Datenschutz im Sportverein

Transkript

1 Datenschutz im Sportverein Workshop des Kreissportbundes Bremerhaven 24. November 2007

2 datenschutz nord GmbH Referentin: Irene Karper, Syndikusanwältin datenschutz nord GmbH: Landesgesellschaft der Freien Hansestadt Bremen Zahlreiche Akkreditierungen, u.a. beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), 11 Mitarbeiter/Innen (Informatiker, Techniker, Mathematiker, Juristen) Unsere Dienstleistungen: externer Datenschutzbeauftragter Datenschutzaudits / Zertifizierungen / Gütesiegel IT-Sicherheitskonzepte Fortbildungen Multimediarecht

3 Inhalt Datenschutzgrundsätze Bestellung eines Datenschutzbeauftragten Verfahrensregister Praxisbeispiele Zulässige Mitgliederdatenverarbeitung Der Webauftritt des Vereins Diskussion

4 Wichtige Datenschutzgesetze im Überblick Europa Bund Länder EU-Datenschutzrichtlinie 95/46 BDSG TMG - Telemediengesetz Landesdatenschutzgesetze Grundlage aller europ. Datenschutzgesetze Vorschriften für Bundesbehörden und nicht-öffentliche Stellen (d.h. für die gesamte Privatwirtschaft) Vorschriften speziell für den Bereich der Telemedien einschließlich Datenschutz Vorschriften für öffentliche Stellen des Landes

5 Anwendung des BDSG auf Vereine 1 Abs. 2 BDSG: Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 1. öffentliche Stellen ( ) 3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. 1 Abs. 2 BDSG Beispiel: Mitgliederlisten per PC

6 Das gesetzgeberische Konzept Jede Erhebung, Speicherung, Verarbeitung oder Übermittlung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn es besteht eine gesetzliche Erlaubnis oder der Betroffene hat eingewilligt 4 Abs. 1 BDSG (sog.verbot mit Erlaubnisvorbehalt)

7 Das personenbezogene Datum Einzelangaben Angaben, die auf eine einzelne Person schließen lassen Nicht: anonymisierte Daten! über persönliche oder sachliche Verhältnisse Informationen über den Betroffenen oder einen auf ihn beziehbaren Sachverhalt einer bestimmten oder bestimmbaren natürlichen Person Personbezug muss mit vertretbarem Aufwand herstellbar sein 3 Abs. 1 BDSG nicht geschützt sind Daten von jur. Personen, also von Gesellschaften oder Vereinen

8 Der Datenschutzbeauftragte - Voraussetzungen und Bestellung Bestellungsvoraussetzungen: wenn personenbezogene Daten automatisiert verarbeitet werden und mehr als 9 Personen damit ständig beschäftigt sind (NEU seit ) Persönliche Voraussetzungen ( 4f Abs. 2 BDSG): Zuverlässigkeit die zur Erfüllung der Aufgaben erforderliche Fachkunde 4f BDSG das Maß der Fachkunde hängt von dem Umfang der Datenverarbeitung und dem Schutzbedarf der pb Daten ab!

9 Der Datenschutzbeauftragte Die Position Position innerhalb des Vereins: dem Leiter der verantwortlichen Stelle (Vorstand/Geschäftsführung) unmittelbar unterstellt auf dem Gebiet des Datenschutzes weisungsfrei Widerruf der Bestellung nur möglich durch Nachweis fehlender Fachkunde Amtsenthebung 4f BDSG allgemeine Kündigung analog 626 BGB (arbeitsrechtlich: ähnliche Stellung wie der Betriebsrat)

10 Die Aufgaben des Datenschutzbeauftragten DS-Beauftragte(r) muss auf die Einhaltung der Datenschutzregelungen hinwirken Überwachung der Ordnungsmäßigkeit der Datenverarbeitung Unterrichtung und Schulung von Beschäftigten bzgl. Datenschutz und Datensicherheit (Erstellen und) Vorhalten eines Verfahrensverzeichnisses Wahrung der Rechte der Betroffenen (Ansprechpartner) Verpflichtung der Beschäftigten auf das Datengeheimnis Auswahl, Vertragsgestaltung und Überwachung der 4g Abs.1 BDSG Auftragnehmer, die Auftrags-DV durchführen

11 Das Verfahrensverzeichnis 4d, 4e BDSG: Meldepflicht für automatisierte DV Entfällt u.a., wenn DSB bestellt; jedoch: Register der DV notwendig! Sinn und Zweck: Ausstattung des DSB mit einem Mindestmaß an Information über Ziele, Struktur und Ablauf der Verarbeitung schnelle und zuverlässige Auskunft der Betroffenen zentrales Dokument für externe Kontrollinstanzen Adressaten: DSB Mitarbeiter 4g Abs.2 BDSG Vorstand / Geschäftsleitung Betriebsrat Aufsichtsbehörde Öffentlichkeit (begrenzt)

12 Das Verfahrensverzeichnis - der Inhalt Verfahrensverzeichnis ist DAS zentrale Datenschutzwerk Name oder Firma der verantwortlichen Stelle Inhaber, ges. Vertreter und Leiter der DV-Abtlg. Anschrift der verantwortlichen Stelle Zweckbestimmung der Datenverarbeitung betroffene Personengruppen mit den jew. Datenkategorien Empfänger bzw. Kategorien von Empfängern, denen die Daten mitgeteilt werden können Regelfristen für die Löschung der Daten geplante Datenübermittlungen in Drittstaaten eine Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen (insbes. Zugriffsberechtigte) 4g Abs.2 BDSG

13 Praxisbeispiele Praxisbeispiele

14 Mitgliederdatenverarbeitung nach 28 BDSG 28 Abs. 1 BDSG: Datenerhebung, -verarbeitung,und nutzung für eigene Zwecke Das Erheben, Verarbeiten, Speichern, Übermitteln und Verändern ist für eigene Geschäftszwecke u.a. zulässig, gilt gilt für für alle alle Arten Arten von von Verträgen, Verträgen, z.b. z.b. Arbeitsverträge, Arbeitsverträge, Kaufverträge Kaufverträge * wenn es der Zweckbestimmung eines Vertrags- oder vertragsähnlichen Vertrauensverhältnisse Vertrauensverhältnisses sind sind u.a. dient. u.a. mitgliedschaftliche mitgliedschaftliche Beziehungen Beziehungen (Verein, (Verein, Verband), Verband), Anbahnungen Anbahnungen von von Verträgen Verträgen z.b. z.b. Bewerbungen Bewerbungen für für Arbeitsplätze Arbeitsplätze * Ausschlaggebend: soweit es zur Wahrung Ausschlaggebend: DV DV muss berechtigter muss für für den den Vereinszweck Interessen Vereinszweck erforderlich verantwortlichen erforderlich sein, sein, z.b. z.b. wenn wenn Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das DV DV durch durch Satzung Satzung vorgegeben vorgegeben ist schutzwürdige Interesse des Betroffenen ist an dem Ausschluss der Mitglieder Verarbeitung Mitglieder für für Vertreterversammlungen Vertreterversammlungen oder Nutzung überwiegt oder oder Veranstaltungen Veranstaltungen kontaktiert kontaktiert werden werden müssen müssen * soweit Daten allgemein zugänglich und kein schutzwürdiges Interesse des Betr. entgegenstehend allgemein allgemein zugängliche zugängliche Quellen: Quellen: Telefonbuch, Telefonbuch, Internet; Internet; Register: Register: Einsicht Einsicht ohne ohne berechtigtes berechtigtes Interesse Interesse möglich möglich (z.b. (z.b. Vereinsregister) Vereinsregister)

15 28 Abs. 3 BDSG Übermittlung oder Nutzung für Werbung, Markt- und Meinungsforschung zulässig, sofern sog. Listenprivileg vorliegt: LISTENPRIVILEG : LISTENPRIVILEG : Angabe Angabe über über die die Zugehörigkeit Zugehörigkeit zur zur entspr. entspr. Gruppe Gruppe Berufs-, Berufs-, Branchen- Branchenoder oder Geschäftsbezeichnung Geschäftsbezeichnung Name Name Titel Titel akademische akademische Grade Grade Anschrift Anschrift Geburtsjahr Geburtsjahr Aber 28 Abs. 4: Information + Widerspruchsmöglichkeit erforderlich Sponsorengewinnung per Postanschreiben Auswertung dieser Mitgliederdaten für Statistik, Profilbildung

16 Weitere Beispiele: DV zulässig, sofern schutzwürdiges Interesse nicht betroffen: Veröffentlichung der Mitgliederliste innerhalb des Vereins Weitergabe von Kontaktdaten zwecks Fahrgemeinschaft (sofern persönliche Verbundenheit besteht) Weitergabe von Daten bei Sportunfall zwecks Abwicklung mit Versicherung Bei enger persönlicher Verbundenheit der Mitglieder: Geburtstagsgrüße Versenden von Vereinsnachrichten DV nur mit Einwilligung zulässig: Veröffentlichung von Bildern, Daten des Privatbereichs Weitergabe von Kontaktdaten an Dritte für deren Werbemaßnahmen Versenden von Werbung per

17 Zulässigkeit aufgrund einer Einwilligung Rechtsnatur: rechtsgeschäftliche Erklärung des Betroffenen: Zustimmung zur konkret bezeichneten Datenverarbeitung Voraussetzungen: muss der Datenverarbeitung vorausgehen muss freiwillig erfolgen der konkrete Zweck der Erhebung, Verarbeitung oder Nutzung muss definiert sein (Bestimmtheit) 4a BDSG in der Regel schriftlich (Ausnahmen: TMG, TKG) wenn zusammen mit anderen Erklärungen, muss die E. besonders hervorgehoben werden

18 Der Webauftritt des Vereins Gesetzliche Vorgaben beachten: Telemediengesetz (TMG), seit , ersetzt TDG, TDDSG, MDStV Allgemein: Landes- und Bundesdatenschutzgesetz Spezialgesetze, die auch im offline -Umfeld gelten, z.b. UrhG, UWG, JuSchG, etc.

19 Verantwortlichkeit für eigene Inhalte 7 TMG: Haftung des Anbieters für eigene Inhalte nach den allgemeinen Gesetzen... alle Informationen, die der Anbieter selbst (mit dem Anspruch eigener Urheberschaft) ins Angebot einstellt, fremde Inhalte, die sich der Anbieter zu eigen macht entscheidendes Kriterium: Eigene Inhalte sind... die Sichtweise eines durchschnittlichen Nutzers

20 Haftungsausschluss auf Webseiten / Disclaimer Oft liest man: Das Landgericht Hamburg hat mit Urteil vom entschieden, dass man durch die Ausbringung eines Links die Inhalte der gelinkten Seite ggf. mit zu verantworten hat. Wir bieten auf unserer Homepage Links zu anderen Seiten im Internet an. Für alle diese Links gilt: "Wir, die Verantwortlichen, betonen ausdrücklich, dass wir keinerlei Einfluss auf die Gestaltung und die Inhalte der gelinkten Seiten haben. Deshalb distanzieren wir uns hiermit ausdrücklich von allen Inhalten aller gelinkten Seiten auf der gesamten Homepage inklusive aller Unterseiten. Diese Erklärung gilt für alle auf den Webseiten angebrachten Links und für alle Inhalte der Seiten, zu denen Links oder Banner führen. Pauschale Distanzierung reicht nicht. Ein Disclaimer kann sogar so ausgelegt werden, dass Anbieter Kenntnis von fremden Inhalten hat. Der Haftungsausschluss ist wirkungslos, wenn fremde Inhalte als eigene erscheinen. Im Zweifel: fremde Inhalte formell kennzeichnen:

21 Beispiel: Disclaimer

22 Die Anbieterkennzeichnung - Impressum Anbieterkennzeichnung ( 5 TMG) Name, Anschrift des Anbieters, Vertretungsberechtigter Organisationsform, Liquidation, ggf. Stammkapital Informationen zur schnellen, unmittelbaren, elek. Kontaktaufnahme Register und Registernummer Angabe der Aufsichtsbehörde (soweit einschlägig) Zusätzliche Pflichten für besondere Berufsgruppen 5 TMG Umsatzsteuer-Identifikationsnummer Weitere Angaben, soweit nach speziellen Gesetzen erforderlich Platzierung: leicht erkennbar unmittelbar erreichbar ständig verfügbar

23 Beispiel für Platzierung des Impressums

24 Die Datenschutzerklärung, 13 Abs. 1 TMG Nennung aller Datenarten, die erhoben, gespeichert, verarbeitet und übermittelt werden sowie Zweck der Verarbeitung, z.b.: Gewinnspiele, Newsletter, Gästebücher, Foren, Chats, Online-Formulare Nennung der Empfänger, an die ggf. Daten übermittelt werden, insb. außerhalb der EU Nutzungsdatenverarbeitung (Logfiles) Informationen, falls Daten für pseudonyme Profile verwendet werden Informationen über Cookies oder ähnliche Dateien Hinweis, welche Sicherheitsvorkehrungen bei der Datenübermittlung getroffen werden (z.b. Einsatz von SSL) Nennung der Betroffenenrechte und eines Ansprechpartners (i.d.r. der Datenschutzbeauftragten mit -Adresse) Hinweis auf Widerspruchsrecht der Nutzer (gegen Profilbildung, Werbung), konkreter Inhalt: abhängig von der tatsächlich vorgenommenen Datenverarbeitung, kein Copy/Paste!

25 Platzierung der DS-Erklärung

26 Beispiel einer Datenschutzerklärung

27 Herzlichen Dank! Fragen zum Datenschutz? Irene Karper LL.M.Eur. Syndikusanwältin Barkhausenstr Bremerhaven Tel.: ikarper@datenschutz-nord.de