dokuments sind nicht zulässig. Dokumente mit personenbezogenen Daten müssen unter einem Dateinamen mit dem Suffix „PD“ gespeichert werden, z. B. „Website-Rechnungen (PD)“. Jeder Funktionsträger, Treuhänder-Ansprechpartner, Ausschussvorsitzende und Servicekoordinator ist für sein eigenes Google Drive und seine zugehörigen Ordner verantwortlich.

Dokumente müssen gemäß den in der Datenschutzerklärung festgelegten Archivierungs- und Aufbewahrungsregeln gelöscht werden.

Der/Die Digitalbeauftragte der Region 9 und der/die Vorsitzende des Digitalausschusses sind die Administratoren der Google Suite. Sie verwalten den Zugriff auf die freigegebenen Laufwerke und Ordner der Google Suite und stellen sicher, dass nur die aktuellen Funktionsträger, die Verbindungsmitglieder des Kuratoriums, die Ausschussvorsitzenden, die Ausschussmitglieder, die Servicekoordinatoren oder die Vertreter der Versammlung sowie andere Mitglieder der Organisationsversammlung und ausscheidende Mitglieder, die eine Übergabe durchführen, Zugriff darauf haben. Nach Abschluss einer Übergabe werden die Zugriffsrechte für die freigegebenen Laufwerke und Ordner entfernt oder eingeschränkt.

E-Mail

Die Funktionsträger der Region 9, die Verbindungsbeamten des Kuratoriums, die Ausschussvorsitzenden, die Ausschussmitglieder, die Servicekoordinatoren oder -vertreter und andere OA-Mitglieder werden bei der Übermittlung personenbezogener Daten für die Region 9 E-Mail-Konten der Region 9 verwenden; diese E-Mail-Konten werden im Rahmen ihrer Google Suite-Lizenz bereitgestellt.

E-Mails sind nicht sicher. Die meisten E-Mails, die über das Internet versendet werden, werden unverschlüsselt übertragen und sind daher anfällig für Abfangen. Überlegen Sie sich gut, welche Informationen Sie per E-Mail versenden. Nutzen Sie beispielsweise verschlüsselte Formulare für Bankinformationen anstelle von E-Mails.

Es wird dringend empfohlen, nach Möglichkeit generische E-Mail-Adressen auf allen Ebenen des OA-Dienstes in Region 9 zu verwenden (siehe OA-Richtlinienhandbuch Region 9). E-Mail-Konten müssen sicher mit einem Passwort geschützt und mit Sicherheitsfunktionen versehen sein.

Beim Öffnen von E-Mail-Anhängen ist äußerste Vorsicht geboten, da diese Viren, Trojaner, Spyware oder andere Schadsoftware enthalten können. Ransomware-Angriffe erfolgen mittlerweile häufig über gefälschte E-Mails, die scheinbar von einer legitimen Organisation (z. B. dem Finanzamt) stammen und eine Rechnung oder ein Bestellformular im Anhang enthalten. Beim Öffnen dieser Anhänge wird Schadsoftware installiert, die alle Daten auf dem angegriffenen Gerät verschlüsselt. Anschließend wird ein Lösegeld für den Entschlüsselungsschlüssel gefordert. Gemäß der DSGVO stellt die „Beschädigung von Daten“ eine Datenschutzverletzung dar. Daher muss ein Ransomware-Angriff gemäß der untenstehenden Richtlinie dem Vorsitzenden der Region 9 gemeldet werden.

Beim Versenden von E-Mails an eine Verteilerliste oder mehrere Empfänger wird die E-Mail-Adresse des Absenders im Feld „An“ verwendet, während die Empfänger im Feld „BCC“ (Blindkopie) aufgeführt werden. Dadurch werden die E-Mail-Adressen nicht innerhalb der Liste geteilt.

Dokumente mit personenbezogenen Daten können E-Mails beigefügt werden, sowohl beim Senden als auch beim Empfangen. Diese müssen sicher aufbewahrt werden. Auch die E-Mails mit den Anhängen müssen sicher aufbewahrt und gemäß den in der Datenschutzerklärung festgelegten Archivierungs- und Aufbewahrungsregeln gelöscht werden.

Nutzung anonymisierter Informationen auf der Website und in Veröffentlichungen

In den Inhalten der Website, in gedruckten Materialien oder anderen Veröffentlichungen von OA Region 9 werden keine Namen verwendet, es sei denn, bei der Einreichung wird eine entsprechende Einwilligung erteilt. Dieses Vorgehen minimiert die Verarbeitung personenbezogener Daten, verringert das Risiko einer versehentlichen Offenlegung und entspricht unserem Bekenntnis zu den DSGVO-Grundsätzen der Datenminimierung, des Datenschutzes und der Wahrung individueller Rechte.

Datenleck

Berichterstattung an den Vorsitzenden der Region 9

Die DSGVO verpflichtet OA Region 9, die zuständige nationale Behörde unverzüglich, spätestens jedoch 72 Stunden nach Kenntniserlangung, über Datenschutzverletzungen zu informieren, es sei denn, die Verletzung birgt voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen. Region 9 hat das britische Information Commissioner’s Office (ICO) als zuständige nationale Behörde gewählt.

Eine Datenschutzverletzung liegt vor, wenn ein Sicherheitsverstoß zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt. Beispiele hierfür sind der Verlust eines USB-Sticks mit den Kontaktdaten von OA-Mitgliedern oder die versehentliche Versendung von Kontaktdaten per E-Mail an nicht berechtigte Empfänger.

Alle Personen, die im Zusammenhang mit OA personenbezogene Daten verarbeiten (Funktionäre, Verbindungsbeamte des Kuratoriums, Ausschussvorsitzende, Ausschussmitglieder, Servicekoordinatoren oder Vertreter der Versammlung und andere OA-Dienstleister), müssen den Vorsitzenden der Region 9 unverzüglich benachrichtigen, sobald sie von einer Datenschutzverletzung Kenntnis erlangen.Chair@oaregion9.orgWer Bedenken hinsichtlich des Datenschutzes oder des Risikos einer Datenschutzverletzung hat, sollte den Vorsitzenden darüber informieren.

Benachrichtigung an das Büro des Informationsbeauftragten

Der Vorsitzende prüft, ob die Datenschutzverletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Ist ein solches Risiko unwahrscheinlich, wird die Datenschutzverletzung nicht dem Information Commissioner's Office gemeldet, sondern in der Vorlage für Datenschutzverletzungen erfasst. Es werden Abhilfemaßnahmen festgelegt und ein Zeitplan für deren Umsetzung erstellt.

Besteht ein Risiko für die betroffenen Personen, benachrichtigt der Vorsitzende das Büro des Informationsbeauftragten über die Datenschutzverletzung und beschreibt diese wie folgt:

  1. die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze.
  2. Name und Kontaktdaten der Person, von der weitere Informationen eingeholt werden können. Dies kann der Vorsitzende sein oder eine andere Person, die für die Bearbeitung des Datenschutzverstoßes zuständig ist.
  3. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. die vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen negativen Auswirkungen

Diese Benachrichtigung erfolgt innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes gegenüber dem Vorsitzenden, es sei denn, dies ist nicht möglich; in diesem Fall erfolgt sie so schnell wie möglich, und es werden Gründe für die Verzögerung angegeben.

Sofern es nicht möglich ist, alle oben genannten Informationen gleichzeitig bereitzustellen, können die Informationen in Phasen ohne weitere unangemessene Verzögerung bereitgestellt werden.

Der Vorsitzende wird den Verstoß in der Vorlage dokumentieren und dabei die Art des Verstoßes, den Zeitpunkt und die Art der Meldung, den Zeitpunkt der Meldung an das Information Commissioner's Office, die Auswirkungen des Verstoßes und die ergriffenen Abhilfemaßnahmen sowie etwaige Reaktionen des Information Commissioner's Office, einschließlich etwaiger vorgeschriebener Maßnahmen, angeben.

Benachrichtigung der betroffenen Person(en)

Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt und sich dieses Risiko nicht abwenden lässt, informiert der Vorsitzende die betroffene(n) Person(en) unverzüglich. Die folgenden Informationen werden in klarer und verständlicher Sprache mitgeteilt:

  1. Art der Verletzung des Schutzes personenbezogener Daten
  2. Name und Kontaktdaten der Person, von der weitere Informationen eingeholt werden können. Dies kann der Vorsitzende sein oder eine andere Person, die für die Bearbeitung des Datenschutzverstoßes zuständig ist.
  3. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. die vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen negativen Auswirkungen

Die Benachrichtigung muss direkt an die betroffene Person gesendet werden, es sei denn, dies würde einen unverhältnismäßigen Aufwand bedeuten; in diesem Fall kann sie auf der Website veröffentlicht werden.

Delegation

Der Vorsitzende kann seine Verantwortlichkeiten gemäß diesem Abschnitt an eine namentlich genannte Person delegieren, behält aber weiterhin die letztendliche Verantwortung dafür, dass jeder Verstoß ordnungsgemäß protokolliert und (gegebenenfalls) gemeldet wird.

Version

Diese Richtlinie wurde am 5. Mai 2020 entworfen und im Oktober 2021 von der Regionalversammlung 9 genehmigt.

Die Richtlinie wurde überarbeitet und am 16. Januar 2026 genehmigt.

Alle Fragen zu dieser Richtlinie oder zu datenschutzrechtlichen Angelegenheiten sollten an den Vorsitzenden der Region 9 gerichtet werden (Chair@oaregion9.org)

Nach oben