Datenschutzbeauftragter

Datenschutzbeauftragter

ab dem 25.5.2018

Pfarrer Oliver van Meeren

Am Dachshübel 25

66127 Saarbrücken

 

DSGVO

Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG). 

Pfarrgemeinden verwalten an erster Stelle

die Mitgliedsdaten der Kirche!

Die wichtigste Informationsgrundlage ist dabei die Übermittlung aus dem staatlichen Melderegister. Ergänzt wird sie durch kirchliche Amtshandlungsdaten und ergibt zusammen das Gemeindemitgliederverzeichnis.

  • Wie ist hiermit umzugehen?
  • Welche datenschutzrechtlichen Vorgaben sind zu berücksichtigen?

Wir haben hierzu eine Arbeitshilfe erstellt, die über diese Fragen und die Lösung weiterer Problemsituationen informiert.

Datenschutz im Pfarrbüro

Zeugnisverweigerungsrecht und
Schweigepflicht
 
 

Cookies

In unserer Webseite werden Cookies (kleine Dateien) verwendet. Die meisten Browser sind so eingestellt, dass sie die Verwendung von Cookies akzeptieren; diese Funktion können Sie aber durch die Einstellung des Internetbrowsers für die laufende Sitzung oder dauerhaft abschalten. Näheres erfahren Sie hierzu in der „Hilfe“ Ihres Browsers. Sie können Ihren Internetbrowser so einstellen, dass er entweder alle Cookies automatisch akzeptiert, alle Cookies automatisch ablehnt oder Sie bei jedem Cookie fragt, ob Sie es akzeptieren oder ablehnen möchten.

Technische Cookies (für den besseren Komfort beim Surfen) löscht Ihr Browser in der Regel, sobald Sie unsere Seite verlassen oder Ihren Browser abschalten. Für Auswertung und Statistiken erforderliche Cookies löscht Google Analytics spätestens jährlich.

Die rechtliche Grundlage für die Verwendung von Cookies findet sich in § 6 Abs.1 g) KDG. Die Verwendung von Cookies ist erforderlich, um Ihnen die Bedienung der Webseite zu erleichtern und uns statistische Daten über die Nutzung unserer Angebote zu liefern um sie ggfls.  verbessern zu können.

Soziale Netzwerke (Facebook, Twitter)

Um Ihnen das Teilen („Sharing“) von Inhalten zu erleichtern, bieten wir Verknüpfungen zu sozialen Netzwerken wie Facebook (Betreiber: Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA) und Twitter (Betreiber: Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA) an. Standardmäßig sind die Buttons deaktiviert und haben keinen Kontakt mit den Servern des jeweiligen Anbieters. Zur Nutzung des Buttons müssen Sie ihn jeweils anklicken (und zwar auf jeder Seite neu.) Sobald Sie dann den aktivierten Button anklicken, werden Sie auf die Server von Facebook bzw. Twitter weitergeleitet, wobei Ihre IP-Adresse und die zuletzt besuchte Internetseite an das jeweilige soziale Netzwerk übermittelt werden können. Sofern ein Cookie des sozialen Netzwerks auf Ihrem Rechner abgelegt wurde oder Sie sich im Anschluss bei dem sozialen Netzwerk einloggen, können die Anbieter diese Informationen mit Ihrem Nutzerprofil in Verbindung bringen.

Wir weisen ausdrücklich darauf hin, dass wir keine Kenntnis vom Umfang und Inhalt der an die jeweiligen sozialen Netzwerke übermittelten Daten sowie deren Verarbeitung und Nutzung durch die jeweiligen sozialen Netzwerke haben.

Weitere Informationen zum Datenschutz bei Facebook finden Sie in der Datenschutzerklärung von Facebook unter www.facebook.com/policy.php.

Weitere Informationen zum Datenschutz bei Twitter finden Sie in der Datenschutzerklärung von Twitter unter twitter.com/de/privacy .

Datenschutz im Verein und die neue Datenschutz-Grundverordnung

 

Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG).

Die neuen Regelungen gelten nicht nur für „Unternehmen“ (Art. 4 Nr. 18 DS-GVO), sondern für alle natürlichen und juristischen Personen – auch für Vereine
Die meisten der geltenden Vorschriften sind aber nicht neu, sondern ergaben sich schon bisher aus dem BDSG.

Welche Daten müssen geschützt werden?

Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder, daneben aber auch Spender, Klienten, Kunden usf. Typischerweise erhoben werden Name und Anschrift, Geburtsdatum, Eintrittsdatum, Bankverbindung u.ä. All das sind personenbezogene Daten. Die Art der Erfassung (digital oder auf Papier) spielt keine Rolle.

Der Datenschutz bezieht sich auf das Erheben, Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen (jede Verwendung) von Daten.


Erlaubnis

In vielen Fällen müssen die Betroffenen die Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Das ist nicht erforderlich, wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden müssen. Bei Vereinen ist diese vertragliche Beziehung die Mitgliedschaft. Die für die Mitgliederverwaltung erforderlichen Daten dürfen also in jeden Fall verwendet werden.

Das gleiche gilt, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Das gilt z.B. für Spender. Hier müssen die Spendenbescheinigungen mit ihren Daten 10 Jahre aufbewahrt werden.
Zuständigkeit

Zuständig für den zum Schutz personenbezogener Daten ist der Vorstand.
Wenn im Verein mehr als neun Personen mit der Datenverarbeitung beschäftigt, muss er einen Datenschutzbeauftragten bestellen, der selbst nicht Vorstandsmitglied sein darf. Die meisten Vereine müssen also keinen Datenschutzbeauftragten haben.

Bestellt wird der Datenschutzbeauftragte in der Regel durch den Vorstand. Er muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. (§ 4 f Abs. 2 BDSG). Dazu gehören neben Kenntnissen über den Verein auch Grundkenntnisse im Datenschutzrecht.

Die Personen, die mit der Datenverarbeitung befasst sind, müssen auf das Datengeheimnis verpflichtet werden. Dazu sollte der Verein ein entsprechendes Merkblatt vorbereiten und per Unterschrift bestätigen lassen.


Umgang mit Daten

Der Verein darf die von ihm gesammelten Daten nur im Rahmen des BDSG oder einer anderen Rechtsvorschrift nutzen. Die Datenschutzbestimmungen können nicht per Satzung eingeschränkt werden.

Das Erheben, Speichern, Ändern oder Übermitteln personenbezogener Daten oder ihre Nutzung ist nur zulässig, wenn dies für die Erfüllung des Vereinszweckes erforderlich ist. Das gilt insbesondere für Anschrift und Bankdaten der Mitglieder.

Nach § 4 Abs. 3 BDSG muss der Betroffene über die folgende Umstände informiert werden:

  • die Identität der verantwortlichen Stelle (= der Verein)
  • die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
  • über die Empfänger, soweit die Daten weitergeleitet werden und er nicht mit einer Übermittlung zu rechnen hatte.

Es empfiehlt sich, schon beim Vereinsbeitritt eine entsprechende Einverständniserklärung einzuholen.
Übermittlung von Daten

Teilweise muss der Verein Daten von Mitgliedern weitergeben. Ob das zulässig ist, hängt vom Einzelfall ab:

  • Weitergabe an andere Mitglieder: i.d.R. nur im Sonderfall; das ist vor allem das Minderheitenbegehren nach § 37 BGB
  • Weitergabe an Verbände: Die ist regelmäßig zulässig, wenn sie sich schon aus der Vereinstätigkeit ergibt (z.B. Wettkampfmeldungen). Geht die Datenweitergabe darüber hinaus, sollte das in der Satzung geregelt werden oder in der Einverständniserklärung benannt werden.
  • Veröffentlichung von Daten: Die Veröffentlichung (Mitteilungsblatt, Schwarzes Brett) ist zulässig, wenn sie dem Vereinszweck dient, z.B. bei Mannschaftsaufstellungen oder Spielergebissen. Nicht zulässig ist regelmäßig die Veröffentlichung der Namen in Fällen mit „ehrenrührigem“ Inhalt wie Hausverboten, Vereinsstrafen oder Spielersperren
  • Veröffentlichung im Internet: Hier ist besondere Zurückhaltung geboten. Die Veröffentlichung personenbezogener Daten durch einen Verein im Internet ist grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat.
    Informationen über Vereinsmitglieder(z.B. Spielergebnisse und persönliche Leistungen, Mannschaftsaufstellungen, Ranglisten, Torschützen usw.) oder Dritte (z.B. Ergebnisse externer Teilnehmer) können i.d.R. auch ohne Einwilligung kurzzeitig ins Internet gestellt werden, wenn die Betroffenen darüber informiert sind.
  • Persönliche Nachrichten, wie z.B. zu Spenden, Geburtstagen und Jubiläen sind in der Regel unproblematisch. Das Mitglied kann dem aber widersprechen.
  • Die Weitergabe zu Werbezwecken (etwa an Sponsoren) darf nur mit Zustimmung des jeweiligen Mitglieds erfolgen.
  • Ein besonderes Schutzinteresse ergibt sich oft aus dem Vereinszweck (z.B. bei Selbsthilfevereinen zu Erkrankungen). Hier dürfen die Daten nicht ohne Zustimmung weitergegeben oder veröffentlicht werden.

Widerspruchs- und Auskunftsrecht

Grundsätzlich darf der Verein keine personenbezogenen Daten erheben, speichern oder weitergeben, wenn er nicht über eine Einwilligung verfügt oder eine entsprechende Rechtsgrundlage besteht. Diese Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Es können aber in diesem Fall andere Erlaubnistatbestände vorliegen.

Zentraler Punkt des Datenschutzes ist zudem das Recht des Betroffenen auf Auskunft. Er muss darüber informiert werden, in welchem Umfang Daten von ihm gespeichert sind. Dieses Auskunftsrecht ist in Artikel 15 der DS-GVO zweistufig ausgestaltet. Danach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob (= 1. Stufe) überhaupt Daten verarbeitet werden. Ist dies der Fall, hat die Person ein Recht auf Auskunft über diese personenbezogenen Daten (= 2. Stufe).

Hier besteht auch das Recht auf unentgeltliche Überlassung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Wenn das Mitglied feststellt, dass die gespeicherten Daten nicht korrekt sind, hat es ein Recht auf Berichtigung (beispielsweise Namensänderung).

Die Mitglieder haben in den folgenden Fällen ein Recht auf Vergessen (d.h. die Löschmung der Daten):

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Eine weiteres Recht der Mitglieder und betroffenen Personen und damit eine Verpflichtung für den Verein besteht in der Benachrichtigungspflicht des Vereins bei der Verletzung datenschutz-rechtlicher Verpflichtungen. Diese Verpflichtung besteht nur dann nicht, wenn der Verein im Vorfeld die geeigneten technischen und organisatorischen Maßnahmen ergriffen hat.

Beispiel: Es wurde in die Geschäftsstelle eingebrochen und der Computer mit den Mitgliederdaten wurde gestohlen. Die Benachrichtigungspflicht entfällt, wenn der Computer mit einem Passwort geschützt war und die Daten verschlüsselt waren.
Datenübertragbarkeit

Neu ist in der DS-GVO das Recht auf Datenübertragbarkeit (Art. 20). Die betroffene Person hat danach das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verein bereitgestellt hat, in einem gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf Datenübertragbarkeit beinhaltet, dass diese Daten beispielsweise einem anderen Verein übermittelt werden.

Verzeichnis der Verarbeitungstätigkeiten

Die DS-GVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Das gilt auch für kleinere Vereine, da die Datenverarbeitung nicht nur gelegentlich erfolgt (Art. 30 Abs. 5 DS-GVO). Es muss folgende Punkte umfassen:

  • Namen und Kontaktdaten des Verantwortlichen: Name und Anschrift des Vereins
  • Ansprechpartner: Vorstandsvorsitzender und evtl. Datenschutzbeauftragter
  • Verarbeitungstätigkeiten: in jedem Fall „Mitgliederverwaltung“; evtl. weitere Zwecke z.B.“Betreuungsleistungen“ (Kindergartenverein)
  • Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten: z.B. „Mitglieder“, „betreute Personen“ usf. Die Kategorien der Daten ergeben sich aus den Daten selbst (Anschrift, Geburtsdatum, Bankdaten etc.)
  • Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden, z.B. Verbände, Versicherungsgesellschaften, Sozialversicherungsträger usf.
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien, z. B. Aufbewahrungsfrist für Zuwendungsbestätigungen

Empfehlung: Nehmen Sie zu dem Verarbeitungsnachweis zusätzlich auf, dass Sie die betroffenen Personen auf die Verarbeitung hingewiesen haben.


Auftragsverarbeitung

Externe Dienstleister mit denen Verein zusammenarbeitet, bezeichnet die DS-GVO „Auftrags-verarbeiter“. Hier sind folgende Punkte zu beachten:

  • eine sorgfältige Auswahl des Dienstleiters („Auftragverarbeiters“)
  • In eine entsprechende vertragliche Vereinbarung sollten Regelungen zum Datenschutz aufgenommen werden.
  • Kontrolle: Der Auftragsverarbeiter sollte seine Datenschutzmaßnahmen (am besten vertraglich) darstellen. Eventuell sollte der Verein das kontrollieren.
  • Beendigung des Vertrages: Müssen Unterlagen zurückgegeben werden? Sind Löschungen vorzunehmen?


Bußgeldvorschriften

Drastische Änderungen enthält die DS-GVO bei der Höhe der Bußgelder. Im Extremfall können bis zu 40 Mio. Euro anfallen. Damit soll eine abschreckende Wirkung erzielt werden. Natürlich werden bei Vereinen im Fall von Verstößen keine so dramatischen Beträge fällig, vier- bis fünfstellige Bußgelder sind aber denkbar.

Nach Artikel 82 der DS-GVO haben Personen, die wegen eines Verstoßes gegen die Verordnung einen immateriellen Schaden erleiden, einen Schadensersatzanspruch. Ein solcher immaterieller Schaden kann beispielweise in einer Rufschädigung bestehen.