Datenschutzunterweisung Deutscher TurnerBund Datenschutzunterweisung Bundesdatenschutzgesetz oder DatenschutzGrundverordnung Da
Datenschutzunterweisung Deutscher Turner-Bund
Datenschutzunterweisung Bundesdatenschutzgesetz oder Datenschutz-Grundverordnung? Da das europäische Recht Anwendungsvorrang genießt und im BDSG-neu hauptsächlich die Umsetzung der DSGVO geregelt wird, genügt für unseren praktischen Umgang mit dem Datenschutz in der Regel der Bezug auf die DSGVO.
Datenschutzunterweisung Was sind personenbezogene Daten und deren Verarbeitung? „Personenbezogene Daten“ sind nicht nur die zur unmittelbaren Identifizierung einer lebenden natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburtsdatum, sondern darüber hinaus alle Informationen, die sich auf eine in sonstiger Weise identifizierte oder identifizierbare natürliche Personen beziehen, wie beispielsweise Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E-Mail-Adresse, Anschrift, Eigentums- oder Besitzverhältnisse, persönliche Interessen, Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierung bei einem Wettbewerb, aber auch biometrische Angaben und dergleichen. Neben den allgemeinen personenbezogenen Daten sind vor allem die besonderen personenbezogenen Daten zu beachten, da sie ein höheres Schutzniveau genießen. Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.
Datenschutzunterweisung „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Datenschutzunterweisung Wann dürfen personenbezogene Daten erhoben werden? Datenschutzrechtlich ist nicht etwa alles erlaubt, was nicht ausdrücklich verboten ist. Vielmehr bedarf umgekehrt jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage. Diese Rechtsgrundlage gibt die DSGVO vor: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: § Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; § die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; § die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der Verantwortliche unterliegt;
Datenschutzunterweisung § die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; § die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; § die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Bei besonderen personenbezogenen Daten ist generell die Einwilligung der betroffenen Personen zur Verarbeitung erforderlich. Außerdem sind diese Daten besonders vor unberechtigtem Zugriff zu schützen.
Datenschutzunterweisung Wo sollen personenbezogene Daten gespeichert werden? Im Regelfall sollten alle personenbezogenen Daten in unserer Verbandsverwaltungslösung Gym. Net gespeichert werden. Das hat folgende Vorteile: § die Daten sind für alle Berechtigten jederzeit verfügbar und aktuell; § die Daten müssen nur einmal erfasst und nur an einer Stelle bei Bedarf geändert werden; § die Bearbeiter/innen müssen sich nicht um die in der DSGVO geforderten Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung oder vor unbeabsichtigter Schädigung kümmern, da das Gym. Net diese Maßnahmen bereits vorhält; § die Dokumentation der personenbezogenen Daten kann über einfache Reports aus dem Gym. Net erfolgen. Müssen personenbezogene Daten an anderen Stellen gespeichert werden, sind die in der DSGVO geforderten Schutzmaßnahmen zu gewährleisten.
Datenschutzunterweisung Wie müssen personenbezogene Daten geschützt werden? Die DSGVO fordert geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um den unberechtigten Zugriff auf personenbezogene Daten zu verhindern. Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa Sicherung von Türen und Fenstern oder bauliche Maßnahmen allgemein; zum anderen Maßnahmen, die in Soft- und Hardware umgesetzt werden, wie etwa Einrichtung von Benutzerkonto, Passworterzwingung, Verschlüsselung usw. Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden, z. B. Besucheranmeldung, Abmeldung vom Rechner und Abschließen beim Verlassen des Büros. Für TOM gilt ein sogenanntes Verhältnismäßigkeitsprinzip. Demnach müssen personenbezogene Daten nicht unendlich stark geschützt werden, wenn die Maßnahmen dafür wirtschaftlich unangemessen hoch ausfallen würden.
Datenschutzunterweisung Wie müssen personenbezogene Daten geschützt werden? Die DSGVO fordert geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um den unberechtigten Zugriff auf personenbezogene Daten zu verhindern. Zutrittskontrolle: Gewährleisten, dass Unbefugte keinen Zutritt (räumlich zu verstehen) zu Servern und Arbeitsplatzrechnern erhalten, mit denen personenbezogene Daten verarbeitet werden. Zugriffskontrolle: Gewährleisten, dass die zur Benutzung von Servern und Arbeitsplatzrechnern berechtigten Nutzer ausschließlich auf Inhalte zugreifen können für welche sie berechtigt sind und dass personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. § Server und Arbeitsplatzrechner (auch externe) müssen durch Benutzerkennung mit Passwort geschützt werden; § auf externen Speichermedien sind personenbezogene Daten entweder durch Benutzerkennung mit Passwort oder durch Dateiverschlüsselung zu schützen.
Datenschutzunterweisung Weitergabekontrolle: Gewährleisten, dass personenbezogenen Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. § auf externen Speichermedien müssen personenbezogene Daten entweder durch Benutzerkennung mit Passwort oder durch Dateiverschlüsselung geschützt werden; § bei e. Mail-Übertragung müssen personenbezogene Daten durch Dateiverschlüsselung geschützt werden; § der externe Zugriff auf das DTB-Netzwerk muss über eine VPN-Verbindung erfolgen. Verfügbarkeitskontrolle: Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden, z. B. durch Backup bei Speicherung auf externen Rechnern oder Speichermedien.
Datenschutzunterweisung Benötigen wir die Zustimmung bei der Verarbeitung von Vereinsmitgliedern? Wir gehen aktuell davon aus, dass wir in unserer Verbandsverwaltungslösung Gym. Net das explizite Einverständnis eines betroffenen Vereinsmitglieds unter Berufung auf die „Ausübung satzungsgemäßer Aufgaben“ bei der Datenweitergabe innerhalb der Verbandshierarchie nicht benötigen, da wir uns auf „Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen“ und „Erfüllung eines Vertrags“ beziehen (Teil des Vertrags der betreffenden Person mit dem Verein ist z. B. die Teilnahme am Wettkampfbetrieb, der auch von den übergeordneten Verbandsebenen organisiert und durchgeführt wird. Wichtig ist hierbei, dass wir die Notwendigkeit zur Verarbeitung auf einer anderen Verbandseben stets begründen können!
Datenschutzunterweisung Welche Zustimmung benötige ich bei Minderjährigen? Die DSGVO hat eine grundsätzliche Altersgrenze von 16 Jahren für die Wirksamkeit von Einwilligungen von Kindern und Jugendlichen festgelegt. Bei unter 16 jährigen ist generell die Einverständnis der Erziehungs-/Sorgeberechtigten nötig. In allen „Angelegenheiten von erheblicher Bedeutung“, z. B. bei Vereins. Aufnahmeanträgen, Zustimmung zur Bildveröffentlichung usw. , müssen stets beide Erziehungs-/Sorgeberechtigten zustimmen, es sei denn nur eine Person hat das Sorgerecht. Ausgenommen ist lediglich die „Routineerlaubnis in Dingen des täglichen Lebens“, bei der die Zustimmung eines Erziehungs-/Sorgeberechtigten genügt, z. B. Ticketkäufe usw. Eine scharfe Trennung zwischen „Angelegenheiten von erheblicher Bedeutung“ und „Routineerlaubnis in Dingen des täglichen Lebens“ lässt sich kaum vornehmen, daher sollte im Zweifelsfall immer die Zustimmung beider Erziehungs/Sorgeberechtigten eingeholt werden, wobei Zustimmungen stets vorab und nicht im Nachhinein vorliegen müssen.
Datenschutzunterweisung Welche Zustimmung benötige ich für die Veröffentlichung von Veranstaltungsfotos? Nichtöffentliche Veranstaltungen Bei nichtöffentlichen Veranstaltungen (z. B. Lehrgängen) muss generell die Zustimmungen zu Fotos vorab eingeholt werden. Hier muss aufgeführt sein wo die Fotos veröffentlicht werden (z. B. DTB-Website, Facebook, Vereinsmagazin) und ob sie nur in Zusammenhang mit der Veranstaltung oder frei veröffentlicht werden dürfen (z. B. als Hintergrundbild auf der Website für den Bereich „Akademie“). Dies gilt z. B. auch für Lehrvideos, die im Rahmen von Kaderlehrgängen erstellt werden und für Fortbildungen genutzt werden sollen.
Datenschutzunterweisung Öffentliche Veranstaltungen Über öffentliche Veranstaltungen (z. B. Wettkämpfe, Turnfeste) darf auch ohne ausdrückliche Einwilligung textlich und bildlich berichtet werden, wenn dabei die Veranstaltung im Vordergrund steht. Dies bestätigt auch der Hessische Datenschutzbeauftragte in seinem neuen Leitfaden zur Umsetzung der DSGVO „Datenschutz im Verein. Wichtig ist, dass der Betreffende nicht als Individuum herausgestellt, sondern als Mitglied der Gruppe oder Teilnehmer der Veranstaltung abgebildet wird. Zulässig sind deshalb Bilder, die das Geschehen wiedergeben, unzulässig sind Porträtaufnahmen von Teilnehmern. Zu berücksichtigen dabei ist in jedem Fall das allgemeine Persönlichkeitsrecht, das die Veröffentlichung von entstellenden, die Würde der Person verletzenden Abbildungen (z. B. schwere Verletzung) nicht zulässt. Da das Persönlichkeitsrecht bei Kindern und Jugendlichen von Gerichten häufig höher eingeschätzt wird, sollte hier möglichst immer die Zustimmung der Erziehungsberechtigten eingeholt werden.
Datenschutzunterweisung Welche Zustimmung benötige ich für die Veröffentlichung von Ergebnislisten? Ergebnislisten dürfen ohne vorherige explizite Zustimmung der betreffenden Personen veröffentlicht werden, so lange sich auf Name, Vorname und Ergebnis (und Jahrgang, sofern dies nicht aus der Altersklassenbeschreibung des Wettkampfs hervorgeht) beschränken. Hier ist lediglich in der Ausschreibung darauf hinzuweisen dass und an welchen Stellen (Website, Presse usw. ) die Veröffentlichung stattfinden soll. Für die Veröffentlichung von Ergebnislisten mit umfangreicheren personenbezogenen Angaben muss vorab die Zustimmung eingeholt werden.
Datenschutzunterweisung Darf die Zustimmung z. B. zur Bildveröffentlichung zur Teilnahmevoraussetzung gemacht werden? Eine Zustimmung zur Verarbeitung personenbezogener Daten ist nur dann gültig, wenn sie „freiwillig“ erteilt wird. Der Thüringer Datenschutzbeauftragte führt dazu aus: „Die Einwilligung ist (…) nur dann freiwillig erteilt, wenn weder die Erfüllung des Vertrages oder die Erbringung der Dienstleistung von ihr abhängig gemacht werden. “ Eine Lehrgangsteilnahme oder eine Kaderberufung kann folglich nicht von der Zustimmung zur Bilder- oder Videoveröffentlichung abhängig gemacht werden.
Datenschutzunterweisung Alles Klar? Ansonsten: jetzt fragen!
- Slides: 17