Hallo Zusammen,
ich wollte mal bei euch nachfragen, ob ihr in Sachen EU Datenschutzgrundverordnung bei euch im Verein unternimmt oder unternommen habt? Auch im Verein werden inzwischen EDV Systeme eingesetzt 
. Diese Daten werden automatisch elektonisch übermittelt und verarbeitet. Siehe BSSB ZMI oder ähnliches.
Deshalb wollte ich mal nachfragen was ihr im Verein dazu tut?
Hallo Mark,
ein spannendes Thema. In vielen Vereinen dürfte nicht dokumentiert sein, welche personenbezogenen Daten erhoben und verarbeitet werden, und auf welcher Grundlage das alles geschieht. Ob man dabei EDV einsetzt oder nicht ist allerdings völlig unbedeutend. Auch altmodische Karteikarten wären betroffen.
Beste Grüße
Gerhard
Potentieller Angriffsvektor für Abmahnanwälte: Kontaktformular welches die Daten unverschlüsselt (https ist Stand der Technik) übertragen
Wer die wichtigen Probleme nicht angehen mag, macht sich unwichtige...
Wer die wichtigen Probleme nicht angehen mag, macht sich unwichtige...
Könntest du das bitte näher erläutern? Ich bin Techi und halte mich normalerweise von dem Papierkram fern.
Mit diesem gerne vorgebrachten Argument, dass es für einen selbst doch viel wichtigere Ziele gäbe, kommt man nur leider nicht weiter, denn dann müsste man untätig den Kopf in den Sand stecken, bis der Weltfrieden eintritt, zufällig ohne irgendwelche aktiv mitgestalteten Zwischenschritte. Gerade beim Datenschutz vergisst man gerne mal, dass die Datenschutzgesetze nichts verbieten, sondern Ausnahmen vom generellen Verbot der Erfassung und Verarbeitung personenbezogener Daten definieren.
die Datenschutzgesetze nichts verbieten, sondern Ausnahmen
... erlauben
Genau so sieht's aus.
Und selbst wenn man sich von einer Person einen wie auch immer erworbenen "Freifahrtschein" holt, mit dem man alles mögliche über und zu der Person sammeln, verwursten, weitergeben und veröffentlichen dürfte, sind die Ausprägungen des Umgangs mit den Daten in Gesetzen geregelt und sollten beachtet werden.
Um mal ein Beispiel zu bringen, sind auch wegen der Datenschutzgesetze und der daraus resultierenden Verpflichtung der Zustimmung zur Datenverarbeitung (bzw. vielleicht besser gesagt Verwertung) ewige Texte (die eigentlich/bedauerlicherweise keine Sau liest) auf den zu unterschreibenden Kassenzetteln, wenn man mal nicht bar oder mit PIN sondern mit Unterschrift bezahlt.
Bei Aufnahmeerklärungen in Vereinen, deren Satzungen und Wettkampfausschreibungen habe ich so lange "Datenpreisgabeerklärungen" noch nicht gesehen. Da sollte man sich als Verein, Verband etc. also schon genau überlegen, was und wie man mit den Daten umgeht.
Beim DSB habe ich eine Information des BaWü-Innenministeriums gefunden, die das Thema aufnimmt:
http://www.dsb.de/media/PDF/Rech…z_im_Verein.pdf
Aber wenn wir mal ehrlich sind. Wer glaubt, dass diese Form des Datenschutzes Daten schützen, der glaubt auch, dass Zitronenfalter Zitronen falten. Es ist einfach ein weiterer Schritt in eine Welt in denen alles zum Vorteil von Großkonzernen ausgelegt wird.
Aber wenn wir mal ehrlich sind. Wer glaubt, dass diese Form des Datenschutzes Daten schützen, der glaubt auch, dass Zitronenfalter Zitronen falten.
http://www.dsb.de/media/PDF/Rech…z_im_Verein.pdf
Aber wenn wir mal ehrlich sind. Wer glaubt, dass diese Form des Datenschutzes Daten schützen, der glaubt auch, dass Zitronenfalter Zitronen falten. Es ist einfach ein weiterer Schritt in eine Welt in denen alles zum Vorteil von Großkonzernen ausgelegt wird.
Auch wenn ich nicht daran glaube, dass dadurch Daten geschützt werden, kann ich darauf bestehen, dass sie eingehalten werden (warum auch immer). Anders herum: Mir als Ehrenamtlichen kann man einen Strick daraus drehen, wenn ich nicht auf die Einhaltung der zahlreichen Vorschriften achte. Sonst ist es nämlich im Zweifelsfall mein persönliches Pech. Ein Hoch auf das Ehrenamt !
Wer glaubt, dass diese Form des Datenschutzes Daten schützen, der glaubt auch, dass Zitronenfalter Zitronen falten. Es ist einfach ein weiterer Schritt in eine Welt in denen alles zum Vorteil von Großkonzernen ausgelegt wird.
Also ich war ganz ehrlich etwas überrascht, wie praxisbezogen und lösungsorientiert dieser Leitfaden daherkommt, das sind alles Dinge, die kann auch ein kleiner Verein umsetzen bzw. lebt sie bereits. Er bezieht sich zwar noch nicht auf die EU-Datenschutz-Grundverordnung, sondern auf das Bundesdatenschutzgesetz, bildet aber dennoch eine solide Grundlage für die Datenerhebung und - verarbeitung im Verein.
Die rechtliche Situation ist eigentlich ganz einfach. Niemand darf personenbezogene Daten erfassen und verarbeiten, es sei denn ein Gesetz, und für die meisten Bereiche war das bisher das Bundesdatenschutzgesetz und wird es zukünftig die EU-Datenschutz-Grundverordnung sein, erlaubt Ausnahmen vom generellen Verbot. Gerade kleine Vereine können von vielen Erleichterungen profitieren. Sie müssen bspw. nicht zwingend einen Datenschutzbeauftragten bestellen.
Die meisten Punkte werden doch ohnehin oft bereits umgesetzt. Datensparsamkeit, sowohl was die Erfassung als auch was die Verarbeitung angeht, braucht vermutlich einen gewissen Lernprozess. Aber der Sportleiter hat doch auch bisher normalerweise keinen Zugriff auf Bankdaten der Mitglieder. Die benötigt der Kassier. Ein Sportleiter benötigt aber wiederum Informationen bezüglich Disziplin- und Klassenzugehörigkeit.
Die zugehörige Dokumentation, und an der dürfte es meist nur noch mangeln, ist, wenn man auch bisher sauber arbeitet, eigentlich kein großartiges Hexenwerk. Interessant wird allerdings die Zusammenarbeit mit Verbänden, und genau deshalb wundert es mich, dass von ihnen so wenig kommt, denn auf die Grundlage dafür, dass pauschal alle Mitglieder weiter zu melden sind, darf man gespannt sein, und auch auf die Verträge zur Auftragsdatenverarbeitung.
Als Verein und Verband sollte man darauf vorbereitet sein, dass ein Mitglied eine Auskunft darüber verlangt, welche Daten zu welchem Zweck erhoben wurden und an wen diese gegebenenfalls zu welchem Zweck weitergegeben wurden. Aber damit wird man sich als Verein oder Verband bereits aus eigenem Interesse beschäftigen. Die möglichen Strafen bei eventuellen Verstößen sind existenzbedrohend. Und das nicht nur für den kleinen Verein...
https://heise.de/-3936980 damit keiner sagen kann, es wäre nicht gewarnt worden.
Hallo zusammen,
ein sehr interessantes und wichtiges Thema. Irgendwie habe ich das Gefühl, dass bei den Vereinen, dies noch nicht so richtig angekommen ist. Man kommt im Verein sehr schnell mit dem Thema Datenschutz in Verbindung. Das geht los bei der Anmeldung bei Veranstaltungen, wo die div. Zustimmungen (bis hin zu Bildern, wo der Schütze im Internet dargestellt wird) eingeholt werden sollte.
Ich selbst entwickle und vertreibe die Auswertesoftware WM-Shot. Auch hier ist man sehr schnell mal die "Taube oder Statue". Man hat einen Wettkampf durchgeführt (oder teilgenommen) und gibt dem Verein, der im nächsten Jahr die gleiche Veranstaltung durchführt, den Wettkampf mit den Schützendaten weiter. Wenn mir der Wettkampf für eine Prüfung zugesandt wird, so sind in der Regel die Originaldaten enthalten. Der verantwortliche Verein verliert die Kontrolle was mit den Daten danach passiert. Um mit WM-Shot aus dem "Thema DSGVO" zu kommen, gibt es in Kürze im nächsten Update von WM-Shot eine Anonymisierungsfunktion der Schützendaten. So kann ein Wettkampf ohne Probleme weiter gegeben werden.
Wenn ich bisher bei den Vereinen zum Thema DSGVO nachfrage, so kann in der Regel keiner mit dem Begriff etwas anfangen. Ich meine man muss nicht übertreiben, aber sich mit dem Thema beschäftigen und Antworten auf evtl. Fragen haben.
Viele Grüße
Konrad
Aus meiner Sicht wird das Thema in vielen Vereinen zu leicht genommen, weil die Entscheidungsträger oft gar nicht Willens sind, sich mit so einem "Formalkram" abzugeben. (Dat is doch nur wieder wat zum Drangsalieren der Leute). Selbst mein eigener Vorsitzender meinte in der letzten Vorstandssitzung "da sind wir ja nicht von betroffen, da nur ein kleiner Verein und wir ja auch bisher die Genehmigung zum Datenumgang haben". Auf meine Frage, wo denn diese Genehmigung schriftlich vorliege, meinte er, es hätte sich noch niemand beklagt. Das reiche doch. Mehr muss ich ja wohl nicht sagen.
Wir werden uns also nun von allen Mitgliedern eine schriftliche Einverständnis zum Umgang und der begrenzten Weitergabe der notwendigen Daten geben lassen. Bei den neueren der letzten Jahre hatten wir das schon im Aufnahmeantrag, aber die Altfälle hingen nur in der "Bestandsluft".
Hier noch ein Link, der sich auch mit dem Thema beschäftigt: http://www.ziel-im-visier.de/inhalt/Finanze…uern_und_Recht/
Da ist einiges an Infomaterial zusammen getragen, inklusive Formularvorschlägen.
Wenn man sich daran orientiert, hat man schon mal eine gute Grundlage, denke ich.
Wir beschäftigen uns gerade intensiv mit dem Thema, das ist echt ein Haufen Zeug, was leicht unterschätzt wird.
Gruß,
Beali
Die EU-DSGVO ist ein weltfremdes Monstrum, dass in Praxi gar nicht gemäß den Buchstaben des Gesetzes umzusetzen ist. Es versetzt praktisch jeden, der auch nur im Ansatz etwas damit zu tun hat in einen rechtlichen Graubereich. Gleichzeitig ist es mit immensen Größenordnungen strafbewehrt, das neue, absurde Verständnis weltfremder Politiker.
Versucht Euch nur mal ansatzweise vorzustellen, was Art.17 – EU-DSGVO – Recht auf Löschung (Recht auf Vergessenwerden) in Praxi bedeutet. Rückwirkend personenbezogene Daten zu löschen...aus allen Listen, Ergebnisdarstellungen, Datenbanken, Webseiten, Social-Media, Namen löschen aus Teams die angetreten sind usw. usf...das ist Schilda in Potenz!
Im übrigen sind die Dokumente des DSB in dem Zusammenhang fehlerhaft, denn z. B. der Vorschlag zur Ergänzung der Satzung nimmt noch Bezug auf das BDSG und nicht auf die viel weitreichenderen Regelungen der DSGVO.
VG
Oliver
Versucht Euch nur mal ansatzweise vorzustellen, was Art.17 – EU-DSGVO – Recht auf Löschung (Recht auf Vergessenwerden) in Praxi bedeutet. Rückwirkend personenbezogene Daten zu löschen...aus allen Listen, Ergebnisdarstellungen, Namen löschen aus Teams die angetreten sind usw. usf...das ist Schilda in Potenz!
Kann das wirklich gefordert werden wenn der Teilnehmer vorher der Datenverwendung und -verarbeitung zugestimmt hat?
Ja, kann er. Und der DSB macht sich das Thema in seinen Beispielen nur allzu einfach: "Aus den online verfügbaren Medien (Facebook, Internet…) ist eine Löschung aus veröffentlichten Startlisten, Ergebnislisten praktisch nicht möglich."
Denn natürlich ist das möglich. Und der entsprechende Paragraph in der EU-DSGVO sieht genau das vor (Auszug):
1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
und...
2. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Es ist ergo dann die Schuldigkeit des Vereines hinterher zu sein und sein möglichstes zu tun, dass Daten auch in Social Medien und Co oder bei anderen Vereinen auf der HP wieder verschwindet.
VG
Oliver
Und das obige Beispiel ist ja nur eins von vielen Problemen mit der DSGVO....
Ich hoffe Ihr, euer Schatzmeister, der Kassenwart oder Trainer wirft niemals eine Liste mit personenbezogenen Daten in den Müll. Oder der alte Vereinsrechner geht auf den Entsorgungshof ohne die Festplatte herausgeschraubt zu haben und diese gemäß DIN 66399 vernichtet zu haben.
Denn personenbezogene Daten ist die Schutzklasse 2 anzuwenden und die Datenträger der Sicherheitsstufe 4 zuzuordnen. Bei Papier ergibt sich somit die Sicherheitsstufe P-4, bei Festplatten H-4. Das bedeutet, dass Papier nur mit einem Aktenvernichter mit Kreuzschnitt: max. 2 mm Breite auf max. 15 mm Partikellänge (30 mm² Partikelfläche) vernichtet werden darf...hat sicher jeder zu Hause.
Und für die Festplatte: Für die physikalische Löschung von magnetischen Datenträgern (z. B. Streamer Tapes) sind spezielle Löschgeräte erhältlich. Festplatten, die sich nicht mehr mittels Software-Tools komplett und mehrfach überschreiben lassen, müssen ebenfalls physikalisch zerstört bzw. mit Hilfe eines starken Magnetfeldes irreversibel gelöscht werden. Dabei ist aber zu bedenken, dass ein Durchbohren oder Häckseln von Festplatten nicht immer zum gewünschten Erfolg führt, da hierbei zwar der Datenträger zerstört wird, die Daten dabei aber unter Umständen erhalten bleiben und wieder rekonstruiert werden können. Aus diesen Gründen liegt gemäß den Empfehlungen des Centers for Magnetic Record-ing Research (CMRR) der USA und der Empfehlung 800-88 des US-Amerikanischen National Institute for Science and Technology (NIST) die komplette Zerstörung einer Festplattenoberfläche erst dann vor, wenn die resultierenden Partikel nicht mehr groß genug sind, um einen einzigen Speicherblock von 512 KB zu enthalten. Nur dann ist – zumindest nach derzeitigem Kenntnisstand – keine Datenwiederherstellung möglich.
...das habt ihr sicherlich auch...
https://www.datenschutz-bayern.de/technik/orient…rentsorgung.pdf
VG
Oliver
