Datenschutz fr Aktive Roland Huhn Rechtsreferent und Datenschutzbeauftragter

Datenschutz für Aktive Roland Huhn, Rechtsreferent und Datenschutzbeauftragter des ADFCBundesverbands

Abgrenzung: Datenschutz für Aktive - Südforum 2013 | 23. 11. 201 3

Datenschutz – ein Thema für den ADFC Warum ist Datenschutz ein Thema für den ADFC? Der ADFC erhält und verwendet zahlreiche persönliche Angaben, die meisten davon werden ihm von seinen Mitgliedern anvertraut. Welche Daten er erheben, verarbeiten und nutzen darf, richtet sich nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Welche Vorsorge trifft der Bundesverband beim Datenschutz? Alle Mitarbeiter mit Zugang zu Mitgliederdaten sind schriftlich auf das Datengeheimnis verpflichtet worden. Die Daten werden in verschlüsselter Form gespeichert und über gesicherte Verbindungen übermittelt. Der Bundesverband gibt Mitgliederdaten nicht an Adressverlage, Direktvertriebe oder andere Firmen heraus. Er hat nach Einrichtung der ZMV 2005 einen betrieblichen Datenschutzbeauftragten bestellt. Datenschutz für Aktive - Südforum 2013 | 23. 11. 201 3

Wozu Datenschutz? Gesetzliche Verpflichtung aufgrund des Bundesdatenschutzgesetzes (BDSG) Umgang mit „personenbezogenen Daten, die automatisiert verarbeitet werden“ (Erhebung, Verarbeitung, Nutzung) Der Verein (e. V. ) ist für seine Mitgliederdaten „verantwortliche Stelle“. Dem Verein sind zuzurechnen: • Unselbstständige Untergliederungen (KV, die kein e. V. sind, Ortsgruppen) • Funktionsträger (Vorstand), Auftragnehmer, beschäftigte Mitarbeiter Datenschutz für Aktive - Südforum 2013 | 4 | 23. 11. 201 3

Datenverarbeitung durch den Bundesv Zulässige Datenverarbeitung nach § 28 BDSG: Die Mitgliedschaft im ADFC wird laut Bundessatzung beim Bundesverband erworben. Dort werden auch die mitgeteilten Daten der Mitglieder gespeichert und verarbeitet. Der ADFC darf Mitgliederdaten im erforderlichen Umfang im Rahmen der Vereinsmitgliedschaft als „rechtsgeschäftsähnliches Vertrauensverhältnis“ verarbeiten und nutzen (§ 28 Abs. 1 Nr. 1 BDSG). Grundsatz der Datensparsamkeit, Beispiel: Geburtsjahr statt Geburtsdatum Datenschutz für Aktive - Südforum 2013 | 5 | 23. 11. 201 3

Datenübermittlung vom Bundesverband an Landesverbände und Kreisvereine Selbstständige Organisationen (LV und KV als e. V. ) und Vereinsmitglieder, die keine Funktionen ausüben, sind datenschutzrechtlich im Verhältnis zum Verein „Dritte“. Die Weitergabe von Mitgliederdaten an diese Stellen oder Personen ist ein vereinsinterner Vorgang und keine Datenübermittlung. Sie ist unter den Voraussetzungen des § 28 BDSG zulässig. • Aktive mit Zugang zum Webmodul werden im Rahmen der Aufgabenerfüllung für den Verein tätig und sind dem Verein zuzurechnen. Die Weitergabe von Mitgliederdaten an sie ist kein Fall der Datenübermittlung. Datenschutz für Aktive - Südforum 2013 | 6 | 23. 11. 201 Das betrifft die Übermittlung von Daten der ZMV über das 3 Webmodul an LV und KV.

Datenübermittlung vom Bundesverban Die Mitglieder des Bundesverbands sind zugleich auch Mitglieder in einem LV und KV. Diese Gliederungen dürfen deshalb die Mitgliederdaten im erforderlichen Umfang im Rahmen der Vereinsmitgliedschaft als „rechtsgeschäftsähnliches Vertrauensverhältnis“ verarbeiten und nutzen (§ 28 Abs. 1 Nr. 1 BDSG). Der Bundesverband übermittelt Mitgliederdaten auch an Dritte, z. B. an die Druckerei für den Versand der Radwelt. Auch das ist durch § 28 BDSG erlaubt. Der Bundesverband gibt seine Mitgliederdaten nie an Dritte für deren Zwecke weiter (Werbebriefe oder E-Mail-Werbung). Solche Werbeagenturen dürfen aber Adressen aus frei zugänglichen Quellen Datenschutz für Aktive - Südforum 2013 | | 23. 11. 201 7 verwenden. 3

Betrieblicher Datenschutzbeauftragter ab zehn mit der Datenverarbeitung Beschäftigten Übernahme der ZMV im Jahr 2005 durch die BGSt Der ADFC-Bundesverband hat einen Datenschutzbeauftragten bestellt. Denn mehr als neun Beschäftigte haben Zugriff auf die Mitgliederdaten der Zentralen Mitgliederverwaltung. Dies sind personenbezogene Daten, die automatisiert verarbeitet werden. Ist der Datenschutzbeauftragte des Bundesverbands damit auch für die Landesverbände und Kreisvereine zuständig? Nein: Der b. DSB ist von der „verantwortlichen Stelle“ zu bestellen. Das ist „jede Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Gemeint ist damit die rechtliche Einheit, also ein Unternehmen oder eine nicht gewerblich tätige juristische Person. Nach dieser Definition ist jeder eingetragene Verein (e. V. ) für sich als verantwortliche Stelle anzusehen. Datenschutz für Aktive - Südforum 2013 | | 23. 11. 201 8 3

Datenschutzbeauftragter für Gliederung Betrieblicher Datenschutzbeauftragter: ab zehn mit der Datenverarbeitung Beschäftigten „Beschäftigte“ sind Arbeitnehmerinnen und Arbeitnehmer sowie weitere einzeln aufgezählte Personen. Die Zahl wäre schnell erreicht, wenn Ehrenamtliche mitzählen würden. Aber: • Das BDSG meint im 2009 eingefügten § 3 Abs. 11 BDSG mit „Beschäftigten“ keine ehrenamtlich Tätigen • Landes- und Kreisverbände in Baden-Württemberg und Bayern brauchen deshalb keine eigenen Datenschutz-beauftragten Datenschutz für Aktive - Südforum 2013 | 9 | 23. 11. 201 3

Webmodul der ZMV (1) Zugang zum Webmodul nur über gesicherte Verbindung: https: //www. adfc-intern. de Verbesserter Passwortschutz seit 2010 Zugangsberechtigung nur mit schriftlicher Belehrung und Verpflichtungserklärung Begrenzter Umfang der übermittelten Daten für Kreisvereine, Beispiele: Landes- und Kreisverbände können nur jeweils die Datensätze ihrer Mitglieder einsehen Die Bankverbindung können die Nutzer im Webmodul bei Neuanlage oder Änderung aufgrund Angaben des Mitglieds eingeben, aber nicht einsehen. Datenschutz für Aktive - Südforum 2013 | 10 | 23. 11. 201 3

Webmodul der ZMV (2) Umfang der übermittelten Daten für Kreisvereine: Bezahlte / nicht bezahlte Mitgliedsbeiträge. Derzeit wird auch der Mahnstatus mitgeteilt. Das wird jedenfalls für Mahnungen durch die Gliederung nicht erforderlich sein, weil für den Beitragseinzug allein der Bundesverband mit der BGSt zuständig ist. Für die Entscheidung, ob ein Mitglied noch Leistungen des Vereins erhalten kann, kommt es aber auf erbrachte Mitgliedsbeiträge an, die der KV nur auf diese Weise prüfen kann. Eine Liste „offene Beiträge“ gibt es nur für LV, nicht für KV. Sie wird für die Weiterleitung der Beitragsanteile an die KV benötigt. Datenschutz für Aktive - Südforum 2013 | 11 | 23. 11. 201 3

Webmodul der ZMV (3) Frage aus einem Kreisverband: Wir würden die Datensätze der ZMV gern um eigene Angaben ergänzen. Ist das erlaubt? Grundsätzlich dürfen die berechtigten Nutzer des Webmoduls die vorgesehenen Felder für Anmerkungen nutzen. Unproblematisch sind Funktionen im ADFC, vom Mitglied selbst mitgeteilte Angaben wie der Beruf oder auch öffentliche Ämter („Sachkundiger Bürger im Verkehrsausschuss“). Nicht erlaubt wären Angaben zu sexueller Orientierung oder anderen persönlichen Daten, an denen der Verein kein berechtigtes Interesse haben kann. Datenschutz für Aktive - Südforum 2013 | 12 | 23. 11. 201 3

Datenschutz praktisch Zutritts-, Zugangs- und Zugriffskontrolle Absicherung von Rechnern in Geschäftsstelle und zu Hause: • Besucher, Mitbewohner Absicherung des Zugangs zum Webmodul der ZMV: • Kollegen ohne Zugriffsberechtigung Datenschutz für Aktive - Südforum 2013 | 23. 11. 201 3

Einsatz von Webcams Der Einsatz von Kameras am Arbeitsplatz hat Kritik von Datenschützern ausgelöst, auch in einer ADFC-Landesgeschäftsstelle. Es spielt keine Rolle, • ob die Kamera eingeschaltet und der Arbeitsplatz des Mitarbeiters einsehbar ist, • ob die Bildqualität ausreicht, um ins Bild geratene Personen zu erkennen und • ob Bilder übertragen oder aufgezeichnet werden Der ADFC empfiehlt nicht, auf Internettelefonie mit Bildübertragung zu verzichten Er hält den Kameraeinsatz unter folgenden Bedingungen für zulässig: • Webcam so einstellen, dass sie nur die am Gespräch beteiligten Beschäftigten zeigt. Datenschutz für Aktive Südforum 2013 | 14 • Nach der Videokonferenz wird die Kamera | 23. 11. 201 3 abgenommen oder

Webcams und Publikumsverkehr Videoüberwachung öffentlich zugänglicher Räume: § 6 b BGSG Öffentlich zugänglich: Geschäftsstelle mit Besucherverkehr, ADFCInfoladen Kameraeinsatz erlaubt, wenn er "zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich" ist, auch zeitweiliger Einsatz für Bildtelefonate Gesetzliche Voraussetzungen: • Keine Anhaltspunkte für überwiegende schutzwürdige Interessen der Betroffenen überwiegen. • Hinweis auf die Webcam, der so gut erkennbar angebracht ist, dass er wahrgenommen werden kann, ehe der Bereich betreten wird (auffällige Informationsschilder) • Datenschutz Kennzeichnung erforderlich, die Webcam für Bildtelefonate für Aktive nicht - Südforum 2013 wenn | | 23. 11. 201 15 3 nur auf ADFC-Mitarbeiter an ihrem Arbeitsplatz gerichtet ist und andere nicht erkennen lässt

Nutzung von Mitgliederdaten – rechtliche Aussagen Merkblatt von Martin Jobst und Dr. Holger Küst, März 2013 Datenschutz für Aktive - Südforum 2013 | 16 | 23. 11. 201 3

E-Mail-Versand an Mitglieder – Allg. Ko E-Mail-Versand an Mitglieder – Allgemeines Konzept Merkblatt von Martin Jobst und Dr. Holger Küst, März 2013 Datenschutz für Aktive - Südforum 2013 | 17 | 23. 11. 201 3

Private E-Mails über dienstliches Mail-K Wenn der Arbeitgeber Versenden und Empfangen von Mails mit privaten Inhalten über dienstliche Mail-Adressen verbietet, dann besteht unter Datenschützern und Arbeitsrechtlern Einigkeit darüber, dass er das Postund Fernmeldegeheimnis nicht verletzt, wenn er dienstlichen Mails stichprobenartig durchsieht und dabei auf verbotene private Inhalte stößt. • Von einem Verbot privater Internet-Nutzung müssen Arbeitnehmer bereits ausgehen, wenn sie nicht ausdrücklich im Betrieb erlaubt ist Datenschutz für Aktive - Südforum 2013 | 18 | 23. 11. 201 3

Dienstliche E-Mails über privates Mail-K Gesetzlichen Aufzeichnungspflichten von Geschäftsbriefen (Speicherung von geschäftlichen E-Mails) Erfüllung der gesetzlichen Pflichten ist bei privaten Mail-Accounts nicht gewährleistet Geschäftsbriefe nur über Mail-Account des Vereins Nicht betroffen: Mails zur internen Beratung und Vorbereitung Datenschutz für Aktive - Südforum 2013 | 19 | 23. 11. 201 3

Sichtbare Adressen in E-Mails an einen größeren Kreis von Empfängern: Müssen die verwendeten E-Mail-Adressen für alle erkennbar sein? Wenn die Angeschriebenen sich und ihre E-Mail-Adressen untereinander kennen: ok Ein Newsletter an viele miteinander nicht bekannte Empfänger darf die EMail-Adressen nicht offen ausweisen. Viele davon werden Namensbestandteile enthalten (wie Vorname. Nachname@adfc. de) Das Bayerische Landesamt für Datenschutzaufsicht (Bay. LDA) hat in einem besonders krassen Fall ein Bußgeld gegen die nachlässige Mitarbeiterin eines Unternehmens verhängt: E-Mail aus neuneinhalb Seiten Adressverteiler und einer halben Seite Text Alternative: in das Feld („Blind Carbon Copy“) Datenschutz für. Empfänger Aktive - Südforum 2013 „BCC“ | | 23. 11. 201 20 setzen 3

Datenschutz ohne Mitgliederverwaltung Spielt Datenschutz auch außerhalb der Mitgliederbetreuung eine Rolle? Ja. Ein Beispiel sind die Auftrags- und Einverständniserklärungen von Codieraktionen. • Auch diese persönlichen Daten darf man nicht unbegrenzt aufbewahren („könnte man noch mal brauchen“), sondern nur für bestimmten Zweck und für begrenzte Zeit. • In diesem Fall für 2 Jahre, um sie bei Ansprüchen wegen angeblich falscher Codierung vorlegen zu können. Das BDSG gilt nicht nur bei elektronischer Speicherung Datenschutz für Aktive - Südforum 2013 | 21 | 23. 11. 201 3

Mitglieder- und Teilnehmerlisten Darf ich unseren ADFC-Mitgliedern Mitgliederlisten schicken? • In manchen Vereinen ist das zur Kontaktpflege und zur Festigung persönlicher Verbindungen auf örtlicher Ebene üblich. ADFC-Mitglieder werden mangels persönlicher Verbundenheit nicht damit rechnen, dass ihre Daten ungefragt verbreitet werden. Weitergabe von Teilnehmerlisten vor oder nach Veranstaltungen? • Wenn die Teilnehmer die Angaben freiwillig gemacht haben und darüber informiert worden sind, dass ihre Daten zur Kontaktaufnahme untereinander weiter gegeben werden, ist das nicht zu beanstanden. Wie lange darf ich Teilnehmerlisten aufbewahren? • Bis sie ihren Zweck erfüllt haben. Das kann bedeuten, dass sie schon bald nach der Veranstaltung gelöscht werden müssen. Sie können mit ausdrücklichem Einverständ-nis als Einladungsliste für eine Folgeveranstaltung dienen, auch für Nichtmitglieder. Datenschutz für Aktive - Südforum 2013 | 22 | 23. 11. 201 3

Adresslisten von Aktiven Wir führen elektronische Adresslisten von Aktiven. Wie dürfen wir solche Kontaktdaten verwenden, an wen dürfen wir sie weitergeben? • Der Vorstand ist auf der sicheren Seite, wenn er die Daten nur für die Zwecke verwendet, für die sie mitgeteilt worden sind. • Wenn der Aktive seine Zustimmung erteilt hat (auch allgemein und im Voraus), ist die Weitergabe einzelner Daten für Vereinszwecke zulässig. Ein Beispiel ist die Mitteilung der Mobiltelefonnummer eines ehrenamtlichen Pressesprechers an einen anfragenden Journalisten, wenn er seine Telefonnummer für diesen Zweck angegeben hat. Nicht erlaubt wäre die Weitergabe einer Aktivenliste an einen Fahrradhändler, der sie für eine Direktwerbeaktion nutzen will. Datenschutz für Aktive - Südforum 2013 | 23. 11. 201 3