DSGVO - Email an Mitglieder?



  • Hallo,
    das Thema DSGVO ist ja gerade brandaktuell:

    1) Weiß jemand, ob ich alle Mitglieder bzgl. Mitgliederliste darum bitten muss, evtl. per Email, dass sie den Datenschutzbestimmungen sowie der internen Veröffentlichung der Mitgliederliste zustimmen müssen? Falls ja, was muss unbedingt in so eine Email als Text rein? Auf unserer Webseite haben wir natürlich die DSGVO bzgl. Newsletter angepasst etc. Aber bei der Verwaltung der Gemeindemitglieder kommt nun die Frage auf.

    2) Es gibt ja nun bei CT das Feld Datenschutz für jede Person. Hier trage ich vermtl. die Genehmigung der Person selbst ein, oder?

    Vielen Dank für Hilfe
    Blessings



  • Willkommen beim spannenden Thema "DSGVO".
    Um deine Fragen schnell zu beantworten: Ja und Ja.

    Das bringt dich allerdings nicht wirklich weiter, weil das Thema so unglaublich viel tiefer ist. Ich poste dir hier einmal eine Zusammenfassung zur Thematik "DSGVO und Gemeinde", die vermutlich nicht vollständig und keine Rechtsberatung ist. Aber vielleicht hilft sie dir, wie sie mir geholfen hat, festzustellen, in welche Richtung die Reise geht.

    |Grundsätze|:im Forum und
    Werden personenbezogene Daten erhoben, gespeichert, genutzt, ...(=verarbeitet) sind ausnahmslos immer diese Grundsätze zu beachten:

    • Rechtmäßigkeit
    Gibt es eine Rechtsgrundlage? Irgendwo, im Gesetz, in Gemeindesatzung etc. muss nachlesbar sein, dass es einen Grund dafür gibt (diese) personenbezogenen Daten zu verarbeiten. Bsp: Vereine haben Mitglieder, es braucht also eine Mitglieder-Liste...

    • Transparenz
    Was wird eigentlich alles verarbeitet? Die „verarbeitende Stelle“ muss genau wissen, welche Daten sie wie, von wem und wofür verarbeitet und jederzeit darüber der betroffenen Person Auskunft geben können.

    • Zweckbindung
    Personenbezogene Daten dürfen nur dazu verwendet werden, wofür sie erhoben wurden, bzw. wozu die betroffene Person ausdrücklich zugestimmt hat. Bsp: haben Vereinsmitglieder nur zugestimmt, dass sie auf die Mitgliederliste kommen dürfen sie nicht ohne zusätzliche Zustimmung einen Newsletter per Mail erhalten...

    • Minimierung
    Es dürfen nur die Daten erhoben/verarbeitet werden, die für die Zweckerfüllung benötigt werden. Bsp: ob für den Versand von Email-Newslettern auch der Name des Empfängers notwendig ist, ist mindestens zu prüfen.

    • Richtigkeit
    Alle verarbeiten Daten müssen sachlich richtig und aktuell sein.

    • Begrenzung
    Daten müssen frühstmöglich gelöscht werden, unmittelbar nach zweckgebundener Notwendigkeit.

    • Vertraulichkeit
    Man hat alle technisch möglichen und gleichzeitig „angemessenen“ Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugter /unrechtmäßiger Verarbeitung und vor Verlust zu schützen.

    |Datenschutzbeauftragter|
    Ein Datenschutzbeauftragter ist für Fragen rund um und für die Einhaltung des Datenschutzes innerhalb einer „verarbeitenden Stelle“ verantwortlich. Er kann „extern bestellt“ werden, oder intern bestimmt. Natürlich sollten seine gewöhnlichen Aufgaben nicht das verarbeiten von Daten beinhalten (der Schriftführer eines Vereins wäre ungeeignet), weil er sich schlecht selbst überwachen kann.
    Um jemanden als Ansprechpartner rund um den Datenschutz zu haben, ist es eigentlich immer sinnvoll, einen entsprechenden Beauftragten zu haben. Es besteht dann eine gesetzliche Pflicht, einen Datenschutzbeauftragten zu benennen, wenn mindestens zehn Personen regelmäßig personenbezogene Daten verarbeiten – aber auch unabhängig von dieser Personen-Anzahl, wenn besonders schutzwürdigen Daten verarbeitet werden. Als besonders schutzwürdig gelten solche personenbezogene Daten, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren. Bei der Mitgliedschaft zu einer Religions-/ Glaubensgemeinschaft kann vermutlich (es fehlt noch eine Rechtsprechung) von solch besonderen Daten sprechen. Das hieße, dass es auf jeden Fall gut wäre, einen Datenschutzbeauftragten zu bestellen...

    |Dokumente|
    Die DSGVO verlangt, dass sich nicht natürliche Personen (Unternehmen, Vereinen, …) eingehend mit ihrem eigenen Umgang mit dem Datenschutz beschäftigen: alles, was „in einem zumutbaren Rahmen“ zum Schutz von Daten getan werden kann, muss getan werden. Und dass man sich Gedanken gemacht hat und sein möglichstes tut, muss dokumentiert werden:

    Datenschutzerklärung
    Um darzulegen, dass man mit dem Thema Datenschutz transparent umgeht eignet sich eine öffentlich zugängliche Datenschutzerklärung – wenn man z.B. eine Website betreibt ist das offenlegen einiger Informationen sogar Pflicht. Ein Generator für eine „individuelle“ Datenschutzerklärung stellt die Deutsche Gesellschaft für Datenschutz bereit:
    https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de
    Hiermit lässt sich innerhalb weniger Klicks eine Erklärung für die eigene Website erstellen und ggf. per Hand an das eigene Unternehmen / Verein / Gemeinde anpassen. (Auch wenn der Text, der ausgespuckt wird, laaaang ist, lohnt es sich durchaus, ihn einmal durchzulesen, evtl. hier und da anzupassen – vor allem aber weiß man, was man da eigentlich erklärt und hat einen guten Überblick, was vielleicht noch alles innerhalb der Gemeinde anzupacken ist.)

    Verzeichnis von Verarbeitungstätigkeiten
    Es ist ein Verzeichnis anzulegen, in dem die verantwortliche Stelle alle personenbezogene Daten verarbeitende Tätigkeit auflistet und beschreibt. Dieses Verzeichnis ist zum einen für „Unternehmen“ mit mehr 250 Mitarbeitern sowie für „Unternehmen“, die „nicht nur gelegentlich“ oder „sensible“ Daten verarbeiten. Ein Verein/eine Gemeinde führt ein Mitgliederverzeichnis, verarbeitet also „ständig“ personenbezogene Daten; die Mitgliederliste einer Glaubensgemeinschaft beinhaltet zudem hoch sensible Daten – die religiöse Überzeugung ihrer Mitglieder. Daher ist dieses Verzeichnis sicherlich auch von kleinen Gemeinden gefordert (eine Rechtsprechung gibt es noch nicht).
    Das Verzeichnis von Verarbeitungstätigkeiten muss folgende Angaben enthalten:
    • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
    • Zwecke der Verarbeitung
    • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
    • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind bzw. noch offengelegt werden
    • Angaben über Drittlandtransfer einschließlich Angabe des Drittlandes sowie Dokumentierung geeigneter Garantien
    • wenn möglich Fristen für die Löschung der verschiedenen Datenkategorien
    • wenn möglich Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO
    Musterverzeichnisse stellt das bayrische Amt für Datenschutz zur Verfügung:
    https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
    https://www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf

    Verpflichtungserklärung von Beschäftigten
    Eine Verpflichtungserklärung, wie sie im alten Bundesdatenschutzgesetz ausdrücklich gefordert wurde, wird im neuen BDSG nicht mehr genannt. Aber die DSGVO, bzw das BDSG sieht verlangt „alle erforderlichen Maßnahmen“ zu ergreifen, um Daten zu schützen. Die Mitarbeiter über diesen Umstand aufzuklären ist definitiv erforderlich, und weil man seine Anstrengungen dokumentieren muss, ist man mit einer Verpflichtungserklärung auf den Datenschutz von allen Mitarbeitern, die personenbezogene Daten verarbeiten, auf der sicheren Seite.
    Ein an die DSGVO angepasstes Muster findet sich in diesem Dokument auf der letzten, vierten Seite: https://www.lda.bayern.de/media/info_verpflichtung_beschaeftigte_dsgvo.pdf

    Einwilligungserklärung
    Um überhaupt personenbezogene Daten verarbeiten zu dürfen braucht man in aller Regel die ausdrückliche Einwilligung der betroffenen Person. Es gibt einige wenige gesetzliche Ausnahmen, die kann man aber eigentlich so zusammenfassen: wenn ein SEK vor eurer Gemeinde steht und mit vorgehaltener Waffe wissen möchte, wer alles im Gemeindehaus ist, dürft ihr die Frage beantworten, auch wenn ihr keine schriftliche Einwilligung der betreffenden Personen habt. Für alles andere gilt: die betroffene Person muss durch eindeutiges, dokumentierbares Handeln ihre Einwilligung zur Verarbeitung der personenbezogen Daten zum Ausdruck bringen. „Eindeutig“ wäre, wenn euch jemand mündlich zusichert, dass es OK ist – was aber nicht dokumentiert werden kann. Drückt euch jemand seine Daten auf einem Zettel die Hand, ist da zwar was dokumentiert, die Einwilligung zur Verarbeitung aber nicht unbedingt eindeutig.
    Deswegen: wann immer man Daten erhebt lässt man sich von der betroffenen Person eine Einwilligung geben. Die Einwilligung darf dabei nicht mit etwas anderem, z.B. dem Eintritt in eine Gemeinde / einen Verein (auf einem Zettel) kombiniert sein. D.h. zum Beispiel, ein Button in einem Online-Shop mit der Aufschrift „Einwilligung erteilen und kostenpflichtig bestellen“ ist nicht zulässig. Genauso wenig wie „mit dieser Unterschrift erteile ich meine Einwilligung und meinen Beitritt“
    Eine Übersicht, was bei einer Einwilligungserklärung zu beachten ist, was sie enthalten muss und ein Musterschreiben findet sich hier:
    https://www.datenschutz.org/einwilligungserklaerung/

    IT-Sicherheitskonzept
    Je nachdem, wie/wo ihr z.B. Mitgliedsdaten speichert, macht ein IT-Sicherheitskonzept Sinn. Ziel davon wäre es, dokumentieren zu können, dass ihr euch über die Sicherheit Gedanken gemacht, auf Verschlüsselungstechnik setzt, Zugriffsbeschränkungen / Passwortabfragen nutzt usw. Eine Form für so ein Konzept gibt es nicht, auch keine gesetzliche Notwendigkeit. Das meiste muss sowieso im Verzeichnis von Verarbeitungstätigkeiten hinterlegt sein. Evtl. kann es aber eine Erleichterung sein, nicht bei jeder Tätigkeit (Mitgliederliste führe, zu Mitgliederversammlungen einladen, Spendenbescheinigung erstellen, …) aufschreiben zu müssen, wie man wo auf Mitgliederdaten zugreift und wie man den Zugriff absichert, sondern einfach nur „s. IT-Sicherheitskonzept“ aufzuführen.

    Auftragsverarbeitungs-Vertrag
    Wenn ihr eure Daten nicht in einem Ordner, der in einem verschließbaren Panzerschrank liegt, der sich in einem verschlossenen Büro befindet, das hinter einer (… usw), sondern z.B. bei einem Partner-Unternehmen wie ChurchTools speichert, dann muss zwischen euch und dem Partner ein Auftragsverarbeiter-Vertrag abgeschlossen werden. In dem wird hauptsächlich geregelt, dass der Partner sich an die gleichen strengen Datenschutz-Regeln hält, wie ihr selbst (natürlich wird auch aufgeführt, welche Daten zu welchem Zweck auf welche Weise ausgetauscht werden).
    Einen solchen Vertrag braucht man eigentlich immer, wenn die Gemeinde/der Verein personenbezogene Daten von Kunden/Mitgliedern/… mit irgendjemanden teilt – also evtl. auch dann, wenn bei einer Gemeindefreizeit das Freizeitheim die Namen der Gäste einsehen möchte.
    In der Regel sollten die „Auftragsverarbeiter“ darum wissen und Musterverträge bereithalten.

    Begrifflichkeiten
    Im Umgang mit der DSGVO stößt man immer wieder auf folgende Begriffe. Hier sind sie einmal erklärt (aus unserer Datenschutz-Erklärung):
    (a) personenbezogen Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    (b) betroffene Person
    ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
    (c) VerarbeitungBegrifflichkeiten
    Im Umgang mit der DSGVO stößt man immer wieder auf folgende Begriffe. Hier sind sie einmal erklärt (aus unserer Datenschutz-Erklärung):

    (a) personenbezogen Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    (b) betroffene Person
    ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
    (c) Verarbeitung
    ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
    (d) Einschränkung der Verarbeitung(a) personenbezogen Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    (b) betroffene Person
    ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
    (e) Einwilligung
    ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
    (f) Pseudonymisierung
    ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
    (g) Verantwortlicher oder für die Verarbeitung Verantwortlicher
    ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
    (h) Auftragsverarbeiter
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
    (i) Empfänger
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
    (j) Dritter
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

    ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
    (d) Einschränkung der Verarbeitung
    ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
    (e) Einwilligung
    ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigeBegrifflichkeiten
    Im Umgang mit der DSGVO stößt man immer wieder auf folgende Begriffe. Hier sind sie einmal erklärt (aus unserer Datenschutz-Erklärung):
    (a) personenbezogen Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    (b) betroffene Person
    ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
    (c) Verarbeitung
    ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicheru(a) personenbezogen Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    (b) betroffene Personng, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
    (d) Einschränkung der Verarbeitung
    ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
    (e) Einwilligung
    ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
    (f) Pseudonymisierung
    ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
    (g) Verantwortlicher oder für die Verarbeitung Verantwortlicher
    ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
    (h) Auftragsverarbeiter
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
    (i) Empfänger
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
    (j) Dritter
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.n eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
    (f) Pseudonymisierung
    ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
    (g) Verantwortlicher oder für die Verarbeitung Verantwortlicher
    ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
    (h) Auftragsverarbeiter
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
    (i) Empfänger
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitglied(a) personenbezogen Daten
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    (b) betroffene Personstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
    (j) Dritter
    ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.



  • Hi stefanbe,
    ich danke dir ersteinaml sehr für diese ausführliche Erklärung. Die könnte länger sein, als die Datenschutzerklärung selbst ;-)) (kleiner Scherz)
    Ich bin seit Wochen mit dem Thema dran und... puh... es erschlägt mich immer noch!
    Ich werde in aller Ruhe weiter daran arbeiten, weil du sehr gute, wichtig Hinweise gegeben hast. Beide Daumen hoch!!!

    Wie sieht es mit einer Seite aus, auf der weder ein Newsletter abonniert werden kann, noch personenbezogene Daten gesammelt werden? Brauche ich da auch so eine Datenschutzerklärung?

    Evtl. werde ich später noch mal was nachfragen...
    Erstmal blessings



  • @prayman sagte in DSGVO - Email an Mitglieder?:

    Wie sieht es mit einer Seite aus, auf der weder ein Newsletter abonniert werden kann, noch personenbezogene Daten gesammelt werden? Brauche ich da auch so eine Datenschutzerklärung?

    Wenn du eine Website meinst brauchst du wahrscheinlich auch eine DS-Erklärung, weil ja dein Hostinganbieter ein Log schreibt und alle Besuche auf der Website protokolliert. Aber die Datenschutzerklärung würde natürlich etwas kürzer ausfallen.



  • @stefanbe sagte in DSGVO - Email an Mitglieder?:

    |Datenschutzbeauftragter|
    Ein Datenschutzbeauftragter ist für Fragen rund um und für die Einhaltung des Datenschutzes innerhalb einer „verarbeitenden Stelle“ verantwortlich. Er kann „extern bestellt“ werden, oder intern bestimmt. Natürlich sollten seine gewöhnlichen Aufgaben nicht das verarbeiten von Daten beinhalten (der Schriftführer eines Vereins wäre ungeeignet), weil er sich schlecht selbst überwachen kann.
    Um jemanden als Ansprechpartner rund um den Datenschutz zu haben, ist es eigentlich immer sinnvoll, einen entsprechenden Beauftragten zu haben. Es besteht dann eine gesetzliche Pflicht, einen Datenschutzbeauftragten zu benennen, wenn mindestens zehn Personen regelmäßig personenbezogene Daten verarbeiten – aber auch unabhängig von dieser Personen-Anzahl, wenn besonders schutzwürdigen Daten verarbeitet werden. Als besonders schutzwürdig gelten solche personenbezogene Daten, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren. Bei der Mitgliedschaft zu einer Religions-/ Glaubensgemeinschaft kann vermutlich (es fehlt noch eine Rechtsprechung) von solch besonderen Daten sprechen. Das hieße, dass es auf jeden Fall gut wäre, einen Datenschutzbeauftragten zu bestellen...

    Hier möchte ich kurz einhaken, weil das bei uns ein Knackpunkt ist. Meiner Auffassung nach braucht es keinen DSB, weil:

    1. Wie du schon richtig gesagt hast "wenn mindestens zehn Personen regelmäßig personenbezogene Daten verarbeiten" im BDSG steht statt regelmäßig "ständig" --> Also müssten mind 10 Personen mind. 50% ihrer Wochenarbeitszeit mit der Verarbeitung von daten beschäftigt sein. In unserer Gemeinde sind das lediglich 3 Mini-Jobber, der rest ist Ehrenamt. Also brauchen wir deshalb keinen DSB.
    2. Du hast die besonderen Kategorien von Daten lt. DS-GVO angesprochen. Hier fehlt tatsächlich noch die rechtssprechung. Allerdings hatte ich letzte Woche dienstlich ein Seminar bei einem DSB und IT-Sicherheitsbeauftragten (studierter Jurist) der Rechenzentren von EKM und katholischer Kirche in DE als Datenschutzbeauftragter betreut. Er sagte, dass z.B. die Konfession nicht unter diese besonders schützenswerten pb Daten fällt. Und die beiden Kirchen in Ihren Audits festgestellt, dass sie keine solchen Daten verarbeiten. Wir tun es als Gemeinde auch nicht. Heißt also auch hier besteht nicht die Pflicht den DSB zu stellen.
      Natürlich stimme ich dir zu, dass solch ein Ansprechpartner immer gut und wichtig ist. Aber aufgrund dieser Lage habe ich das Thema DSB erstmal zurückgestellt.

    Noch ein Satz an @prayman: Es ist gut, dass du dir umfangreich Gedanken machst. Auch wenn die Geschichte schon im vollen Gang ist, mach in Ruhe weiter. Ich arbeite in einer Behörde, die mit dem Landesdatenschutzbeauftragten direkt zusammenhängt. Die Mitarbeiter dort haben gerade alle Hände voll zu tun mit großen Brocken. Der Landes-DSB sagte zu meinem Referatsleiter, dass Vereine uns ähnliches momentan bei Verstößen maximal erstmal eine Verwarnung bekommen, nix geldstrafe oder so. Dafür haben die Behörden gerade gar keine Zeit. trotzdem kann es natürlich passieren, dass (ehem.) Gemeindebesucher Auskünfte wollen.


Anmelden zum Antworten
 

Es scheint als hättest du die Verbindung zu ChurchTools Forum verloren, bitte warte während wir versuchen sie wieder aufzubauen.