Einführung in die neue Rechtslage im Datenschutz ab dem 25. Mai 2018 Bearbeiter dieses Abschnitts: Knoblauch Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

Die Datenschutzreform der EU Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union anzuwenden, 2 Jahre Vorbereitungszeit Die DSGVO ist als europäische Verordnung unmittelbar anzuwendendes Recht Das Datenschutzrecht in Deutschland ist an die DSGVO anzupassen => BDSG neu

Zweck und Grundsatz Informationelle Selbstbestimmung bezüglich der Preisgabe und Verwendung der personenbezogenen Daten. Früher GG und „Volkszählungsurteil“ des BVerfG heute DSGVO und EU-Bürgerrechte Folien löschen, da in Arbeitshilfe??? 01.02.2018

Stand der Gesetzgebung Der Bund hat bereits ein neues BDSG (und weitere Änderungen datenschutzrechtlicher Vorschriften) verabschiedet: Wirkung ebenfalls ab 25. Mai 2018. Das BDSG ist in weiten Teilen nur noch Ausführungsgesetz zur DSGVO, die DSGVO enthält aber “Öffnungsklauseln“ nach Art. 6 Abs. 2 DSGVO, von denen das BDSG Gebrauch macht. Gilt für Private, also auch für Vereine, egal ob e.V. oder ohne Eintragung und auch für Personengesellschaften und juristische Personen des Privatrechts

Schwerpunkte der Gesetzesänderungen

Verantwortlicher „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ Nach BGB ist damit der „Vorstand“ für Vereine der Verantwortliche

Der Verantwortliche ist zentraler Adressat der DSGVO Der „Verantwortliche“ nach BGB hat die Vorschriften der DSGVO umzusetzen, sollte aber bei sehr großen Organisationen delegieren. Wer die Pflichten des Verantwortlichen konkret erfüllt, wäre dann intern schriftlich festzulegen und wohl von der Mitgliederversammlung zu beschließen (Datenschutzordnung)

Neue datenschutzrechtliche Begriffe Art. 4 DSGVO enthält Begriffsbestimmungen, die teils den bisher verwendeten Begriffen entsprechen, sich teilweise aber auch von der bisher im Datenschutzrecht verwendeten Begriffen unterscheiden. Dazu kommen als Auslegungshilfen die sog. „Erwägungsgründe“ (EG) der EU.

Umfangreiche Verfahrensänderungen Das „Verzeichnis von Verarbeitungstätigkeiten“ ist zu führen. Die datenschutzrechtliche Freigabe durch den DSB entfällt Der Datenschutzbeauftragte erhält Gelegenheit zur Stellungnahme vor dem Einsatz automatisierter Verfahren

Umfangreiche Verfahrensänderungen Meldepflichten der Kontaktdaten von Vorstand und DSB / Benachrichtigungspflichten bei Datenschutzpannen (Art. 33 und 34 DSGVO) an Aufsichtsbehörde Stärkere Rechte der Betroffenen Das Recht auf Auskunft umfasst künftig das Recht auf kostenlose Kopie (Art. 15 DSGVO) Recht auf „Vergessen werden“ (Art. 17 DSGVO) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Recht auf Widerspruch (Art. 21 DSGVO)

Stärkere Stellung des Landesbeauftragten Die Aufsichtsbehörde Landesamt für Datenschutzaufsicht (LDA) in Ansbach kann künftig auch verbindliche Anordnungen erlassen (VA, nötigenfalls mit Zwangsgeld) (es bleibt aber zunächst bei der Beanstandung) Bußgelder bis zu 20 Mio. € möglich (statt 300.000 €) Beweislastumkehr wegen Rechenschaftspflicht

Inhalt des BDSG 2018 Notwendigkeit der Bestellung eines DSB - ab 10 „Beschäftigte“ in DV mit pb. Daten (können auch Ehrenamtliche oder Externe wie z.B. Steuerberater, IT-Host o.ä. sein), bei manchen auch ohne Schwellenwert (wenn Gesundheitsdaten den Vereinszweck darstellen) Person muss Ahnung haben (Schulung usw.) – rechtlich und technisch Schriftliche Bestellung (auch eines Vertreters für Urlaub und Krankheit)

Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO Datenschutz 2018 Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO Bearbeiter dieses Abschnitts: Bauer-Banzhaf Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung und das neue Bundes-Datenschutzgesetz in Kraft treten. Was ist von einem Verein (vorher) zu tun? 01.02.2018

To do-Liste: Verantwortlichkeiten-Verteilung klären Notwendigkeit eines Datenschutzbeauftragten prüfen und ggf. durch Vorstand bestimmen Datenschutz-Ordnung ggf. erstellen und beschließen (lassen) Überprüfung / ggf. Änderung aller Internetseiten und Formulare Überprüfung der Satzung, ggf. bei Datenschutzbezug ändern ergänzen um: Festlegung., wer in der Behörde die zentrale Verantwortung für die Umsetzung trägt Benennung eines behördlichen DSB und sTellvertreters Festlegung des Aufgabenbereiches VERWEIS AUF ARBEITSHILFE CHECKLISTE, FOLIEN ÜBERARBEITEN 01.02.2018

To do-Liste: Kontaktdaten von Vorstand und DSB an LDA übermitteln Datensicherheitskonzept/-managementsystem entwerfen (lassen) Risikoabschätzung/Datenschutzfolgenabschätzung einführen/organisieren Verzeichnis von Verarbeitungstätigkeiten (VV) aufbauen 01.02.2018

Zuständigkeiten und Abläufe regeln Datenschutz 2018 Zuständigkeiten und Abläufe regeln Bearbeiter dieses Abschnitts: Bauer-Banzhaf Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

Verantwortlichkeit für die Sicherstellung des Datenschutzes Vereinsleitung = Vorstand => Ohnehin organisatorische Verantwortung aller Vorgesetzten (bei größeren Organisationen) Alle Beschäftigten (auch Ehrenamtliche) tragen gleichzeitig eine unmittelbare Verantwortung 01.02.2018

I. Ausgangspunkt ist ein völlig neues Verantwortlichkeitskonzept: der Verantwortliche übernimmt die Verantwortung für die Verarbeitungstätigkeit (VT), indem er gem. Art. 30 DSGVO die VT ins „Verzeichnis von Verarbeitungstätigkeiten“ aufnimmt. 01.02.2018

2. Es sollte in größeren Organisationen delegiert werden. Maßstab: Wer kann Mitarbeitende noch wirklich steuern/ überwachen im Hinblick auf einen wirksamen organisatorischen Datenschutz? 01.02.2018

3. Der DSB hat nach der DSGVO mehr die Rolle eines Beratenden und Überwachenden. Aufgabenbeschreibung des Datenschutzbeauftragten auch in Datenschutzordnung. 01.02.2018

a. DSB bei Erfüllung der Aufgaben frei von Weisungen und berichten der Vereins-Leitung unmittelbar. b. Ihm obliegen Pflichtaufgaben nach Art. 39 Abs. 1 DSGVO: Beratung, Unterrichtung, Überwachung, DSFA, Kontakt zur Aufsichtsbehörde LDA 01.02.2018

c. Interessenskonflikte zw. Funktion DSB und Verantwortlichen für Leitung, Personal oder IT sind zu vermeiden d. Gewährleistung der Zurverfügungstellung von ausreichenden Ressourcen (Schulungen, Kommentare/Zeitschriften usw.) e. Zugang zu allen Daten und umfassende Kooperation 01.02.2018

II. Wer macht das: Führen des Verzeichnisses aller Verarbeitungstätigkeiten Befüllung ist Aufgabe des Verantwortlichen Organisatorische Führung kann auch IT machen oder DSB Maßnahmen zur Bewältigung der erwarteten Risiken zu beschreiben 01.02.2018

Ein Muster der Beschreibung einer Verarbeitungstätigkeit Schulungsmaßnahmen sollten Verantwortliche (= Vorstand und ggf. weitere Führungskräfte) auf diese neuen Verantwortlichkeiten vorbereiten Ein Muster der Beschreibung einer Verarbeitungstätigkeit findet sich in der Liste mit Links WICHTIG – VERWEIS AUF Muster einer Beschreibung einer Verarbeitungstätigkeit aus der Arbeitshilfe 01.02.2018

III. Risiko- / Datenschutzfolge-Abschätzung (DSFA) Wer führt diese verantwortlich durch? Nach welcher Systematik? (z.B. ISIS 12) Ggf. Betroffenen-Beteiligung 01.02.2018

IV. Technische und organisatorische Maßnahmen (TOM) Müssen aufgrund der Risikoanalyse gefunden werden Datensicherheit – IT Sicherheit Neben der Datenschutzordnung sind ggf. weitere Regelungen (z.B. social media) zum Thema ebenfalls zu beachten. => Die Organisationseinheiten haben alle angemessenen TOM zu treffen um die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten. 01.02.2018

Bei automatisierter Datenverarbeitung sind bestmögliche („Stand der Technik“) Maßnahmen zu treffen, um die pb. Daten vor unbefugten Zugriff zu schützen, z.B. durch - Datenminimierung und Pseudonymisierung Protokollierungen aller Zugriffe Rollenkonzept (wer darf speichern/ändern, nur lesen etc.) automatische Erinnerungen an Prüfungen/Löschungen Verschlüsselungen von Wegen und Speicherorten usw. Belehrungen/Verpflichtungen/Vorschriften/Zertifizierung 01.02.2018

01.02.2018

Auftragsverarbeitungsverhältnisse => Für Neuverträge und Altverträge (Überprüfung) Bei Erledigung von Datenverarbeitung durch Dritte bleibt die datenschutzrechtliche Verantwortung beim Verein Vergabe der Verarbeitung nur an geeignete Auftragnehmer Abschluss eines schriftlichen Vertrages erforderlich Weisungen und Kontrollen müssen kostenneutral möglich sein 01.02.2018

Auftragsverarbeitung Verpflichtung auf Datengeheimnis Gewährleistung der Sicherheit der Verarbeitung (TOM) Falls Unterauftragnehmer: Auswahl genauso streng und nur mit Zustimmung 01.02.2018

Auftragsverarbeitung => Unterstützungspflichten des AN bezüglich - Sicherheit der Verarbeitung (TOM) - Meldung von Datenschutzverletzungen - Datenschutz-Folgeabschätzungen - Beantwortung von Anträgen von Betroffenen Löschpflichten nach Vertragsbeendigung Pflicht zur Bereitstellung von Informationen und Ermöglichung von Überprüfungen durch Verantwortlichen oder DSB => Muster in Vorbereitung beim LDA 01.02.2018

VI. Meldung von Datenpannen Wer meldet Datenpannen innerhalb von 72 Stunden an die betroffenen Personen und die Aufsichtsbehörde? Hinweis: Online-Portal für Meldung an LDA bereits kurz vor Freischaltung 01.02.2018

Das Verzeichnis der Verarbeitungstätigkeiten Art. 30 Abs. 1 DSGVO Datenschutz 2018 Das Verzeichnis der Verarbeitungstätigkeiten Art. 30 Abs. 1 DSGVO Bearbeiter dieses Abschnitts: Knoblauch Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

Verzeichnis von Verarbeitungstätigkeiten Das Verarbeitungsverzeichnis ist Kernelement der umfassenden Rechenschaftspflichten des Verantwortlichen (Art. 5 Abs. 2 DSGVO). Das Verarbeitungsverzeichnis ist zentraler Ausgangspunkt für die Tätigkeit des DSB, Prüfungen durch das LDA, die Erfüllung der Rechte der betroffenen Personen und die Informationspflichten nach Art. 13 und 14 DSGVO.

Verzeichnis von Verarbeitungstätigkeiten Neu: Auch nicht automatisierte Verarbeitungstätigkeiten sind aufzunehmen Neu: Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, der Verarbeitungszwecke und Rechtsgrundlagen sind neu aufnehmen

Was ist eine „Verarbeitungstätigkeit“ Beispiele: Mitgliederverwaltung Führung der Arbeitsstunden-Konten für Ehrenamtliche Personalaktenverwaltung Videoüberwachung des / der ... Durchführung von Wahlen und Abstimmungen (Vorstand und MV) / Gremienarbeit Anmeldung für Vereinsaktivität/Freizeitmaßnahme Förderung beantragen => Clusterung

Beteiligung DSB Dem Datenschutzbeauftragten ist vor der Einführung oder einer wesentlichen Änderung automatisierter Verfahren, mit denen personenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben

Kein Recht auf Einsichtnahme, keine Veröffentlichung Es besteht kein Recht auf Einsichtnahme in das Verarbeitungsverzeichnis durch Öffentlichkeit Veröffentlichung freiwillig möglich und birgt aber auch teilweise Gefahren (v.a. TOM)

Datenschutz 2018 Die Informationspflichten des Verantwortlichen nach Art. 13 und 14 DSGVO Bearbeiter dieses Abschnitts: Knoblauch Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

Informationspflichten bei der Erhebung von Daten Zu unterscheiden sind Die Informationspflicht bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Die Informationspflicht bei der Erhebung nicht bei der betroffenen Person (Art. 14 DSGVO) Die Informationspflicht bei einer Zweckänderung vorhandener personenbezogener Daten (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO)

Allgemeines zu den Informationspflichten Eine Informationspflicht besteht nicht, soweit die betroffene Person bereits über die Informationen verfügt: In einem Mitgliederverhältnis oder bei Vertragsschluss (z.B. Eintrittskarte) ist daher nur einmal zu Beginn zu informieren (bei Altfällen nun aber zumindest 1 x). Auch aus den Umständen der Erhebung können sich die Informationen ergeben. Bei „aufgedrängten“ Informationen muss nicht informiert werden (über Kontaktformulare usw. nicht aufgedrängt).

Informationspflichten bei der Erhebung bei der betroffenen Person (Art Informationspflichten bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Beispiele: Erhebung mit Anmeldeformular in Papierform Erhebung mit einem Internetformular Erhebung durch mündliche Befragung

Informationspflichten bei der Erhebung bei der betroffenen Person (Art Informationspflichten bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Wo es keine Hilfestellungen von Verbänden usw. gibt, müssen wir selbst anpassen. Auch Allg. Datenschutzhinweise (Disclaimer) im Internet sind anzupassen: - anderer Text - prominentere Platzierung

Mündliche Datenerhebungen Bei einer mündlichen Datenerhebung muss stets klar sein, wer der Verantwortliche ist und für welchen Zweck die Daten erhoben werden. Weitere Angaben nach Art. 13 Abs. 1 DSGVO sind als Möglichkeit zur Kenntnisnahme mitzuteilen. Lösung über Datenschutzhinweis im Internet => Aufspaltung in Grundinfo und Spezialinfo Angebot zusätzlich für Leute ohne Internet in Vereinsheim / Geschäftsstelle usw. Im Ergebnis kann der Umfang der auf Vordrucken abzudruckenden Informationen durch einen Verweis auf weitergehende Informationen reduziert werden