Date: Fri, 29 Mar 2024 16:36:22 +0100 (CET) Message-ID: <1987738631.5589.1711726582779@ip-172-30-2-15.eu-central-1.compute.internal> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_5588_797497343.1711726582777" ------=_Part_5588_797497343.1711726582777 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Zum 25.05.2018 tritt die neue EU Datenschutz-Grundv= erordnung (DSGVO) in Kraft, die auch Auswirkungen auf Vereine wie = den BdP und seine St=C3=A4mme hat.
Wichtig zu wissen ist, dass die =E2=80=9Eneue=E2=80=9C DS-GVO im Wesentl= ich auf dem bereits seit 1995 g=C3=BCltigen, deutschen Bundesdatenschutzges= etz aufbaut. Insofern sind die meisten Pflichten nicht =E2=80=9Eneu=E2=80= =9C sondern viel mehr schon lange g=C3=BCltig. Da aktuell viel =C3=BCber da= s Thema Datenschutz und Datensicherheit diskutiert wird und wir viele Anfra= gen erhalten, m=C3=B6chten wir einen =C3=9Cberblick =C3=BCber die wichtigst= en Themen geben.
Grunds=C3=A4tzlich ist der Schutz der Daten unserer Mitglieder und unser= er eigenen Daten in unserem eigenen Interesse. Ein ordnungsgem=C3=A4=C3=9Fe= r Umgang mit den uns anvertrauten Daten sollte selbstverst=C3=A4ndlich sein= , bei unachtsamen Umgang mit personenbezogenen Daten drohen juristische Kon= sequenzen und Schaden f=C3=BCr das Ansehen des BdP.
Dar=C3=BCber hinaus besteht die Gefahr, dass Dritte gezielt nach Verst= =C3=B6=C3=9Fen gegen die Datenschutz-Bestimmungen suchen und dann beispiels= weise eine kostenpflichtige Abmahnung aussprechen. Aufgrund des geringen Au= fwands f=C3=BCr die Abmahner steht dabei besonders der Datenschutz im Inter= net und die Datenschutzerkl=C3=A4rung in euren Internet-Auftritten im Vorde= rgrund. Hierauf sollte also besonderes Augenmerk gelegt werden.
Das Thema Datenschutz ist komplex und wir empfehlen jedem Stamm, sich da= mit zu besch=C3=A4ftigen. Die folgende Checkliste ersetzt somit nicht die i= ndividuelle Betrachtung des Thema Datenschutz, sondern gibt nur eine erste = Orientierung und weist auf dringende Handlungsbedarfe hin:
Datenschutz-Checkliste f=C3=BCr St=C3= =A4mme
Achtung, nicht nur f=C3=BCr elektronische Daten, sondern auch f=C3=BCr P= apier-Akten, Aufnahmeantr=C3=A4ge, Mitgliederlisten und Teilnehmendenlisten= etc. gelten die Bestimmungen des Datenschutzes.
Bei der (erstmaligen) Erhebung oder Speicherung von Daten ko=CC=88= nnen Informationspflichten bestehen. Keine Informationspflicht = besteht, wenn die betroffene Person bereits Kenntnis von der Speicherung ha= t. Informationspflichten sind:
die Zwecke, fu=CC=88r die die personenbezogenen Daten verarbeitet werden= sollen (ergeben sich aus dem Vereinszweck, alle anderen Zwecke bed=C3=BCrf= en ausdr=C3=BCcklicher Zustimmung)
gegebenenfalls an wen die Daten =C3=BCbermittelt werden
die Dauer, fu=CC=88r die die Daten gespeichert werden sollen oder, falls= dies nicht mo=CC=88glich ist, die Kriterien fu=CC=88r die Festlegung diese= r Dauer
das Bestehen des Rechts auf Auskunft, auf Berichtigung, auf Lo=CC=
=88schung, auf Einschra=CC=88nkung der Verarbeitung, auf Widerspruch gegen =
die Verarbeitung.
F=C3=BCr die Daten, die im Rahmen des Beitritts in den BdP erhoben= werden, wird ein solche Belehrung den neuen Aufnahmeantr=C3=A4gen beigef= =C3=BCgt, sodass hier kein Handlungsbedarf f=C3=BCr St=C3=A4mme und Landesv= erb=C3=A4nde besteht. Werden dar=C3=BCber hinaus weitere Daten oder von Nic= ht-Mitgliedern Daten erhoben, k=C3=B6nnen jedoch o.g. Informationspflichten= bestehen.
Grunds=C3=A4tzlich haben alle B=C3=BCrger*innen ein Recht auf Auskunft z= u den =C3=BCber sie gespeicherten personenbezogenen Daten. Dieses Recht hat= ten sie auch bisher! Neu ist, dass eine Anfrage nach der neuen DS-GVO inner= halb von 4 Wochen beantwortet werden muss. Im Fall einer Anfrage m=C3=BCsse= n also alle Daten zusammengestellt werden, die =C3=BCber die anfragende Per= son vorliegen. I.d.R. sind das vor allem Daten aus der Mitgliederverwaltung= . Hierf=C3=BCr wird bis zum Inkrafttreten der DS-GVO ein entsprechender Rep= ort zur Verf=C3=BCgung stehen.
Zus=C3=A4tzlich m=C3=BCssen aber auch andere gespeicherte Daten wie z.B.= Anmeldungen zu Veranstaltungen, Bankdaten, Fahrtkostenabrechnungen etc. im= Fall einer Anfrage herausgesucht werden.
Es muss jeweils die angefragte Ebene (Stamm/Land/Bund) diese Auskunft f= =C3=BCr die auf dieser Ebene gespeicherten Daten erteilen mit dem Hinweis, = dass die nach Aufforderung angegeben Daten jeweils nur die vorliegenden Dat= en auf der jeweiligen Ebene darstellen. Etwaige andere Daten (z.B. Teilnehm= endenlisten von Veranstaltungen auf verschiedenen Ebene - Stammeslage= r, Landeslager oder Bund Land Treffen) m=C3=BCssen bei den anderen Ebenen e= ingeholt werden.
Widerruft eine Person die Einwilligung zur Datenspeicherung oder verlang= t die L=C3=B6schung, so m=C3=BCssen alle personenbezogenen Daten gel=C3=B6s= cht werden. Dies gilt aber nur, sofern keine Verpflichtung zur Speicherung = der Daten aus gesetzlichen Vorgaben (z.B. im Rahmen der ordnungsgem=C3=A4= =C3=9Fen Buchhaltung) besteht oder andere, gewichtige Interessen wie z.B. d= ie Geltendmachung von vertraglichen Anspr=C3=BCchen (ausstehende Beitr=C3= =A4ge etc.) oder die Aus=C3=BCbung/Verteidigung von Rechtsanspr=C3=BCchen. = Mindestens sind die Daten jedoch zu sperren. Solche gesperrten Daten&n= bsp;d=C3=BCrfen dann nicht mehr f=C3=BCr andere Zwecke verwendet = werden.
Die Mitgliederverwaltung bildet entsprechende Mechanismen f=C3=BCr ausge= tretene Mitglieder ab. Macht eine Person von ihrem Recht auf L=C3=B6schung = Gebrauch, wendet euch bitte an eure Landesmitgliederverwalterin/euren Lande= smitgliederverwalter. Kontakt
Webseiten m=C3=BCssen ab dem 25.05.2018 eine Datenschutzerkl=C3=A4rung e= nthalten. Diese Datenschutzerkl=C3=A4rung muss mit dem Wort "Datenschutz" o= der "Datenschutzerkl=C3=A4rung" wie auch das Impressum heute schon direkt v= on der Startseite eurer Webseite verlinkt sein (nicht irgendwo versteckt). = Die Datenschutzerkl=C3=A4rung kann entweder eine eigene Seite oder ein komb= iniertes "Impressum/Datenschutzerkl=C3=A4rung" sein. Darin m=C3=BCssen alle= Vorg=C3=A4nge zur Speicherung und Verarbeitung von personenbezogenen Daten= beschrieben werden. Fallstricke sind hier insbesondere (Social-Media-) Plu= gins, die Daten an Dritte (z.B. Facebook) =C3=BCbermitteln. Was genau Inhal= t dieser Datenschutzerkl=C3=A4rung sein muss, h=C3=A4ngt davon ab, welche I= nhalte und Tools ihr auf eurer Webseite verwendet (wie z.B. Cookies, Analys= e-Tools, Newsletter, Social-Media-Plugins etc.). Als Checklisten dabei k=C3= =B6nnen euch dabei Datenschutz-Generatoren wie https://dat= enschutz-generator.de helfen. Bitte beachtet vor der Verwendung ab= er unbedingt die jeweiligen Nutzungsbedingungen. Wir werden bis zum 25.05. = auch die Datenschutzhinweise auf der Webseite www.pfadfinden.de= aktualisieren, die ihr dann ebenfalls zur Orientierung und Anpassung an eu= re eigenen Bed=C3=BCrfnisse verwenden k=C3=B6nnt.
Aufgrund des hohen Risikos f=C3=BCr kostenpflichtige Abmahnungen sollte = auf eine vollst=C3=A4ndige Datenschutzerkl=C3=A4rung auf der Webseite beson= deres Augenmerk gelegt werden!
Bereits nach alter Rechtslage musste der Verlust von sensiblen personenb= ezogenen Daten (z.B. durch einen Hackerangriff oder einen Diebstahl von Dat= entr=C3=A4gern oder Dokumenten) der zust=C3=A4ndigen Datenschutz-Aufsichtsb= eh=C3=B6rde und den betroffenen Personen unverz=C3=BCglich mitgeteilt werde= n. Ab dem 25.05.2018 gilt dies f=C3=BCr alle Arten von personenbezogenen Da= ten.
Unter einer Auftragsdatenverarbeitung versteht man die Verarbeitung/Spei= cherung von personenbezogenen Daten durch einen externen Dienstleister. Dar= unter f=C3=A4llt zum Beispiel sowohl der Betreiber eines Servers (Hosting) = als auch eine Druckerei, welche die Adresse der Mitglieder auf Etiketten od= er eine Zeitschrift druckt. Hierzu ist eine Vereinbarung zur Auftragsdatenv= ereinbarung entsprechend gesetzlicher Vorgaben erforderlich, der Auftraggeb= er hat eine Kontroll- und Dokumentationspflicht, dass der Auftragnehmer tec= hnisch-organisatorisch zur Einhaltung der Datenschutzbestimmungen in der La= ge ist. Neu ist hier, dass eine Auftragsdatenverarbeitung nun auch au=C3=9F= erhalb der EU stattfinden darf.
Ein oder eine Datenschutzbeauftragte*r ist f=C3=BCr den Sch= utz von Daten in einem Unternehmen oder einer Organisation zust=C3=A4ndig. = Grunds=C3=A4tzlich gilt, dass jede Organisation die Daten speichert oder ve= rarbeitet (dazu geh=C3=B6ren auch Vereine) und in denen mehr als 10 Persone= n st=C3=A4ndig mit der Verarbeitung von Daten besch=C3=A4ftigt sind, eine*n= Datenschutzbeauftragte*n benennen m=C3=BCssen.
Datenschutzbeauftragte f=C3=BCr die Bundesebene im BdP ist = unsere Mitarbeiterin im Bundesamt Silvia Houda (datenschutz@pfad= finden.de).
=C2=A7 28 Abs. 1 Nr. 1 BDSG (neu: Art. 6 DSGVO): Das Erheben, Spei= chern, Vera=CC=88ndern oder U=CC=88bermitteln personenbezogener Daten oder = ihre Nutzung als Mittel fu=CC=88r die Erfu=CC=88llung eigener Gescha=CC=88f= tszwecke ist zula=CC=88ssig, wenn es fu=CC=88r die Begru=CC=88n= dung, Durchfu=CC=88hrung oder Beendigung eines rechtsgescha=CC=88ftlichen o= der rechtsgescha=CC=88ftsa=CC=88hnlichen Schuldverha=CC=88ltnisses mit dem = Betroffenen erforderlich ist. Auf Deutsch hei=C3=9Ft das: Personenbezogene = Daten k=C3=B6nnt ihr von allen Mitgliedern speichern und verarbeiten, solan= ge dies f=C3=BCr die "Erf=C3=BCllung eures satzungsm=C3=A4=C3=9Figen Zwecks= " notwendig ist. F=C3=BCr die Durchf=C3=BChrung von Veranstaltungen, Einlad= ung zur Stammesvollversammlung k=C3=B6nnt ihr alle Daten aus dem Mitgliedsa= ntrag speichern und nutzen.
Gleiches gilt auch bei der Durchf=C3=BChrung von Veranstaltungen wie Fah= rten und Lagern. Anmeldedaten k=C3=B6nnen f=C3=BCr die Durchf=C3=BChrung so= lcher Veranstaltungen genutzt werden. So ist es logisch, dass ihr bspw. Lis= ten f=C3=BChrt, welche Personen welche Lebensmittelunvertr=C3=A4glichkeiten= haben oder wie ihr diese per Mail oder telefonisch erreicht. Auch k=C3=B6n= nt ihr diese Daten an alle f=C3=BCr die Durchf=C3=BChrung der Veranstaltung= Verantwortlichen "weitergeben". Das beinhaltet auch externe Personen, wie = bspw. eine Jugendherberge oder Reiseunternehmen, sofern diese Daten f=C3=BC= r die Abwicklung von Auftr=C3=A4gen ben=C3=B6tigen (=C3=9Cbernachtungen, Zu= gtickets etc).
Daten k=C3=B6nnen auch ohne ausdr=C3=BCckliche Einwilligung der Person g= espeichert oder verarbeitet werden.
Insbesondere der zweite Punkt kann f=C3=BCr euch relevant sein, de=
nn i.d.R. seid ihr verpflichtet, Daten an =C3=B6ffentliche Tr=C3=A4ger zu =
=C3=BCbermitteln, wenn ihr z.B. Zusch=C3=BCsse zu Veranstaltungen beantragt=
.
Der Grundsatz der Datensparsamkeit besagt, dass nur diejenigen Daten erh= oben, gespeichert und =C3=BCbermittelt werden d=C3=BCrfen, die f=C3=BCr den= jeweiligen Gesch=C3=A4ftszweck erforderlich sind. Dar=C3=BCber hinaus d=C3= =BCrfen personenbezogene Daten nur Mitarbeitenden zug=C3=A4nglich gemacht w= erden, soweit sie diese Daten zur Erf=C3=BCllung ihrer Aufgaben ben=C3=B6ti= gen. Das bedeutet in der Praxis, dass z.B. eine Meutenf=C3=BChrung keine Ad= ressliste der Pfadfinder*innenstufe bekommen darf und die Liste seiner W=C3= =B6lflinge keine f=C3=BCr seine T=C3=A4tigkeit nicht relevanten Information= en wie beispielsweise Bankverbindungen beinhalten darf.
Personenbezogene Daten sind zu l=C3=B6schen, wenn diese f=C3=BCr den Zwe= ck, zu dem sie erhoben wurden, nicht mehr ben=C3=B6tigt werden. Sofern= Daten noch weiter vorgehalten werden m=C3=BCssen, sind sie nicht zu l= =C3=B6schen, sondern zu sperren. Solche gesperrten Daten d=C3=BCr= fen dann nicht mehr f=C3=BCr andere Zwecke verwendet werden.
Notwendig ist es selbstverst=C3=A4ndlich auch, auf die Sicherheit der eu= ch anvertrauten Daten zu achten. Dazu geh=C3=B6rt z.B. der Schutz vor unbef= ugtem Zugriff auf die Daten in Form von Verschl=C3=BCsselung oder Wegschlie= =C3=9Fen von Papier-Unterlagen.
Dar=C3=BCber hinaus m=C3=BCssen Daten gegen Manipulation und Verlust ges= ichert werden - dazu geh=C3=B6ren organisatorische und technische Ma=C3=9Fn= ahmen, die auf den Einzelfall abgestimmt getroffen werden m=C3=BCssen.
Personen, die mit der Verarbeitung von perso= nenbezogenen Daten betraut sind, sind auf das Datengeheimnis zu verpflichte= n. Dies gilt gleicherma=C3=9Fen f=C3=BCr Ehren- und Hauptamtliche. Die Bele= hrung ist zu dokumentieren.
Alle ab dem 25.05. neu ausgegebenen Aufnahmeantr=C3=A4ge enthalten einen= ausf=C3=BChrlichen Datenschutz-Hinweis, der den Vorgaben der DSGVO entspri= cht und die Verarbeitung der im Aufnahmeantrag genannten Daten im Rahmen de= s Vereinszwecks erm=C3=B6glicht.
Benutzer*innen der Mitgliederverwaltung m=C3=BCssen vor Registrierung ei= ner Datenschutz-Beleherung zustimmen. Diese kann jederzeit im = MV-Bereich unter Datenschutz= abgerufen werden. Hier finden sich auch weitere Hinweise zum T= hema Datenschutz in der Mitgliederverwaltung.
In der Mitgliederverwaltung d=C3=BCrfen in den Freitext-Felder (Sonstige= s, Tags, ...) keine besonders sch=C3=BCtzenswerten Daten (z.B. Gesundheitsd= aten, Religionszugeh=C3=B6rigkeit, ...) gespeichert werden.
Eine Weitergabe von Daten innerhalb des BdP (d.h. zwischen den Ebenen Bu= nd/Land/Stamm oder an Funktionstr=C3=A4ger) in elektronischer, gedruckter o= der anderer Form ist im Rahmen des Vereinszwecks grunds=C3=A4tzlich zul=C3= =A4ssig. Eine Weitergabe von Mitglied zu Mitglied ohne direkten Zusammenhan= g mit dem Satzungszweck ist jedoch untersagt. Selbst eine =C3=B6ffentliche = Gratulation zum Geburtstag ist bereits eine Ver=C3=B6ffentlichung von perso= nenbezogenen Daten.
In jedem Fall sind die Empf=C3=A4nger von Daten auf das Datengeheimnis z= u verpflichten, die Verpflichtung ist zu dokumentieren. Dar=C3=BCber hinaus= ist auf die Sicherheit der Daten zu achten, d.h. sie sind angemessen vor Z= ugriff oder Manipulation durch Unbefugte zu sch=C3=BCtzen.
Eine Weitergabe der Daten an Dritte ist nur im Rahmen rechtlicher Verpfl= ichtungen, einer Auftragsdatenverarbeitung im Rahmen des Vereinszwecks oder= nach ausdr=C3=BCcklicher, auf den jeweiligen Einzelfall bezogenen, Zustimm= ung der betroffenen Person zul=C3=A4ssig.
Im Rahmen von Anmeldungen zur Veranstaltungen werden h=C3=A4ufig Gesundh= eitsdaten (z.B. Allergien, Medikamente, Erkrankungen erhoben). Diese Daten = gelten als besonders sensibel, d.h. sie sind besonders vor unbefugtem Zugri= ff zu sch=C3=BCtzen, der Zugriff auf diese Daten ist auf das zwingend notwe= ndige Ma=C3=9F zu beschr=C3=A4nken und die Daten sind nach Ablauf der Veran= staltung sicher zu vernichten. Dar=C3=BCber hinaus ist eine ausdr=C3=BCckli= che Einverst=C3=A4ndniserkl=C3=A4rung erforderlich, diese muss freiwillig u= nd nach vorheriger Information =C3=BCber Zweck und Form der Verarbeitung de= r Daten sowie einer Widerrufsbelehrung erfolgen.
Falls ihr euch gerne in die Date= nschutzthematik vertiefend einlesen wollt, haben wir hier einige Links und = Dateien zusammengestellt:
Handreichung des Bayerischen Land= esamtes f=C3=BCr Datenschutz: muster_1_v= erein.pdf
Handreichung des Landesamt f=C3=BCr Datenschutz NRW: Datenschutz_im_Verein1.pdf
Handreichung des Landesbeauftragten f=C3=BCr den Datenschutz BaW=C3=BC: = OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
Artikelserie des Deutschen Bundesjugendrings (DBJR): https://tooldoku.d= bjr.de/2018/05/dsgvo-artikelserie-1-die-datenschutzgrundverordnung-worum-ge= hts/