Datenschutzverordnung für Rotary Clubs in Deutschland

Transkript

1 Datenschutzverordnung für Rotary Clubs in Deutschland Inhalt 1 Vorbemerkungen Begriffsbestimmungen Bundesdatenschutzgesetz (BDSG) Datenschutz im Verein Datenschutz bei der Mitgliederverwaltung von Rotary Datenschutz beim Rotary Spendenwesen Datentransfer in die USA Verwendete Datenarten in RO.CAS Verträge zur Auftragsdatenerarbeitung... 9 Seite 1 von 9 W.Heim

2 1 Vorbemerkungen Das Hessische Datenschutzgesetz war 1970 das erste Datenschutzgesetz der Welt. Das Bundesdatenschutzgesetz (BDSG) ist seit in Kraft. Seitdem wurde es mehrfach novelliert. Seit 1995 gibt es außerdem eine einheitliche EU-Datenschutzrichtlinie (EU-DSRL). Ziel des Datenschutzes ist es nicht, irgendwelche Daten etwa um ihrer selbst willen zu schützen, sondern geschützt werden sollen Menschen in ihrem grundrechtlich garantierten Persönlichkeitsrecht. 1 Absatz 1 BDSG lautet: Zweck des Datenschutzrechtes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz der Daten an sich. Daten jeglicher Art, nicht nur die personenbezogenen Daten von Menschen, sollen vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und vor anderen Bedrohungen geschützt werden. Datenschutz und Datensicherheit gehören zusammen. Sicherheit von personenbezogenen Daten ist eine notwendige Voraussetzung für Datenschutz, aber Datenschutz umfasst mehr als nur die technische Sicherheit. Ziel dieses Dokumentes ist es, Transparenz und Ordnung in die Datenschutzstrukturen bei Rotary in Deutschland zu bringen. Dafür sind vor allem folgende Punkte zu klären: 1. Welche Stellen sind am Datenverarbeitungsprozess mit personenbezogenen Daten der rotarischen Mitglieder beteiligt? 2. Wie sieht der Informationsfluss/Datentransfer zwischen diesen Stellen aus? 3. Jeder am Datenverarbeitungsprozess mit personenbezogenen Daten beteiligten Stelle muss eine Rolle zugeordnet werden: a. Betroffene Person b. Verantwortliche Stelle c. Auftragsdatenverarbeiter d. Dritter Datenempfänger 4. Unter welchen Bedingungen ist der Datentransfer zulässig und welche weiteren Maßnahmen sind ggf. zu festzulegen. Die am Prozess beteiligten Stellen müssen eine Reihe von organisatorischen Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit innerhalb ihrer Organisation erfüllen. Diese Maßnahmen sind nicht Bestandteil dieses Dokumentes. Die in diesem Dokument beschriebenen Regelungen und Festlegungen sind unabhängig von den Eigentums- und Nutzungsrechten an der eingesetzten Software und den in diesem Zusammenhang bestehenden Verträgen. Das sind z.b. die vertraglichen Regelungen zwischen der Rotary Verlag GmbH und den deutschen Rotary Distrikten. 2 Begriffsbestimmungen Bundesdatenschutzgesetz (BDSG) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Der Begriff Angaben über persönliche oder sachliche Verhältnisse einer Person umfasst alle Informationen, die über die Bezugsperson etwas aussagen. Das Gesetz kennt keine freien Daten. Seite 2 von 9 W.Heim

3 Die Person ist bestimmt bzw. bestimmbar, wenn feststeht, dass sich die Angaben auf diese Person und nicht auf eine andere beziehen. Bestimmbarkeit und Nichtbestimmbarkeit für die Anwendung des BDSG ausschlaggebend. Das BDSG gilt nicht, wenn die Daten anonymisiert oder pseudonymisiert sind. Verantwortliche Stelle Das ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Es ist die Stelle oder Person, die über die Zwecke und Mittel der der Verarbeitung von personenbezogen Daten entscheidet (EU-DSRL) Die verantwortliche Stelle muss keine juristische Person sein! Wenn mehr als neun Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind, ist ein Datenschutzbeauftragter zu bestellen ( 4f BDSG). Gegenstand der Verantwortlichkeit ist der Datenumgang. Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Von der Verantwortung für den Datenumgang ist die Verantwortung für die Verarbeitungsmedien zu unterscheiden. Sie fallen bei der Auftragsverarbeitung auseinander. Auftragsdatenverarbeitung: Die Verantwortliche Stelle darf eine andere Stelle mit der Erhebung, Verarbeitung oder Nutzung der Daten beauftragen, bleibt aber selbst für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. Der Auftrag ist schriftlich entsprechend den gesetzlichen Vorgaben zu erteilen. Der Auftraggeber hat sich zudem vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der vom Aufragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und dies schriftlich zu dokumentieren. 43 BDSG: (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 2b. entgegen 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt. (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro... geahndet werden. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Wenn ein Dritter personenbezogene Daten erhält, unterliegt dies engen Restriktionen. Dritte sind nicht der/die Betroffene sowie Personen und Stellen, die (im Inland oder im EWR) personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. 3 Datenschutz im Verein Die nachfolgenden Ausführungen in diesem Kapitel basieren auf den weitgehend gleichlautenden Dokumenten Datenschutz im Verein des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Stand 05/2013, sowie des Landes Baden-Württemberg (LDI BW) von 06/2012. Definition Verein Ein Verein isd 21 ff. BGB ist ein auf Dauer angelegter Zusammenschluss von Personen zur Verwirklichung eines gemeinsamen Zwecks mit körperschaftlicher Verfassung (Vorstand Seite 3 von 9 W.Heim

4 und Mitgliederversammlung als Organe), der einen Gesamtnamen führt, nach außen als Einheit auftritt und in seinem Bestand vom Mitgliederwechsel unabhängig ist. Es wird unterschieden zwischen dem rechtsfähigen Verein und dem nicht-rechtsfähigen Verein. Der rechtsfähige Verein erreicht seine Rechtsfähigkeit durch die Eintragung in das Vereinsregister. Bei der Mitgliedschaft in einem Verein handelt es sich um ein rechtsgeschäftsähnliches Schuldverhältnis im Sinne des 28 Abs. 1 Satz 1 Nr. 1 BDSG2 (NRW) bzw. als Vertragsverhältnis zwischen den Mitgliedern und dem Verein (BW) anzusehen, dessen Rahmen und Inhalt im Wesentlichen durch die Vereinssatzung vorgegeben wird. Datenschutzrechtlich unerheblich ist, ob der Verein ins Vereinsregister eingetragen ist oder ob es sich um einen nicht rechtsfähigen Verein handelt. Der Verein ist für seine Mitgliederdaten verantwortliche Stelle i.s.v. 3 Abs.7 BDSG. Dem Verein sind zuzurechnen seine Funktionsträger/innen, Auftragnehmer/innen und - falls vorhanden - vom Verein beschäftigte Mitarbeiter/innen, soweit diese im Rahmen der Aufgabenerfüllung für den Verein tätig werden. Die Weitergabe von Mitgliederdaten durch den Verein an diese Stellen oder Personen ist ein vereinsinterner Vorgang (Nutzung) und keine Datenübermittlung. Der Vereinsvorstand, der den Verein nach außen vertritt ( 26 Abs. 1 Satz 2 Bürgerliches Gesetzbuch, BGB), nimmt für den Verein in Bezug auf die Verwaltung der Mitgliedsdaten die Aufgaben der verantwortlichen Stelle ( 3 Abs. 7 BDSG) wahr. Bei ihm liegt die Datenschutzverantwortung. Vereine müssen im Sinne des 2 Abs. 4 Satz 1 BDSG die Vorgaben des BDSG gemäß 1 Abs. 2 Nr. 3 BDSG beachten, soweit sie Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben. Unerheblich ist dabei, ob der Verein ins Vereinsregister eingetragen ist und eigene Rechtspersönlichkeit besitzt oder ob es sich um einen nicht rechtsfähigen Verein handelt. Aus der bestehenden Datenschutzverantwortung ergibt sich eine Verpflichtung für den Vereinsvorstand, Maßnahmen umzusetzen, die den Datenschutz und die Datensicherheit im Verein gewährleisten. Dazu gehören u.a. Die technischen und organisatorischen Maßnahmen gemäß 9 BDSG incl. Anlage müssen umgesetzt werden. Insbesondere müssen die Daten gegen den Zugriff unberechtigter Personen geschützt werden. Personen, die mit der Verarbeitung von personenbezogenen Daten betraut sind, sind auf das Datengeheimnis nach 5 BDSG zu verpflichten. Soweit Ehrenamtliche im Verein mit der Datenverarbeitung befasst sind, sind auch sie zu verpflichten. Für die gespeicherten personenbezogenen Daten sind Aufbewahrungs- und Löschungsregelungen vorzusehen, da sie nur solange gespeichert werden dürfen, wie sie zur Aufgabenerfüllung erforderlich sind. Bei der Entsorgung von nicht mehr benötigten Unterlagen und Datenträgern muss dafür Sorge getragen werden, dass sie nicht einfach so in einem Altpapier- oder Müllcontainer landen. Datenübermittlung an Dachorganisationen Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorganisation zu übermitteln (etwa in Form von Mitgliederlisten), sollte dies in der Vereinssatzung geregelt werden. Dadurch wird klargestellt, dass die Übermittlung im Vereinsinteresse erforderlich ist und Interessen der Vereinsmitglieder einer solchen Übermittlung regelmäßig nicht entgegenstehen( 28 Abs.1 Nr.2 BDSG). Fehlt eine Satzungsregelung, sollten die Mitglieder (Neumitglieder möglichst bereits im Aufnahmeverfahren) über die Übermittlung ihrer Daten an die Dachorganisation und den Übermittlungszweck informiert und ihnen Gelegenheit zu Einwendungen gegeben werden. Der Verein ist darüber hinaus verpflichtet, dafür Sorge zu tragen, dass die von ihm weitergegebenen Mitgliederdaten vom Empfänger nicht zweckentfremdet genutzt werden (etwa durch Verkauf oder Vermietung der Seite 4 von 9 W.Heim

5 Mitgliederadressen für Werbezwecke) oder dies allenfalls mit Einverständnis des Vereins und Einwilligung der betroffenen Mitglieder erfolgt. Auftragsdatenverarbeitung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann ein Verein auch durch jemand anderen vornehmen lassen, diesen also mit diesen Tätigkeiten beauftragen. Dabei ist der Verein bei einer Auftragsdatenverarbeitung nach 11 Abs. 2 S. 1 BDSG zur sorgfältigen Auswahl des Auftragnehmers verpflichtet ist. Die Beauftragung muss schriftlich erfolgen. 4 Datenschutz bei der Mitgliederverwaltung von Rotary Jeder Rotary Club ist isd 21 ff. BGB ein nicht rechtsfähiger Verein. Betroffene Person ist jedes Mitglied eines Rotary Clubs. Verantwortliche Stelle im Sinne des BDSG ist jeder einzelne Club. Die Mitgliedsdatenverwaltung erfolgt grundsätzlich bei den Einzelvereinen. Der Clubpräsident, der den Club nach außen vertritt, nimmt die Aufgaben der verantwortlichen Stelle ( 3 Abs. 7 BDSG) wahr. Bei ihm liegt die Datenschutzverantwortung. Nutzung für satzungsmäßige Zwecke: Vom Club werden die Daten für folgende satzungsmäßigen Zwecke genutzt. Hierfür ist keine Einwilligungserklärung im Sinne des 4a BDSG nötig. Der Clubsekretär erfasst die vom jeweiligen Mitglied schriftlich mitgeteilten Daten zum Zweck der Mitgliederverwaltung in RO.CAS. Bei den nicht erforderlichen Daten bleibt es dem jeweiligen Mitglied selbst überlassen, ob es die Angaben machen möchte oder nicht. Der Schatzmeister hat ebenfalls Zugriff auf die Mitgliederdaten um die Zahlung der Mitgliedsbeiträge idr per Bankeinzug sicher zu stellen. Werden weitere Beträge regelmäßig eingezogen (z. bei zentraler Zahlung Spenden Annual Fund), bedarf es dazu einer Zustimmung der Mitglieder, z.b auf einer Mitgliederversammlung. Die Veröffentlichung von Protokollen der Clubtreffen im Internet beinhaltet aufgrund der meist in den Protokollen enthaltenen personenbezogenen Funktionsträger- und Mitgliedsdaten oft auch eine Übermittlung von personenbezogenen Daten. Eine rechtmäßige Internetveröffentlichung von Clubprotokollen ist nur in einem nur den Clubmitgliedern zugänglichen Bereich zulässig. Gleiches gilt für Präsenzlisten. Datenweitergabe an übergeordnete Institutionen Rotary Distrikt - Der jeweilige Governor ist während seines Amtsjahres die offizielle Vertretung von Rotary International in der jeweiligen Region. Durch die Distriktorganisation (Governor und Beirat) werden auf regionaler Ebene im Sinne einer Amtshilfe Aufgaben von Rotary International wahrgenommen. Der Distrikt ist damit eigenverantwortliche Stelle im Sinne des BDSG: Ein Zugriff auf die Kontaktdaten der Amtsträger in den Clubs sowie der Beiratsmitglieder ist satzungskonform und damit zulässig. Dafür ist keine Zustimmung der betroffenen Personen notwendig. - Der Governor, der den Distrikt nach außen vertritt, nimmt die Aufgaben der verantwortlichen Stelle ( 3 Abs. 7 BDSG) auf Distriktebene wahr. Bei ihm liegt die Datenschutzverantwortung für den Distrikt. - Sofern ein Distrikt ein externes Distriktsekretariat nutzt, erledigt dies Auftragsdatenverarbeitung im Sinne von 11 BDSG. Ein entsprechender Vertrag zwischen dem jeweiligen Distrikt und dem externen Sekretariat ist zwingend notwendig. - Da in der Regel weder in einem Rotary Club noch in der Distriktverwaltung mehr als 9 Personen regelmäßig mit den personenbezogenen Daten der Clubmitglieder arbeiten, muss kein Datenschutzbeauftragter bestellt werden. Als Vertretung der Clubs wird die Seite 5 von 9 W.Heim

6 Bestellung von Distrikt- oder ggf. Multi-Distrikt- Datenschutzbeauftragten gemäß den Vorgaben von 4 f dringend empfohlen. Datenweitergabe an Rotary Verlag GmbH - Für das Mitgliederverzeichnis Deutschland entscheidet jeder Club, ob der Club und seine Mitglieder im Verzeichnis angegeben werden sollen. Grundsätzlich kann ein Club als Ganzes das ablehnen. Im Verzeichnis erscheinen aber immer die Clubdaten (Name, RI-Nr., Gründungsdatum, Distrikt) sowie die Clubamtsträger im jeweiligen rotarischen Jahr Bei Aufnahme der Clubmitglieder in das Verzeichnis entscheidet jedes Mitglied einzeln, welche persönlichen Daten im Verzeichnis erscheinen sollen. Der Rotary Verlag erstellt das Verzeichnis gemäß den durch die Clubs übermittelten Daten in deren Auftrag. Der Rotary Verlag erledigt Auftragsdatenverarbeitung im Sinne von 11 BDSG. Ein entsprechender Vertrag zwischen den Clubs - vertreten durch ihren jeweiligen Distrikt - ist zwingend notwendig. - Für den Versand des Rotary Magazins ist der Rotary Verlag ebenfalls Auftragsdatenverarbeiter im Sinne von 11 BDSG. - Sofern der Rotary Verlag selbst Daten im Auftrag verarbeiten lässt, z.b. Druckerei; Versand, u.ä. sind hierfür ebenfalls Verträge gemäß 11 BDSG zwischen dem Verlag und dem jeweiligen Subunternehmen notwendig. Nutzung des Softwaresystems RO.CAS zur Mitgliederverwaltung Entwickler und Eigentümer von RO.CAS ist die Rotary Verlag GmbH. Der Verlag hat einen Lizenzvertrag über die Nutzung von RO.CAS durch deutsche Rotary Clubs mit den einzelnen Distrikten abgeschlossen. Henworx erbringt für RO.CAS Leistungen zum Support der Nutzer sowie zur Pflege und Weiterentwicklung der Software. Im Rahmen dieser Aufgaben hat Henworx Zugriff auf die gespeicherten personenbezogenen Daten. Verträge zur Auftragsdatenverarbeitung gemäß 11 BDSG zwischen den Rotary Clubs und Henworx sind zwingend erforderlich und die notwendigen Datenschutzprüfungen bei Henworx vor Ort in Münster vorzunehmen. Der technische Betrieb von RO.CAS erfolgt auf einem Server, der in den Geschäftsräumen der Heinlein - Professional Linux Support GmbH, vertreten durch den Geschäftsführer Peer Heinlein in Berlin, Schwedter Straße 8/9 B (nachstehend Provider genannt),steht. Da der Provider Zugriff auf die personenbezogenen Produktivdaten der einzelnen Rotary Mitglieder hat, ist auch in diesem Fall ein Vertrag zur Auftragsdatenverarbeitung gemäß 11 BDSG zwischen dem Rotary Verlag und der Heinlein - Professional Linux Support GmbH notwendig. Da der Provider Subunternehmer des Rotary Verlages ist und die Datenschutzverantwortung der verantwortlichen Stelle Rotary Clubs bzw. Rotary Distrikte auch für die Subunternehmer gilt, sind die Vertragsbedingungen offenzulegen und von Rotary auf Gesetzeskonformität zu prüfen. Ich verweise bezüglich der beiden zuletzt genannten Absätze ausdrücklich auf die Vorschriften hinsichtlich Ordnungswidrigkeiten gemäß 43 (1) 2b BDSG. Information der Mitglieder Datenschutz basiert in Deutschland auf dem Recht auf informationeller Selbstbestimmung. Das ist die Fähigkeit jedes Einzelnen über seine Daten selbstbestimmt verfügen zu können. Damit dieses Selbstbestimmungsrecht wahrgenommen werden kann, ist die datenverarbeitende Stelle gegenüber den betroffenen Personen (Clubmitglieder) zur Transparenz der gespeicherten Daten und der Informationsflüsse verpflichtet. In Deutschland gibt es inzwischen mehr als Rotary Clubs. Die wenigsten Clubsatzungen enthalten Informationen zum Datenschutz. Die Änderung einer Clubsatzung kann nur mit einer Zweidrittel-Mehrheit der Mitglieder erfolgen. Erfahrungsgemäß führen Satzungsänderungen in Rotary Clubs zu langen Diskussionen. Da alle Datenverarbeitungen satzungskonform und zulässig sind und eine Benachrichtigungspflicht gemäß 33 BDSG nicht besteht, wird eine umfassende und transparente Information aller Clubmitglieder als zweckmäßiger und ausreichend angesehen und empfohlen. Seite 6 von 9 W.Heim

7 5 Datenschutz beim Rotary Spendenwesen Durch Rotary Deutschland Gemeindienst e.v. (RDG) werden die Spenden der deutschen Rotarier für Zwecke der Rotary-Foundation sowie auch distrikt-/clubeigener Aktionen unmittelbar und zeitnah eingesetzt. RDG ist als gemeinnützig anerkannt und kann Spendenbescheinigungen ausstellen. Mitglieder von in der Bundesrepublik Deutschland bestehenden Rotary Clubs werden durch Erstzahlung eines Mitgliedsbeitrages Mitglieder des Vereins, ohne dass es eines besonderen Aufnahmebeschlusses des Vorstandes bedarf. Die Zahlung der Beiträge an RDG erfolgt in der Regel durch den Clubschatzmeister. Da es keine expliziten Beitrittserklärungen zu RDG gibt, wissen die rotarischen Mitglieder derzeit nicht, dass sie Mitglieder bei RDG sind. Sie sind darüber zu informieren! Nicht alle deutschen Clubs zahlen den RDG-Beitrag Die Mitglieder dieser Clubs sind keine Mitglieder von bei RDG. Zur satzungsmäßigen Durchführung der eigenen Aufgaben benötigt RDG die Kontaktdaten (. Abschnitt 7, Art A und B und/oder C gemäß Entscheidung der Einzelperson) der Vereinsmitglieder. D.h. RDG ist über RO.CAS der Zugriff (nur) auf diese Daten der Clubmitglieder aus den Clubs zu ermöglichen, die durch Zahlung Mitglied bei RDG sind. Auf Daten, die über die Adressdaten hinausgehen, darf RDG keinen Zugriff haben. Auch auf Daten der rotarischen Mitglieder, deren Clubs nicht an RDG gezahlt haben und somit nicht Mitglied bei RDG sind, darf RDG keinen Zugriff haben. RDG ist befugt, diese Daten aus RO.CAS zu exportieren und in ein eigenes System zu importieren. Sofern RDG Subunternehmer einsetzt, sind die Regelungen zur Auftragsdatenverarbeitung gemäß 11 BDSG zu beachten. Dafür ist RDG allein verantwortlich. Die Spendeneingänge für Zwecke der Rotary Foundation bei RDG werden als Clubsummen an Rotary Foundation gemeldet. Eine personenbezogene Meldung einzelner Spenden erfolgt nicht. Sollen z. B. Major Donors auszeichnen, dann wird RI mitgeteilt, welche Summen die jeweilige Person für TRF-Zwecke gespendet hat. Sofern Einzelpersonen Spenden direkt an RDG zahlen, hat RDG diese Daten von der betroffenen Person selbst rechtmäßig erhalten. RDG Online Der Schatzmeister des RC bekommt online-zugriff auf alle Spendeneingänge zu seiner Clubnummer. Bisher erhält er diese Daten regelmäßig in Papierform. Der Clubschatzmeister kann Einzelspenden bearbeiten, d.h. in Abstimmung mit dem Spender Zweckbestimmungen ändern und für nicht-rotarische Spender die Adresse erfassen, damit eine Spendenbescheinigung durch RDG ausgestellt werden kann. Die Deutsche Rotarische Stiftung ist im Sinne des BDSG Dritter und kein Teil von RDG und nicht befugt, die bei RDG vorliegenden personenbezogenen Daten von rotarischen Mitgliedern zu nutzen, es s ei denn, es liegt dafür eine ausdrückliche schriftliche Zustimmung des einzelnen Mitglieds vor. 6 Datentransfer in die USA Jeder Club kann nur mit der Zustimmung von Rotary International in die Mitgliedschaft aufgenommen werden. Ein Club wird gegründet, sobald eine Initiativgruppe vom Governor den Status provisional club (dt. Club in Gründung) erhält. Diese Gruppe ist aber bis zur Aufnahme bei RI kein Rotary Club und die Mitglieder keine Rotarier. Danach ist jedes Mitglied eines Rotary Clubs automatisch auch Mitglied von RI. Seite 7 von 9 W.Heim

8 Die Clubs zahlen halbjährlich Mitgliederbeiträge an RI, die sich auf Grund der Anzahl der Aktivmitglieder und der Abonnements von The Rotarian berechnen. Bei Aufnahme eines Neumitglieds erfassen bestehende Clubs dessen Kontaktdaten direkt online über Mein Rotary. Damit sind die Neumitglieder in der Datenbank von RI erfasst; sowohl Mitarbeiter am Hauptsitz als auch am Europa/Afrika Büro können auf diese Datenbank zugreifen. Das Europa/Afrika Büro führt keine eigene oder separate Datenbank der betreuten Rotary Clubs. Sie greifen auf die generelle Datenbank von Rotary International am Hauptsitz zu. Nach deutschem Recht ( 4b BDSG), aber auch EU Datenschutzrecht, dürfen personenbezogene Daten nur an Staaten mit angemessenem Datenschutzniveau übermittelt werden. Die USA gehören ausdrücklich nicht dazu. Ausnahmen von dieser Vorschrift sind in 4c BDSG geregelt. Danach ist eine Übermittlung personenbezogener Daten an andere als die in 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern 1. der Betroffene seine Einwilligung gegeben hat, 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,... Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. Der Datentransfer der Mitgliederdaten in die USA ist nach deutschem Recht zulässig: Grundsätzlich ist die Datenweitergabe zulässig, da (s.o.) auch jedes Mitglied eines nationalen Rotary Clubs auch automatisch gleichzeitig Mitglied von RI ist. Da die Mitgliedschaft in einem Verein ein Vertrag bzw. vertragsähnlich ist, fällt der Datentransfer an RI unter die Ausnahmeregelungen von 4c BDSG. Im Rotary Code of Policies, Article 11. Club Relationships with Rotarians and Others hat RI sich zur ausschließlich zweckgebundenen Nutzung der Daten verpflichtet. 7 Verwendete Datenarten in RO.CAS Art Bezeichnung Verfügbar für Club Distrikt Verlag RDG Stammdaten A Name, Clubzugehörigkeit X X X X B Kontaktdaten privat X X* X* X* C Kontaktdaten geschäftlich X X* X* X* D Bankverbindung X persönliche Daten (Geb.datum, Partner/in, X* E Kinder) Bewegungsdaten Protokoll incl. Präsenz im Meeting X X Präsenzstatistik * nur mit Zustimmung der betroffenen Person X Seite 8 von 9 W.Heim

9 8 Verträge zur Auftragsdatenerarbeitung Die Erweiterung des 11 BDSG von September 2009 nennt zehn Regelungsbereiche, die in jeden Vertrag zur Auftragsdatenverarbeitung gehören: (TÜV Media Newsletter) 1. Gegenstand und Dauer des Auftrags 2. Der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen 3. Technische und organisatorische Maßnahmen 4. Berichtigung, Sperrung und Löschung von Daten 5. Kontrollen und sonstige Pflichten des Auftragnehmers 6. Unterauftragsverhältnisse 7. Kontrollrechte des Auftraggebers 8. Mitteilung bei Verstößen des Auftragnehmers 9. Weisungsrechte des Auftraggebers 10. Löschung von Daten und Rückgabe von Datenträgern Ein Vertrag der bei Abschluss einen diese Punkte nicht berücksichtigt, kann nach 43 Abs. 1 Nr. 2b, Abs. 3 BDSG bereits ein Bußgeld bis zu Euro nach sich ziehen. Es ist daher ratsam, bei jeder Beauftragung den 11 genau zu befolgen und darauf zu achten, dass die im Gesetz genannten Regelungen in der Vereinbarung mit dem Auftragsdatenverarbeiter enthalten sind Seite 9 von 9 W.Heim