Appendix 2 – Technische und organisatorische Schutzmaßnahmen
In diesem Anhang sind die technischen und organisatorischen Sicherheitsmaßnahmen des Clubway-Dienstes beschrieben.
Datenschutzprozess
Datenschutz ist einer der Schwerpunkte der gesamten operativen Tätigkeit und Produktentwicklung der Firma Taikala Oy. Der sichere Umgang mit sämtlichen von uns verarbeiteten Daten hat auf allen Organisationsebenen Priorität.
Taikala Oy hat einen eigenen Datenschutzmanagementprozess definiert, um die Einhaltung der Datenschutz-Grundverordnung der EU (DSGVO) in operativen und Produktentwicklungstätigkeiten zu gewährleisten.
Das Datenschutzmanagementsystem umfasst u.a. folgende Teilbereiche:
- Datenschutzpolitik
- Datenschutzorganisation
- Registeridentifikation und Beschreibungen
- Datenschutzerklärungen
- Management von Datenschutzrisiken
- Protokolle der Führungsteams
- Risikoregister
- Personalunterweisung
- Umgang mit Datenschutzverletzungen
- Verifizierung der Datensicherheit
- Datenschutzbericht
Die Verantwortung für das Datenschutzmanagementsystem obliegt einer eigens ernannten Datenschutzorganisation, die für die regelmäßige Kontrolle und Entwicklung der Datenschutzprozesse zuständig ist. Der oder die Datenschutzbeauftragte leitet die Tätigkeiten der Datenschutzorganisation und berichtet direkt an die oberste Geschäftsleitungsebene.
Unterhaltung der Clubway-Servers
Clubway-Team
Das speziell geschulte Support-Team von Clubway kümmert sich um die Behebung von Störungen und die Entwicklung des Systems. Das Datensicherheits- und Personendatenschutzhandbuch für die Beschäftigten von Clubway enthält ausführliche Anweisungen für interne Tätigkeiten sowie für die Unterweisung der Vereinsverantwortlichen und die Reaktion auf mögliche Datenschutzverletzungen.
Serverumgebung
Die Clubway-Anwendungsserver befinden sich in Serverzentren von AWS (Amazon Web Services). AWS ist ein international bekannter und zuverlässiger Dienstleistungsanbieter, dessen Sicherheitsrichtlinien hier eingesehen werden können: AWS Security. Sämtliche Daten verbleiben auf dem Gebiet der EU.
Zugriff auf die Clubway-Anwendungsserver hat ausschließlich das namentlich befugte Clubway-Team und nur zwecks Durchführung von Support-, Entstörungs- oder Entwicklungsmaßnahmen.
Der gesamte Datenverkehr innerhalb des Systems ist SSL-verschlüsselt. Der Zugang zu den Systemen erfordert die Authentifizierung durch Benutzerkennung und Passwort. Für das Einloggen in die Anwendungsserver sind zusätzlich Zwei-Faktor-Authentisierung und/oder ein Datensicherheitszertifikat erforderlich.
Die vom Clubway-Service erfassten Daten werden in zweifach verschlüsselten Datenbanken gespeichert. Die Speichermedien sind in verschlossenen und bewachten Räumlichkeiten untergebracht.
Das Clubway-System wird rund um die Uhr (24/7) technisch überwacht und seine selbstskalierenden Server passen sich automatisch an die Auslastung an.
Informationen zur Verfügbarkeitshistorie des Dienstes sind unter status.clubway.fi zu finden.
Integrierter Datenschutz
Clubway kümmert sich um alle technischen Aspekte des Datenschutzes und gibt dem Verein die Sicherheit, dass die Daten seiner Mitglieder in einer Weise vor unbefugtem Zugriff geschützt sind, die sämtliche Anforderungen der DSGVO erfüllt.
Dadurch macht es Clubway dem Verein leicht, in allen seinen Aktivitäten die Datenschutz-Grundverordnung zu befolgen.
Clubway-ID
Die Clubway-ID ist das persönliche Benutzerkonto, über das die Mitglieder ihre Aktivitäten organisieren. Wer in mehreren Vereinen aktiv ist, kann alle Mitgliedschaften über dieselbe Clubway-ID verwalten. Clubway-ID und Passwort sind für alle Clubway-Servicemodule identisch. Die Passwörter sind stark verschlüsselt und sämtlicher Datenverkehr erfolgt über verschlüsselte Kanäle.
Clubway-Konten für Kinder unter 13 Jahren
Das Mindestalter für die Erstellung einer eigenen Clubway-ID beträgt 13 Jahre. Eltern und sonstige Erziehungsberechtigte haben jedoch die Möglichkeit, Benutzerkonten für jüngere Kinder einzurichten und das Recht zur Nutzung der Clubway-ID auf diese zu übertragen. In diesem Fall akzeptiert der oder die Erziehungsberechtigte die Nutzungsbedingungen der Clubway-ID und erteilt dem Kind die Erlaubnis zur Nutzung des Webdienstes.
Zugriffsrechte
Die effiziente Verwaltung der Clubway-Zugriffsrechte ermöglicht die präzise aufgabenbasierte Beschränkung des Zugriffs auf Programmfunktionen und personenbezogene Daten (z.B. nur für die eigene Mannschaft).
Sichtbarkeit personenbezogener Daten
Standardmäßig sind personenbezogene Daten (Spielerkarten, Teilnehmerdaten, Kontaktinformationen) weder für die Mitglieder der jeweiligen Gruppe noch öffentlich im Internet sichtbar.
Mitglieder bzw. deren Erziehungsberechtigte können jedoch in den Einstellungen ihres Benutzerkontos festlegen, dass bestimmte Informationen für andere Clubway-Nutzer oder im Internet sichtbar sind. Das Mitglied bzw. der/die Erziehungsberechtigte kann die Einwilligung zur Anzeige der Daten jederzeit widerrufen.
Rechte der betroffenen Person
Clubway-Nutzer können sich in den Mitgliederservice des Vereins einloggen, um die Korrektheit ihrer Mitgliedsdaten zu überprüfen.
Datenschutzerklärung
Sportvereine sind dazu angehalten, eine Datenschutzerklärung über die Verarbeitung der von ihnen gespeicherten personenbezogenen Daten zu verfassen und jederzeit auf dem neuesten Stand zu halten. Clubway vereinfacht dem Verein die Erstellung, Aufbewahrung und Veröffentlichung dieser Datenschutzerklärung.
Die gebrauchsfertige Datenschutzerklärungsvorlage von Clubway erfüllt sämtliche strukturellen Anforderungen der DSGVO. Der Verein braucht nur noch seine individuellen Angaben und Datenverarbeitungsmodelle zu ergänzen.
Nach der Abspeicherung der fertigen Datenschutzerklärung steht diese den Mitgliedern umgehend zur Einsicht auf elektronischem Weg zur Verfügung – jederzeit und überall.
Falls der Verein noch keine Datenschutzerklärung erstellt hat, erinnert Clubway den Administrator bei jeder Sitzung daran, dies nachzuholen.
Löschung personenbezogener Daten aus Clubway
Die Inhalte des Personendatenregisters werden nur solange aufbewahrt, wie es für die Verwirklichung des Registerzwecks erforderlich ist. Darüber hinaus gewährt die Datenschutz-Grundverordnung den erfassten Personen unter Vorbehalt bestimmter Ausnahmen das Recht, ihre Daten löschen zu lassen (sog. Recht auf Vergessenwerden).
Ein Mitgliedskonto kann gelöscht werden, ohne dass die betreffenden Rechnungen und Teilnahmestatistiken aus dem System gelöscht werden. Die personenbezogenen Daten werden anonymisiert und pseudonymisiert und die Rechnungsbelege verbleiben aufgrund berechtigter Interessen im System.