DSVGO-Dschungel



  • Hallo,

    wo kann ich nochmal ganz in Ruhe nachlesen, was die verschiedenen Möglichkeiten in der neuen Version genau bedeuten:

    Schriftliche Einwilligung durch:

    • außerhalb von churchtools
    • Gruppenanmeldungsformular
    • direkte Einwilligung
    • Mündlich beim CheckIn

    Was ist da jetzt genau der Unterschied? Vor allem letzter Punkt "CheckIn?" - Was für ein CheckIn ist hier gemeint?

    2.Frage:
    Kann ich nicht ganz einfach eine Person zu churchtools hinzufügen (nur Name und Email) und die Person bestätigt dann selbst über die integrierte Einwilligung, dass sie den Datenschutzbestimmungen zustimmt?
    Was muss ich in diesem Fall dann ankreuzen?



  • @alexander-w Zu Punkt zwei: Da musst du gar nichts ausfüllen. Die Person sollte beim Login nach der Einwilligung gefragt werden. Vorausgesetzt natürlich, dass es in den Admin-Einstellungen eingeschaltet ist, was ja per default so ist.



  • @alexander-w
    Einwilligung:
    außerhalb von ChurchTools
    ihr fragt eure in ChurchTools geführten Leute z.B. mittel eines Zettels ab, ob sie der Verarbeitung ihrer Daten zustimmen. Besonders dann sinnvoll / notwendig, wenn jemand kein Internet hat, bzw. nicht selbst auf ChurchTools zugreifen will oder soll.
    Gruppenanmeldung
    für öffentliche ChurchTools-Gruppen kann man ein Anmeldeformular z.B. auf die Gemeinde-Homepage stellen. Jeder kann sich dann darüber für die Gruppe anmelden und muss bei dem Prozess seine Einwilligung zur Verarbeitung der Daten geben.
    direkte Einwillugung
    wer sich in ChurchTools einloggt und seine Einwilligung noch nicht gegeben hat, bekommt ein Banner über dem Menü angezeigt, dass ihn an seine ausstehende Einwilligung erinnert und diese abfragt.
    mündlich beim Checkin
    bezieht sich auf das Checkin-Modul von ChurchTools. Wenn das genutzt wird wird beim "CheckIn" gefragt, ob die Daten verarbeitet werden dürfen - der Hinweis, dass mündlich eingewilligt wurde wird dann hier hinterlegt.

    Frage 2:
    Da du nur Daten von betroffenen Personen verarbeiten darfst, die dafür eindeutig(!) ihre Einwilligung erklärt haben, darfst/kannst du natürlich auch keine Personen anlegen (= ihre Daten, z.B. Namen) verarbeiten, wenn du nicht belegen kannst, wie sie ihre Einwilligung eindeutig erteilt haben.

    Work-Around, der nicht mit der DSGVO vereinbar ist: du gibst beim Anlegen der Person eine der möglichen Einwilligungsformen an, öffnest den Datensatz der Person und dort die Optionen zum Datenschutz. Hier kannst du das Datum löschen und im DropDown "Einwilligung wodurch" die erste, leere Option auswählen. Das ganze speichern und schon wird die Person, wenn sie sich in ChurchTools einloggt mit dem Banner begrüßt, dass sie noch ihre Einwilligung zu Verarbeitung ihrer Daten geben muss.



  • @stefanbe sagte in DSVGO-Dschungel:

    Work-Around, der nicht mit der DSGVO vereinbar ist:

    ok, das heißt ja dann, dass alle Personen, die davor angelegt wurden, absolut nicht konform sind.

    Abgesehen davon, das Beispiel bei Neuanlagen, wäre definitiv der Punkt "Außerhalb von ChurchTools". Denn, um jemanden eintragen zu können, weil als neues Mitglied hinzugekommen, muss man ja zunächst Name und E-Mail-Adresse ggf. noch Telefonnr. abfragen. Darauf den Vermerk "mit Angabe dieser Daten stimme ich der Verwendung zu" oder sowas ähnlichem, müsste es ja schon getan sein.
    Wenn man dann noch auf der sicheren Seite bleiben will, am Besten noch unten unterschreiben lassen. Fertig. (Selbst ohne Papier, mündlich hat ebenso Gültigkeit wie schriftlich, nur dass die Nachweis-Möglichkeit gänzlich verloren geht, es sei denn man nimmt es auf, aber da gab es glaube auch einige Tücken...)

    Oder habe ich da einen Denkfehler?



  • @mtlmarko89
    stimmt, jegliche Verarbeitung (auch Speicherung) von personenbezogenen Daten ohne die ausdrückliche Einwilligung der betroffenen Person verstößt gegen die DSGVO, bzw. gegen das Bundesdatenschutzgesetz.

    Die Einwilligung muss "eindeutig" sein. Im Rechtsstreit könnte es also reichen, dass jemand seine Daten auf einen Zettel geschrieben hat, und den dann abgegeben hat: eindeutige Handlung - hier sind meine Daten, mach etwas damit (=verarbeiten). Zu unseren guten, deutschen Sitten gehört es aber, dass wir alles schriftlich haben wollen... wie Gerichte in Zukunft entscheiden werden, wird sich erst noch zeigen müssen.

    Um es "ganz richtig" zu machen sollte man die Einwilligung zur Verarbeitung mit nichts anderem "verknüpfen". Das bedeutet: auf Webseiten sind Buttons unzulässig, auf denen steht "Ich willige den Datenschutzbestimmungen ein und bestelle kostenpflichtig". Es müssen quasi 'mindestens zwei Klicks' sein.
    Das führen manche Datenschutzexperten dann so weiter, dass der Antrag auf Mitgliedschaft (in einem Verein / einer Kirche) nicht mit der selben Unterschrift versehen sein darf, wie die Einwilligung zur Datenverarbeitung. Ergo: zwei Zettel: ein Mitgliedsantrag und eine Einwilligungserklärung. Eine Rechtsprechung hat es aber bisher dazu noch nicht gegeben.



  • @stefanbe

    was ich ja damit meinte, man kann vieles "richtig", "ganz richtig", "ganz ganz richtig" ... machen. Vieles wird dann durch Presse oder jenen, die es tatsächlich maßlos übertreiben, noch umso mehr hochgepuscht, sodass die Leute, die es einfach nur richtig machen, sich schon nicht mehr sicher sind, ob sie es richtig machen, dabei ist das, was man macht, vor Gericht zulässig.

    Jepp, in der Hinsicht bin ich auch voll und auf Seiten der deutschen Sitte. :D



  • Mal aus der Praxis gefragt:

    In unserem Verband füllt man einen Mitgliedsantrag aus, auf dem folgenden Satz unterschriebt: "Ich bin mit der elektronischen Erfassung meiner Daten für vereinsinterne Zwecke einverstanden."

    Dann müsste es ja passen, dass wir diese Person in churchtools auflisten. Oder müsste man nochmal allen Mitgliedern nachgehen, den Satz umändern lassen und unterschreiben lassen, dass man nun einverstanden ist, dass man die Daten nach der "neuen DSVGO" akzeptiert?

    Macht ja meiner Meinung nach keinen Unterschied in der Art und Weise, wie wir die Daten behandeln. Man muss ja immer darauf achten, dass man Daten nicht weitergibt. Vor und nach DSVGO.

    Ich verstehe die ganze Aufregung nicht. Ob vor oder nach der DSVGO. Vor allem in Gemeinden - keiner gibt doch einfach so Daten raus.



  • @alexander-w sagte in DSVGO-Dschungel:

    In unserem Verband füllt man einen Mitgliedsantrag aus, auf dem folgenden Satz unterschriebt: "Ich bin mit der elektronischen Erfassung meiner Daten für vereinsinterne Zwecke einverstanden."

    Dann müsste es ja passen, dass wir diese Person in churchtools auflisten. Oder müsste man nochmal allen Mitgliedern nachgehen, den Satz umändern lassen und unterschreiben lassen, dass man nun einverstanden ist, dass man die Daten nach der "neuen DSVGO" akzeptiert?

    Die einmalige, ausdrückliche Einwilligung reicht da vollkommen aus. Wobei die betreffende Person eigentlich im Zuge der Einwilligung über ihre Rechte aufgeklärt werden sollte/muss... D.h., dass bei diesem Satz auch noch mal stehen müsste, dass man jederzeit verlangen darf, die Daten zu löschen oder zu aktualisieren, dass man die Einwilligung widerrufen kann usw. (https://www.datenschutz.org/einwilligungserklaerung/)

    Macht ja meiner Meinung nach keinen Unterschied in der Art und Weise, wie wir die Daten behandeln. Man muss ja immer darauf achten, dass man Daten nicht weitergibt. Vor und nach DSVGO.

    "Weitergeben" kann eine von vielen unrechtmäßigen Arten von Datenverarbeitung sein. Und wenn ihr Hosting-Kunden bei ChurchTools seid, dann gebt ihr die Daten sogar weiter... Um das problemlos machen zu können bietet die ChurchTools Inovations GmbH, mit ihren Kunden einen Auftragsverarbeiter-Vertrag abzuschließen. Im Grunde verpflichtet der ChurchTools dazu, sich an die strengen Datenschutzbestimmungen ihrer Kunden zu halten und nimmt damit einen Teil des Haftungsrisikos auf sich (so ungefähr).

    Ich verstehe die ganze Aufregung nicht. Ob vor oder nach der DSVGO. Vor allem in Gemeinden - keiner gibt doch einfach so Daten raus.

    Im Prinzip hast du völlig Recht. So grundlegend hat sich mit der DSVGO für pflichtbewusste Verarbeiter von personenbezogenen Daten nichts verändert. Ein wenig mehr Dokumentationspflicht bei den verarbeitenden Stellen und Auskunftsrecht bei betreffenden Personen...

    Ich hatte hier mal eine Übersicht zum Thema DSVGO gepostet, die ich selbst recht hilfreich fand.