Datenschutz-Grundverordnung (DSGVO)

Hinweise

© Jürgen Liebenstein V04.09.2018 | Stand: DSGVO komplett | Erwägungsgründe teilweise | Bundesdatenschutzgesetz (neu) komplett

---

Vorwort

Diese Übersicht dient nicht als Datenschutzerklärung, sondern soll Informationen in komprimierter Form zu vielen wichtigen, kleinen Themen rund um die DSGVO liefern. Diese Übersicht wird derzeit noch regelmäßig und wohl auch nach dem 25.05.2018 weiter aktualisiert. Bitte achten Sie auf das Datum oben. In der Sektion Update (ganz am Ende dieses Dokuments) werden alle Änderungen verzeichnet, so dass Sie immer in der Lage sind zu sehen, was ist seit dem letzten Besuch neu.

Ich werde versuchen bis zum Stichtag 25.05.2018 eine möglichst wasserdichte Datenschutzerklärung im Rahmen meiner Möglichkeiten zu formulieren, die Vereine auf ihren Webseiten benutzen können. Natürlich aber ohne jegliche Haftung. Ob ich die vorher noch durch einen Anwalt prüfen lassen kann, wird sich zeigen. Ein Link dazu wird hier im Dokument sein. Sie werden aber auch eine neue Datenschutzerklärung für Verträge (also beispielsweise für den Mitgliederantrag) benötigen.

Vereine sollten auf jeden Fall die Kapitel Vereine und Verbände und Satzung lesen.

Die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der EU, die bereits seit zwei Jahren gilt und am 25. Mai 2018 in Kraft tritt (sanktionsfähig wird), ist ein ziemliches Ungetüm mit 99 Artikeln. Dazu kommen 173 Erwägungsgründe, die die Entstehung der Artikel beschreibt oder ergründet oder die Artikel weiter spezifiziert. Und dazu kommen die 85 Paragraphen des Bundesdatenschutzgesetzes (neu). Erschwerend kommt dazu, dass scheinbar jedes EU-Land weitere Gesetzgebungen erlassen hat. Damit wird das Ziel einer EU-weiten einheitlichen Datenschutzverordnung mehr als verfehlt. Und statt dass es nun 27 Verordnungen weniger gibt, gibt es eine Monsterverordnung mehr.

Zweck

Dieser Überblick soll nun die wichtigsten Punkte beleuchten und dazu auch die entsprechenden Artikel angeben und verlinken (https://dsgvo-gesetz.de/), um eine schnelle Übersicht über die wichtigsten Themen zu gewähren. Zitate aus dem Gesetzestext sind in kursiver Schrift gehalten. Fette Schrift wurde vom Autor hervorgehoben. Viele Artikel fehlen, da sie keine Relevanz haben, beispielsweise zu Aufsichtsbehörden, Drittländern oder Profiling, also Weiterverarbeitung durch Algorithmen. Die habe ich teilweise auch nur überflogen. Oft gibt es auch eine kurze Einschätzung von mir, die aber ohne rechtliche Relevanz ist (siehe Haftungsausschluss).

Haftungsausschluss

Dies ist keine Rechtsberatung und erhebt für die Übersicht nicht den Anspruch auf Vollständigkeit. Sie ist im Moment auch noch im Entstehen, bitte beachten Sie deshalb das oben angegebene Datum. Es ist ein kurzer Überblick. Aus Fehlern oder fehlenden Teilen innerhalb dieser Übersicht entstehen keine Haftungsansprüche. Jeder hat die Aufgabe, diese Informationen selbst noch einmal zu überprüfen bzw. sich insbesondere weiterführenden Rechtsbeistand zu holen. Externe Links sind handverlesen und sorgfältig ausgesucht, trotzdem übernehmen ich für die Richtigkeit und Verfügbarkeit keine Garantie.

Weiterführende Literatur

Auch ich prüfe alle meine Erfassungen und Sichtweisen mit öffentlicher Literatur gegen. Insbesondere die Computerzeitschrift c't liefert hier auch viele interessante weiterführende Artikel. Heise.de - Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört (Linkliste unten) und dann auch Heise.de - Final Countdown - Die Umsetzung der DSGVO-Vorgaben läuft nicht rund mit vielen sehr guten weiterführenden Links.

Copyright

Änderungsvorschläge, Verbesserungen, Anmerkungen zu Fehlern und fehlenden Abschnitten sind grundsätzlich unter web_01@liebenstein.de willkommen.

Allgemeine Bewertungen

Zunächst erscheint es so, als wenn die DSGVO für Deutschland nicht so viel Relevanz hat, da der Datenschutz in Deutschland ja schon auf hohem Niveau ist. In den Bereich Information, Auskunft und Dokumentation sind aber alleine wichtige Punkte neu.

Ich will hier kurz auf Fälle eingehen, die zu Problemen führen können.

Alles verboten, was nicht ausdrücklich erlaubt ist

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn:

• a) Einwilligung
• b) Erfüllung Vertrag oder Anbahnung Vertrag
• c) Erfüllung einer rechtlichen Verpflichtung
• d) lebenswichtige Interessen zu schützen
• e) Wahrnehmung einer Aufgabe im öffentlichen Interesse
• e) Wahrnehmung einer Aufgabe in Ausübung öffentlicher Gewalt
• f) Wahrung der berechtigten Interessen des Verantwortlichen

Ansonsten ist eine Verarbeitung ohne Ausnahme verboten.

Gründe für eine Datenverarbeitung

Es gibt in Art. 6 Absatz 1 a bis f diverse Gründe für eine Datenverarbeitung. Grund a) die Einwilligung sollte man nur verwenden, wenn unbedingt als notwendig erachtet, denn dann kann der Betroffene diese Einwilligung auch widerrufen, mit allen möglichen Konsequenzen. Gute Gründe sind die Erfüllung eines Vertrages oder die Anbahnung eines Vertrages, dazu kann man auch die Datenerfassung in einem Kontaktformular durchaus zählen. Auch das "berechtigte Interesse" (siehe auch nächstes Kapitel) ist ein guter Grund. Haben sie als Datenverarbeiter ein berechtigtes Interesse an den Daten, dann muss dieses Interesse mit den schutzwürdigen Grundrechten des Betroffenen abgewogen werden. Diese berechtigten Interessen werden auch in Kommentaren von Datenschutzbeauftragten teilweise recht weit gefasst.

Berechtigtes Interesse

Das berechtigte Interesse scheint ein Punkt zu sein, mit dem man sehr viel erklären oder durchwinken kann. Besonders auch in Erwägungsgrund 47 Überwiegende berechtigte Interessen* "dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen" Achtung, private Einschätzung! Also wenn sich die betroffene Person auf einer kostenlosen Seite befindet, die sich durch Werbung finanziert, dann kann diese Person eine Übermittlung erwarten. Dann geht es darum, welches Interesse höher wiegt, die des Verantwortlichen (also des Unternehmers) oder die des Betroffenen (also des Kunden).

Das wird im Netz auch stark diskutiert. Man geht großflächig davon aus, dass man vieles über diese "Berechtigten Interessen" machen kann, unter anderem auch im Bereich Fotografie und Filmen, siehe ganz unten. Aber alles sicher auch nicht.

Vortrag der Datenschutzbehörde

Ende Juni hatte ich Gelegenheit dem Vortrag des stellvertretenden Präsidenten Andreas Sachs des Bayerischen Landesamtes für Datenschutzaufsicht zu folgen. Es war interessant mal direkt den zu hören, der zum Beispiel für die Bußgelder verantwortlich ist. Die haben derzeit 20 Leute (!), also gar nicht richtig die Manpower. Die bekommen pro Tag derzeit 20 Meldungen über Vorfälle, also verlorene Handys oder Notebooks etc. und kommen schon damit nicht nach. Er sagt klar, solche Vorfälle wird es geben, so ist das Leben, man muss sie melden, wenn etwas pasiert ist im großen Regelfall aber nicht von Sanktionen auszugehen. Es geht einfach darum es zu melden. Sie haben nach eigenen Worten überhaupt kein Interesse kleine Vereine zu verfolgen oder mit Bußgeldern zu belegen. Auch will man Verstöße, außer sie sind wirklich vorsätzlich, nur anmahnen und nicht mit Bußgeldern belegen. Auch was so zwischen den Zeilen zu hören war, hat mich sehr beruhigt. Ich war aber schon grundsätzlich nicht so unruhig ;-).

Webseiten

Eine Webseite ohne Datenschutzerklärung ist ein grundsätzliches Problem. Da die IP für die Kommunikation zwingend übermittelt werden muss und verwendet wird, auch wenn sie nicht in Logs gespeichert wird, und die IP den persönlichen Daten zugeordnet wird (Erwägungsgrund 30 - Online-Kennung zur Profilerstellung und Identifizierung). Noch klarer wird es, wenn die Zugriffe in Logs gespeichert werden oder Kontaktformulare vorhanden sind. Dann muss man über die Datenspeicherung informieren (!!). Allerdings ist eine Einwilligung nicht zwingend nötig, es reicht ein "berechtigtes Interesse" der Speicherung in Abwägung mit den Rechten des Betroffenen. Logs mit IP-Adresse dürfen laut geltender deutscher Rechtsprechung außerdem nicht länger als 7 bis maximal 14 Tage gespeichert werden und nur zu dem in der Datenschutzerklärung verwendeten Zweck aufbewahrt und benutzt werden (im Regelfall Sicherheitsaspekte).

Kontaktformular und Newsletter

Der Provider tritt bei einer Speicherung von Logs oder einem Kontaktformular nach Auskunft meines Providers noch nicht als Auftragsverarbeiter auf. Auch eine Einwilligung ist wohl nicht nötig, wie hier in dem Podcast eines Anwalts sehr schön ausgeführt Braucht mein Kontaktformular nun eine Checkbox?. Ähnliches gilt sicher auch für eine Newsletter-Anmeldung. Allerdings benötigt der Newsletter zwingend eine einfache Abmelde-Fuunktion (Opt-Out). Dazu kommt aber, dass die Übertragung der Daten des Kontaktformulars verschlüsselt, also via https (= SSL-Verschlüsselung), erfolgen muss (Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten). Hier gibt es auch bereits erste Abmahnungen mit absurden Schadensersatzforderungen: DSGVO: 8500 Euro Schadensersatz für fehlende SSL-Verschlüsselung? Die Hintergründe

Analyse - Was läuft eigentlich auf meiner Webseite

Bei vielen Dingen ist man sich oft nicht bewusst, was eigentlich auf der eigenen Webseite so alles eingebunden ist. Gerade auch PlugIns von Content Management Systemen (CMS) wie WordPress binden im Hintergrund Sachen ein, die man oft nicht mitbekommt. Man sollte also die eigene Seite analysieren. Für Firefox (und auch für Chrome) gibt es die Developer Tools, die man einfach als Add-on installieren kann. Im Menü (drei waagerechte Streifen, ganz rechts) unter "Web-Developer/Netzwerkanalyse" öffnet am unteren Rand ein Fenster. Nun ruft man die zu prüfende Seite auf und es erscheinen unten alle Web-Server zu denen Kontakt aufgebaut wird. Klickt man auf einen Eintrag auf der linken Seite, so erscheinen rechts weitere Informationen, unter anderem auch ob Cookies gelesen werden. So kann man einfach prüfen, was auf der eigenen Seite passiert.

WordPress

Bei WordPress ergeben sich Probleme mit PlugIns, die möglicherweise im Hintergrund Daten sammeln oder weiterleiten. Der Hersteller von WordPress Automattic arbeitet derzeit an einer neuen Version. Dort soll ein neuer Menüpunkt unter dem Hauptmenüeintrag "Werkzeuge" eingebaut werden. Dieses ist nun wohl in englisch schon verfügbar. Außerdem gibt es ein PlugIn Handbook in englischer Sprache, das die einzelnen PlugIns bewertet bzw. Einstellungen bespricht damit PlugIns DSGVO-konform werden. Einen ausführlichen Beitrag finden sie unter WordPress: So setzt du als Seitenbetreiber die DSGVO um

Version 4.9.6 soll am 15.05.2018 kommen und ist in englisch wohl schon vorhanden. Folgende Erweiterungen sind zu erwarten:

• PlugIns können Datenschutzinformationen hinterlegen, die in die Datenschutzerklärung integriert werden können
• Links zum Impressum und zur Datenschutzerklärung können nun auch zur Loginseite hinzugefügt werden.
• Die Anonymisierung der Daten erfolgt nun automatisiert.
• Eine Exportfunktion für Nutzerdaten aus Kommentaren wurde hinzugefügt.
• Kommentare können nun anonymisiert werden.
• Eine Opt-In-Möglichkeit für Kommentar-Cookies wurde geschaffen.

Die Computerzeitschrift c't hat einen weiteren sehr umfangreichen Text mit vielen Links und Einschätzungen veröffentlicht: Hiese.de - DSGVO-Checkliste: WordPress datenschutzkonform einsetzen

YouTube-Videos einbinden

Bereits beim Anzeigen des YouTube-Vorschaubildes nimmt der Browser Kontakt mit den Servern von YouTube, google.com und doubleclick.net (Werbenetzwerk) auf, übermittelt das Datum IP-Adresse und setzt vier Cookies. Damit gehen die Probleme los, denn es werden Daten aus der EU in ein Drittland exportiert. Zwar gibt es mit den USA das Safe Harbour abkommen, aber Daten an eine Werbenetzwerk ist halt schon sehr problematisch, denn dafür braucht man eine Einwilligung und die soll ja nur für die nötigsten Daten gelten. "Berechtigtes Interesse" wird hier wohl schwierig, da es die Interessen eines Dritten sind.

Wenn man sich auf der YouTube-Seite bei einem Video unter "Teilen/Einbetten" den Code für die Einbindung in die Webseite holen will, dann öffnet der Dialog "Embed Video". Dort kann man nach unten scrollen und ein Häkchen bei "Erweiterten Datenschutzmodus aktivieren" setzen. Der Einbett-Code zeigt dann auf www.youtube-nocookie.com. YouTube garantiert dabei, dass die IP nicht gespeichert wird. Darauf sollte man dann auch in der eigenen Datenschutzerklärung hinweisen. Trotzdem wird bereits ein Cookie von www.google.com abgerufen, das heißt es findet aktiv eine Datenabfrage statt: Gelber Alarm!

Erschwerend kommt dazu, dass zum Zeitpunkt in dem nur das Vorschaubild angezeigt wird, bereits riesige Java-Script-Dateien (1,2 MB) geladen werden, in denen sich auch Links zum Werbenetzwerk "doubleclick.net" befinden. Zwar zeigte ein kleiner Versuch, dass keine Kontakte aufgenommen wurden, aber sicher bin ich mir dabei nicht.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat auf seinem Internet-Auftritt Youngdata eine Zwei-Klick-Lösung integriert. Fährt man mit der Maus über das Vorschaubild, das nun vom Server von Youngdata kommt, und damit noch keine Verbindung zu YouTube aufbaut, dann erscheint der Text:

"Zum Aktivieren des Videos musst du auf den Link unten klicken. Wir möchten dich darauf hinweisen, dass nach der Aktivierung Daten an den jeweiligen Anbieter übermittelt werden."

Erst nach dem Klick auf den Link in diesem Hinweis wird das Video richtig eingebettet und die Verbindung aufgebaut. Sieht so das EU-Internet aus? Abgesehen davon, dass der Download und das zur Verfügung stellen von fremden Vorschaubildern ein Copyright-Verstoß wäre.

Weitere interessante Informationen liefert der Artikel Heise.de - Rote Karte für Webspione - YouTube-Videos datenschutzkonform einbetten.

Die Anmerkung in der Datenschutzerklärung "man solle sich vorher bei YouTube ausloggen", die derzeit von vielen Datenschutz-Generatoren verwendet wird, ist eine rechtlich wahrscheinlich nicht zulässige Formulierung.

Nun gibt es auch einen Generator um YouTube- und Vimeo-Videos nach Benutzer-Interaktion nachträglich einzubinden.

Vimeo-Videos einbinden

Eingebettete Vimeo-Videos verbinden sich auch schon bei der Anzeige des Vorschaubildes mit den Servern von Vimeo und fragen ein Cookie ab. Außerdem scheint es bei Vimeo keinen Datenschutzmodus wie bei YouTube zu geben und Vimeo ist weder im Safe Harbour noch hat es eine Niederlassung in der EU. Ansonsten gilt das Gleiche wie bei YouTube, siehe oben.

Nun gibt es auch einen Generator um YouTube- und Vimeo-Videos nach Benutzer-Interaktion nachträglich einzubinden.

Einbindungslinks zu Sozialen Netzwerken

Auf vielen Webseiten findet man die Links zu sozialen Webseiten wie Facebook, Twitter, Pinterest etc. Diese Einbindungen als IFrames nehmen sofort Kontakt zu den Firmen-Servern auf, ähnlich wie das YouTube-PlugIn. Hier wurde das aber schon vom Landgericht Düsseldorf am 09.03.2016 (Aktenzeichen 12 O 151/15) klar geregelt. Der IFrame-Mechanismus ist nicht rechtens. Etabliert hat sich hier die Zwei-Klick-Regel (siehe auch YouTube). Das Logo kommt vom eigenen Server, das ist hier kein Problem, da es Logos für die eigene Webseite gibt, und erst bei einem Klick wird die Einbindung vorgenommen. Alles andere ist nicht rechtens und kann zu Problemen führen!

Google-Fonts

Für Google-Fonts gilt leider das schon bei YouTube und Vimeo gesagte. Bei jedem Aufruf wird eine Verbindung zu Google-Servern hergestellt, selbst wenn die Fonts beim Benutzer schon installiert sind. Dort wird nachgeschaut, ob Änderungen vorliegen. Durch die weite Verbreitung von Google-Fonts ist auch noch ein Profiling möglich. Auf der Seite DSGVO – Warum Google Fonts nicht von Google kommen sollten wird beschrieben wie man Google-Fonts auch vom eigenen Server einbindet, auch für WordPress-Installationen. Selbst wenn man keine Google-Fonts in WordPress aktiv einbindet, kann es zu einem Verbindungsaufbau kommen.

maxcdn.bootstrapcdn.com und andere CDNs

maxcdn.bootstrapcdn.com, code.jquery.com und andere Content Distribution Networks (CDNs) werden auch oft von Webseiten eingebunden. Auch hier gilt, dass diese Javascript-Bibliotheken oft von nicht-europäischen Servern eingebunden werden. Also auch dort gibt es Probleme. Dazu muss man natürlich überhaupt wissen, dass diese eingebunden werden.

Auftragsverarbeitung

Auftragsverarbeitung liegt zum Beispiel vor, wenn ein Dienstleister einen Datenbankserver zur Verfügung stellt. Dienstleistungen der Post (Briefversand) oder das Betreiben eines Mailservers, sowie ein Kontaktformular zählen laut Auskunft meines Providers nicht dazu. Kennzeichnend für einen Auftragsverarbeiter ist weisungsabhängig, selbst wenn er über eigenes Know-how und einen gewissen Spielraum für eigene Entscheidungen verfügt und er überwacht wird. Notwendig sind dann entsprechende Zertifizierungen (Art. 42) und anerkannte Verhaltenskodizes (Art. 40). (siehe auch Art. 28 Abs 5)

Man kann die Standardverträge zur Auftragsverarbeitung benutzen oder eigene individuelle Verträge aushandeln. Bestandteil muss sein:

• Gegenstand und Dauer der Auftragsdatenverarbeitung
• Umfang, Art und Zweck der Datenerhebung
• Art der verarbeitenden personenbezogenen Daten
• Kategorie der von der Datenverarbeitung betroffenen Personen
• Pflichten und Rechte des Verantwortlichen
• Umfang der Weisungen die zu dokumentieren sind
• Verpflichtung des vom Auftragsverarbeiter eingesetzten Personals auf das Datengeheimnis
• technische und organisatorische Maßnahmen
• zulässige Unterauftragsverhältnisse
• Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Erfüllung der
• In Kapitel III des DSGVO vorgeschriebenen Rechte der betroffenen Person
• Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei den in Art. 32 ff. DSGVO festgeschriebenen Verpflichtungen, insbesondere bei der Meldepflicht von Datenschutzverstößen
• Abwicklung nach Beendigung der Auftragsverarbeitung
• Kontrollrechte des Auftragsgebers

Vereine und Verbände

Ein Großteil der Informationen in diesem Thema kommt aus dem PDF Baden-Württemberg - Der Landesbeauftragte für den Datenschutz - Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO) und damit also von hoher Stelle und vor allem von jemand, der dann auch die Bußgelder ausspricht.

Geltungsbereich

DSGVO gilt unabhängig davon, ob der Verein eingetragen ist oder nicht. Persönliche Daten sind auch die Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, Platzierungen bei einem Wettbewerb und dergleichen. Nicht geschützt sind Daten von Verstorbenen.

Spezifizierung durch Verein

Den Verein trifft die Pflicht, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich festzulegen. Dabei muss konkret festgelegt werden, welche Daten welcher Personen (auch Besucher) für welche Zwecke verwendet werden. Welche Daten beim Vereinseintritt für die Verfolgung des Vereinsziels und für die Mitgliederbetreuung und -verwaltung notwendigerweise erhoben werden. Weitere Daten für andere Zwecke und zur Wahrung von Interessen Dritter. Welche Daten von Dritten erhoben werden. Welcher Funktionsträger zu welchen Daten Zugriff hat und zu welchem Zweck er Daten von Mitgliedern und Dritten verarbeiten. An welche Stellen, das können auch Vereinsmitglieder sein, die Daten übermittelt werden. Welche Daten veröffentlicht werden, üblicherweise Schwarzes Brett, Vereinsnachrichten und Internet.

Bearbeitung je nach Funktion

Für den Umgang mit Mitgliedsdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten und nutzen darf. Der Vorstand darf auf alle Mitgliederdaten zugreifen, Kassierer beispielsweise nur auf für den Einzug relevante Daten (Name, Anschrift, Bankverbindung). Vereinsmitglieder sind im Verhältnis zum Verein Dritte und haben keinen Zugriff. Bei Mitgliederlisten oder auch im Internet muss eine Einwilligung vorliegen und man kann Widerspruch einlegen.

Verzeichnis der Datenverarbeitung

Die Datenzugriffe sollten in einem Dokument, das von der Mitgliederversammlung beschlossen wird, festgelegt werden. Dieses Dokument muss nicht die Qualität einer Satzung haben, man kann es aber in der Satzung integrieren (siehe oben).

Herausgabe der Daten zur Wahrung satzungsgemäßer Aufgaben

Die Herausgabe von Kontaktdaten an Vereinsmitglieder zur Wahrung satzungsgemäßer Mitgliederrechte ist zulässig ohne dass die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art 6 Abs 1 f).

Weitere persönliche Daten

Persönliche Nachrichten wie Eintritte, Austritte, Spenden, Geburtstage und Jubiläen können veröffentlicht werden, wenn dem Verein keine schutzwürdigen Belange bekannt sind. Man sollte die Mitglieder anhalten mitzuteilen, wenn dies nicht gewünscht ist. Informationen aus dem persönlichen Lebensbereich (Eheschließungen, Geburt von Kindern, Abschluss von Schul- und Berufsausbildungen, Krankheit?) dagegen dürfen nur veröffentlicht werden, wenn das Mitglied ausdrücklich zustimmt.

Aufnahmebedingungen

Die Aufnahme in einen Verein darf grundsätzlich nicht von der Einwilligung in die Datenverarbeitung für vereinsfremde Zwecke abhängig gemacht werden. Art 7 Abs 4. Daten, die für Werbezwecke benutzt werden, bedürfen der Einwilligung. Die Einwilligung zur Datenverarbeitung ist optisch hervorzuheben und für jeden Verarbeitungsvorgang eine gesonderte Einwilligung (Häkchen ankreuzen). Um die Tragweite abschätzen zu können, muss mitgeteilt werden welche Daten ins Internet eingestellt werden.

Die vom Verein erhobenen Daten werden nur dann "gleichzeitig" Daten eines anderen Vereins, etwa eines Dachverbandes, wenn das Vereinsmitglied auch der anderen Vereinigung ausdrücklich zustimmt. Es genügt dafür nicht, dass der Verein selbst Mitglied eines anderen Vereins oder Dachverbandes ist (Art. 26)

ABER: In einem späteren Teil des Dokuments ist das scheinbar nicht mehr so und: In Erwägungsgrund 48 Überwiegende berechtigte Interessen in der Unternehmensgruppe "Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.". Damit dürfte die Weitergabe Filmclub -> Landesverband -> Bundesverband möglich sein.

Berechtigtes Interesse

Mithilfe des "berechtigten Interesses" zur Verwendung der Daten seiner Mitglieder dürfen die Daten nur ausnahmsweise für andere Zwecke verwendet werden. Bei Kindern unter 16 Jahren gelten grundsätzlich die überwiegenden Interessen des Kindes. Überwiegende Interessen können weiterhin Grundrechte und Grundfreiheiten sein, die sich aus wirtschaftlichen und beruflichen Belangen ableiten oder wenn der Wunsch besteht, dass die Privat-, Intim- und Vertraulichkeitssphäre gewahrt bleibt. Neumitglieder sollten befragt werden. Altmitglieder können per E-Mail befragt werden.

Festivals/Wettbewerbe

Es muss darauf hingewiesen werden, wenn Daten aufgrund eines Festivals/Wettbewerbs weitergegeben werden. Mitgliedsdaten müssen getrennt von Personaldaten (Mitarbeiter) gespeichert werden.

Daten im Internet

Die Veröffentlichung personenbezogener Daten durch einen Verein im Internet sind grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat. Diese Informationen können zur Profilbildung dienen (Altersgruppe, gefährliche Sportarten etc.) und sind im Netz weltweit abrufbar, auch in Staaten in denen die DSGVO nicht gilt. Dies gilt nicht für die dienstliche Erreichbarkeit von Funktionsträgern, allerdings darf die private Adresse nur bei einem Einverständnis veröffentlicht werden.

Daten zu Vereinsmitgliedern (Ergebnisse etc.)

Informationen über Vereinsmitglieder (z.B. Spielergebnisse) oder Dritte (externe Teilnehmer) können ausnahmsweise kurzzeitig ins Internet gestellt werden, wenn die Betroffenen informiert sind. Die zulässige Dauer hängt von der Bedeutung des Ergebnisses ab. Bei öffentlichen Veranstaltungen sind die Daten auch öffentlich, auch Zusammenfassungen und Ranglisten. Um den Eingriff in Grenzen zu halten, dürfen allenfalls Nachname, Vorname, Vereinszugehörigkeit und in begründeten Ausnahmefällen der Geburtsjahrgang veröffentlicht werden. Fotos, Geburtsdatum, Anschrift oder Bankverbindung nur mit ausdrücklicher Einwilligung.

Personenbezogene Auskünfte in Massenmedien und Presse nur, wenn es von öffentlichem Interesse ist. (5.8)

Übermittlung zum Zweck der Wahlwerbung nur mit schriftlicher Einwilligung (5.9)

Löschung

Recht auf Löschung und Einschränkung der Verarbeitung, wenn die Einwilligung widerrufen wird, durch Widerspruch, unrechtmäßig verarbeitet oder rechtliche Verpflichtung (6.). Bezüglich des Zwecks muss der Verein daher festlegen, welche Arten von Daten bis zu welchem Ereignis (z.B. Austritt aus dem Verein, Tod) oder für welche Dauer verarbeitet werden. Ein Vereinsarchiv ist in engen Regeln mit zuverlässigen Bearbeitern möglich. Beim Ausscheiden oder Wechsel von Funktionsträgern ist sicherzustellen, dass die Daten ordnungsgemäß gelöscht oder übergeben werden.

UNICA

Ein weiterer riesiger Block ist die Weitergabe an Drittländer, da sehe ich mit der UNICA ("internationale Organisationen") Angriffsflächen, die ich aber hier nur kurz anspreche, das sind alleine 7 Artikel (Art. 44 bis Art. 50). und vier im neuen Bundesdatenschutzgesetz § 78 BDSG (neu) bis § 81 BDSG (neu)

Dazu gibt es weiterführende Informationen im Artikel iX DSGVO - Datentransfers: Neue Regeln für den internationalen Datenverkehr - Grenzübertritt. Es gibt Länder die bereits von der EU als sicher definiert sind (beispielsweise die Schweiz) und dort ist es dann kein Problem, außerdem ist eine gelegentliche Ausfuhr anscheinend auch kein Problem.

Satzung

Eine Reihe von Webseiten und auch die TV-Sendung "quer" sprechen Satzungsänderungen an. Aus den Artikeln der DSGVO ergibt sich das meiner Meinung nicht unbedingt, aber es ist eine einfache Art und Weise alle Beteiligten zu einem gesetzeskonformen Umgang zu verpflichten und dies zu dokumentieren. Hier ein mögliches Beispiel des Sportbundes Rheinland für eine Datenschutzklausel in der Satzung. (Danke Martin)

Freie Journalisten und Blogger

Anscheinend haben eine ganze Reihe von Bloggern ihre Blogs schon zugemacht. Im Medienmagazin ZAPP vom 30.05.2018 gibt es dazu einen interessanten Bericht, ab Minute 14:50 geht es um das Medienprivileg. Insbesondere ab 19:50 geht es um die Pressegesetze der Länder. Leider nicht bundeseinheitlich ist die Situation für freie Journalisten und Blogger. Ausdrücklich Grünes Licht für das Medienprivileg geben die Bundesländer Bayern, Brandenburg, Hamburg, Hessen, Nordrhein-Westfalen und Thüringen. In den Bundesländern Baden-Württemberg, Bremen, Mecklenburg-Vorpommern, Saarland, Sachsen, Sachsen-Anhalt, Schleswig-Holstein, und Rheinland-Pfalz muss dies im Einzelfall entschieden werden. In Niedersachsen dagegen bleiben Blogger und freie Journalisten außen vor. Und Berlin war noch nicht so weit. Hier eine Link-Übersicht zu den einzelnen Pressegesetzen der Bundesländer. Wirklich rauslesen konnte ich das aus den Gesetzen aber nicht.

Datenschutzerklärung

Die Datenschutzerklärung muss einfach erreichbar sein, auf jeden Fall von der Hauptseite, am besten in einem Footer oder Seitenmenü. Der zentrale Artikel der DSGVO ist hier Art. 6 Rechtmäßigkeit der Verarbeitung. Es müssen nicht nur die rechtlichen Grundlagen für die Datenverarbeitung angegeben werden, sondern auch das konkret verfolgte Interesse (Beispiel: IP-Adresse wegen Sicherheitsaspekten, daran scheitern wohl derzeit die meisten Generatoren). Informationen zum Recht auf Berichtigung, Abfrage, Löschung, dem Widerruf, der Einschränkung der Verarbeitung, das Beschwerderecht bei einer Aufsichtsbehörde und dem Recht der Datenübertragung sind zwingend anzugeben. Der Widerruf und die Einschränkung der Verarbeitung müssen auffallend gekennzeichnet sein, beispielsweise durch Fettdruck oder einen Kasten. Trotzdem muss die Erklärung einfach und leicht verständlich sein.

Generator zur Datenschutzerklärung

Ein Generator zum automatisierten Erstellen von Datenschutzerklärungen, der von Heise.de verlinkt ist, befindet sich auf Deutsche Gesellschaft für Datenschutz. Das Ergebnis bei mir (Firma, Kontaktformular, keine Cookies, YouTube und Google Analytics, das ich nicht benutze) brachte eine Erklärung mit 38.000 Zeichen. Ob das zielführend ist, muss jeder selbst entscheiden. Insbesondere da in der DSGVO und im Bundesdatenschutzgesetz mehrfach von einfacher Sprache die Rede ist. Außerdem stellt Prof. Thomas Hoeren auf seiner Website eine (an die konkreten Gegebenheiten anzupassende) Muster-Datenschutzerklärung für Betreiber von Webseiten zur Verfügung.

Datenschutzbeauftragte

Ab 10 Mitarbeitern oder Personen, die mit der Datenverarbeitung ständig beschäftigt sind, auch wenn dies nicht deren Hauptaufgabe ist, ist ein Datenschutzbeauftragter notwendig. Der stellvertretende Präsident Andreas Sachs des Bayerischen Landesamtes für Datenschutzaufsicht sieht dieses "ständig" dann erfüllt, wenn man mindestens 50 % seiner Arbeitszeit mit Daten zu tun hat. Urlaubsvertretungen zählen laut Baden-Württemberg nicht, laut Bayern schon!! § 38 BDSG (neu) Datenschutzbeauftragte nichtöffentlicher Stellen Der muss unter anderem regelmäßig geschult werden etc., das kostet. Die Vereine und Verbände sind unterschiedliche Institutionen, damit gibt es kein Problem. Die Festivals könnte man evtl. über die Urlaubsvertretung los werden, denn viel länger arbeiten die auch nicht mit den Daten.

Benötigt man einen Datenschutzbeauftragten, dann ist der bis 25.05.2018 bei der zuständigen Aufsichtsbehörde zu melden, sonst ist schon der erste Verstoß begangen. Außerdem ist er ein reiner Beobachter, der schaut ob alles richtig läuft. Man braucht dann eigentlich zwei (!) Leute. Einen der sich auskennt und alles (Datenschutzerklärung, Verzeichnisse etc.) sauber auf die Reihe bringt und den Datenschutzbeauftragten. Denn würde der Datenschutzbeauftragte das selbst machen, dann würde er sozusagen seine eigene Arbeit kontrollieren. Der Datenschutzbeauftragte darf also nicht im Vorstand oder mit der Bearbeitung der Daten beauftragt sein. Er muss nicht Mitglied des Vereins sein.

Mindestanforderungen an den Datenschutzbeauftragten wurden in Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) festgelegt.

Verzeichnis von Verarbeitungstätigkeiten

Da eine Befreiung des Verzeichnisses nur bei gelegentlicher Datenverarbeitung möglich ist, muss ein Verein grundsätzlich so ein Verzeichnis führen. Das Verzeichnis ist nicht-öffentlich, muss durch die Mitgliederversammlung in einfacher Abstimmung angenommen werden und auf Verlangen der Aufsichtsbehörde vorgezeigt werden. Ein Einsichtsrecht der betroffenen Person oder für "Jedermann" besteht nach der DSGVO nicht mehr. Es muss folgende Punkte beinhalten:

• Name und Kontaktdaten des Verantwortlichen, sowie ggf. seines Vertreters
• Zweck der Verarbeitung
• Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
• Kategorien von Empfängern, gegenüber denen Daten offengelegt wurden bzw. noch werden
• Angaben über Drittlandtransfer
• wenn möglich Fristen für die Löschung der verschiedenen Datenkategorien
• wenn möglich Beschreibung der technischen und organisatorischen Maßnahmen

Datenschutz-Risikofolgeabschätzung

Das Wichtigste zuerst. Nach der Liste der Datenschutzkonferenz werden Filmverbände und Filmclubs im Regelfall keine Risikofolgenabschätzung durchführen müssen.

Der Verein hat nur dann eine Datenschutz-Risikofolgeabschätzung vorzunehmen, wenn aufgrund von Umfang, der Umstände und der Zwecke ein hohes Risiko besteht. Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat hierzu eine Liste ab wann eine Datenschutz-Folgenabschätzung notwendig wird. Weitere Informationen hält der ArtikelHeise.de - DSGVO: Worauf sich die Datenschutz-Aufsichtsbehörden konzentrieren bereit.

Inzwischen gibt es eine neuere Liste der Datenschutzkonferenz mir Beispielen Muss-Liste der Datenschutzkonferenz zur Risikofolgenabschätzung. Die Liste wird jeweils am 1. Januar und 1. Jli ergänzt. Außerdem hat die Zeitschrift iX des Heise-Verlages in Heft 9/2018 den umfangreichen Artikel "Folgenreich" zu dem es eine umfangreiche Linkliste gibt: Link-Liste iX 9/2018 "Folgenreich"- Risikofolgenabschätzung nach der Datenschutz-Grundverordnung

Alte Daten

Eine Frage die bei dem Arbeiten mit der DSGVO irgendwann immer auftritt ist die nach Altdaten. In Erwägungsgrund 171 steht wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht. Das ist natürlich heftiger Tobak. Wichtig erscheint vor allem, dass die Dateneinwilligung freiwillig war und nicht im Gegenzug für eine kostenlose Leistung "erzwungen" wurde (Kopplungsverbot). Außerdem muss über den möglichen Widerruf belehrt worden sein. Leider ist auch dies im Moment heiß diskutiert. Weitere Informationen unter Bleibt eine bereits erteilte Einwilligung auch mit der DSGVO gültig?

Backup und Sicherheit

Funktionierende (!) Backups sind nun zwingend notwendig. Art. 32 nennt "geeignete organisatorische und technische Maßnahmen ... personenbezogene Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen."

Außerdem muss eine Sicherheit auf dem Stand der Technik hergestellt werden und überprüft werden. Diese Maßnahmen zur Überprüfung sind bei neuen Komponenten (Hard- und oder Software) notwendig, aber auch in regelmäßigen, zeitlichen Abständen, man geht von einem Quartal bis zu einem Jahr aus, wiederholt werden

Meldepflicht bei Datenverlust

Kommt es zu einem Verlust von personenbezogenen Daten, so ist die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren, die betroffenen Personen sind umgehend zu informieren. Dabei ist ein Verlust bereits eine E-Mail, die an den falschen Adressaten geschickt wurde oder ein verlorenes Handy mit Kundendaten im Telefonbuch!

Datenübertragbarkeit

Art. 20 Datenexport für die betroffene Person
Es muss einen Mechanismus geben in dem die betroffene Person ihre Daten in einem gängigen Format exportieren kann. Artikel 20 spricht explizit von personenbezogenen Daten, deshalb bin ich nicht der Meinung, dass das für Filme oder Kommentare gilt. Das Format ist nicht näher spezifiziert. Auch Sicherheitsmechanismen sind nicht näher spezifiziert. Ich würde CSV (Comma-separated values) empfehlen und eine verschlüsselte HTTPS-Verbindung. Was dann bei der Person auf dem Rechner passiert ist außerhalb des Einflussbereiches des Verarbeiters.

Tracking

Da man die Information und Einwilligung "zum Zeitpunkt der Erhebung" (Art. 13) einholen muss und "keine Einwilligung für Daten, die nicht erforderlich sind" (Art. 7 Absatz 4) dürfte es für alle diese Mechanismen ebenfalls eng werden (siehe auch Cookies und Google-Analytics). Dazu kommt, dass die ePrivacy-Richtline des Bundes verspätet ist. Siehe weitere Informationen unter Anwendbarkeit TMG insbesondere Absatz 4 und 9.

Heute dann ein neuer Artikel von heise.de, in dem die Datenschutzkonferenz von Bund und Ländern davon ausgeht, dass es in Zukunft kein Tracking und keine Cookies mehr gibt, die ohne Opt-In auskommen. heise.de - DSGVO und Telemedien: Cookies und Tracking nur noch mit expliziter Einwilligung?

Cookies

Cookies fallen als eine Online-Kennung eindeutig in die DSGVO. Es gilt also grundsätzlich das Verbot der Erfassung. Aber die betroffene Person kann einwilligen. Das heißt für die meisten Fälle wird ein Opt-In für Cookies notwendig werden. Man kann nicht mehr Cookies setzen und einen kurzen Disclaimer anzeigen, der wahrscheinlich bisher sowieso nutzlos war. Aber Ausnahmen sind möglich. Beispielsweise bei Cookies für einen Warenkorb oder Session-Cookies eines Anmeldeprozesses, die die Nutzerfreundlichkeit erhöhen werden und da die Interessen des Betreibers überwiegen. Hier ist wohl kein Opt-In nötig.

Google-Analytics

Bei Google-Analytics gibt es eine Möglichkeit die IP-Adresse zu anonymisieren, das sollte auf jeden Fall benutzt werden. Dann gehört Google-Analytics natürlich in die Datenschutzerklärung und es sollte ein Opt-Out für diese Cookies geben. Wie man sich das auf der Webseite ohne Cookies merken soll, ist die andere Frage. Also Opt-Out für Google-Analytcis mit Opt-In für das merken dieser Einstellung?

Sie sehen also, das Ganze ist nicht so trivial. Trotzdem ist es nicht so einfach gute und umfangreiche Informationen zu bekommen. Aus eigenen Gründen habe ich deshalb diese kleine Übersicht geschrieben, die vor allem auch dabei hilft, die nötigen Artikel zu finden und sich dann selbst tiefer einzulesen.

In einem Artikel auf heise.de wird von der Datenschutzkonferenz von Bund und Ländern sogar davon ausgegangen, dass Google-Analytics selbst in anonymisierter Form ohne ausdrückliches Opt-In nicht mehr möglich sind, siehe Tracking letzter Absatz. "Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von Werbetrackern müsse also vorab eine "Erklärung oder sonstige eindeutig bestätigende Handlung" eingeholt werden, auch wenn pseudonymisiert werde."

Werbung

Eigentlich könnte man annehmen, dass Werbung gar nicht mehr geht, aber folgender Passus des Dokuments des Landesbeauftragten zeigt dann doch, wie es gehen kann.

"Der Verein darf personenbezogene Daten der Mitglieder für Werbezwecke daher nur übermitteln, wenn diese entweder darin eingewilligt haben oder der Verein oder ein Dritter berechtigte Interessen an der Nutzung zu Werbezwecken hat und keine Interessen und Grundrechte und Grundfreiheiten der Mitglieder überwiegen. Entscheidend sind auch hier die vernünftigen Erwartungen der betroffenen Person. Informiert der Verein transparent und umfassend über eine entsprechende werbliche Nutzung, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Daten entsprechend genutzt werden (vgl. insoweit die Ausführungen oben unter Nr 4.3). Zu beachten ist auch hier, dass das Mitglied ein jederzeitiges Widerspruchsrecht hat, auf das der Verein ausdrücklich hinweisen muss. Dies kann beispielsweise dadurch geschehen, dass in den Aufnahmeantrag oder in die Satzung ein entsprechender Hinweis aufgenommen wird. Es ist darüber hinaus empfehlenswert, im Rahmen der Jahreshauptversammlung nochmals auf das Widerspruchsrecht hinzuweisen. Erfolgt ein solcher Widerspruch, hat dies zur Folge, dass die personenbezogenen Daten für Werbezwecke nicht mehr verwendet werden dürfen (Art 21 Abs 3 DS-GVO). Die Namen der Vereinsmitglieder, die der Übermittlung ihrer Daten für Werbezwecke widersprochen haben, sind in eine separate sogenannte Sperrdatei aufzunehmen. Vor jeder Übermittlung der Mitgliederdaten an Sponsoren und Wirtschaftsunternehmen zu Werbezwecken ist dann ein Abgleich mit der Sperrdatei durchzuführen."

Wichtige Artikel der DSGVO

Im Folgenden nun wichtige Artikel auszugsweise mit den für uns wichtigsten Regelungen. Wie gesagt kein Anspruch auf Vollständigkeit.

Art. 4 - Begriffsbestimmung

personenbezogene Daten

Absatz 1: Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind

Verarbeitung

Absatz 2: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Auftragsverarbeiter

Absatz 8: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Insbesondere § 62 BDSG (neu) Auftragsverarbeitung definiert Anforderungen an den Auftragsverarbeiter, die Beauftragung und Pflichten.

Art. 4 Hauptsitz ist verantwortlich Absatz 16a)

Damit gilt wohl das länderspezifische Datenschutzgesetz von Deutschland für uns, auch wenn der Prozess durch den Betroffenen im Ausland statt findet. Wie das genau funktionieren soll, ist mir aber nicht ganz klar ;-).

Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten

Hierbei geht es vor allem auch um die Sicherheit. Dies ist in § 64 BDSG (neu) Anforderungen an die Sicherheit der Datenverarbeitung sehr detailliert spezifiziert.

Art. 8 Mindestalter 16 darunter Einwilligung der Eltern

Wie eine Altersfeststellung beispielsweise bei einem Kontaktformular funktionieren soll, ist vollkommen offen.

Art. 5 Grundsätze für die Verarbeitung

Absatz 1 c) Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)

Art. 6 Rechtmäßigkeit der Verarbeitung

Absatz 1 Die Verarbeitung ist rechtmäßig

a) Einwilligung (Nachweis Art. 7 Absatz 1 und 2) ein Widerruf ist jederzeit möglich und muss so einfach wie die Einwilligung sein (Art. 7 Absatz 3)
Art. 7 Absatz 4. bei Erfüllung Vertrag/Dienstleistung keine Einwilligung für Daten, die nicht erforderlich sind

b) Erfüllung Vertrag oder vorvertragliche Maßnahmen

c) rechtliche Verpflichtung

Art. 8 Kinder/Minderjährige

Absatz 1: Verarbeitung bei Kindern ab vollendetem 16. Lebensjahr, sonst Einwilligung der Eltern ("nicht weiter spezifizierte" angemessene Anstrengungen um sich zu vergewissern bei Einwilligung Eltern Absatz 2)

Art. 9 Besondere Daten

betrifft spezielle Regelungen für besondere Daten wie rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit sowie genetische, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. Dies betrifft bereits Mitarbeiterdaten grundsätzlich, da hier Religionszugehörigkeit und Krankheitstage erfasst werden müssen.

Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

• Zeitpunkt Erhebung - Informationen
• Namen und Kontaktdaten des Verantwortlichen
• gegebenenfalls Kontaktdaten des Datenschutzbeauftragten
• Zweck und Rechtsgrundlage der Verarbeitung
• Verarbeitung aufgrund berechtigter Interessen des Verantwortlichen oder von Dritten dann die Interessen
• gegebenenfalls die Empfänger oder Kategorien der Empfänger der Daten (z.B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, im Internet)
• gegebenenfalls die Absicht der Übermittlung an Drittland oder internationale Organisation
• Dauer und Kriterien der Dauer
• Bestehen des Rechts auf Auskunft seitens des Verantwortlichen, Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Widerspruch der Verarbeitung und Datenübertragbarkeit, sowie § 58 BDSG (neu) Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
• Widerrufsrecht, falls die Verarbeitung nur auf einer Einwilligung besteht, ohne dass die Rechtmäßigkeit der bisherige Verarbeitung davon berührt wird
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• ob die Bereitstellung der Daten gesetzlich oder vertraglich erforderlich ist und mögliche Folgen der Nichtbereitstellung
• das Bestehen einer automatisierten Entscheidungsfindung, Profiling
• Beabsichtigung die Daten für andere Zwecke weiterzuverarbeiten inkl. über den Zweck und weitere maßgebliche Informationen der Weiterverarbeitung
• Obenstehende Informationen sind nicht notwendig, wenn diese Informationen schon zur Verfügung stehen
• Darüber hinaus Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, Art. 14 (Anmerkung: Weitergabe/Verkauf)

Art. 15 Auskunftsrecht der betroffenen Person

• Verarbeitungszwecke
• die Kategorien personenbezogener Daten
• die Empfänger oder Kategorien von Empfängern gegenüber denen Daten offen gelegt werden
• falls möglich die geplante Dauer
• Recht auf Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) Widerspruchsrecht gegen die Verarbeitung
• Beschwerderecht bei der Aufsichtsbehörde
• Herkunft der Daten, wenn nicht selbst erhoben
• Bestehen einer automatisierten Entscheidungsfindung (Profiling)
• Übermittlung an ein Drittland oder eine internationale Organisation

Stellt die betroffene Person den Antrag elektronisch so kann die Information in allen gängigen Formaten zur Verfügung gestellt werden, sofern nichts anderes angegeben. (Art. 15 Ansatz 3)

Die Auskunft muss innerhalb von 1 Monat nach Eingang des Antrages erfüllt werden, bei komplexen Vorgängen kann die Frist um zwei Monate verlängert werden. Die Betroffene Person ist aber nach einem Monat in jedem Fall zu unterrichten, auch bei Nichterfüllung entsprechend über die Gründe. (Art. 12 Absatz 3)

Bei wiederholten Anfragen kann sich der Auskunftspflichtige (Datenverarbeiter) entweder weigern oder ab der zweiten Anfrage eine Gebühr verlangen (Art. 12 Absatz 5 und Art. 15 DSGVO Absatz 3)

Einige Artikel beziehen sich auf Anfragen Fremder. Also Beispiel: Ein Unbekannter fragt an, ob wir Daten über ihn gespeichert haben. Dann sind wir verpflichtet, dies zu prüfen. Dabei kann es sein, dass die Daten mit den Angaben nicht auffindbar sind (Beispiel Sepp Maier, nicht eindeutig) oder das zusätzliche Informationen zur Verifizierung der Anfrage angefordert werden. Da dies auf uns normalerweise nicht zutrifft, erwähne ich das hier nur kurz.

Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung, Löschung oder der Einschränkung der Verarbeitung

Werden Daten von mehreren Stellen bearbeitet (Beispiel Club -> Verband), muss eine beantragte Berichtigung, Löschung oder Einschränkung der Verarbeitung allen mitgeteilt werden. Sollte sowieso so sein.

Art. 20 Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht seine personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format zu erhalten. Export.

Art. 21 Widerspruchsrecht (Besonderheit)

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen. Trifft in aller Regel nicht auf uns zu.

Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

auch § 71 BDSG (neu) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Art. 30 Artikel 5 Ein Verzeichnis von Verarbeitungstätigkeiten ist nur zu führen in Betrieben mit 250 oder mehr Mitarbeitern.

es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien

Die Einschränkung nur gelegentlich ist wieder mal typisch. Der Erwägungsgrund 13 - Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen schreibt im vorletzten Satz: "Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen."

An anderen Stellen unter anderem Förderinfo der Bundesregierung ist die Größe der mittleren Unternehmen (klein/mikro) mit maximal 50 Mio. € (10 Mio./ 2 Mio.) Umsatz pro Jahr und einer maximalen Bilanzsumme von 43 Mio. € (10 Mio./ 2 Mio.) definiert.

Dieses Verzeichnis der Verarbeitungstätigkeiten wird in § 70 BDSG (neu) Verzeichnis von Verarbeitungstätigkeiten näher spezifiziert.

Art. 32 Sicherheit der Verarbeitung

• Pseudonymisierung und Verschlüsselung personenbezogener Daten,
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme Daten rasch wiederherzustellen Überprüfung, Bewertung und Evaluierung der Sicherheit der Verarbeitung

Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten

an die Aufsichtsbehörde innerhalb von 72 Stunden (mit Ausnahmen). Betroffene sind unverzüglich zu benachrichtigen (Art. 34). Weiter spezifiziert in § 65 BDSG (neu) Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten und § 66 BDSG (neu) Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

Art. 82 Haftung und Recht auf Schadenersatz

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter." siehe auch weitere Absätze

Art. 79 Absatz 2 sagt: "Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat
Was die Sache nicht einfacher macht, denn dann gilt womöglich Drittlandrecht, eigentlich sollte aber das Recht der Hauptniederlassung gelten.

Art. 80 Absatz 1 sagt: "Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen ..."
Der wichtige Punkt ist hier wohl "ohne Gewinnerzielungsabsicht" damit wird es zumindest bei der Vertretung wohl nicht zu Abmahnanwälten kommen.

In § 83 BDSG (neu) Schadensersatz und Entschädigung Absatz 2 sind Vermögensschäden (materieller) ausgeschlossen.

Sanktionen sind umfangreich in Art. 84 und 85 geregelt.

§ 41 BDSG (neu) übernimmt dies weitgehend
§ 42 BDSG (neu) definiert Freiheitsstrafen bis 3 Jahre bei gewerbsmäßiger, unberechtigter Weitergabe.

§ 73 BDSG (neu) Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen

Dabei geht es um Daten, die aus einer persönlichen Einschätzung entstehen. Dies könnte auf unsere Preisvergabe zutreffen.

§ 76 BDSG (neu) Protokollierung

In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

• Erhebung,
• Veränderung,
• Abfrage,
• Offenlegung einschließlich Übermittlung,
• Kombination und
• Löschung.

Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

§ 77 BDSG (neu) Vertrauliche Meldung von Verstößen

Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können.

Abmahnungen

Nachdem anscheinend bereits am 25.05. erste Abmahnungen verschickt wurden, ist es eben wichtig, wann solche Abmahnungen überhaupt erlaubt sind. Der Datenschutz-Guru - Abmahngefahren durch die DSGVO hat hier einen interessanten Artikel online. Abmahnungen sollten vor allem möglich sein, wenn

• Internetseiten ohne Datenschutzhinweise, § 13 Abs. 1 TMG
• Datenverarbeitung für Werbezwecke ohne Einwilligung, § 28 Abs. 3 BDSG
• Verwendung von personenbezogenen Daten außerhalb des vereinbarten Zweckes, § 28 Abs. 1 BDSG

Dies sollte bei uns eigentlich im Regelfall nicht mehr vorkommen.

Nach der Rechtsprechung des BGH müssen aber bei einem Verstoß gegen solche Ordnungsvorschriften i.S.d. Art. 24 ff. DSGVO in jedem Fall neben dem objektiven Verstoß in subjektiver Hinsicht hinzukommen, dass der Gesetzesverstoß bewusst und planmäßig erfolgt ist, um sich gerade einen sachlich nicht gerechtfertigten Vorsprung gegenüber gesetzestreuen Mitbewerbern zu verschaffen. Das wird man in der Praxis wohl eher schwer nachweisen können.

Auch das hört sich gut an und außerdem gewähren die Gerichte regelmäßig 4 Wochen Schonfrist bei Änderungen im Recht oder in Verordnungen.

Wichtig ist bei Abmahnungen weniger die Gebühr, als die Unterlassungserklärung, die bei einer Wiederholung saftige Vertragsstrafen ohne weitere gerichtliche Verfahren fordert. Aus diesem Grund sollte man sich die Unterschrift unter einer Unterlassungserklärung wirklich zwei Mal überlegen und vor allem versuchen den Grund für Vertragsstrafen soweit wie möglich einzuschränken, nicht das jeder weitere Fehler in den Datenschutzerklärungen saftige Vertragsstrafen auslöst.

Ein weiterer Punkt scheint auch wichtig zu sein. Abmahner können sehr einfach per Google nach einer falschen AGB, Impressum und Datenschutzhinweisen suchen. Ein einfacher Schutz ist es, wenn Google und Co. diese Seiten gar nicht in den Index aufnehmen und damit auch nicht in den Suchergebnissen anzeigen. Und es macht ja auch gar keinen Sinn, dass unsere Datenschutzerklärung via Google gefunden wird. Sie muss nur auf unserer Seite verlinkt sein und auf unserer Seite erreichbar sein. Gesteuert wird dies über die Datei robots.txt (alles in Kleinbuchstaben), die man ganz einfach mit jedem Texteditor im Hauptverzeichnis der Domain anlegen kann, also beispielsweise https://www.runamind.de/robots.txt . Der Inhalt sollte wie folgt aussehen:

User-agent: *
Disallow: /Impressum.php
Disallow: /Datenschutzhinweis.htm

Der * bei User-agent: bedeutet alle Bots und dann sagt man welche Seiten nicht indexiert werden sollen, passen Sie dies bitte auf Ihre Gegebenheiten an. Weiter kann man in den Dateien auch die Indexierung verhindern, durch folgende META-Angaben im Kopf der Datei:

<meta name="robots" content="noindex,nofollow">

In meinem Datenschutzgenerator ist dies nun automatisch integriert.

Fotografen und Filmer

Eine weitere Problematik ergibt sich in Deutschland für Fotografen und Filmer. Beim Abbilden von Personen entstehen GPS- und Zeitdaten. Dies betrifft Artikel 3:

Art. 3 Absatz 2 Diese Verordnung findet Anwendung ... b) das Verhalten betroffener Personen zu beobachten.

Zwar wollte die Union, dass die Mitgliedsländer entsprechende Verordnungen erlassen, damit dies weiterhin möglich ist.

Art. 85 Absatz 1 Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

Dies hat die Bundesregierung unterlassen. Andere EU-Regierungen haben dies gemacht, beispielsweise die schwedische. Damit ist dies durch die DSGVO geregelt und personenbezogene Aufnahmen im Rahmen des KUG nur noch von der sogenannten „institutionalisierten“ Presse und dem Rundfunk sowie den für sie arbeitenden Journalisten und Unternehmen angefertigt und genutzt werden. Weitergehende Infos hier:

ABER: Im alten Bundesdatenschutzgesetz heißt es in §1 Abs. 3 Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Im neuen Bundesdatenschutzgesetz heißt es dagegen in §1 Abs. 3 Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden., damit fehlt der Vorrang des Kunsturhebergesetzes. Das Artikel 85 DSGVO dies enthält ist eben genau der strittige Punkt. Es kann sein, dass das alles kein Problem ist. Allerdings entsteht das Problem durch die DSGVO neu, da es hier um Daten in Dateisystemen geht, was eine digitale Fotodatei nun mal ist. Und die entstandene Diskussion sieht analoge Fotografie damit problemlos. Ob das Kunsturhebergesetz, das ja eher entstanden ist, das tatsächlich regelt, kann ich im Moment überhaupt nicht einschätzen. Das wissen wir wohl erst, wenn es dazu einschlägige Gerichtsentscheidungen gibt, am besten höchstgerichtlich und das kann dauern.

Nun vertritt das Bundesministerium des Inneren anscheinend die Auffassung dass die in Artikel 85 DSGVO geforderte Spezifizierung durch das bereits länger bestehende Kunsturhebergesetz (KunstUrhG), dass dies bereits regelt, durchgeführt wurde. Ein interessanter Schriftwechsel dazu finden sie unter Facebook - Schriftwechsel mit Bundesministerium des Inneren hier in den Kommentaren.

Eine weitere Ausweichmöglichkeit könnte für die Dokumentarfilmer gelten. Das Bundesdatenschutzgesetz (neu) kennt § 28 BDSG (neu) "Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken". Hier werden weitgehende Rechte ausgeschlossen insbesondere wenn die Daten nicht über den Namen der Person erschlossen sind. Zwar beruft sich der Artikel auf besondere Kategorien, aber das sollte dann auch für nicht besondere Kategorien auch zutreffen.



7 Tipps für Fotografen

Ein Tipp könnte sein, dass die GPS-Funktion deaktiviert wird und die Uhrzeit auf einen Standard, der keine Rückschlüsse auf die tatsächliche Zeit zulässt, eingestellt wird. Was mit bereits gemachten Aufnahmen ist, ist vollkommen unklar und ob es hilft nachträglich Exif-Daten zu löschen.

Das heißt man bräuchte auch beim Filmen und Fotografieren von Sehenswürdigkeiten mit Personen als Beiwerk eine Einwilligung. Ja mehr, selbst wenn man einen Film oder ein Foto mit einer Person macht und die schriftliche Einwilligung hat, kann diese Person die Einwilligung der Datenverarbeitung jederzeit zurückziehen.

Updates

Update 04.09.2018

WordPress ergänzt um einen Link zu einem umfangreichen Text von Heise.de
Risikofolgeaschätzung ergänzt um umfangreiche Informationen, außerdem gebrochene Links korrigiert
Datenschutz-Folgeabschätzung

Update 26.06.2018

Datenschutzbeauftragter ergänzt, unter anderem Begriff "ständig" spezifiziert
Fotografen und Filmer umfangreich ergänzt (hellroter Hintergrund) zu einem Gerichtsbeschluß bzgl. Kunsturhebergesetz und einem Informationsblatt der Datenschutzbeauftragten Brandenburg
Vortrag der Datenschutzbehörde neu aufgenommen

Update 03.06.2018

Neuer Generator um YouTube- und Vimeo-Videos erst nach Interaktion einzubinden
Freie Journalisten und Blogger hinzugefügt
Datenschutz-Folgeabschätzung konkretisiert mit zusätzlichen Links
Abmahnungen hinzugefügt

Update 21.05.2018

"Situation" wegen Redundanz entfernt
Kontaktformular und NEwsletter aus "Webseite" abgegrenzt, korrigiert und ergänzt
Inhaltsverzeichnis-Reihenfolge und Einrückung angepasst
Neues Design von w3s.css angepasst von Patrick Berner
Kleine Fehlerkorrekturen

Update 18.05.2018

Vereine und Verbände Clubs gegen Vereine eingetauscht
Inhaltsverzeichnis-Reihenfolge angepasst

Update 16.05.2018

Analyse - Was läuft eigentlich auf meiner Webseite hinzugefügt
Google-Fonts hinzugefügt
maxcdn.bootstrapcdn.com und andere CDNs hinzugefügt
Webseite angepaßt
Gründe für eine Datenverarbeitung hinzugefügt

Update 14.05.2018

Verzeichnis von Verarbeitungstätigkeiten hinzugefügt
Datenschutz-Folgeabschätzung hinzugefügt
Vereine und Verbände weitere Themen hinzugefügt
Datenschutzbeauftragter ergänzt, unter anderem Mindestanforderungen

Update 11.05.2018

Vereine und Verbände extrem umfangreich überarbeitet, das Kapitel ist aber noch nicht fertig
Datenschutzbeauftragter hinzugefügt
Auftragsverarbeiter hinzugefügt
Werbung hinzugefügt

Update 09.05.2018

Alles verboten, was nicht ausdrücklich erlaubt ist hinzugefügt
YouTube-Videos einbinden hinzugefügt
Vimeo-Videos einbinden hinzugefügt
Einbindungslinks zu Sozialen Netzwerken hinzugefügt
Clubs und Verbände 2. Absatz Weitergabe Unternehmensgruppe hinzugefügt
Berechtigtes Interesse hinzugefügt
WordPress ergänzt um Update-Details
Datenschutzerklärung hinzugefügt
Backup und Sicherheit hinzugefügt
Meldeverlust bei Daten hinzugefügt
Art. 20 Datenübertragbarkeit hinzugefügt
Tracking angepaßt
Cookies hinzugefügt
Google-Analytics hinzugefügt

Update 08.05.2018

Webseite 1. Absatz konkretisiert
WordPress hinzugefügt
Alte Daten hinzugefügt
Situation ergänzt