Informationspflichten

Informationspflichten für Vereine nach Art. 13 DSGVO

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.

Seit Februar 2021 steht nun für Vereine ein Generator für „Datenschutzinformationen“ auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.

Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.

Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.

Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.

Weitere Hilfestellungen für Vereine durch den LfDI BW

Bereits in der 2. Auflage ist der Praxisratgeber „Datenschutz im Verein nach der DS-GVO“ (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.

Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.

Wenn alle Stricke reißen

Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO geleakt

Auch wenn sich die meisten Betroffenen nicht für die Angaben zu den Informationspflichten nach Art. 13 und 14 DSGVO interessieren, ist es uns gelungen, diese Angaben dem Weihnachtsmann und seinem Team zu entlocken. Wie es scheint, gab es da oben aber schon einiges an Glühwein. Anders können wir uns dieses Dokument nicht erklären. Doch lesen Sie selbst oder laden das PDF im Anhang.

Wir wünschen allen LeserInnen unseres Blogs und Newsletters ein gesegnetes Weihnachtsfest und einen guten Rusch ins Neue Jahr. Bitte bleiben Sie gesund #flattenthecurve

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO

Im Rahmen dieses Dokuments informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten in unserer Organisation, auch wenn das eigentlich niemanden interessiert. Alle wollen immer nur Geschenke.

Verantwortliche Stelle: Der Weihnachtsmann, Christbaumstraße, 99999 Wolkenschlosss. Wir sind ausschließlich per Wunschzettel erreichbar.

Datenschutzbeauftragter: Das Christkind. Kontakt via Notiz auf dem Wunschzettel.

Sie wollen doch was von uns, nämlich Geschenke. Also her mit Vornamen (bei Kindern unter 18 Jahren ausreichend) und / oder Nachname, Adresse (wäre toll, wenn Sie ausnahmsweise mal nicht verschlüsselt, sondern leserlich schreiben), dem Weihnachtswunsch (Dezenter Hinweis: Das sind Wünsche, keine Bestellungen!). Wir ergänzen unsererseits Ihr Betragen im letzten Jahr.

Die Rechtsgrundlagen unserer Verarbeitung sind ganz einfach: Sie bekommen Geschenke, wir Ihre Daten.

Falls Rudi und seine Kollegen mal wieder zu viele Weihnachtskekse gefressen haben, geben wir Ihre Daten ungefragt an Versanddienstleister zwecks Zustellung der Geschenke weiter. Da wir auch in Deutschland tätig sind, erhält die Buchhaltung noch über alles einen Beleg. Sie kennen das ja mit diesem Finanzamt, die verstehen keinen Spaß.

Wir erbringen unsere Leistungen zwar aus einem Wolkenschloss, nutzen aber ansonsten keinerlei Cloud-Services. Zur Sicherstellung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO stehen uns jedoch ausreichend Schutzmaßnahmen in Form von

zur Verfügung. Lassen Sie sich vom niedlichen Äußeren nicht täuschen.

Ihre Daten löschen wir direkt bei Wegfall des Verwendungszwecks mit der Zustellung des Geschenks. Reklamationen direkt bei uns sind daher ausgeschlossen. Wir wissen von nichts! Nachfragen zwecklos.

Für gewöhnlich erhalten wir Ihre Daten direkt von Ihnen. Ausnahmen sind Wünsche, die von Verwandten in direkter bzw. indirekter Linie für Sie übermittelt werden. Ok, manchmal auch von Freunden. Aber nur von wirklich guten Freunden … „Engel!! Wer hat jetzt schon wieder das Wasser gegen diesen Anisschnaps ausgetauscht?“

Wir selbst recherchieren keine personenbezogenen Daten z.B. in sozialen Netzwerken. Das würde uns zwar einiges an Arbeit sparen, da zahlreiche Geschenke entfallen könnten, aber wir wollen mal nicht so sein. Ist ja schließlich Weihnachten. Aber: „Maik und Ingrid, löscht doch bitte mal die Bilder von eurem letzten Party-Absturz. Die will wirklich keiner sehen!“

Sie haben zwar das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO), nur was wollen Sie fragen, was Sie nicht selbst schon alles über sich wissen? Nein, unser Auskunftsservice steht nicht zur Verfügung, um die Lücken Ihres letzten Hang Over zu schließen.

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Dann gibt es aber auch keine Geschenke – ganz einfach. Allabätsch!

Weiterhin besteht ein Beschwerderecht bei einer Datenschutzaufsicht Ihrer Wahl. Auswirkungen einer solchen Beschwerde auf zukünftige Geschenke sind Zufall und keinesfalls in Verbindung mit Ihrer Beschwerde zu sehen.

Und jetzt: Gesegnete Feiertage! Wir haben zu arbeiten, also sehen Sie bitte von Nachfragen ab.

Weihnachtsmann und Team

PS: Bitte schwärzen Sie im Zuge der DSGVO weder Namen und Anschrift auf Ihrem Wunschzettel. DANKE!

291 Downloads

Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster

Seit Montag, den 11. Mai 2020 (in Bayern ab 18.05.) dürfen Gastronomiebetriebe und zahlreiche andere Einrichtungen des alltäglichen Lebens wieder öffnen. Die Auflagen zu Abstand und maximale Gäste- / Käufer-Zahl auf der Verkaufsfläche sind durchaus eine Herausforderung für die Betreiber der Einrichtungen. Bei all den Anforderungen wird der Datenschutz schnell vergessen. Wir helfen mit unserem kostenlosen Muster Informationspflichten für Besucher von Gastronomie und anderen Einrichtungen im Zuge der Corona-Pandemie, entwickelt gemeinsam mit RA Stephan Hansen-Oest.

Welche personenbezogenen Daten von Besuchern sind zu notieren?

Einig sind sich die Länderverordnungen in dem Punkt, dass Name und Rufnummer der Besucher zu notieren und auf Verlangen der Gesundheitsbehörde im Verdachtsfall einer Infektion herauszugeben sind. Teilweise sind die dazugehörigen Verordnungen bzw. Anforderungen noch etwas schwammig bzw. zu unkonkret. Das wird in den nächsten Tagen sicher nachjustiert. So steht z.B. noch die Frage im Raum, ob die jeweilige Einrichtung die notierten Angaben z.B. anhand eines Ausweisdokuments verifizieren muss. Auch bei den Löschfristen finden sich nicht überall konkrete Angaben. Das Bundesland NRW sieht beispielsweise die Vernichtung der personenbezogenen Daten nach 1 Monat vor.

Übrigens: Da nirgendwo von einer Unterschrift durch die Besucher die Rede ist, wäre es auch eine Möglichkeit, die Daten auf elektronischem Wege zu erheben. So könnten Sie auch Reservierungssysteme nutzen, sofern die Angaben darin zusätzlich / ergänzend erfasst werden können.

Um der Papierflut bzw. Zettelwirtschaft Herr zu werden, wäre auch die abendliche Digitalisierung sprich das Einscannen der erfassten Daten in einen dazugehörigen Datums-Ordner vielleicht ganz hilfreich. Würde nebenbei die Übergabe an die zuständige Gesundheitsbehörde im Rahmen einer Anforderungen der Daten erleichtern und es reihen sich bei Ihnen nicht Ordner an Ordner mit den erhobenen Daten. Die Kür wäre natürlich ein Scan mit OCR, was aber eine möglichst „unverschlüsselte“ Handschrift der Eintragen voraussetzt 🙂

Informationspflichten nach Art. 13 DSGVO an die Besucher nicht vergessen

Egal, in welchem Umfang oder auf welche Art (analog per Formular / Besucherliste oder digital z.B. in Form von Excel-Tabellen) Sie die Daten Ihrer Besucher erheben, es sind die Angaben zu den Informationspflichten nach Art. 13 DSGVO zu erfüllen. Dies kann beispieslweise mittels Aushang vor Ort und einem mündlichen Hinweis an Ihre Besucher geschehen. Hier zählt Pragmatismus in Anbetracht der angespannten Situation. Ein passendes kostenloses Muster hierzu haben wir gemeinsam mit dem in der Branche wohlbekannten Rechtsanwalt Stephan Hansen-Oest (https://www.datenschutz-guru.de) entwickelt. Nach dem Download sollten sie dieses bitte auf Ihre Einrichtung anpassen und bei Bedarf ergänzen oder überflüssige Angaben streichen.

Denken Sie bitte an das Verzeichnis für Verarbeitungstätigkeiten

Diese Erhebung von personenbezogenen Daten im Rahmen der Corona-Pandemie sollte sich ebenfalls in Ihrem Verzeichnis für Verarbeitungstätigkeiten wiederfinden. Sie haben noch keins? Tipps und Tricks dazu entweder bei RA Hansen-Oest oder bei uns hier im Blog.

Kostenloses Muster Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie

Wir, also Stephan Hansen-Oest und a.s.k. Datenschutz, stellen Ihnen dieses unverbindliche Muster kostenfrei zur Verfügung. Bitte beachten Sie dabei:

  • Passen Sie bitte die Bezüge zu den aktuell geltenden Landesverordnungen bzw. Rechtsanwendungen an
  • Fair Use: Diese Vorlage kann gerne in der Praxis von Organisationen genutzt und verändert werden. Wir (RA Hansen-Oest und a.s.k. Datenschutz Sascha Kuhrau) möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.
  • Haftung: Diese Vorlage stellt lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen

Anregungen und Ergänzungen für die Vorlagen? Dann immer her damit.

Allgemeines Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher
19608 Downloads

Auf Freistaat Bayern angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher in Bayern
12426 Downloads

Auf Hessen angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher Hessen
9610 Downloads

Auf Schleswig-Holstein angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher Schleswig Holstein
1340 Downloads

Fragen Sie Ihren (externen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpassung von diesen Vorlagen für Ihre Organisation etwas schief geht und Ihnen möglicherweise Ungemach durch die Datenschutzaufsicht droht, binden Sie bitte Ihren Datenschutzbeauftragten frühzeitig in das Thema Informationspflichten mit ein. Sie haben keinen Datenschutzbeauftragten? Möglicherweise unterliegen Sie der gesetzlichen Pflicht zur Benennung, aber auch ohne deren Vorliegen ist ein Datenschutzbeauftragter der Profi für Ihre Fragen rund um das Thema Datenschutz. Gerne unterbreiten wir Ihnen ein Angebot für einen externen Datenschutzbeauftragten.

Versionshistorie

Update 12.05.2020: Nutzerhinweis auf Benennung statt Bestellung eines DSB aufgegriffen und Wortwahl entsprechend angepasst

Update 13.05.2020: Mustervorlage zur Datenerfassung Gastronomie als Anhang ergänzt

Update 14.05.2020: Version mit ersten Anpassungen auf Freistaat Bayern veröffentlicht

Update 16.05.2020: Version mit Anpassungen auf konkrete Verordnung in Hessen veröffentlicht

Update 18.05.2020: Version Schleswig-Holstein veröffentlicht