datenschutz im verein - fwz · vereine im internet-Überblick über den datenschutz - dr. frank...
TRANSCRIPT
17.10.2017
1
www.ehrenamt-europa.eu
Datenschutz im Verein- ein Überblick-
Dr. Frank Weller
Rechtsanwalt und Mediator
Europäisches Institut für das Ehrenamt Dr. Weller
Ihr Referent
� Dr. Frank Weller
− Rechtsanwalt + Mediator in Hohenahr
� Recht der Non-Profit-Organisationen
� Ehrenamt und Freiwillige
� Datenschutz
� Internet und Social Media
− Vorsitzender Landesausschuss Recht, Steuern,
Versicherungen Landessportbund Hessen e.V.
− Vereins(Vorstands)mitglied
� www.weller-hilft.de www.ehrenamt-europa.eu
17.10.2017
2
www.ehrenamt-europa.eu
TEIL 1: Vereinsverwaltung
Datenschutz gilt für personenbezogeneDaten:
� Informationen, die einen
� bestimmten oder bestimmbaren (identifizierbaren)
� lebenden
� Menschen (nicht: juristische Person wie z.B. Verein, GmbH, AG)
� näher beschreiben
www.ehrenamt-europa.eu
Beispiele für personenbezogene Daten
Name, Adresse, Familienstand,
Geburtsdatum, Staatsangehörigkeit,
Vertrags- und Besitzverhältnisse,
Beruf, Partei- + Vereinsmitgliedschaften,
Überzeugungen, Aussehen,
Eigenschaften, Krankheiten, …
17.10.2017
3
www.ehrenamt-europa.eu
Roter Faden
immer …
� um einen bestimmten Zweck zu erreichen:
� nur so viele Daten wie unbedingt nötig
� nur so wenige Daten wie möglich
erheben/speichern/verarbeiten
� Zweck hier: Satzungszweck
� Erfüllung des Satzungszwecks
www.ehrenamt-europa.eu
Bundesdatenschutzgesetz (BDSG)
� … gilt für Vereine
� Grundsatz: Es ist alles verboten!
� Ausnahme 1: Das BDSG erlaubt es
� Ausnahme 2: Die betroffene Person willigt ein
17.10.2017
4
www.ehrenamt-europa.eu
§ 28 BDSG erlaubt …
Verwendung von Daten, die
für den
Vereinszweck
unbedingt erforderlich sind,
ohne die ein
geregeltes Funktionieren des Vereins
also nicht möglich ist
www.ehrenamt-europa.eu
Auf welche Daten kann ein Verein nicht verzichten?
� Name und Anschrift des Mitglieds� Bankverbindung bei SEPA-Einzug gem. Satzung� Eintrittsdatum� Funktionen im Verein� TelNr/E-Mail Vorstandsmitglied� Geburtsdatum (Satzung fragen: z.B. für
Stimmrecht bei Volljährigkeit) oder reicht Geburtsjahr aus (Statistik)?
� E-Mail-Adr. allgemein, wenn Satzung E-Mail zulässt oder verlangt
17.10.2017
5
www.ehrenamt-europa.eu
Wozu werden Daten gebraucht (Zweck der Datenverwendung) ?
Wichtige Unterscheidung:
� interne Vereinsverwaltung, -organisation!
� Funktionieren des Vereins nach innen
� Erheben + Speichern von Daten
oder
� Übermittlung an „Dritte“, z.B.
� Vereinszeitung, lokale Presse
� Webseite
� Verband
www.ehrenamt-europa.eu
Datenübermittlung an „Dritte“:Was ist damit gemeint?
� Wer ist Dritter?
� Personen außerhalb des Vereins
� unbefugte Personen innerhalb des Vereins,
weil deren Kenntnis unnötig ist
� Übermittlung an Dritte weitaus problematischer als interne Nutzung , weil mehr Personen Kenntnis erlangen
Dr. Frank Weller Rechtsanwalt
17.10.2017
6
www.ehrenamt-europa.eu
Datenübermittlung: Wann erlaubt?
� zulässig meist� Daten im Zusammenhang mit
satzungsgemäßen Vereinsveranstaltungen
(Mitgliederversammlungen, Veranstaltungen,
Verlaufsberichte, Spiel-/Wettkampfberichte)
� betrifft also Satzungszwecke:
insbesondere Öffentlichkeitsarbeit
Achtung: je nach Satzung unterschiedliche
Übermittlungen zulässig
www.ehrenamt-europa.eu
Sonderfall Mitgliederliste
� Mitglied kann Herausgabe zur Wahrnehmung Mitgliedsrechte verlangen (z.B. Minderheitenrechte wie Sammlung Stimmen
für a.o. MV, auch Teilnahmerecht)
� Daten an Treuhänder zwecks Nutzung?� Papierform oder Datei?� welche Daten genau? nur die für den Zweck
notwendigen Daten� Erklärung abgeben: zweckgemäße Verwendung
und spätere Löschung Dr. Frank WellerRechtsanwalt
17.10.2017
7
www.ehrenamt-europa.eu
Besondere Arten personenbezogener Daten …
… wie z.B. Angaben über ethnische Herkunft, politische Meinungen, religiöse/philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit
� immer Einwilligung erforderlich oder Regelung durch Satzungsklausel (am bestengetrennte Speicherung von anderen Daten)
www.ehrenamt-europa.eu
Dr. Frank WellerRechtsanwalt
Information des Betroffenen (§ 4) bei …
� … Erhebung der Daten über
� verantwortliche Stelle (Verein!)
� Zweck Erhebung, Verarbeitung, Nutzung
(wozu?)
� Empfängerkategorien, wenn nicht mit
Übermittlung zu rechnen (wohin?)
� Ausnahme: Infos ohnehin schon bekannt
� Verschärfung durch neue Europäische Datenschutz-Grundverordnung?
17.10.2017
8
www.ehrenamt-europa.eu
Dr. Frank WellerRechtsanwalt
Einwilligung des Betroffenen (§ 4a)
� freiwillige Entscheidung
� vorherige Aufklärung über Zweck
der Erhebung, Verarbeitung, Nutzung
� Hinweis auf Folgen Verweigerung
� Einwilligung widerrufbar
www.ehrenamt-europa.eu
Dr. Frank Weller § Malte Jörg UffelnRechtsanwälte
Einwilligung des Betroffenen (§ 4a)
� Schriftform erforderlich, soweit nicht wg. besonderer Umstände andere Form angemessen
� Streit unter Juristen: Gilt E-Mail als Schriftform oder ist Einwilligung per E-Mail - auch wenn dies keine Schriftform ist - zumindest dann erlaubt, wenn im Verein weitgehend mit E-Mails gearbeitet wird?
� E-Mail gewinnt an Bedeutung, sollte heute häufig ausreichen („sozialadäquat“)
17.10.2017
9
www.ehrenamt-europa.eu
Ansprüche des Betroffenen auf …
� Auskunft (§ 34)
� Berichtigung (§ 35)
� Löschung/Sperrung (§ 35)
� Erweiterung durch Datenschutz-Grundverordnung?
www.ehrenamt-europa.eu
Anspruch auf Löschung (§ 35), wenn …
� Speicherung (von Anfang an) unzulässig ist
� Daten für Zweck der Speicherung nicht mehr erforderlich sind (Klassiker: Vereinsaustritt)
� Sperrung statt Löschung unter bestimmten Voraussetzungen (Aufbewahrungsfristen, übermäßiger Aufwand bei Löschung)
17.10.2017
10
www.ehrenamt-europa.eu
Technische und organisatorische Maßnahmen (§ 9)
� Verein muss technische und organisatorische Maßnahmen treffen, um Datenschutz und Datensicherheit zu gewährleisten
� … soweit Aufwand dafür angemessen ist (also nicht das Teuerste und Neueste!)� Näheres siehe Anlage zu § 9 BDSG
„8 Gebote des Datenschutzes“Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeitskontrolle, Datentrennung
� Verschärfung durch Datenschutz-Grundverordnung?
www.ehrenamt-europa.eu
Dr. Frank Weller
Datenschutzbeauftragter (§ 4 d, f) …
ist vom Verein schriftlich zu bestellen,
� wenn in der Regel mehr als 9 Personen ständig mit
der automatisierten Verarbeitung personenbezogener
Daten beschäftigt werden
17.10.2017
11
www.ehrenamt-europa.eu
Datenschutzbeauftragter
� beschäftigt in diesem Sinne:jede(r), der (die)
im Auftrag des Vereins regelmäßig
mit Hilfe der EDV-Mitgliederverwaltungpersonenbezogene Daten
erhebt, verarbeitet oder nutzt,
� egal, ob als Ehrenamtler(in) oder gegen Vergütung im Verein tätig
www.ehrenamt-europa.eu
Datenschutzbeauftragter
� also z.B.:
� Vorstandsmitglieder
� Abteilungsleiter
� Webmaster
� externe Dienstleister
und …
17.10.2017
12
www.ehrenamt-europa.eu
Datenschutzbeauftragter
!… auch: Schreibkräfte, Kursleiter
Übungsleiter etc.,
die lediglich aus DV stammende Angaben
nutzen (z.B. Adressen, Teilnehmerlisten)
www.ehrenamt-europa.eu
Datenschutzbeauftragter
� nicht bestellt werden dürfen
� Mitglieder des Vorstands oder
� für die Datenverarbeitung des Vereins
verantwortliche Personen/EDV-Leiter
17.10.2017
13
www.ehrenamt-europa.eu
Datenschutzbeauftragter …
� muss die zur Aufgabenerfüllung
erforderliche Fachkunde + Zuverlässigkeit
haben
� abhängig von Art und Umfang der DV
� welche Daten?
� besonders sensible?
� wie viele?
www.ehrenamt-europa.eu
Datenschutzbeauftragter …
erhält zu Beginn seiner Tätigkeit vom Vorstand:
� „Verfahrensverzeichnis“ (§ 4e+g)
= Übersicht über im Verein praktizierte
Datenverarbeitung � Liste gem. § 4e Nr. 1-9:
� Welche Daten zu welchem Zweck? Wer hat Zugriff?
� Welche techn/org Schutzmaßnahmen? etc. …
� = „Status quo“ der Datenverarbeit
� Muster/Informationen:
https://www.datenschutzbeauftragter-info.de/oeffentliches-verfahrensverzeichnis-muster-vorlage-zum-download/
https://www.datenschutz.de/
17.10.2017
14
www.ehrenamt-europa.eu
t
� bestellt werden muss,
hat der Vereinsvorstand
die Aufgaben des Datenschutzbeauftragten
anders sicherzustellen (§ 4g Abs.2a)
Wenn kein Datenschutzbeauftragter …
www.ehrenamt-europa.eu
Datengeheimnis (§ 5)
� Den bei der DV beschäftigten* Personen ist untersagt, Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen
= Datengeheimnis
� Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis persönlich zu verpflichten!
� Belehrung + Abgabe Bestätigung, dass man das Datengeheimnis kennt und beachtet
Muster:
https://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/VerpflichtungDatengeheimnis1.html?nn=5217204
* wie vorher bei Datenschutzbeauftragtem
17.10.2017
15
www.ehrenamt-europa.eu
AnhangMuster Satzungsklausel
Technisch-organisatorische Maßnahmen
17.10.2017
16
17.10.2017
17
17.10.2017
18
www.ehrenamt-europa.eu
TEIL 2
Vereine im Internet- Überblick über den Datenschutz -
Dr. Frank WellerRechtsanwalt und Mediator
• wesentliche Rechtsgrundlage für Betreiber(Diensteanbieter) von Webseiten, Newsletter, Foren etc.:
� Telemediengesetz (TMG)
www.ehrenamt-europa.eu
Rechtliche Grundlagen
17.10.2017
19
Unterrichtung (§ 13 TMG)
Wer Daten erhebt, muss den Nutzer hierüber vorherunterrichten, und zwar über …
• Art, Umfang, Zweck der Datenerhebung und -
verwendung: was-wieviel-warum
� Datenschutzerklärung
• sowie über Datenverarbeitung in „unsicheren
Staaten“ (z.B. USA)
� Information und Einverständnis
Frage: Wohin und wozu werden Daten übermittelt?www.ehrenamt-europa.eu
EUEU--WirtschaftsraumWirtschaftsraum= EU = EU 28 28 + +
Liechtenstein, Liechtenstein, Norwegen, IslandNorwegen, Island
www.ehrenamt-europa.eu
„sichere „sichere Staaten“Staaten“
Von EU-Kommission anerkannte sichere Staaten: Schweiz, Kanada, Israel, Argentinien, Andorra, Färöer, Guernsey, Isle of Man, Jersey, Australien, Neuseeland und Uruguay.
17.10.2017
20
Daten in unsicheren Staaten
Problem insbesondere bei …
• Social Media Buttons (z.B. Facebook, Google+, Twitter)
� mögliche Lösung: „2 Klicks für mehr Datenschutz“
• Tracking-, Statistik-Software (z.B. Google Analytics)
– IP-Adresse als personenbezogene Information!
• Safe Harbor, Privacy Shield
Datenschutzerklärung
• Es muss mit offenen Karten gespielt werden
• BesucherInnen der Website sollen genau
erfahren,
� welche personenbezogenen Daten
� zu welchem Zweck (warum?)
� erhoben, gespeichert oder verwendet werden
17.10.2017
21
Beispiel: Datenschutzerklärung (1)
Bei jedem Zugriff Ihrerseits auf diese Webseiten werden Daten über diesen Vorgang gespeichert. Hierbei handelt es sich um folgende Informationen: IP-Adresse Ihres Rechners bzw. Internet-Service-Providers, von dem aus der Zugriff erfolgt, Datum und Uhrzeit des Zugriffs, verwendeter Browser, besuchte Webseite(n) und etwaige Dateidownloads. Diese Daten werden lediglich für statistische Zwecke und zur Verbesserung dieses Internet-Angebots im Hinblick auf Inhalt und Sicherheit gespeichert und genutzt und nicht auf Sie zurückführbar ausgewertet.
Datenschutzerklärung (2)
Sofern Sie über das Internet, beispielsweise via E-Mail oder Kontaktformular mit uns in Verbindung treten, speichern wir Ihre hierbei übermittelten personenbezogenen Daten (z.B. Name, Anschrift, E-Mail-Adresse sowie Ihre Ausführungen) elektronisch. Diese Daten werden nur für die von Ihnen beabsichtigten Zwecke (z.B. zur Beantwortung Ihrer Anfrage) verarbeitet oder genutzt und gelöscht, sobald der Zweck erledigt ist.
17.10.2017
22
Datenschutzerklärung (3)
Wenn Sie den hier angebotenen Newsletter beziehen möchten, erfragen und speichern wir Ihre personenbezogenen Daten, soweit dies erforderlich ist, um die Versendung des Newsletters zu gewährleisten oder die Versendung zu beenden. Hierbei handelt es sich insbesondere um Ihre E-Mail-Adresse sowie Angaben, die Ihre Identifikation ermöglichen (Vorname, Name und postalische Anschrift) und Auskunft über Beginn und Ende der Newsletter-Versendung geben. Zu anderen Zwecken werden diese Daten weder verarbeitet noch genutzt, es sei denn, Sie haben hierin durch besondere Erklärung eingewilligt.
Datenschutzerklärung (4)
Ihre personenbezogenen Daten werden gelöscht, wenn der Bezug des Newsletter beendet ist.
Jeder Nutzer hat im Rahmen der gesetzlichen Vorschriften des Telemediengesetzes bzw. des Bundesdatenschutzgesetzes das Recht auf Auskunft über die zu seiner Person gespeicherten Daten sowie auf Berichtigung, Löschung oder Sperrung seiner Daten.
17.10.2017
23
Löschen von Daten
www.ehrenamt-europa.eu
• Die Löschung von Daten ist eine besondere Form der Datenverarbeitung.
• Daten müssen u.a. gelöscht werden, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden !
Weitere Infos
� www.weller-hilft.de� jeweils Forum Ehrenamt
dort Magazin/Datenschutz oder …
� Infos zu(m) − Vereins- + Freiwilligenrecht − Datenschutz + Telemediengesetz− Fundraising− Fördermittel u.v.m.
� Kostenlos registrieren - anmelden - loslegen!
www.ehrenamt-europa.eu
17.10.2017
24
Herzlichen Dank!
THE END!
www.ehrenamt-europa.eu
• Europäisches Institut für das EhrenamtInhaber: Dr. Frank Weller
• Rechtsanwalt | Mediator Dr. Weller www.weller-hilft.de
• Ser-Ve OrganisationsberatungInhaberin: Karin Buchner www.ser-ve.de
www.ehrenamt-europa.eu
AnhangPersönlichkeitsrecht/Fotos
17.10.2017
25
Persönlichkeitsrecht
• schützt die Privat- und Intimsphäre
• Stichwort „Recht am eigenen Bild“
(§§ 22 f. KunstUrhG)
• Grundsatz: für Verbreitung/Veröffentlichung
von Fotos immer Einwilligung der fotografierten
Person erforderlichwww.ehrenamt-europa.eu
Fotos: Keine Einwilligung erforderlich, wenn …
• Foto zeitgeschichtliche Bedeutung hat
(auch örtlich/regional);
es genügt aber nicht, wenn allein die Person (z.B.
Bürgermeister) zeitgeschichtlich interessant ist,
vielmehr muss das Ereignis mit dieser Person
zeitgeschichtlich von Interesse sein
ja: Bgm besucht Vereinsjubiläum
nein: Bgm kauft privat Schuhe
17.10.2017
26
Keine Einwilligung , wenn … (2)
• Person = „Beiwerk“ neben Landschaft oder Örtlichkeit;
Kontrollfrage: Könnte die Person auch weggelassen werden?
• Person = TeilnehmerIn an Versammlung, Aufzug;
Veranstaltung muss im Vordergrund stehen,
keine zufällige Gruppenbildung
• satzungsgemäße Vereinsveranstaltungen?
� unter zeitgeschichtliches Ereignis oder Versammlung
einzuordnen (Sportveranstaltung, Mitgliederversammlung …)
Noch zu beachten:
• Rechtsprechung betrachtet satzungsgemäße Vereinsveranstaltungen meist als zeitgeschichtliche Ereignisse.
• Ausnahme von der Ausnahme: Es darf in keinem Fall ein berechtigtes Interesse der abgebildeten Person oder, falls diese verstorben ist, ihrer Angehörigen verletzt werden, insbesondere darf man Personen nicht in herabwürdigender Weise fotografieren.
• Gerichte: Abwägung auf mehreren Ebenen
17.10.2017
27
Einwilligung bei Bezahlung und nach dem Tod
• Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt (§ 22 KunstUrhG)
• nach dem Tod des Abgebildeten bedarf es bis zum Ablauf von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten (§ 22)