Datenschutz 2018 Einfhrung in die neue Rechtslage im

Datenschutz 2018 Einführung in die neue Rechtslage im Datenschutz ab dem 25. Mai 2018

Die Datenschutzreform der EU Ø Ab dem 25. Mai 2018 ist die Datenschutz. Grundverordnung (DSGVO) der Europäischen Union anzuwenden, 2 Jahre Vorbereitungszeit Ø Die DSGVO ist als europäische Verordnung unmittelbar anzuwendendes Recht Ø Das Datenschutzrecht in Deutschland ist an die DSGVO anzupassen => BDSG neu

Zweck und Grundsatz ð Informationelle Selbstbestimmung bezüglich der Preisgabe und Verwendung der personenbezogenen Daten. ð Früher GG und „Volkszählungsurteil“ des BVerf. G ð heute DSGVO und EU Bürgerrechte 01. 02. 2018 3

Stand der Gesetzgebung Der Bund hat bereits ein neues BDSG (und weitere Änderungen datenschutzrechtlicher Vorschriften) verabschiedet: Ø Wirkung ebenfalls ab 25. Mai 2018. Das BDSG ist in weiten Teilen nur noch Ausführungsgesetz zur DSGVO, die DSGVO enthält aber “Öffnungsklauseln“ nach Art. 6 Abs. 2 DSGVO, von denen das BDSG Gebrauch macht. Ø Gilt für Private, also auch für Vereine, egal ob e. V. oder ohne Eintragung Ø und auch für Personengesellschaften und juristische Personen des Privatrechts

Schwerpunkte der Gesetzesänderungen

Verantwortlicher Ø „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ Ø Nach BGB ist damit der „Vorstand“ für Vereine der Verantwortliche

Der Verantwortliche ist zentraler Adressat der DSGVO Ø Der „Verantwortliche“ nach BGB hat die Vorschriften der DSGVO umzusetzen, sollte aber bei sehr großen Organisationen delegieren. Ø Wer die Pflichten des Verantwortlichen konkret erfüllt, wäre dann intern schriftlich festzulegen und wohl von der Mitgliederversammlung zu beschließen (Datenschutzordnung) 7

Neue datenschutzrechtliche Begriffe Art. 4 DSGVO enthält Begriffsbestimmungen, die teils den bisher verwendeten Begriffen entsprechen, sich teilweise aber auch von der bisher im Datenschutzrecht verwendeten Begriffen unterscheiden. Dazu kommen als Auslegungshilfen die sog. „Erwägungsgründe“ (EG) der EU. 8

Umfangreiche Verfahrensänderungen Ø Das „Verzeichnis von Verarbeitungstätigkeiten“ ist zu führen. Ø Die datenschutzrechtliche Freigabe durch den DSB entfällt Ø Der Datenschutzbeauftragte erhält Gelegenheit zur Stellungnahme vor dem Einsatz automatisierter Verfahren 9

Umfangreiche Verfahrensänderungen Ø Meldepflichten der Kontaktdaten von Vorstand und DSB / Benachrichtigungspflichten bei Datenschutzpannen (Art. 33 und 34 DSGVO) an Aufsichtsbehörde Ø Stärkere Rechte der Betroffenen Ø Das Recht auf Auskunft umfasst künftig das Recht auf kostenlose Kopie (Art. 15 DSGVO) Ø Recht auf „Vergessen werden“ (Art. 17 DSGVO) Ø Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Ø Recht auf Widerspruch (Art. 21 DSGVO) 10

Stärkere Stellung des Landesbeauftragten Ø Die Aufsichtsbehörde Landesamt für Datenschutzaufsicht (LDA) in Ansbach kann künftig auch verbindliche Anordnungen erlassen (VA, nötigenfalls mit Zwangsgeld) (es bleibt aber zunächst bei der Beanstandung) Ø Bußgelder bis zu 20 Mio. € möglich (statt 300. 000 €) Ø Beweislastumkehr wegen Rechenschaftspflicht 11

Inhalt des BDSG 2018 Ø Notwendigkeit der Bestellung eines DSB - ab 10 „Beschäftigte“ in DV mit pb. Daten (können auch Ehrenamtliche oder Externe wie z. B. Steuerberater, IT-Host o. ä. sein), bei manchen auch ohne Schwellenwert (wenn Gesundheitsdaten den Vereinszweck darstellen) - Person muss Ahnung haben (Schulung usw. ) – rechtlich und technisch - Schriftliche Bestellung (auch eines Vertreters für Urlaub und Krankheit) 12

Datenschutz 2018 Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO

Am 25. Mai 2018 ist die Datenschutz Grundverordnung und das neue Bundes Datenschutzgesetz in Kraft getreten. Was ist von einem Verein nun (zeitnah) zu tun? 01. 02. 2018 14

To do-Liste: ð Verantwortlichkeiten Verteilung klären ð Notwendigkeit eines Datenschutzbeauftragten prüfen und ggf. durch Vorstand bestimmen ð Datenschutz Ordnung ggf. erstellen und beschließen (lassen) ð Überprüfung / ggf. Änderung aller Internetseiten und Formulare ð Überprüfung der Satzung, ggf. bei Datenschutzbezug ändern 01. 02. 2018 15

To do-Liste: ð Kontaktdaten von Vorstand und DSB an LDA übermitteln ð Datensicherheitskonzept/ managementsystem entwerfen (lassen) ð Risikoabschätzung/Datenschutzfolgenabschätzung einführen/organisieren ð Verzeichnis von Verarbeitungstätigkeiten (VV) aufbauen 01. 02. 2018 16

Datenschutz 2018 Zuständigkeiten und Abläufe regeln

ð Verantwortlichkeit für die Sicherstellung des Datenschutzes Vereinsleitung = Vorstand => Ohnehin organisatorische Verantwortung aller Vorgesetzten (bei größeren Organisationen) ð Alle Beschäftigten (auch Ehrenamtliche) tragen gleichzeitig eine unmittelbare Verantwortung 01. 02. 2018 18

I. Ausgangspunkt ist ein völlig neues Verantwortlichkeitskonzept: 1. der Verantwortliche übernimmt die Verantwortung für die Verarbeitungstätigkeit (VT), indem er gem. Art. 30 DSGVO die VT ins „Verzeichnis von Verarbeitungstätigkeiten“ aufnimmt. 01. 06. 2018 19

2. Es sollte in größeren Organisationen delegiert werden. ð Maßstab: Wer kann Mitarbeitende noch wirklich steuern/ überwachen im Hinblick auf einen wirksamen organisatorischen Datenschutz? 01. 06. 2018 20

3. Der DSB hat nach der DSGVO mehr die Rolle eines Beratenden und Überwachenden. ð Aufgabenbeschreibung des Datenschutzbeauftragten auch in Datenschutzordnung. 01. 06. 2018 21

a. DSB bei Erfüllung der Aufgaben frei von Weisungen und berichten der Vereins Leitung unmittelbar. b. Ihm obliegen Pflichtaufgaben nach Art. 39 Abs. 1 DSGVO: Beratung, Unterrichtung, Überwachung, DSFA, Kontakt zur Aufsichtsbehörde LDA 01. 06. 2018 22

c. Interessenskonflikte zw. Funktion DSB und Verantwortlichen für Leitung, Personal oder IT sind zu vermeiden d. Gewährleistung der Zurverfügungstellung von ausreichenden Ressourcen (Schulungen, Kommentare/Zeitschriften usw. ) e. Zugang zu allen Daten und umfassende Kooperation 01. 06. 2018 23

II. Wer macht das: Führen des Verzeichnisses aller Verarbeitungstätigkeiten Þ Befüllung ist Aufgabe des Verantwortlichen Þ Organisatorische Führung kann auch IT machen oder DSB Þ Maßnahmen zur Bewältigung der erwarteten Risiken zu beschreiben 01. 06. 2018 24

ð Schulungsmaßnahmen sollten Verantwortliche (= Vorstand und ggf. weitere Führungskräfte) auf diese neuen Verantwortlichkeiten vorbereiten Þ Ein Muster der Beschreibung einer Verarbeitungstätigkeit findet sich in der Liste mit Links 01. 06. 2018 25

III. Risiko- / Datenschutzfolge-Abschätzung (DSFA) ð Wer führt diese verantwortlich durch? ð Nach welcher Systematik? (z. B. ISIS 12) ð Ggf. Betroffenen Beteiligung 01. 06. 2018 26

IV. Technische und organisatorische Maßnahmen (TOM) ð Müssen aufgrund der Risikoanalyse gefunden werden ð Datensicherheit – IT Sicherheit Neben der Datenschutzordnung sind ggf. weitere Regelungen (z. B. social media) zum Thema ebenfalls zu beachten. => Die Organisationseinheiten haben alle angemessenen TOM zu treffen um die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten. 01. 06. 2018 27

Þ Bei automatisierter Datenverarbeitung sind bestmögliche („Stand der Technik“) Maßnahmen zu treffen, um die pb. Daten vor unbefugten Zugriff zu schützen, z. B. durch 01. 06. 2018 Datenminimierung und Pseudonymisierung Protokollierungen aller Zugriffe Rollenkonzept (wer darf speichern/ändern, nur lesen etc. ) automatische Erinnerungen an Prüfungen/Löschungen Verschlüsselungen von Wegen und Speicherorten usw. Belehrungen/Verpflichtungen/Vorschriften/Zertifizierung 28

01. 06. 2018 29

V. Auftragsverarbeitungsverhältnisse => Für Neuverträge und Altverträge (Überprüfung) ð Bei Erledigung von Datenverarbeitung durch Dritte bleibt die datenschutzrechtliche Verantwortung beim Verein ð Vergabe der Verarbeitung nur an geeignete Auftragnehmer ð Abschluss eines schriftlichen Vertrages erforderlich ð Weisungen und Kontrollen müssen kostenneutral möglich sein 01. 06. 2018 30

Auftragsverarbeitung ð Verpflichtung auf Datengeheimnis ð Gewährleistung der Sicherheit der Verarbeitung (TOM) ð Falls Unterauftragnehmer: Auswahl genauso streng und nur mit Zustimmung 01. 06. 2018 31

Auftragsverarbeitung => Unterstützungspflichten des AN bezüglich Sicherheit der Verarbeitung (TOM) Meldung von Datenschutzverletzungen Datenschutz Folgeabschätzungen Beantwortung von Anträgen von Betroffenen Löschpflichten nach Vertragsbeendigung Pflicht zur Bereitstellung von Informationen und Ermöglichung von Überprüfungen durch Verantwortlichen oder DSB => Muster beim LDA 01. 06. 2018 32

VI. Meldung von Datenpannen Wer meldet Datenpannen innerhalb von 72 Stunden an die betroffenen Personen und die Aufsichtsbehörde? Hinweis: Online-Portal für Meldung an LDA bereits freigeschaltet 01. 02. 2018 33

Datenschutz 2018 Das Verzeichnis der Verarbeitungstätigkeiten Art. 30 Abs. 1 DSGVO

Verzeichnis von Verarbeitungstätigkeiten Das Verarbeitungsverzeichnis ist Kernelement der umfassenden Rechenschaftspflichten des Verantwortlichen (Art. 5 Abs. 2 DSGVO). Das Verarbeitungsverzeichnis ist zentraler Ausgangspunkt für Ø die Tätigkeit des DSB, Ø Prüfungen durch das LDA, Ø die Erfüllung der Rechte der betroffenen Personen und Ø die Informationspflichten nach Art. 13 und 14 DSGVO. 35

Verzeichnis von Verarbeitungstätigkeiten Ø Neu: Auch nicht automatisierte Verarbeitungstätigkeiten sind aufzunehmen Ø Neu: Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, der Verarbeitungszwecke und Rechtsgrundlagen sind neu aufnehmen 36

Was ist eine „Verarbeitungstätigkeit“ Beispiele: Ø Mitgliederverwaltung Ø Führung der Arbeitsstunden-Konten für Ehrenamtliche Ø Personalaktenverwaltung Ø Videoüberwachung des / der. . . Ø Durchführung von Wahlen und Abstimmungen (Vorstand und MV) / Gremienarbeit Ø Anmeldung für Vereinsaktivität/Freizeitmaßnahme Ø Förderung beantragen => Clusterung 37

Beteiligung DSB Ø Dem Datenschutzbeauftragten ist vor der Einführung oder einer wesentlichen Änderung automatisierter Verfahren, mit denen personenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben 38

Kein Recht auf Einsichtnahme, keine Veröffentlichung Ø Es besteht kein Recht auf Einsichtnahme in das Verarbeitungsverzeichnis durch Öffentlichkeit Ø Veröffentlichung freiwillig möglich und birgt aber auch teilweise Gefahren (v. a. TOM) 39

Datenschutz 2018 Die Informationspflichten des Verantwortlichen nach Art. 13 und 14 DSGVO

Informationspflichten bei der Erhebung von Daten Zu unterscheiden sind Ø Die Informationspflicht bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Ø Die Informationspflicht bei der Erhebung nicht bei der betroffenen Person (Art. 14 DSGVO) Ø Die Informationspflicht bei einer Zweckänderung vorhandener personenbezogener Daten (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO) 41

Allgemeines zu den Informationspflichten Eine Informationspflicht besteht nicht, soweit die betroffene Person bereits über die Informationen verfügt: Ø In einem Mitgliederverhältnis oder bei Vertragsschluss (z. B. Eintrittskarte) ist daher nur einmal zu Beginn zu informieren (bei Altfällen nun aber zumindest 1 x). Ø Auch aus den Umständen der Erhebung können sich die Informationen ergeben. Ø Bei „aufgedrängten“ Informationen muss nicht informiert werden (über Kontaktformulare usw. nicht aufgedrängt). 42

Informationspflichten bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Beispiele: Ø Erhebung mit Anmeldeformular in Papierform Ø Erhebung mit einem Internetformular Ø Erhebung durch mündliche Befragung 43

Informationspflichten bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Þ Wo es keine Hilfestellungen von Verbänden usw. gibt, müssen wir selbst anpassen. Þ Auch Allg. Datenschutzhinweise (Disclaimer) im Internet sind anzupassen: - anderer Text - prominentere Platzierung 44

Mündliche Datenerhebungen Ø Bei einer mündlichen Datenerhebung muss stets klar sein, wer der Verantwortliche ist und für welchen Zweck die Daten erhoben werden. Ø Weitere Angaben nach Art. 13 Abs. 1 DSGVO sind als Möglichkeit zur Kenntnisnahme mitzuteilen. Ø Lösung über Datenschutzhinweis im Internet => Aufspaltung in Grundinfo und Spezialinfo Ø Angebot zusätzlich für Leute ohne Internet in Vereinsheim / Geschäftsstelle usw. 45

Einwilligungserklärungen Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen vor: - „unmissverständlich abgegebene Willensbekundung“ bzw. - „eine eindeutig bestätigende Handlung“ (bereits angekreuztes Kästchen z. B. ist nicht zulässig) - besonderes Augenmerk zukünftig auf Formulierung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 7 Abs. 2 DSGVO) - kritisch prüfen, ob bereits vorliegenden Einwilligungserklärungen noch den Anforderungen entsprechen.

Veröffentlichungen im Internet - Grundsatz: Die Veröffentlichung pb. Daten im Internet ist nur mit ausdrücklicher Einwilligung - Ausnahmen: Funktionsbezogene Daten wie beispielsweise vereinsbezogene E-Mailadressen von Vereinsfunktionären und -organen dürfen auch ohne deren Einwilligung im Internet veröffentlicht werden. - Auch darf ein Verein ohne Einwilligung von Mitgliederversammlungen berichten, weil sie ein berechtigtes Interesse daran hat, wichtige Ergebnisse ihrer Kerntätigkeit nach außen hin darzustellen. - Auch diese veröffentlichten Daten müssen nach einer angemessenen Zeit gelöscht werden. Ein über mehrere Jahre zurückreichendes Archiv unter Nennung einzelner pb. Daten ist dabei als unangemessen anzusehen.

Veröffentlichung von Fotos und Videoaufnahmen - Öffentlichkeitsarbeit der Vereine auf Website, in Presse/Fernsehen oder in der Vereinspostille nach wie vor gem. Kunsturh. G grundsätzlich nur mit Einwilligung - Ausnahmen: sog. Personen der Zeitgeschichte (Bühne) und öffentliche Vorgängen (Umzüge, öffentl. Vorträge o. ä. ), wenn die Ansammlung von Menschen (und nicht die einzelne Person) im Vordergrund steht Þ Achtung: Kunst. Urh. G deckt nicht Veröffentlichung auf Social Media, da Verarbeitung in Drittland erfolgt! - Für Abbildungen Minderjähriger gelten strengere Anforderungen: vorherige Einwilligung der gesetzlichen Vertreter (z. B. bereits bei der Anmeldung)

Veröffentlichung von Fotos und Videoaufnahmen - Keine Formvorschrift, aber schriftliche Einwilligung sinnvoll (zum Beweis) - Veröffentlichung von Foto- und Videoaufnahmen bei Sportveranstaltungen ist lt. BGH (2013) zulässig, denn Foto- und Videoaufnahmen sind dort üblich, so dass Teilnehmer damit rechnen müssen => stillschweigende Einwilligung. Das gilt wohl auch für andere öffentliche Veranstaltungen. - Ansonsten gem. Art. 6 Abs. 1 lit. b und f DSGVO grünes Licht, wenn dies auf Hinweisschildern am Eingang erklärt oder auf Eintrittskarten abgedruckt ist.