Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.

Seit Februar 2021 steht nun für Vereine ein Generator für „Datenschutzinformationen“ auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.

Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.

Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.

Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.

Weitere Hilfestellungen für Vereine durch den LfDI BW

Bereits in der 2. Auflage ist der Praxisratgeber „Datenschutz im Verein nach der DS-GVO“ (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.

Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.

Wenn alle Stricke reißen

Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.

Auch wenn sich die meisten Betroffenen nicht für die Angaben zu den Informationspflichten nach Art. 13 und 14 DSGVO interessieren, ist es uns gelungen, diese Angaben dem Weihnachtsmann und seinem Team zu entlocken. Wie es scheint, gab es da oben aber schon einiges an Glühwein. Anders können wir uns dieses Dokument nicht erklären. Doch lesen Sie selbst oder laden das PDF im Anhang.

Wir wünschen allen LeserInnen unseres Blogs und Newsletters ein gesegnetes Weihnachtsfest und einen guten Rusch ins Neue Jahr. Bitte bleiben Sie gesund #flattenthecurve

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO

Im Rahmen dieses Dokuments informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten in unserer Organisation, auch wenn das eigentlich niemanden interessiert. Alle wollen immer nur Geschenke.

Verantwortliche Stelle: Der Weihnachtsmann, Christbaumstraße, 99999 Wolkenschlosss. Wir sind ausschließlich per Wunschzettel erreichbar.

Datenschutzbeauftragter: Das Christkind. Kontakt via Notiz auf dem Wunschzettel.

Sie wollen doch was von uns, nämlich Geschenke. Also her mit Vornamen (bei Kindern unter 18 Jahren ausreichend) und / oder Nachname, Adresse (wäre toll, wenn Sie ausnahmsweise mal nicht verschlüsselt, sondern leserlich schreiben), dem Weihnachtswunsch (Dezenter Hinweis: Das sind Wünsche, keine Bestellungen!). Wir ergänzen unsererseits Ihr Betragen im letzten Jahr.

Die Rechtsgrundlagen unserer Verarbeitung sind ganz einfach: Sie bekommen Geschenke, wir Ihre Daten.

Falls Rudi und seine Kollegen mal wieder zu viele Weihnachtskekse gefressen haben, geben wir Ihre Daten ungefragt an Versanddienstleister zwecks Zustellung der Geschenke weiter. Da wir auch in Deutschland tätig sind, erhält die Buchhaltung noch über alles einen Beleg. Sie kennen das ja mit diesem Finanzamt, die verstehen keinen Spaß.

Wir erbringen unsere Leistungen zwar aus einem Wolkenschloss, nutzen aber ansonsten keinerlei Cloud-Services. Zur Sicherstellung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO stehen uns jedoch ausreichend Schutzmaßnahmen in Form von

zur Verfügung. Lassen Sie sich vom niedlichen Äußeren nicht täuschen.

Ihre Daten löschen wir direkt bei Wegfall des Verwendungszwecks mit der Zustellung des Geschenks. Reklamationen direkt bei uns sind daher ausgeschlossen. Wir wissen von nichts! Nachfragen zwecklos.

Für gewöhnlich erhalten wir Ihre Daten direkt von Ihnen. Ausnahmen sind Wünsche, die von Verwandten in direkter bzw. indirekter Linie für Sie übermittelt werden. Ok, manchmal auch von Freunden. Aber nur von wirklich guten Freunden … „Engel!! Wer hat jetzt schon wieder das Wasser gegen diesen Anisschnaps ausgetauscht?“

Wir selbst recherchieren keine personenbezogenen Daten z.B. in sozialen Netzwerken. Das würde uns zwar einiges an Arbeit sparen, da zahlreiche Geschenke entfallen könnten, aber wir wollen mal nicht so sein. Ist ja schließlich Weihnachten. Aber: „Maik und Ingrid, löscht doch bitte mal die Bilder von eurem letzten Party-Absturz. Die will wirklich keiner sehen!“

Sie haben zwar das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO), nur was wollen Sie fragen, was Sie nicht selbst schon alles über sich wissen? Nein, unser Auskunftsservice steht nicht zur Verfügung, um die Lücken Ihres letzten Hang Over zu schließen.

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Dann gibt es aber auch keine Geschenke – ganz einfach. Allabätsch!

Weiterhin besteht ein Beschwerderecht bei einer Datenschutzaufsicht Ihrer Wahl. Auswirkungen einer solchen Beschwerde auf zukünftige Geschenke sind Zufall und keinesfalls in Verbindung mit Ihrer Beschwerde zu sehen.

Und jetzt: Gesegnete Feiertage! Wir haben zu arbeiten, also sehen Sie bitte von Nachfragen ab.

Weihnachtsmann und Team

PS: Bitte schwärzen Sie im Zuge der DSGVO weder Namen und Anschrift auf Ihrem Wunschzettel. DANKE!

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Dashcams im Straßenverkehr und der Datenschutz

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag. 

Die Funktionsweise  

Dashcams sollen insbesondere das Verkehrsgeschehen und -unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können – einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht. 

Dashcams in der praktischen Anwendung 

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden. 

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter. 

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite

Die Frage zur Zulässigkeit von Dashcams vor dem BGH 

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.  

Überwiegende Interessen beim Einsatz von Dashcams 

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten. 

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten. 

Muster Informationspflichten

Seit Montag, den 11. Mai 2020 (in Bayern ab 18.05.) dürfen Gastronomiebetriebe und zahlreiche andere Einrichtungen des alltäglichen Lebens wieder öffnen. Die Auflagen zu Abstand und maximale Gäste- / Käufer-Zahl auf der Verkaufsfläche sind durchaus eine Herausforderung für die Betreiber der Einrichtungen. Bei all den Anforderungen wird der Datenschutz schnell vergessen. Wir helfen mit unserem kostenlosen Muster Informationspflichten für Besucher von Gastronomie und anderen Einrichtungen im Zuge der Corona-Pandemie, entwickelt gemeinsam mit RA Stephan Hansen-Oest.

Welche personenbezogenen Daten von Besuchern sind zu notieren?

Einig sind sich die Länderverordnungen in dem Punkt, dass Name und Rufnummer der Besucher zu notieren und auf Verlangen der Gesundheitsbehörde im Verdachtsfall einer Infektion herauszugeben sind. Teilweise sind die dazugehörigen Verordnungen bzw. Anforderungen noch etwas schwammig bzw. zu unkonkret. Das wird in den nächsten Tagen sicher nachjustiert. So steht z.B. noch die Frage im Raum, ob die jeweilige Einrichtung die notierten Angaben z.B. anhand eines Ausweisdokuments verifizieren muss. Auch bei den Löschfristen finden sich nicht überall konkrete Angaben. Das Bundesland NRW sieht beispielsweise die Vernichtung der personenbezogenen Daten nach 1 Monat vor.

Übrigens: Da nirgendwo von einer Unterschrift durch die Besucher die Rede ist, wäre es auch eine Möglichkeit, die Daten auf elektronischem Wege zu erheben. So könnten Sie auch Reservierungssysteme nutzen, sofern die Angaben darin zusätzlich / ergänzend erfasst werden können.

Um der Papierflut bzw. Zettelwirtschaft Herr zu werden, wäre auch die abendliche Digitalisierung sprich das Einscannen der erfassten Daten in einen dazugehörigen Datums-Ordner vielleicht ganz hilfreich. Würde nebenbei die Übergabe an die zuständige Gesundheitsbehörde im Rahmen einer Anforderungen der Daten erleichtern und es reihen sich bei Ihnen nicht Ordner an Ordner mit den erhobenen Daten. Die Kür wäre natürlich ein Scan mit OCR, was aber eine möglichst „unverschlüsselte“ Handschrift der Eintragen voraussetzt 🙂

Informationspflichten nach Art. 13 DSGVO an die Besucher nicht vergessen

Egal, in welchem Umfang oder auf welche Art (analog per Formular / Besucherliste oder digital z.B. in Form von Excel-Tabellen) Sie die Daten Ihrer Besucher erheben, es sind die Angaben zu den Informationspflichten nach Art. 13 DSGVO zu erfüllen. Dies kann beispieslweise mittels Aushang vor Ort und einem mündlichen Hinweis an Ihre Besucher geschehen. Hier zählt Pragmatismus in Anbetracht der angespannten Situation. Ein passendes kostenloses Muster hierzu haben wir gemeinsam mit dem in der Branche wohlbekannten Rechtsanwalt Stephan Hansen-Oest (https://www.datenschutz-guru.de) entwickelt. Nach dem Download sollten sie dieses bitte auf Ihre Einrichtung anpassen und bei Bedarf ergänzen oder überflüssige Angaben streichen.

Denken Sie bitte an das Verzeichnis für Verarbeitungstätigkeiten

Diese Erhebung von personenbezogenen Daten im Rahmen der Corona-Pandemie sollte sich ebenfalls in Ihrem Verzeichnis für Verarbeitungstätigkeiten wiederfinden. Sie haben noch keins? Tipps und Tricks dazu entweder bei RA Hansen-Oest oder bei uns hier im Blog.

Kostenloses Muster Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie

Wir, also Stephan Hansen-Oest und a.s.k. Datenschutz, stellen Ihnen dieses unverbindliche Muster kostenfrei zur Verfügung. Bitte beachten Sie dabei:

  • Passen Sie bitte die Bezüge zu den aktuell geltenden Landesverordnungen bzw. Rechtsanwendungen an
  • Fair Use: Diese Vorlage kann gerne in der Praxis von Organisationen genutzt und verändert werden. Wir (RA Hansen-Oest und a.s.k. Datenschutz Sascha Kuhrau) möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.
  • Haftung: Diese Vorlage stellt lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen

Anregungen und Ergänzungen für die Vorlagen? Dann immer her damit.

Allgemeines Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Freistaat Bayern angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Hessen angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Schleswig-Holstein angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Fragen Sie Ihren (externen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpassung von diesen Vorlagen für Ihre Organisation etwas schief geht und Ihnen möglicherweise Ungemach durch die Datenschutzaufsicht droht, binden Sie bitte Ihren Datenschutzbeauftragten frühzeitig in das Thema Informationspflichten mit ein. Sie haben keinen Datenschutzbeauftragten? Möglicherweise unterliegen Sie der gesetzlichen Pflicht zur Benennung, aber auch ohne deren Vorliegen ist ein Datenschutzbeauftragter der Profi für Ihre Fragen rund um das Thema Datenschutz. Gerne unterbreiten wir Ihnen ein Angebot für einen externen Datenschutzbeauftragten.

Versionshistorie

Update 12.05.2020: Nutzerhinweis auf Benennung statt Bestellung eines DSB aufgegriffen und Wortwahl entsprechend angepasst

Update 13.05.2020: Mustervorlage zur Datenerfassung Gastronomie als Anhang ergänzt

Update 14.05.2020: Version mit ersten Anpassungen auf Freistaat Bayern veröffentlicht

Update 16.05.2020: Version mit Anpassungen auf konkrete Verordnung in Hessen veröffentlicht

Update 18.05.2020: Version Schleswig-Holstein veröffentlicht