Datenschutz-grundverordnung Die neue Datenschutz-grundverordnung (be)trifft den Sport und die Vereine

gilt EU-weit seit 25. Mai 2018 enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten - betrifft auch alle Sportvereine in vollem Maße Verpflichtung zu transparenter und nachvollziehbarer Dokumentation der erhobenen Daten drohende Strafen bei Nichteinhaltung der DSGVO! (Strafen bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes eines Unternehmens!)

rechtliche Grundlage: Datenschutz-Grundverordnung der EU Geltung ab: 25. Mai 2018 (keine Übergangsfrist!) Die DSGVO ist unmittelbar anwendbar! Auch kleine Unternehmen und Vereine müssen sie beachten!

Fragen für die Praxis - welche Daten unterliegen dem Datenschutz? ….. personenbezogene Daten -> das sind Daten, die zur unmittelbaren Identifizierung einer natürlichen Person („betroffenen Person“) dienen, wie etwa Name, Geburtsdatum, Anschrift, Familienstand, Telefonnummer, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierungen bei einem Wettbewerb usw. ….. Achtung: sensible Daten! (ausdrückliche Zustimmung erforderlich)

Fragen für die Praxis - was ist eine Verarbeitung von Daten? ….. jeder mit und ohne Hilfe automatisierter Vorgang, wie das Erheben, das Erfassen, das Ordnen, das Speichern, die Organisation, das Abfragen usw. von Daten (also auch offline-Systeme)

Fragen für die Praxis - unter welchen Voraussetzungen dürfen personenbezogene Daten erfasst und verarbeitet werden? Einwilligung des Betroffenen Erfüllung eines Vertrages (bestehende Mitglieder) Erfüllung einer rechtlichen Verpflichtung (Meldung Arbeitnehmer) Aufgaben im öff. Interesse (Veröffentlichung Sportergebnisse) …

Fragen für die Praxis - welche Pflichten und Rechte sind u.a. zu beachten? Datenschutzbeauftragter Verzeichnis der Verarbeitungstätigkeiten Informationspflichten Recht auf Berichtung und Löschung Meldungspflicht von Datenverlusten

Datenschutzbeauftragter Ein Verein hat einen Datenschutzbeauftragten zu benennen, wenn der Kernbereich in einer der folgenden Tätigkeiten besteht: „Überwachung der betroffenen Person“ „Verarbeitung von bes. Kategorien von Daten“ (Gesundheitsdaten) oder „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten“ Das bedeutet, ein Verein muss in der Regel keinen Datenschutzbeauftragten bestellen, sehr wohl sollte aber immer ein „Verantwortlicher“ bestimmt werden!

Verzeichnis aller Verarbeitungstätigkeiten Art. 30 DSGVO … jeder Verein hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Bei Verantwortlichen, bei denen weniger als 250 Mitglieder „beschäftigt“ sind, besteht eine Ausnahme von der Verzeichnisführungspflicht. Diese Ausnahme gilt jedoch nicht, wenn die Verarbeitung nicht nur gelegentlich erfolgt. Da in jedem Verein die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt, ist auch bei Vereinen mit weniger als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Inhalt Verarbeitungstätigkeitenverzeichnis Name und Kontaktdaten des Verantwortlichen (und evtl. Vertreters) Zweck der Verarbeitung Beschreibung der Kategorie betroffener Personen bzw. personenbezogener Daten Kategorie von Empfängern wenn möglich Frist für die Löschung wenn möglich eine Beschreibung der techn. und organisatorischen Sicherungsmaßnahmen

Informationspflichten Recht auf Löschung und Berichtigung Die betroffene Person hat u.a. das Recht auf Auskunft über die gespeicherten personenbezogenen Daten bzw. zu welchem Zweck diese verarbeitet werden. Sie hat auch ein Recht auf Auskunft, an wen die Daten weitergeleitet wurden. Sie hat auch ein Beschwerderecht bei der Aufsichtsbehörde und das Recht u.a. auf Berichtigung von falschen Daten sowie das Recht auf Löschung der sie betreffenden Daten, wenn der Zweck nicht mehr gegeben ist.

Datensicherheit und Datenverlust Der Verein bzw. der Verantwortliche ist verpflichtet, die Sicherheit der Daten in jeglicher Hinsicht zu gewährleisten (bei Weitergabe von Daten an Auftragsverarbeiter ist eine Vereinbarung gemäß Art 28 DSGVO abzuschließen). Im Falle einer Verletzung des Schutzes personenbezogener Daten ist binnen 72 Stunden eine Meldung an die Datenschutzbehörde zu erstatten, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Benachrichtigung der betroffenen Person!

Grundsätze der DSGVO (Art 5) 1. Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz 2. Zweckbindungsgrundsatz 3. Grundsatz der Datenminimierung 4. Grundsatz der Richtigkeit 5. Grundsatz der Speicherbegrenzung 6. Grundsatz der Vertraulichkeit 7. Grundsatz der Rechenschaftspflicht

Die DSGVO im Vereinsleben 1. Es dürfen nur Daten verarbeitet werden, die zur Mitgliederbetreuung nötig sind! 2. Auswahl eines Verantwortlichen und Führung eines Verarbeitungstätigkeiten- verzeichnisses 3. Vorsicht bei Inhalten auf Webseiten (wenn uneingeschränkt öffentlich -> nur mit ausdrücklicher Zustimmung des Betroffenen! (außer: Kontaktdaten Funktionäre) 4. Für die Veröffentlichung von Ergebnissen ist keine Einwilligung notwendig! (nur Vor- und Nachname, Vereinszugehörigkeit, Geburtsjahr) 5. Fotos und Videos erst nach Einwilligung veröffentlichen! 6. Einholung von Einwilligungserklärungen mit dem Mitgliedsantrag

Danke für die Aufmerksamkeit!