Ereignisse aus dem Vereinsleben

Gibt es eine Rechtsgrundlage für die Gratulation in einem Verein zu besonderen Anlässen im Datenschutz? Ja, die gibt es. Im Artikel 6, Absatz 1, Buchstabe f steht:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Hier muss also der Verantwortliche im Verein abwägen, ob das berechtigte Interesse des Vereins mehr wiegt, als die Grundrechte der betroffenen Person.
Auf Basis dieser Rechtsgrundlage darf man davon ausgehen, dass ein Verein personenbezogene Daten mit einem Bezug zum Verein veröffentlichen darf.
Allerdings nur vereinsintern. D.h. also nicht etwa im Internet auf der Homepage des Vereins.

Mitgliedsantrag

Eine gute Idee ist es, beim Eintritt in den Verein darauf aufmerksam zu machen, welche Ereignisse üblicherweise vereinsintern – “Schwarzes Brett”, Vereinszeitschrift – veröffentlicht werden und Möglichkeiten des Widerspruchs aufzuzeigen.

Ereignisse aus dem persönlichen Lebensbereich eines Vereinsmitglieds

Heiratet ein Vereinsmitglied oder bekommt es ein Kind, handelt es sich um Informationen aus dem persönlichen Lebensbereich.
Diese Informationen haben keinen Bezug zum Verein und dürfen daher auch nicht vereinsintern veröffentlicht werden.
Die Rechtsgrundlage “Berechtigtes Interesse” wirkt hier definitiv nicht.

Möchte der Verein über solche Ereignisse informieren, benötigt er die Einwilligung des Betroffenen.
Und auf dieser Rechtsgrundlage “Einwilligung” kann der Verein dann die personenbezogenen Daten verarbeiten und auch veröffentlichen.

Im Artikel 6, Absatz 1, Buchstabe a steht:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.


Selbstverständlich können Sie mit Hilfe der Rechtsgrundlage “Einwilligung” die personenbezogenen Daten auf der Vereinshomepage veröffentlichen.
Allerdings kann die Rechtsgrundlage “Einwilligung” jederzeit vom Betroffenen widerrufen werden.

Im nächsten Artikel gehe ich auf die Frage ein, ob Mitgliederdaten auf dem heimischen Computer gespeichert werden dürfen.

Der Beitrag Darf ein Verein noch gratulieren? erschien zuerst auf Doll und Winter.

Datenschutz

Vergleichbar ist die E-Mail mit einer Postkarte.
Genau wie bei einer Postkarte kann auch bei einer E-Mail nicht ausgeschlossen werden, dass unbefugte Dritte neben dem Empfänger den Inhalt der Nachricht lesen.
Hier kommt jetzt der Artikel 32 des DSGVO ins Spiel. In Absatz 1, Satz 1 steht:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Beim normalen Versand von E-Mails, die personenbezogene Daten enthalten, ist dies wohl nicht der Fall.
Daher wird von den Aufsichtsbehörden die Empfehlung ausgesprochen, solche E-Mails nur verschlüsselt zu senden.

Im nächsten Artikel gehe ich auf die Frage ein, wie ein Verein besondere Anlässe nach der DSGVO handhaben sollte.

Der Beitrag E-Mails und der Datenschutz erschien zuerst auf Doll und Winter.

Der Hintergrund

Im Rahmen einer Vereinsveranstaltung werden sehr häufig Fotos gemacht.
Dabei können natürlich jetzt auch Personen fotografiert werden, die Nicht-Mitglieder sind.
Sollen die Fotos später auf der Webseite oder in sozialen Medien veröffentlicht werden, dann benötigt man eine Einwilligungserklärung der Gäste.

Vorgeschlagene Lösung

Sobald ein Gast die Veranstaltung erstmalig betritt, wird er gebeten, der Veröffentlichung von Fotos, auf denen er identifizierbar ist, zuzustimmen.
Stimmt er zu, unterschreibt er die Einwilligungserklärung. Fraglos in doppelter Ausfertigung, eine für den Verein, die andere für den Gast.
Schön praktikabel wird es, wenn der Gast aus einer vierköpfigen Familie besteht.
Aber was, wenn ein Gast nicht unterschreiben möchte. D.h. er darf jetzt auf keinen Fall auf Fotos abgebildet sein, die später im Internet veröffentlicht werden.

Hier kann man jetzt beim Einlass ein Lichtbild anfertigen.
Später werden dann die für die Veröffentlichung bestimmten Fotos mit diesen Lichtbildern verglichen, so dass nur Fotos veröffentlicht werden, deren identifizierbare Personen eingewilligt haben.

Alternative Lösung

Der Veranstalter hängt am Eingang einfach klebende rote Punkte aus.
Jeder Gast, der nicht fotografiert werden möchte, klebt sich jetzt einfach einen dieser roten Punkte auf die Stirn.
Nach der Veranstaltung werden dann einfach die Fotos nicht veröffentlicht mit Gästen, die einen roten Punkt auf der Stirn tragen.
Gerne kann man auch einen roten Punkt mit einem Lippenstift auftragen.

Der Beitrag Fotos und die Datenschutz-Grundverordnung – Nachtrag erschien zuerst auf Doll und Winter.

Fotos und mögliche Rechtsgrundlage für die Verarbeitung

Fotos bzw. personenbezogene Daten dürfen dann verarbeitet werden, wenn eine Rechtsgrundlage die Verarbeitung erlaubt.
Hier hilft uns der Artikel 6 Absatz 1 der DSGVO (Datenschutz-Grundverordnung) weiter, denn hier sind alle Bedingungen aufgelistet, die eine Verarbeitung erlauben.
In diesem Zusammenhang sind nur die Punkte a) und f) relevant:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.


Berechtigtes Interesse

Werden Fotos und personenbezogene Daten nur in Vereinskreisen veröffentlicht, d.h. zum Beispiel am Schwarzen Brett, könnte dies mit Artikel 6 Absatz 1 lit. f) begründet werden. D.h. hier überwiegt das Interesse des Vereins etwaige Grundrechte der betroffenen Personen.
Dies gilt auch für eine Vereinszeitschrift oder einen Newsletter, falls diese ausschließlich an Vereinsmitglieder versendet werden.
Allerdings sollte man hier folgenden Hinweis anfügen:

Die Weiterleitung des Newsletters von Fotos oder sonstigen personenbezogenen Daten an Nicht-Mitglieder ist aus datenschutzrechtlichen Gründen nicht erlaubt.

Da diese Rechtsgrunlage – berechtigtes Interesse – immer das Risiko birgt, dass im Einzelfall doch das Interesse der abgebildeten Person an der Nicht-Veröffentlichung überwiegen könnte, sollte bereits in der Satzung sowie im Informationsblatt zur Datenverarbeitung auf die vereinsübliche Veröffentlichungspraxis hingewiesen werden und auch die Widerspruchsmöglichkeiten sollten hier nicht fehlen.

Einwilligung

Möchte man Fotos und anderer personenbezogene Daten auf einer Webseite und/oder in sozialen Medien wie Facebook veröffentlichen, sind diese Informationen auch für Nicht-Mitglieder zugänglich.
Hier benötigt der Verein von jeder auf einem Foto identifizierbaren Person eine Einwilligung nach Artikel 6 Absatz lit a).
D.h. die Verarbeitungsgrundlage “berechtigtes Interesse” reicht dann nicht mehr aus.

Eine mögliche Lösung hierfür besteht darin, dass ein entsprechendes Einwilligungsformular dem Neumitglied als Anhang zum Mitgiedsantrag ausgehändigt wird.
Handelt es sich bei dem neuen Mitglied um ein Kind, muss diese Einwilligung von den Eltern des Kindes unterschrieben werden.

Fotos von Nicht-Mitgliedern

Im Rahmen einer Vereinsveranstaltung werden sehr häufig Fotos gemacht.
Dabei können natürlich jetzt auch Personen fotografiert werden, die Nicht-Mitglieder sind.
D.h. jetzt sind plötzliche Datenschutzrechte von Gästen betroffen.
Auch hier wird wieder unterschieden, ob diese Fotos lediglich vereinsintern veröffentlicht oder auf einer Webseite oder in sozialen Medien veröffentlicht werden.
Im Fall einer vereinsinternen Veröffentlichung sollte ein Hinweis auf der Eintrittskarte ausreichen.
Sollen die Fotos später auf der Webseite oder in sozialen Medien veröffentlicht werden, dann benötigt man eine Einwilligungserklärung der Gäste.
Die einzige Ausnahme bilden Großveranstaltungen. Bei einer Großveranstaltung müssen die Gäste mit der Veröffentlichung über die Vereinsgrenzen hinaus rechnen.

Organisatorischer Super-Gau?

Sobald ein Gast die Veranstaltung erstmalig betritt, wird er gebeten, der Veröffentlichung von Fotos, auf denen er identifizierbar ist, zuzustimmen.
Stimmt er zu, unterschreibt er die Einwilligungserklärung. Fraglos in doppelter Ausfertigung, eine für den Verein, die andere für den Gast.
Schön praktikabel wird es, wenn der Gast aus einer vierköpfigen Familie besteht.
Aber was, wenn ein Gast nicht unterschreiben möchte. D.h. er darf jetzt auf keinen Fall auf Fotos abgebildet sein, die später im Internet veröffentlicht werden.

Hier kann man jetzt beim Einlass ein Lichtbild anfertigen.
Später werden dann die für die Veröffentlichung bestimmten Fotos mit diesen Lichtbildern verglichen, so dass nur Fotos veröffentlicht werden, deren identifizierbare Personen eingewilligt haben.
Nach der Veranstaltung müssen diese Lichtbilder umgehend wieder gelöscht werden. Die rechtliche Grundlage für die Anfertigung dieser Lichtbilder war der Artikel 6 Absatz 1 lit f), also ein berechtigtes Interesse des Vereins.
In diesem Fall “nicht gegen das Datenschutzrecht zu verstoßen, indem durch kurzzeitige Speicherung eines Lichtbildes sichergestellt wird, dass nur Bilder von Personen auf der Homepage veröffentlicht werden, die ihre Einwilligung hierfür abgegeben haben.”

Gast möchte kein Lichtbild

Selbstverständlich hat der Gast die Möglichkeit, der Anfertigung des Lichtbildes zu widersprechen.
Grundlage hierfür ist der Artikel 21 Absatz 1
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

In diesem Fall müsste der Verein dem Gast den Eintritt verweigern, da der Verein als Veranstalter ansonsten Gefahr liefe, gegen das Datenschutzrecht zu verstoßen, oder aber der Verein müsste auf die Veröffentlichung von Fotos zu verzichten.

Einwilligung wird zurückgenommen

Aber es kann auch folgendes passieren. Ein Gast, der beim Eintritt zunächst eingewilligt hat, das Fotos, auf denen er als Person identifiziert werden können, veröffentlicht werden dürfen, widerruft diese Einwilligung.
Diese Fotos müssen dann unverzüglich von der Webseite gelöscht werden.
Einzige Ausnahmen: Es handelt sich um eine Person der Zeitgeschichte und das öffentliche Interesse am Erhalt des Fotos überwiegt.

Im nächsten Artikel möchte ich auf die Frage eingehen, ob Daten noch per Mail verschickt werden dürfen?

Den kompletten Gesetzestext der Datenschutz-Grundverordnung finden Sie im Internet:
https://dsgvo-gesetz.de

Der Beitrag Fotos und die Datenschutz-Grundverordnung erschien zuerst auf Doll und Winter.

Werden jetzt personenbezogene Daten von einem Unternehmen oder einem Verein “verarbeitet”, dann müssen die Regeln der DSGVO eingehalten werden. Und auch der Begriff “Verarbeitung” ist hier beschrieben:

Im Sinne dieser Verordnung bezeichnet der Ausdruck
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;


Bei der Verarbeitung von personenbezogenen Daten gibt es im DSGVO immer einen sogenannten “Verantwortlichen”, der für die Einhaltung der Datenschutzbestimmung verantwortlich gemacht wird.
Aber wer ist das?

Im Sinne dieser Verordnung bezeichnet der Ausdruck
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;


Im nächsten Artikel möchte die Auswüchse der DSGVO bezüglich von Fotografien thematisieren.

Den kompletten Gesetzestext der Datenschutz-Grundverordnung finden Sie im Internet:
https://dsgvo-gesetz.de

Der Beitrag Wichtige Begriffe in der Datenschutz-Grundverordnung erschien zuerst auf Doll und Winter.

Art. 82 DSGVO Haftung und Recht auf Schadenersatz

Absatz 1 und 2


(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. 2Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.


Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen

Absatz 1


(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.


Im nächsten Artikel möchte ich die Begriffe personenbezogene Daten, Verarbeitung und Verantwortlicher erläutern.

Den kompletten Gesetzestext der Datenschutz-Grundverordnung finden Sie im Internet:
https://dsgvo-gesetz.de

Der Beitrag Haftet der Vorstand eines Vereins bei einem Datenschutzverstoß? erschien zuerst auf Doll und Winter.