Pirate Feedback Verfahrensverzeichnis

Aus Piratenwiki Mirror
Zur Navigation springen Zur Suche springen

Flowchart

Piratefeedback.png


Kurzangaben

  1. Name oder Firma der verantwortlichen Stelle
    1. Piraten Partei Niedersachsen [1]
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
    1. Der Vorstand, vertreten durch en ersten Vorsitzenden, Florian Lang
  3. Anschrift der verantwortlichen Stelle,
    1. Haltenhoffstr. 50, 30167 Hannover
  4. Datenschutzbeauftragter des Landesverbandes
    1. Jürgen Erkmann / Erkmann-Datenschutz / Sophienstr. 134 / 60487 Frankfurt / Tel.: 0511-92050912 / E-Mail: nds-dsb@erkmann-datenschutz.de
  5. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
    1. Betrieb der ersten Kammer des Ständigen Mitgliederentscheides gemäß Landessatzung §13b und Kammergeschäftsordnung durch den Betrieb einer Pirate Feedback Instanz
  6. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
    1. Von stimmberechtigte Mitglieder der Piratenpartei Niedersachsen, die sich selbst in der Installation angemeldet haben, werden Daten zur politischen Meinung von ihnen selbst angegeben und verarbeitet.
    2. Die Teilnehmer können weitere Daten zu ihrer Person eingeben, die entsprechend angezeigt bzw. verarbeitet werden. (Profil, Email Notification System...)
  7. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
    1. Den angemeldeten Nutzern der Installation steht ein anonymisierter Datenbank Dump zur Verfügung, sowie der Zugang zu den Daten über eine Weboberfläche
  8. Regelfristen für die Löschung der Daten,
    1. Nicht abstimmungsrelevante Daten von gesperrten Mitgliedern werden nach Ablauf einer konfigurierbaren Frist (config.delete_private_data_after) nach der Sperrung durch die Datenbankfunktion delete_member gelöscht.
    2. Da die Nutzer die Datenbankdumps unbegrenzt lagern können, bietet eine regelmäßige Löschung keinen wirklichen Schutz.
  9. eine geplante Datenübermittlung in Drittstaaten,
    1. Keine !

Allgemeine Beschreibung und Riskoabwägung

Beschreibung Pirate Feedback

Die Software Pirate Feedback ermöglicht registrierten Nutzern online Texte (Initiativen) zur Abstimmung zu stellen und über Texte abzustimmen oder dafür Vertreter zu benennen. Darüberhinaus können Kommentare, Anregungen, Profilinformationen etc. durch den Nutzer selbst eingegeben werden, um den politischen Austausch zu befördern. Durch den satzungsgemäßen Betrieb erlangen die Texte teilweisen Beschlusscharakter im parteipolitischen Zusammenhang. Damit die Abstimmungsergebnisse für die Teilnehmer nachvollziehbar sind, können diese über die Weboberfläche das Abstimmungsverhalten anderer Teilnehmer einsehen und einen teilanonymisierten Datenbankdump herunterladen. Dieser Dump enthält zwar die unveränderten Mitgliedsnummern (member.id) aber nicht die explizit durch die Prozedur "delete_private_data" (siehe core.sql) gelöschten Daten. Damit kann die korrekte Speicherung und Verarbeitung der eigenen Stimmen geprüft, werden. Gleichzeitig können Aussenstehende von den Mitgliedsnummern nicht sehr leicht auf konkrete Personen schließen. Gelöscht werden aktuell: 

      DELETE FROM "temporary_transaction_data";
      DELETE FROM "member" WHERE "activated" ISNULL;
      UPDATE "member" SET
        "invite_code"                  = NULL,
        "invite_code_expiry"           = NULL,
        "admin_comment"                = NULL,
        "last_login"                   = NULL,
        "login"                        = NULL,
        "password"                     = NULL,
        "lang"                         = NULL,
        "notify_email"                 = NULL,
        "notify_email_unconfirmed"     = NULL,
        "notify_email_secret"          = NULL,
        "notify_email_secret_expiry"   = NULL,
        "notify_email_lock_expiry"     = NULL,
        "notify_level"                 = NULL,
        "login_recovery_expiry"        = NULL,
        "password_reset_secret"        = NULL,
        "password_reset_secret_expiry" = NULL,
        "organizational_unit"          = NULL,
        "internal_posts"               = NULL,
        "realname"                     = NULL,
        "birthday"                     = NULL,
        "address"                      = NULL,
        "email"                        = NULL,
        "xmpp_address"                 = NULL,
        "website"                      = NULL,
        "phone"                        = NULL,
        "mobile_phone"                 = NULL,
        "profession"                   = NULL,
        "external_memberships"         = NULL,
        "external_posts"               = NULL,
        "formatting_engine"            = NULL,
        "statement"                    = NULL;
      -- "text_search_data" is updated by triggers
      DELETE FROM "setting";
      DELETE FROM "setting_map";
      DELETE FROM "member_relation_setting";
      DELETE FROM "member_image";
      DELETE FROM "contact";
      DELETE FROM "ignored_member";
      DELETE FROM "session";
      DELETE FROM "area_setting";
      DELETE FROM "issue_setting";
      DELETE FROM "ignored_initiative";
      DELETE FROM "initiative_setting";
      DELETE FROM "suggestion_setting";
      DELETE FROM "non_voter";
      DELETE FROM "direct_voter" USING "issue"
        WHERE "direct_voter"."issue_id" = "issue"."id"
AND "issue"."closed" ISNULL;


Die Registrierung ist offen für laut Satzung stimmberechtigte Mitglieder (§4(4) Bundessatzung: "ist Mitglied und hat bezahlt") und erfolgt freiwillig und nur mit zutun des Mitglieds. Ein Mitglied das nicht an der ersten Kammer teilnehmen möchte, kann über das Kammersekretariat Texte einreichen oder an der zweiten Kammer teilnehmen. Diese ist aus Datenschutzsicht komplementär.

Die Registrierung kann pseudonym mit Einladungscode geschehen.

Der Nutzer wählt einen Anmeldenamen (und Passwort) sowie einen Screen-Namen, der angemeldetetn Nutzern im System angezeigt wird. Beide können vom Nutzer jederzeit geändert werden, wobei die id in der Datenbank erhalten bleibt und anderen Mitgliedern eine Historie der Screennamen angezeigt wird.

Nutzer haben die Möglichkeit selbst Ihre persöhnlichen Daten zu löschen. Auszug Online Hilfe: 

=Persönliche Daten löschen und Account deaktivieren=

Es werden so weit wie möglich alle persönlichen Daten gelöscht. Dazu gehören:
- der Zeitpunkt der letzten Anmeldung
- der Anmeldename
- das Passwort
- die E-Mail-Adresse
- alle Profildaten
- alle Benutzerbilder
- alle Einstellungen
- alle Kontakte
- welche Mitglieder ignoriert werden
- welche Initiativen ignoriert werden
- alle Mitgliedschaften in Themenbereichen
- alle Delegationen
- welche Themen selbst abgestimmt werden sollen
- alle Stimmabgaben in noch nicht abgeschlossenen Themen

Nicht gelöscht werden dagegen:
- die Identifikation: Das ist eine Zeichenkette, u.a. für die Zuordung des Accounts beim Mitgliederimport. Damit wird sichergestellt, dass der Account beim Import nicht ein zweites mal angelegt wird.
- der Screen-Name: Das Abstimmungsverhalten bei abgeschlossenen Themen muss erhalten bleiben, damit die Ergebnisse nachvollziehbar sind. Ein Löschen oder Ändern des Screen-Namen würde das auch nicht ändern, da die Id des Accounts weiterhin sichtbar ist. Falls Du dennoch Deinen Screen-Namen ändern möchtest, kannst Du dies vorher unter "Einstellungen" selbst erledigen. Dein bisheriger Screen-Name wird aber auch in der Benutzer-Historie weiterhin nachvollziehbar sein.

Der Account wird dann gesperrt und ist nicht mehr benutzbar.

==Neuen Account anlegen==

Wenn diese Option ausgewählt wird, wird nach dem Löschen der persönlichen Daten und der Deaktivierung des alten Accounts ein neuer Account angelegt. Mit diesem Account kann man sich dann neu registrieren.

Als einzige Felder werden nur die Identifikation und die E-Mail-Adresse vom alten Account übernommen. Eine Zuordung der beiden Accounts über diese Felder ist aber nicht möglich, da sie im alten Account gelöscht werden. Die Identifikation ist erforderlich, damit beim Mitgliederimport der Account nicht ein zweites mal angelegt wird. Die E-Mail-Adresse wird benutzt, um den Einladungscode zu verschicken. Bei der Registrierung kann sie aber bereits geändert werden.

Teilnehmer deren Stimmberechtigung laut Mitgliederverwaltung erloschen ist, werden deaktiviert, d.h. Sie können sich nicht mehr einloggen.

Die interessierte Öffentlichkeit kann afgrund der Konfiguration config.public_access = "anonymous" nur die Texte der Initiativen und Anregungen, sowie die aggregierten Abstimmungs und Unterstützungszahlen sehen.

Der Administrator kann zu einem Account eine Datenauskunft im XML Format exportieren und diese einem Berechtigten zukommen lassen.

Beschreibung Companion

Die Scripte im Ordner Companion ermöglichen die Koppelung an die Mitgliederverwaltung.

  • Es findet durch die MV ein Export aus der Mitgliederverwaltung im CSV Format statt
  • Dieser wird von der MV mittels HTML Formular hochgeladen und auf dem Dateisystem (/companion/files/) zunächst gespeichert.
  • Der PirateFeedback Admin führt nach Überprüfung von Format und Inhalt mittels Script (/companion/code/import.sh) den Abgleich mit der companion Datenbank durch. Dabei werdern je Mitglied die Datenpunkte name, name2, user_schwebend, mitgliedsnummer, emailaddress, mailbounce, ortsverband, stimmberechtigung ,registrierungsschlüssel gespeichert.
  • Im gleichen Script findet anschließend ein Export der Registrierungsschlüssel der stimmberechtigten Mitglieder statt.
  • Die Datei der Registrierungsschlüssel wird anschließend durch ein Pirate Feedback Script (util.import_members) verarbeitet. Dabei werden die neuen Mitglieder und ihre Regisitrierungsschlüssel eingetragen, Mitglieder ohne Stimmberechtigung deaktiviert und für Mitglieder, deren stimmberechtigung vor mehr als 15 Monaten (config.delete_private_data_after) erloschen ist, die persöhnlichen Daten gelöscht.
  • Anschließend können mit dem companion script mail.sh, die Registrierungsschlüssel per Mail an die neuen stimmberechtigten Mitglieder verschickt werden.

Risiko für den Nutzer

Der Nutzer macht mit dem System seine politischen Ansichten den anderen Teilnehmern gegenüber öffentlich. Da diese (hoffentlich) einen größeren Anteil aller Parteimitglieder ausmachen, auch partei-öffentlich.

Die politische Meinung innerhalb einer politischen Partei zu äussern sollte kein Risiko darstellen, sondern normaler Teil der Debatte sein. Scheut der Nutzer dies dennoch, kann er das System auch "datensparsam" benutzen, etwa durch ein bisher unbekanntes Pseudonym.

Die politische Meinung in der Öffentlichkeit zu äussern kann ein Risiko sein. Kündigungen, soziale Ächtung oder gar körperliche Gewalt kommen vor. Sie gehört daher zu den besonders schützenswerten Daten.

Die Eintrittswahrscheinlichkeit das die Person des Nutzers öffentlich oder parteiöffentlich mit seinen gespeicherten Meinungen verbunden wird, ist abhängig von der Stärke des selbstgewählten Pseudonyms, seinen sichtbaren Aktivitäten in der Partei und im Pirate Feedback System. Sind alle drei passend gewählt, ist sie als "mittel" zu beurteilen.

Der Datenschutzhinweis bei Anmeldung sollte lauten 

In dieses System sammelt die von Dir eingegebenen Daten zu deiner Person und Deiner 
politischen Meinung. Die Daten werden systemöffentlich dargestellt. Es ist nicht 
unwahrscheinlich, dass sie auch öffentlich werden.

Du kannst das System pseudonym nutzen, um die Verbindung zu deiner Person zu verschleiern. 
Du kannst die von Dir eingegebenen persöhnlichen Daten, aber nicht abstimmungs relevante
Texte, Kommentare, Delegationen und Stimmen, jederzeit selbst löschen.

Du kannst eine Datenselbstauskunft über den Datenschutzbeauftragten einholen.

Sollte der mögliche Schaden aus der Veröffentlichung Deiner politischen Meinung und Deiner 
Verbindung zur Piratenpartei Deiner Einschätzung nach zu groß sein, raten wir von der 
persöhnlichen Benutzung dieses Systems ab. Du kannst dann immer noch Anträge über das 
Kammersekretariat einreichen und Dich an der zweiten Kammer beteiligen.

Risiken für den Betreiber

Der Schaden würde in einen Vertrauensverlust, sowohl in das satzungsgemäße Organ, als auch die Partei bestehen.

Die Eintrittswahrscheinlichkeit ergibt sich aus den Einzelwahrscheinlichkeiten von: Sicherheitsrelevanten Bugs in der Software Pirate Feedback selbst z.B. SQL Injections, Bugs im Betriebssystem (Linux Derivat) oder einer der benutzten Technologien (PostgreSQL), Verlust der Datenbank und Zugang von Unbefugten zu einer anonymisierten Datenbank Kopie.

Um diese Risiken zu adressieren wurden bzw. werden die folgenden Maßnahmen umgesetzt:

  • Der Softwarestack ist Opensource
  • Neben den Tests durch die große Anwenderbasis der anderen Pakete gibt es eine Testinstallation für Pirate Feedback selbst.
  • Die höchstens drei ehrenamtlichen Adminisitratoren mit Zugang zur Instanz sind beruflich erfahren mit dem Technolgiestack und haben eine Datenschutzerklärung abgegeben.
  • Die Admins sind angehalten Software Updates zeitnah einzuspielen
  • Sie sind angehalten, Datenbankbackups auf einem entfernten System zu speichern
  • Der Host bzw. die VM wird extern angemietet. Die dortigen Administratoren haben gegenüber ihrem dortigen Datenschutzbeauftragten eine Datenschutzerklärung abgegeben. Ein Vertrag zur Auftragsdatenverarbeitung wird abgeschlossen.
  • Die Teilnehmer haben über die Oberfläche Gelegenheit Daten auf Veränderung zu prüfen
  • Die Teilnehmer können über die anonymisierten Datenbankdumps auf Datenveränderungen prüfen.

Darüberhinausgehende wünschenswerte organisatorische Maßnahmen wie etwa die Beschränkung der Adminrechte auf die Anwendungs-, Datenbank- und Betriebssystemsschicht und Verteilung auf eine entsprechende Anzahl Köpfe sind aktuell nicht finanzierbar.

Das unbefugte Dritte Zugang zu einem der anonymisierten Datenbankdumps erhalten, ist mit technischen oder organisatorischen Maßnahmen nicht zu verhindern oder auch nicht wesentlich zu erschweren.

Quellen & relevante Links

Datenschutzwiki

Datenschutzgrundverordnung

Abgerufen von „https://wikimirror.piraten.tools/wiki/index.php?title=Pirate_Feedback_Verfahrensverzeichnis&oldid=20698716