Datenschutz & Vereine, eine Arbeitshilfe
DSGVO, Datenschutz-Anpassungsgesetz, Datenschutz-Deregulierungsgesetz, Materien-Datenschutz- Anpassungsgesetz, Verordnung der Datenschutzbehörde über die Ausnahme von der Datenschutz-Folgeabschätzung; „Personenbezogenen Daten haben einen Eigentümer und dieser Eigentümer hat entsprechend der DSGVO Rechte auf sein Eigentum!“, eine Arbeitshilfe rund um das Thema Datenschutz insbesondere für Vereine; (C) Georg Herrmann, 2018, zert. Datenschutzbeauftragter
DSGVO, Datenschutz-Anpassungsgesetz, Datenschutz-Deregulierungsgesetz, Materien-Datenschutz- Anpassungsgesetz, Verordnung der Datenschutzbehörde über die Ausnahme von der Datenschutz-Folgeabschätzung; „Personenbezogenen Daten haben einen Eigentümer und dieser Eigentümer hat entsprechend der DSGVO Rechte auf sein Eigentum!“, eine Arbeitshilfe rund um das Thema Datenschutz insbesondere für Vereine; (C) Georg Herrmann, 2018, zert. Datenschutzbeauftragter
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
#dsgvo<br />
#ver<strong>eine</strong><br />
#fussball<br />
#arbeitshilfe<br />
georg herrmann<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [1]
„Personenbezogenen Daten haben <strong>eine</strong>n Eigentümer und dieser Eigentümer hat<br />
entsprechend der DSGVO Rechte auf sein Eigentum!“<br />
DSGVO, <strong>Datenschutz</strong>-Anpassungsgesetz, <strong>Datenschutz</strong>-Deregulierungsgesetz, Materien-<br />
<strong>Datenschutz</strong>- Anpassungsgesetz, Verordnung der <strong>Datenschutz</strong>behörde über die<br />
Ausnahme von der <strong>Datenschutz</strong>- Folgeabschätzung. Novelle des<br />
Telekommunikationsgesetz 2003 (Abschnitt 12, <strong>Datenschutz</strong>bestimmungen) 09.2018;<br />
Grundsätzlich, der Schutz personenbezogener Daten bezieht sich sowohl auf digitale<br />
als auch auf analoge (schriftliche) Daten. Die Rechte des Datenbesitzers beziehen sich<br />
immer auf alle Fälle der Datenverarbeitung. Die Pflichten des Verantwortlichen<br />
(derjenige der mit den Daten als Erster arbeitet) gelten ebenfalls für alle Bereiche der<br />
Datenverarbeitung.<br />
Unternehmen und <strong>Ver<strong>eine</strong></strong> verarbeiten personenbezogenen Daten auf<br />
unterschiedlicher Art zu unterschiedlichen Zwecken. Die Fragenstellungen in dieser<br />
Konzeption sind daher allgem<strong>eine</strong>r Natur gehalten. Eine individuelle Abstimmung über<br />
Pflichten durch die DSGVO ist daher auf alle Fälle zu empfehlen.<br />
<strong>Datenschutz</strong>verletzungen können verfolgt werden:<br />
<br />
Nach <strong>eine</strong>r Kontrolle der <strong>Datenschutz</strong>behörde, die Behörde arbeitet aktiv und<br />
kann Kontrollen vor Ort als auch mittels Fragebogen und Aufforderung der<br />
Übermittlung der Unterlagen (Verarbeitungsverzeichnis usw.) durchführen;<br />
<br />
Durch <strong>eine</strong> Anzeige bei der DSB. Dies kann durchaus durch Kunden oder<br />
Mitarbeiter erfolgen. Wie bei anderen Rechtsgrundlagen kann auch hier ein<br />
„Neideffekt“ oder „Verärgerung“ ausschlaggebend sein.<br />
<br />
Durch <strong>eine</strong> Selbstanzeige nach <strong>eine</strong>m <strong>Datenschutz</strong>-Verstoß bei der<br />
<strong>Datenschutz</strong>behörde. Hierfür gibt es klare Regelungen in der DSGVO.<br />
<br />
Durch mediale Berichterstattung (Bsp. Blogger berichtet über unsachgemäße<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [2]
Datenvernichtung, vor allem bei Papierform)<br />
In der DSGVO ist das Vorgehen der <strong>Datenschutz</strong>behörde klar geregelt: warnen,<br />
verwarnen, strafen. Die Strafen richten sich nach der Schwere des <strong>Datenschutz</strong>-<br />
Verstoßes.<br />
Inhalt:<br />
Seite 03: Schwerpunkte und Fragestellungen<br />
Seite 08: Checkliste, 15 Schritte<br />
Seite 25: Schwerpunkt Fussballver<strong>eine</strong><br />
Seite 30: Begriffsbestimmungen, Facebook Gewinnspiele<br />
Seite 34: Foto & Video<br />
Seite 37: Abschlussbemerkungen<br />
Sämtliche Inhalte wurden mit größtmöglicher Sorgfalt zusammengestellt, erfolgen jedoch ohne Gewähr. Sie stellen k<strong>eine</strong><br />
Beratungsleistung welcher Art auch immer dar und können <strong>eine</strong> entsprechende Beratung nicht ersetzen. Insbesondere<br />
deswegen wird k<strong>eine</strong> Haftung hinsichtlich Richtigkeit, Vollständigkeit und Aktualität der Informationen (einschließlich des<br />
Verweises auf andere Quellen) übernommen.<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [3]
Schwerpunkt <strong>Ver<strong>eine</strong></strong> und DSGVO<br />
Die DSGVO ist für <strong>Ver<strong>eine</strong></strong> <strong>eine</strong> große Herausforderung. Einerseits werden die<br />
Tätigkeiten im Verein Großteils auf ehrenamtlicher Basis ausgeführter, andererseits hat<br />
der <strong>Ver<strong>eine</strong></strong> vor allem verschiedenste Zwecke der Datenverarbeitung.<br />
Jede Art von Datenverarbeitung ist verboten, außer sie ist erlaubt. Bei entsprechender<br />
Information und EINWILLIGUNG des Besitzers der personenbezogenen Daten können<br />
die Daten entsprechend den Regeln der DSGVO verarbeitet werden.<br />
Das Erstellen des Verzeichnisses der Verarbeitungstätigkeiten entsprechend DSGVO<br />
Art. 30 soll am Ende des Erhebungs- und Kontrollprozesses der Datenverarbeitung<br />
stehen.<br />
Ein Verein wird sich zu Beginn mit folgenden Fragen beschäftigen müssen:<br />
Welche Art von Daten werden erhoben? In <strong>eine</strong>m Unternehmen unterscheidet man<br />
grob in 4 Datengruppen (Mitarbeiter, Kunden, Lieferanten, marketingtechnische<br />
Daten). Bei <strong>eine</strong>m Verein gibt es aber <strong>eine</strong> Vielzahl an Datengruppen. Beispiele:<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Mitarbeiter/Spieler/Trainer mit <strong>eine</strong>m Vertrag<br />
Funktionäre<br />
Aktive Mitglieder<br />
Passive Mitglieder<br />
Spieler/Trainer ohne Vertrag<br />
Spielstammdatenblatt (Name, Geb.Dat., Vereinseintritt, Strafen, Verletzungen)<br />
Sponsoren<br />
Marketingtechnische Daten (Bezieher der Newsletter, Mitgliederzeitung u.ä.)<br />
Für die jeweiligen Datengruppen werden die personenbezogenen Daten im<br />
unterschiedlichen Umfang erhoben werden müssen. Bsp.:<br />
<br />
Mitarbeiter/Spieler/Trainer mit Vertrag: Name, Adresse, Geb.Datum, sowie alle<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [4]
Daten die zu <strong>eine</strong>r ordnungsgemäßen Abwicklung der Lohnzahlungen nötig sind;<br />
Passive Mitglieder: Name, Adresse, Geb.Datum, Beitrittsdatum,<br />
Mitgliedsart/Mitgliedsbeitrag, Mailadresse<br />
Sponsoren: Firmenname, Ansprechpartner, Adressen, Telefonnummer,<br />
Mailadresse, Sponsorart/Sponsorhöhe<br />
<br />
Newsletterbezieher: Name, Mailadresse<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Zu welchem Zweck werden die Daten verarbeitet? Aus den Datengruppen heraus,<br />
ergibt sich auch der jeweilige Zweck der Datenverarbeitung, wobei einige besondere<br />
Bereiche im Sportvereinswesen noch dazukommen. Beispiele:<br />
<br />
<br />
<br />
<br />
Mitgliederverwaltung<br />
Lohnverrechnung (Mitarbeiter/Spieler/Trainer mit Vertrag)<br />
Vereinsinterne Abwicklung (Funktionäre, Vorstand)<br />
Marketingstechnische Maßnahmen (Newsletter, Vereinszeitung)<br />
Sonderfälle:<br />
<br />
Trainings<br />
<br />
Profiling/Programme zur Kontrolle der Entwicklung und Überwachung des<br />
Vereinsinterne Kommunikationsplattformen (WhatsApp Gruppe)<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [5]
Woher stammen die Daten? Im Allgem<strong>eine</strong>n werden die Daten bei <strong>eine</strong>m Verein<br />
aufgrund der Mitgliedschaft, also dem Beitritt zum Verein, die Rechtsgrundlage für die<br />
Verarbeitung (DSGVO Art. 6, 1, b) darstellen. Bei marketingtechnische Daten sollte <strong>eine</strong><br />
Zustimmung (Art. 6, 1, a) vorliegen bzw. muss seit 25.5. eingehoben werden.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Werden Daten weitergegeben oder von Dritten verarbeitet? Die meisten <strong>Ver<strong>eine</strong></strong> sind<br />
Fach- und Dachverbänden bzw. regionalen oder bundesweiten Institutionen<br />
angeschlossen. Um <strong>eine</strong>n ordnungsgemäßen Spielbetrieb bei <strong>eine</strong>m Sportverein<br />
aufrecht zu erhalten, werden daher personenbezogene Daten von bestimmten<br />
Datengruppen weitergegeben. Ebenso ist besonders im Sportbereich das System der<br />
Spielgemeinschaften (vor allem im Nachwuchsbereich) sehr beliebt, auch hier werden<br />
personenbezogenen Daten entsprechend an Dritte weitergegeben.<br />
In vielen Fällen wird auch die Abwicklung der Lohnverrechnung oder die Buchhaltung<br />
von Dritten abgewickelt.<br />
Über diese Weitergabe oder Verarbeitung durch Dritte (dabei ist ein<br />
Datenverarbeitungs-Vertrag abzuschließen) muss der Besitzer der personenbezogenen<br />
Daten informiert werden.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [6]
Wer hat Zugriff oder arbeitet mit diesen personenbezogenen Daten (sowohl in<br />
digitaler als auch Papierform)? Die Abklärung der Zugriffsmöglichkeiten auf die<br />
jeweiligen Daten ist vor allem für die Schutzbestimmungen im Sinne der DSGVO wichtig.<br />
Auch hier werden sich aufgrund der unterschiedlichen Datenverarbeitungszwecke<br />
unterschiedliche Zugriffsgruppe ergeben.<br />
1.) Obmann, Kassier, Rechnungsprüfer (Beispiel: Abrechnung Mitgliedsbeiträge)<br />
2.) Vorstand (Beispiel Sponsorenverträge)<br />
3.) Trainer, Betreuer (Beispiel Spielerstammdatenblatt)<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Braucht ein Verein <strong>eine</strong>n <strong>Datenschutz</strong>beauftragten? Im Art. 37 wird die Benennung<br />
<strong>eine</strong>s <strong>Datenschutz</strong>beauftragten definiert. Der Art. 37, (1), c) stellt dabei die<br />
Herausforderungen für <strong>Ver<strong>eine</strong></strong> insbesondere Sportver<strong>eine</strong> dar.<br />
Die Verarbeitung von Gesundheitsdaten dürfte bei einigen Sportver<strong>eine</strong>n der Fall sein.<br />
Diagnosen über Verletzungen, Reha-Dauer, Entwicklung des Heilungsprozesses sowie<br />
die konditionelle Entwicklung sind unabhängig ob in Papierform oder in Verbindung mit<br />
<strong>eine</strong>r Software <strong>eine</strong> besondere Datenkategorie (sensible Daten). Bei <strong>eine</strong>r<br />
umfangreichen Erhebung oder Datenverarbeitung durch <strong>eine</strong>n Trainer oder Trainerstab<br />
zu prüfen. Siehe dazu auch Empfehlungen der Bundessportorganisation (BSO) zur<br />
DSGVO.<br />
Laut Auskunft der <strong>Datenschutz</strong>behörde fallen <strong>Ver<strong>eine</strong></strong> nicht unter die Ausnahme Art. 9,<br />
(2), d).<br />
Es kommt somit darauf an, welche Daten vom Verein bzw. vom<br />
Trainingsverantwortlichen verarbeitet werden. Bei <strong>eine</strong>r umfangreichen Erhebung oder<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [7]
Datenverarbeitung von sensiblen Daten durch <strong>eine</strong>n Trainer oder Trainerstab ist die<br />
Frage <strong>Datenschutz</strong>beauftragter genau zu prüfen. Siehe dazu auch Empfehlungen der<br />
Bundessportorganisation (BSO) zur DSGVO.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
<strong>Datenschutz</strong> steht schon in den Vereinsstatuten? In manchen Fällen wurde das Thema<br />
<strong>Datenschutz</strong> bereits in den Vereinsstatuten berücksichtigt. Vor allem die Formulierung:<br />
„Die Bestimmung über den <strong>Datenschutz</strong> ist streng einzuhalten. Jedes Mitglied gibt aber<br />
durch s<strong>eine</strong>n Beitritt die unwiderrufliche Zustimmung, dass s<strong>eine</strong> personenbezogenen<br />
Daten, insbesondere Name, Geburtsdatum, Beruf, Funktion im Verein und im Landesoder<br />
Bundesverband, s<strong>eine</strong> für das Vereinswesen Bedeutung habende Ausbildung, s<strong>eine</strong><br />
sportlichen Erfolge und s<strong>eine</strong> fachliche und organisatorische Ausbildung mittels<br />
Datenverarbeitung erfasst werden und innerhalb des Vereins, verarbeitet und<br />
weitergegeben werden, insbesondere für die Information, Führung der Buchhaltung,<br />
Zustellung von Informationsmaterial aller Art.“ Wurde dabei gerne verwendet.<br />
Diese Formulierung ist nicht DSGVO-Konform. Idealerweise sollte der entsprechende §<br />
<strong>Datenschutz</strong> in den Statuten geändert werden: „§ <strong>Datenschutz</strong>. Die<br />
datenschutzrechtlichen Bestimmungen werden durch <strong>eine</strong> eigene<br />
<strong>Datenschutz</strong>richtlinie des Vereins geregelt.“ Die <strong>Datenschutz</strong>richtlinie kann jedes Mal<br />
ohne viel Aufwand an die entsprechenden gesetzlichen Bestimmungen angepasst<br />
werden.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [8]
CHECKLISTE für <strong>Ver<strong>eine</strong></strong> zur Umsetzung der DSGVO<br />
Schritt 1: Aufgabendefinition und Verteilung<br />
<br />
<br />
<br />
DSGVO Umsetzung als Thema im Vorstand oder für Arbeitskreis im Verein<br />
Start- und Endtermin festsetzen<br />
Vorbereitung der nötigen Unterlagen und Ansprechpersonen/Kontakte<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 2: Datenumgang identifizieren<br />
Unterscheidung schriftliche Daten und elektronische Daten<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Der Verein wird u.a. folgende personenbezogenen Daten erheben:<br />
Mitglied: (Art. 6, Abs. 1, lit b)<br />
Weitergabe an:<br />
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier<br />
Geburtsort, Staatsangehörigkeit TFV, ÖFB<br />
Geburtsdatum<br />
Eintrittsdatum beim Verein<br />
Funktion im Verein<br />
Unterzeichnung des Mitgliedschaftsantrages.<br />
Mitarbeiter: (Art. 6, Abs. 1, lit b)<br />
Weitergabe an:<br />
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier<br />
Geburtsort, Staatsangehörigkeit Lohnverrechnung<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [9]
Geburtsdatum bei externer Verrechnung<br />
personenrelevante Daten zur Personalverrechnung Datenverarbeitungsvertrag<br />
(SV-Nr., Eintrittsdatum, Familienstand, usw.)<br />
Unterzeichnung des Arbeitsvertrages.<br />
Spieler: (Art. 6, Abs. 1, lit b)<br />
Weitergabe an:<br />
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier<br />
Geburtsort, Staatsangehörigkeit Trainerteam<br />
Geburtsdatum TFV, ÖFB<br />
Geschlechts (Frauen- und Herrenfußball). gegebenenfalls im<br />
Passfoto Rahmen <strong>eine</strong>r SPG<br />
Beitrittsdatum zum Verein<br />
Vor- und Nachname der Erziehungsberechtigten bis zum 14. Lebensjahr, Art. 8, Abs. 1 Unterzeichnung des<br />
Mitgliedschaftsantrages/der Spieleranmeldung<br />
Trainer: (Art. 6, Abs. 1, lit b)<br />
Weitergabe an:<br />
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier<br />
Geburtsort, Staatsangehörigkeit Trainerteam<br />
Geburtsdatum TFV, ÖFB<br />
Geschlechts (Frauen- und Herrenfußball). gegebenenfalls im<br />
Passfoto Rahmen <strong>eine</strong>r SPG<br />
Beitrittsfoto zum Verein<br />
Unterzeichnung des Mitgliedschaftsantrages/der Traineranmeldung<br />
Sponsoren: (Art. 6, Abs. 1, lit b)<br />
Weitergabe an:<br />
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier<br />
Firmenname, Sponsorbetrag, Sponsorleistungen Unterzeichnung Sponsorvereinbarung<br />
Interessierten (Newsletter, Mitgliederzeitung), (Art. 6, Abs. 1, lit a)<br />
Weitergabe an.<br />
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand,<br />
Medienbetreuer Bei direkter Weitergabe an Druckerei oder Werbeagentur Datenverarbeitungsvertrag<br />
Verwendung elektronische Programm zur Trainingsunterstützung- und Kontrolle.<br />
Programmname: (Link der <strong>Datenschutz</strong>erklärung des Betreibers), Firmensitz<br />
Programmablauf: gespeicherte Daten, Speicherort (Cloud udgl.)<br />
Programmauswertung: Personenkreis die auf das Programm Zugriff haben, Formen der Auswertung (digital,<br />
gedruckt)<br />
Programmsicherheit: DSGVO konform, Passwortsicherheit udgl.<br />
Abklärung betreffend Datenverarbeitungsvertrag mit Programmanbieter<br />
Bei <strong>eine</strong>r umfangreichen Erhebung oder Datenverarbeitung von sensiblen Daten<br />
durch <strong>eine</strong>n Trainer oder Trainerstab (Bsp. Gesundheitsdaten) ist die Frage<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [10]
<strong>Datenschutz</strong>beauftragter genau zu prüfen. Siehe dazu auch Empfehlungen der<br />
Bundessportorganisation (BSO) zur DSGVO.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 3: Rechte der Personen sichern<br />
Art. 15 bis Art. 21 definiert die Rechte der betroffenen Person (Dateneigentümer) und<br />
diese Rechte sind vom Verantwortlichen (Verein) zu erfüllen.<br />
<br />
Recht auf Auskunft (Art. 15 DSGVO), Prüfung der Bereitstellung <strong>eine</strong>s<br />
Fernzuganges bzw. <strong>eine</strong>r Kopie der betreffenden personenbezogene Daten (Zwecke,<br />
verarbeitete Daten, Empfänger, Speicherdauer, Betroffenenrechte, Herkunft der Daten,<br />
automatisierte Entscheidungsfindung, Übermittlung in Drittländer usw.)<br />
<br />
<br />
<br />
Recht auf Berichtigung (Art. 16 DSGVO)<br />
Richtigstellung falscher Daten<br />
Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO), Prüfung<br />
und Dokumentation allfälliger Ausnahmen<br />
<br />
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Prüfung und<br />
Implementierung der Markierung / Sperrung bis zur Entscheidung über die weitere<br />
Verarbeitungstätigkeit<br />
<br />
Recht auf Datenübertragbarkeit (Art. 20 DSGVO), Prüfung der Anwendbarkeit<br />
auf vorhandene Daten sowie Prüfung der technischen Machbarkeit und<br />
Implementierung in den Systemen<br />
<br />
Recht auf Widerspruch (Art 21 DSGVO)<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [11]
Der Verein hat zu definieren, wer und über welche Kommunikationswege die<br />
Einhaltung der Rechte der betroffenen Personen gewährleistet werden. Eine<br />
Einforderung <strong>eine</strong>s Rechts durch <strong>eine</strong> betroffene Person muss innerhalb 4 Wochen<br />
behandelt werden.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 4: Einwilligungen<br />
Die Rechtmäßigkeit der Verarbeitung personenbezogene Daten kann, sofern diese nicht<br />
der Erfüllung <strong>eine</strong>s Vertrages oder <strong>eine</strong>r rechtlichen Verpflichtung dient, insbesondere<br />
durch die Einwilligung <strong>eine</strong>r natürlichen Person sichergestellt werden. Dabei sind die<br />
Vorgaben der DSGVO im Detail zu beachten.<br />
<br />
Die Einwilligung soll durch <strong>eine</strong> freiwillige, eindeutige Handlung erfolgen, mit der<br />
bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden<br />
personenbezogene Daten einverstanden ist<br />
<br />
Der Verantwortliche muss nachweisen können, dass die betroffene Person ihre<br />
Einwilligung zu der Verarbeitungstätigkeit gegeben hat<br />
<br />
Der betroffenen Person muss zur Kenntnis gebracht werden, wer der<br />
Verantwortliche ist, für welche Zwecke ihre personenbezogenen Daten verarbeitet<br />
werden und dass die Einwilligung auch verweigert oder zurückgezogen werden kann<br />
<br />
Eindeutiges, nachweisbares Einverständnis mit der Verarbeitung der<br />
personenbezogenen Daten einholen, z.B. Ermöglichung des Anklickens <strong>eine</strong>s Kästchens<br />
beim Besuch <strong>eine</strong>r Internetseite (Stillschweigen, bereits angekreuzte Kästchen oder<br />
Untätigkeit sind k<strong>eine</strong> Einwilligung)<br />
<br />
Erstellung <strong>eine</strong>r Einwilligungserklärung in verständlicher Form und klarer<br />
Sprache („kein Verstecken in AGBs“)<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [12]
Bei noch nicht vollendetem 14. Lebensjahr ist die Einwilligung des gesetzlichen<br />
Vertreters (z.B. Eltern) bei <strong>eine</strong>m Angebot von Diensten der Informationsgesellschaft<br />
einzuholen<br />
<br />
Sicherstellung, dass bei Widerruf der Einwilligung die Daten nicht mehr<br />
weiterverarbeitet werden Beispiele für Einwilligungen:<br />
<br />
<br />
digitales Mitgliedermagazin<br />
Veröffentlichung von Fotos auf der Web-Seite<br />
Verwendung elektronischer Programme zur<br />
Trainingsunterstützung/Trainingskontrolle<br />
<br />
Verwendung elektronische Programme zur vereinsinternen Kommunikation<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 5: Information<br />
Art. 12 bis 14: Um <strong>eine</strong> faire und transparente Verarbeitung personenbezogener Daten<br />
sicherzustellen, muss der Verantwortliche den betroffenen Personen alle<br />
Informationen zur Verfügung stellen, die Art, Zweck und Umfang der<br />
Verarbeitungstätigkeit beschreiben. Dabei wird unterschieden, ob die Daten direkt<br />
beim Betroffenen erhoben werden oder auf anderem Wege zum Verantwortlichen<br />
gelangten. Der Informationspflicht muss nicht nachgekommen werden, wenn der<br />
Betroffene bereits über alle Informationen die Verarbeitung s<strong>eine</strong>r Daten betreffend<br />
verfügt.<br />
Eine derartige Information muss enthalten:<br />
<br />
Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls s<strong>eine</strong>s<br />
Vertreters und des <strong>Datenschutz</strong>beauftragten<br />
<br />
Die Zwecke, für die die personenbezogene Daten verarbeitet werden<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [13]
Die Rechtsgrundlage, auf der die Verarbeitungstätigkeit beruht<br />
Sofern die Verarbeitungstätigkeit auf dem Interesse des Verantwortlichen<br />
beruht, die Darstellung dieses Interesses<br />
<br />
<br />
Gegebenenfalls die Empfänger der Daten<br />
Gegebenenfalls die Auskunft über die Übermittlung der Daten in ein Drittland<br />
und die Darstellung der Rechtsgrundlage hierfür<br />
<br />
<br />
Die Speicherdauer der Daten bzw. die Kriterien für die Festlegung der Dauer<br />
Einen Hinweis auf die Rechte des Betroffenen auf Auskunft, Berichtigung,<br />
Löschung, Widerspruch und Datenübertragung<br />
<br />
<br />
Einen Hinweis auf das Beschwerderecht bei <strong>eine</strong>r Aufsichtsbehörde<br />
Bei Bestehen <strong>eine</strong>r automatisierten Entscheidungsfindung, <strong>eine</strong> Beschreibung<br />
der Logik sowie der Tragweite und die angestrebte Auswirkung für den Betroffenen<br />
Gegebenenfalls Beschreibung aller sonstigen Zwecke, für die die<br />
personenbezogenen Daten zusätzlich zum eigentlichen Zweck verarbeitet werden<br />
sollen<br />
Aufgrund der Fülle an Informationen empfiehlt es sich die <strong>Datenschutz</strong>informationen<br />
an den Datengruppen zu orientieren. (Beispiele):<br />
<br />
<br />
<br />
<strong>Datenschutz</strong>informationen für Mitglieder<br />
<strong>Datenschutz</strong>informationen für Mitarbeiter<br />
<strong>Datenschutz</strong>informationen für Spieler/Trainer<br />
<strong>Datenschutz</strong>informationen für Sponsoren, marketingtechnische<br />
personenbezogene Daten<br />
<br />
<strong>Datenschutz</strong>informationen für die Web-Seite: hier ist die Gestaltung der Seite<br />
sowie zusätzliche Funktionen wie Kommentarfunktion oder Web-Shop zu<br />
berücksichtigen (Verwendung IP-Adresse, Datenanalyse)<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [14]
Schritt 6: Auftragsverarbeiter<br />
Auftragsverarbeiter ist jemand, der personenbezogene Daten im Auftrag <strong>eine</strong>s<br />
Verantwortlichen verarbeitet (z.B. Cloud-Diensteanbieter, Hosting-Anbieter, Software-<br />
Provider, ausgelagerte Lohnverrechnung, Dienstleister innerhalb <strong>eine</strong>s Konzerns usw.).<br />
Bei der Auswahl und Beauftragung des Auftragsverarbeiters sind bestimmte<br />
Rahmenbedingungen sicherzustellen und schriftlich zu vereinbaren.<br />
<br />
<br />
Analyse der Auftragsverarbeiter<br />
Erstellung AV-Vertrag (kann bei den meisten Programmanbietern angefordert<br />
werden, ansonsten eigene Entwürfe)<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 7: <strong>Datenschutz</strong>-Grundsätze<br />
Für sämtliche Verarbeitungstätigkeiten ist die Einhaltung der <strong>Datenschutz</strong>-Grundsätze<br />
zu gewährleisten.<br />
<br />
Tätigkeiten<br />
<br />
Sicherstellung und Dokumentation der Einhaltung der <strong>Datenschutz</strong>-Grundsätze<br />
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz o<br />
Überprüfen der Rechtsgrundlage (z.B. Vertrag mit Kunden, Einwilligungserklärung,<br />
Einhaltung von Gesetzen)<br />
<br />
Kontrollfrage Rechtmäßigkeit: Wurde überprüft, ob diese personenbezogenen<br />
Daten verarbeitet werden dürfen?<br />
<br />
Kontrollfrage Transparenz: Kann der betroffenen Person klar und verständlich<br />
erklärt werden, wie und welche personenbezogenen Daten verarbeitet werden?<br />
<br />
<br />
Datenminimierung und Zweckbindung<br />
Kontrollfrage Zweckbindung: Wozu werden diese personenbezogenen Daten<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [15]
verwendet?<br />
Kontrollfrage Datenminimierung: Werden tatsächlich alle diese<br />
personenbezogenen Daten benötigt oder kann der gleiche Zweck auch mit weniger bzw.<br />
ohne personenbezogene Daten erreicht werden?<br />
<br />
Speicherbegrenzung<br />
Überprüfung bestehender gesetzlicher bzw. vertraglicher<br />
Aufbewahrungspflichten (z.B. Systeme so konfigurieren, dass nicht mehr benötigte<br />
Daten automatisch gelöscht werden)<br />
<br />
<br />
<br />
Kontrollfrage: Wie lange werden diese personenbezogenen Daten benötigt?<br />
Richtigkeit, Integrität, Vertraulichkeit und Verfügbarkeit<br />
Schutz der Daten vor Verlust bzw. Vernichtung (z.B. Backup), Veränderung (z.B.<br />
Checksummen) und unbefugter Zugriff bzw. Offenlegung (z.B. Berechtigungskonzept)<br />
<br />
Sicherstellen, dass benötigte Daten zur Verfügung stehen (z.B. durch<br />
redundante Systeme in zwei Serverräumen)<br />
<br />
Kontrollfrage: Wie wurde sichergestellt, dass diese personenbezogenen Daten<br />
sachlich richtig, verfügbar und ausreichend geschützt sind?<br />
<br />
<br />
Rechenschaftspflicht<br />
Dokumentation der Einhaltung der <strong>Datenschutz</strong>-Grundsätze o Kontrollfrage: Wie<br />
wird die Einhaltung der <strong>Datenschutz</strong>-Grundsätze dokumentiert?<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 8: digitaler <strong>Datenschutz</strong><br />
Data Protection by Design (<strong>Datenschutz</strong> durch Technikgestaltung) und Data Protection<br />
by Default (<strong>Datenschutz</strong> durch datenschutzfreundliche Voreinstellungen) sind zwei<br />
Anforderungen, um <strong>Datenschutz</strong>grundsätze (z.B. Datenminimierung) zu<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [16]
implementieren – sowohl für technische (z.B. Software) als auch organisatorische (z.B.<br />
Organisationsprozesse) Aspekte. Data Protection by Design bedeutet, <strong>Datenschutz</strong>-<br />
Risiken schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen, und<br />
den <strong>Datenschutz</strong> von Vornherein in die Gesamtkonzeption einzubeziehen. Data<br />
Protection by Default bedeutet, dass Produkte oder Dienstleistungen standardmäßig<br />
datenschutzfreundlich konfiguriert sind. Im Sinne der Rechenschaftspflicht müssen die<br />
Überlegungen und Entscheidungen dokumentiert werden.<br />
Als Maßnahmen können beispielsweise gesetzt werden:<br />
<br />
<br />
Menge der personenbezogenen Daten minimieren<br />
Personenbezogene Daten so früh wie möglich pseudonymisieren oder<br />
verschlüsseln<br />
Transparenz in Bezug auf die Funktionen und die Verarbeitung<br />
personenbezogene Daten herstellen<br />
<br />
<br />
<br />
Personenbezogene Daten so früh wie möglich löschen oder anonymisieren<br />
Zugriffsmöglichkeiten auf personenbezogene Daten minimieren<br />
Vorhandene Konfigurationsmöglichkeiten auf die datenschutzfreundlichsten<br />
Werte voreinstellen<br />
<br />
<br />
Dokumentation der Bewertung der Risiken für die Betroffenen<br />
Dokumentation der gesetzten Datensicherheitsmaßnahmen /TOMs)<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 9: <strong>Datenschutz</strong> für analoge Daten<br />
Bei analogen Daten sollen Dokumente nach Zweck und Anwendungsbereich sortiert<br />
werden. Es sollte bei jedem Datensatz protokolliert werden, dass die<br />
Einverständniserklärung der betroffenen Personen zur Datenerfassung vorliegt. Ein<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [17]
Verein kann den Aufsichtsbehörden damit nachweisen, dass es die gesetzlichen<br />
Vorgaben einhält.<br />
Personenbezogene Daten, insbesondere sensible Daten, sollen in abschließbare<br />
Aktenschränke und Rollcontainer, in bestimmten Fällen auch Büro-Tresore abgelegt<br />
werden. Dokumente so zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.<br />
(Aktenvernichter, die mit unterschiedlichen Zerkl<strong>eine</strong>rungsstufen sämtliche<br />
Informationen vernichten).<br />
Die <strong>Datenschutz</strong>maßnahmen gelten auch für personenbezogene Daten, die außerhalb<br />
der Vereinsräumlichkeiten bearbeitet oder aufbewahrt werden.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 10: Maßnahmenplan bei <strong>Datenschutz</strong>verletzungen (Data Breaches)<br />
<br />
definiert<br />
<br />
<strong>Datenschutz</strong>konformer Prozessablauf für die Behandlung von Data Breaches<br />
Vollständige und rechtzeitige Informationen an Aufsichtsbehörde und ggf.<br />
Betroffene sicherstellen<br />
Erlangt der Verantwortliche Kenntnis davon, dass die Vertraulichkeit, Integrität oder<br />
Verfügbarkeit personenbezogener Daten verletzt wurde, gelten Informationspflichten<br />
an die <strong>Datenschutz</strong>behörde und den Betroffenen.<br />
Beispiel: Laptop (ohne Festplattenverschlüsselung) mit Vereinsmitgliederdaten wird im<br />
Zug vergessen. Es liegt <strong>eine</strong> Verletzung der Vertraulichkeit vor. Die DSB ist grundsätzlich<br />
zu informieren, die Betroffenen nur, wenn aufgrund der konkreten Daten ein hohes<br />
Risiko besteht.<br />
Beispiel: Erpressersoftware verschlüsselt alle Vereinsmitgliederdaten, Backups<br />
vorhanden; Da Backups vorhanden sind und jederzeit wiederhergestellt werden<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [18]
können, sind die Daten weder verloren noch vernichtet. Eine Informationspflicht<br />
besteht nicht.<br />
Beispiel: Die Spielerpässe werden im versperrten Vereinsbüro der Gegenmannschaft<br />
vergessen. Die Daten sind weder verloren noch vernichtet und sind nicht allgemein<br />
zugänglich. Eine Informationspflicht besteht nicht.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 11: <strong>Datenschutz</strong>-Policy für den Verein festlegen:<br />
<br />
und Vorgaben<br />
<br />
Festhalten und Nachweis der im Rahmen der DSGVO etablierten Regelungen<br />
Verknüpfung der Richtlinien mit Verfahrensverzeichnis und <strong>Datenschutz</strong>-<br />
Folgenabschätzung Tätigkeiten<br />
Recherche und Aktualisierung bereits bestehender Vorgaben (auch der gelebten<br />
Praxis)<br />
Einbindung der erforderlichen Personen / Gremien mit notwendigem<br />
Spezialwissen<br />
<br />
Festlegung der Form, Anwendbarkeit und Kundmachung / Verfügbarkeit der<br />
<strong>Datenschutz</strong>-Policy<br />
<br />
Planung und Organisation der Erstellung der <strong>Datenschutz</strong>-Policy<br />
Abgleich mit verfügbaren Mustern, Verhaltensregeln bzw.<br />
verbindlichen internen <strong>Datenschutz</strong>vorschriften<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [19]
Schritt 12: Verfahrensverzeichnis, Verarbeitungsverzeichnis<br />
Das Verfahrensverzeichnis ist ein Verzeichnis aller Verarbeitungstätigkeiten. Die Pflicht<br />
zur Führung <strong>eine</strong>s Verfahrensverzeichnisses trifft den Verantwortlichen, wie auch – mit<br />
geringerem Umfang – den Auftragsverarbeiter.<br />
Die Führung des Verfahrensverzeichnisses hat schriftlich zu erfolgen, wobei ein<br />
elektronisches Format benutzt werden kann.<br />
Das Verfahrensverzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu<br />
stellen. Anhand des Verfahrensverzeichnisses ist es für die Aufsichtsbehörde möglich,<br />
die durchgeführten Verarbeitungstätigkeiten zu kontrollieren.<br />
Der Inhalt: Details der Verarbeitungstätigkeiten:<br />
<br />
<br />
Name und Kontaktdaten des Verantwortlichen bzw. des DSB<br />
Zweck der Verarbeitungstätigkeit<br />
Kategorien betroffener Personen (z.B. Mitglieder, Spieler, Trainer<br />
marketingtechnische Daten usw.) und Kategorien personenbezogener Daten (z.B.,<br />
Adressdaten usw.)<br />
<br />
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten<br />
offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung,<br />
Finanzamt, Steuerberater, TFV, ÖFB, Spielgemeinschaft usw.)<br />
<br />
Sofern möglich: Vorgesehene Fristen für die Löschung der verschiedenen<br />
Datenkategorien<br />
Sofern möglich: Allgem<strong>eine</strong> Beschreibung der<br />
Datensicherheitsmaßnahmen/TOMs (hier eignen sich auch gut Verweise auf interne<br />
Sicherheitsrichtlinien)<br />
<br />
Sinnvoll: Angabe der Rechtsgrundlage (z.B. Einwilligungserklärung) für den<br />
Zweck der Verarbeitungstätigkeit<br />
<br />
Empfehlung: Bei der Erstellung des Verfahrensverzeichnisses sollten aus<br />
Gründen der Praktikabilität und Übersichtlichkeit auch weiterführende Informationen<br />
berücksichtigt werden (z.B. <strong>Datenschutz</strong>- Folgenabschätzung, Rechte der betroffenen<br />
Person, Informationssicherheit usw.)<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [20]
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 13: <strong>Datenschutz</strong>folgeabschätzung<br />
Wenn aus Sicht der betroffenen Personen voraussichtlich ein hohes Risiko besteht, ist<br />
<strong>eine</strong> <strong>Datenschutz</strong>- Folgenabschätzung durchzuführen. Für bestimmte<br />
Verarbeitungstätigkeiten wird die Aufsichtsbehörde <strong>eine</strong> Liste führen, für die in jedem<br />
Fall <strong>eine</strong> <strong>Datenschutz</strong>-Folgenabschätzung notwendig sein wird. Daneben kann es auch<br />
<strong>eine</strong> Liste mit Ausnahmen geben.<br />
Im Entwurf der Verordnung der <strong>Datenschutz</strong>behörde über die Ausnahmen von der<br />
<strong>Datenschutz</strong>- Folgeabschätzung (DSFA-AV) wird die Mitgliederverwaltung als<br />
Ausnahme definiert:<br />
„DSFA-A03 Mitgliederverwaltung, Zweck der Datenverarbeitung:<br />
Führung von Mitgliederverzeichnissen, Evidenz der Mitglieds- und Förderungsbeiträge,<br />
Verkehr mit Mitgliedern oder Förderern von Körperschaften des öffentlichen und<br />
privaten Rechts, insbesondere <strong>Ver<strong>eine</strong></strong>n, und Personengemeinschaften sowie<br />
Betreuung von Mitgliedern und Förderern.“<br />
Bei anderen Zwecken der Verarbeitungen personenbezogener Daten durch den Verein<br />
kann <strong>eine</strong> <strong>Datenschutz</strong>folgeabschätzung erforderlich sein. Dafür sind folgende Schritte<br />
nötig:<br />
Prüfung, ob überhaupt die Voraussetzungen für die Durchführung <strong>eine</strong>r<br />
verpflichtenden <strong>Datenschutz</strong>- Folgenabschätzung vorliegen (nicht abschließender<br />
Katalog des Art. 35 Abs. 3)<br />
<br />
Wird bei der beabsichtigten Verarbeitungstätigkeit neue Technologie<br />
verwendet oder besteht aufgrund der Art, des Umfangs, der Umstände und der Zwecke<br />
der Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten<br />
der betroffenen natürlichen Personen?<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [21]
Wird <strong>eine</strong> systematische und umfassende Bewertung persönlicher Aspekte<br />
natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für<br />
Entscheidungen herangezogen werden soll, die für natürliche Personen<br />
Rechtswirkungen entfalten könnte (z.B. zur Frage der Kreditvergabe)<br />
<br />
Prüfung, ob sonstige Kriterien für die Durchführung <strong>eine</strong>r verpflichtenden<br />
<strong>Datenschutz</strong>- Folgenabschätzung vorliegen (z.B. Kriterienkatalog der Art. 29 Gruppe WP<br />
248)<br />
Bewertungsphase<br />
<br />
<br />
<br />
<br />
<br />
Risikoidentifikation<br />
Risikobewertung je Verarbeitungstätigkeit durchführen<br />
Eintrittswahrscheinlichkeit<br />
Auswirkung / Schaden<br />
Risikobehandlung<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Schritt 14: Schulungsmaßnahmen<br />
Schulung aller Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf<br />
<br />
<br />
<br />
die DSGVO und andere anwendbare <strong>Datenschutz</strong>vorschriften,<br />
wichtige Bestimmungen in der Organisation (z.B. <strong>Datenschutz</strong>-Policy) sowie<br />
die Konsequenzen bei Nichtbeachtung<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [22]
Schritt 15: Aktualisierung<br />
Das Verfahrensverzeichnis ist nach der erstmaligen Erstellung auf Basis <strong>eine</strong>r<br />
umfassenden Datenerhebung laufend zu aktualisieren.<br />
<br />
<br />
Sicherstellung, dass das Verfahrensverzeichnis stets aktuell ist<br />
Sicherstellung, dass neue Verarbeitungstätigkeiten im Verfahrensverzeichnis<br />
aufgenommen werden<br />
Festlegung <strong>eine</strong>s Zeitplans zur regelmäßigen Überprüfung des<br />
Verfahrensverzeichnisses<br />
<br />
Organisatorische Sicherstellung, dass die für das Verfahrensverzeichnis<br />
Verantwortlichen rechtzeitig bei Änderungen informiert werden über<br />
<br />
<br />
<br />
<br />
<br />
<br />
weitere / andere Datenarten<br />
weitere / andere Betroffene<br />
Zweckänderung bzw. -erweiterung<br />
Hinzutreten von Empfängern<br />
veränderte Speicher- bzw. Löschfristen<br />
Dokumentation der Anpassung der TOMs oder geeigneter Garantien<br />
Anpassungder zugrundeliegenden Dokumente (z.B.<br />
Einwilligungserklärung,<br />
Verträge, Betriebsvereinbarungen usw.)<br />
Überprüfung der Aktualität der <strong>Datenschutz</strong>-Folgenabschätzung (ggf.<br />
Aktualisierung <strong>eine</strong>r vorhanden <strong>Datenschutz</strong>-Folgenabschätzung oder Durchführung<br />
<strong>eine</strong>r <strong>Datenschutz</strong>- Folgenabschätzung)<br />
<br />
Neue Verarbeitungstätigkeiten in das Verfahrensverzeichnis aufnehmen bzw.<br />
nicht mehr vorhandene Verarbeitungstätigkeiten aus dem Verfahrensverzeichnis<br />
entfernen<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [23]
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Und was sollen Sie am Ende davon haben?<br />
<br />
<br />
<br />
<br />
<br />
Umfassende Informationen über die Datenverarbeitung im Verein<br />
Zielgerichtetes <strong>Datenschutz</strong>management<br />
Sicherheit über die Rechtmäßigkeit der Verarbeitung<br />
Informationssicherheit für Betroffene (Eigentümer der Daten)<br />
Aktuelles Verarbeitungsverzeichnis<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [24]
Thema Fussballverein in Tirol:<br />
Die Rechtmäßigkeit der Datenverarbeitung von Spielern und Trainern im Rahmen des<br />
Spielbetriebes: Die Spieler:<br />
Um wettkampfmäßigen Fußballsport in Österreich ausüben zu können, hat sich jeder<br />
Spieler mit s<strong>eine</strong>r Anmeldung den Statuten, Bestimmungen, Reglemente, Richtlinien,<br />
Beschlüsse und Anordnungen der FIFA, der UEFA, des ÖFB und der Verbände sowie die<br />
vom Internationalen Football Association Board erlassenen Spielregeln zu unterwerfen.<br />
Jeder Spieler schließt mit der Anmeldung <strong>eine</strong>n zivilrechtlichen Vertrag.<br />
Die von ihm erhobenen personenbezogenen Daten sind nach den internationalen und<br />
nationalen Regulativen zwingend notwendig, um den wettkampfmäßigen Fußballsport<br />
als Spieler ausüben zu können.<br />
Die erhobenen Daten dienen der Mitgliederverwaltung sowie der Führung des<br />
organisierten Spielbetriebes und der damit zusammenhängenden Öffentlichkeitsund<br />
Medienarbeit.<br />
<br />
Der Vor- bzw. Nachname und Wohnort sowie E-Mail-Adresse sind erforderlich<br />
um den konkreten Spieler als Mitglieder sowie für den organisierten Spielbetrieb<br />
erfassen und mit ihm in Kontakt treten zu können.<br />
<br />
Der Geburtsort und die Staatsangehörigkeit sind erforderlich, um den<br />
Verpflichtungen der FIFA im Hinblick auf die Abwicklung des internationalen<br />
Freigabeverfahrens erfüllen zu können.<br />
<br />
Das Geburtsdatum des Spielers erfüllt zum <strong>eine</strong>n den Zweck, bei<br />
Namensgleichheiten die Identität der Spieler feststellen zu können und zum anderen<br />
die Spieler – insbesondere im Jugendfußball – den entsprechenden Altersklassen<br />
zuordnen zu können.<br />
<br />
Die Zuordnung zu den Mannschaften erfordert auch die Bekanntgabe des<br />
Geschlechts (Frauen- und Herrenfußball).<br />
<br />
Die Vergabe <strong>eine</strong>r Spielernummer an jeden Spieler soll sicherstellen, dass ein<br />
Spieler nicht mehrfach im System angelegt wird und nur für <strong>eine</strong>n Verein spielen kann.<br />
<br />
Vor- und Nachname der Erziehungsberechtigten ist bei Minderjährigen<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [25]
erforderlich, um feststellen zu können, wer als Erziehungsberechtigter des<br />
minderjährigen Spielers die notwendigen Einwilligungserklärungen für diesen abgibt.<br />
<br />
Das vorzulegende Passfoto <strong>eine</strong>s Spielers wird im Spielerpass integriert und<br />
ermöglicht dem Schiedsrichter bei jedem Spiel, den Abgleich mit dem Spieler am Feld,<br />
um s<strong>eine</strong> Spielberechtigung überprüfen zu können.<br />
<br />
Der Reisepass dient dem Nachweis der vom Spieler bei der Anmeldung<br />
bekanntgegebenen personenbezogenen Daten. Bei Minderjährigen ist zudem –<br />
aufgrund der Vorgaben der FIFA – noch ein Meldezettel und allenfalls <strong>eine</strong><br />
Schulbesuchsbestätigung vorzulegen, um aufgrund des besonderen Schutzes für<br />
Minderjährige prüfen zu können, dass die minderjährigen Spieler in Österreich über<br />
<strong>eine</strong> Meldeadresse verfügen und nicht aus dem Ausland zum Verein fahren und in<br />
Österreich über <strong>eine</strong> schulische Betreuung verfügen.<br />
<br />
Die gemeinsam Verantwortlichen sind in Ausübung ihrer gesetzlichen<br />
Sorgfaltspflichten und zur Wahrung der berechtigten Interessen der Kinder dazu<br />
berechtigt.<br />
Im Nicht-Amateur-Bereich werden auch die Arbeitserlaubnis und der Spielervertrag<br />
erhoben.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [26]
Die Trainer:<br />
Um als Trainer oder Mannschaftsbetreuer (im Folgenden gemeinsam „Trainer“) im<br />
wettkampfmäßigen Fußballsport in Österreich tätig sein zu können, hat sich jeder<br />
Trainer mit s<strong>eine</strong>r Registrierung den Statuten, Bestimmungen, Reglemente, Richtlinien,<br />
Beschlüsse und Anordnungen der FIFA, der UEFA, des ÖFB und der Verbände sowie die<br />
vom Internationalen Football Association Board erlassenen Spielregeln zu unterwerfen.<br />
Jeder Trainer schließt mit der Registrierung <strong>eine</strong>n zivilrechtlichen Vertrag ab. Die von<br />
ihm erhobenen personenbezogenen Daten sind nach den internationalen und<br />
nationalen Regulativen zwingend notwendig, um als Trainer im wettkampfmäßigen<br />
Fußballsport in Österreich und international tätig sein zu können.<br />
Die erhobenen Daten dienen der Mitgliederverwaltung, der Führung des<br />
organisierten Spielbetriebes und der damit zusammenhängenden Öffentlichkeitsund<br />
Medienarbeit.<br />
<br />
Der Vor- bzw. Nachname, der Wohnort sowie die E-Mail-Adresse sind<br />
erforderlich um den konkreten Trainer als Mitglied sowie für den Spielbetrieb erfassen<br />
und mit ihm in Kontakt treten zu können. Sein Geburtsdatum, um ihn bei<br />
Namensgleichheiten identifizieren zu können.<br />
<br />
Den akademischen Grad sowie die Sozialversicherungsnummer sind für die<br />
Erfassung aller staatlichen Trainerausbildungen in Österreich bei der<br />
Bundessportakademie notwendig. Die Bundessportakademie zeichnet in Österreich für<br />
die staatlichen Traineraus- und –fortbildungen verantwortlich und fordert all diese<br />
Daten an. Andernfalls kann die Aus- und Fortbildung vom Trainer nicht absolviert<br />
werden.<br />
<br />
Die Bekanntgabe der Staatsangehörigkeit ist erforderlich, um mit den<br />
ausländischen Ausbildungsstätten bzw. Nationalverbänden in Kontakt über die Ausund<br />
Weiterbildung des jeweiligen Trainers, der im Ausland Kurse absolviert hat, treten<br />
zu können.<br />
<br />
Die Vorlage des ärztlichen Attests soll <strong>eine</strong>n Nachweis für die für das Traineramt<br />
notwendige körperliche Fitness erbringen.<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [27]
Die Strafregisterbescheinigung stellt sicher, dass in Österreich k<strong>eine</strong> Person ein<br />
Traineramt ausübt, die <strong>eine</strong> Vorstrafe aufweist, zumal die gemeinsam Verantwortlichen<br />
gesetzliche Sorgfaltspflichten im Bereich „Kinder- und Jugendfürsorge“ treffen.<br />
<br />
Der Nachweis über die Sprachkenntnis zeigt auf, ob der Trainer der deutschen<br />
Sprache mächtig und damit in der Lage ist, sich mit den Spielern auf und abseits des<br />
Platzes zu verständigen.<br />
<br />
notwendig.<br />
<br />
Das Passfoto des Trainers ist für die Ausstellung des Trainerausweises<br />
Von Trainern ohne Trainerausbildung, die Mannschaften – insbesondere im<br />
Nachwuchsbereich – trainieren, für die <strong>eine</strong> Trainerausbildung nach den Regulativen<br />
der FIFA/UEFA und des ÖFB nicht notwendig sind, sind für die Zweckerfüllung lediglich<br />
Vor- und Nachnahme, Wohnort und – wie bei allen Trainern – Mailadresse sowie<br />
allenfalls Handynummer bekannt zu geben.<br />
<br />
Für die Zweckerfüllung im Bereich Spielbetrieb sind Mailadresse und/oder<br />
Handynummer des Trainers erforderlich, zumal dieser – wie auch ein Funktionär – im<br />
ständigen Austausch mit den Verantwortlichen der gegnerischen Mannschaften sein<br />
muss, um Ort und Zeit <strong>eine</strong>s Spiels festzulegen, die Dressenfarben abzustimmen, die<br />
Besetzung der Schiedsrichter (im Nachwuchsbereich) vorzunehmen usw. Zusätzlich<br />
wird festgehalten, dass die Administration der Traineraus- und Fortbildung beim ÖFB<br />
online erfolgt und sämtliche administrativen Tätigkeiten (Anmeldung zu Kursen,<br />
Information zu Kursen,…) elektronisch passieren und dafür <strong>eine</strong> E-Mail Adresse<br />
zwingend notwendig ist.<br />
<br />
Vor- und Nachname der Erziehungsberechtigten ist bei Minderjährigen<br />
erforderlich, feststellen zu können, wer als Erziehungsberechtigter des minderjährigen<br />
Trainers die notwendigen Einwilligungserklärungen für diesen abgibt.<br />
Die Daten werden vom<br />
Tiroler Fussballverband (TFV), Stadionstraße 1a, 6020 Innsbruck, www.tfv.at,<br />
<strong>Datenschutz</strong>information: http://www.tfv.at/Infos/<strong>Datenschutz</strong>richtlinien,<br />
dem Österreichischen Fussballverband (ÖFB, Meiereistraße 7, 1020 Wien,<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [28]
office@oefb.at, +43/1/727 18-0, www.oefb.at, <strong>Datenschutz</strong>information:<br />
https://www.oefb.at/Der-OeFB/<strong>Datenschutz</strong><br />
sowie von fussballösterreich.at (FOESV Fußballösterreich Spielbetriebs und<br />
Vermarktungs GmbH, Sommerhaidenweg 100A, A-1190 Wien, FN 368735 h, UID:<br />
ATU66731058,<br />
<strong>Datenschutz</strong>information:<br />
https://www.fussballoesterreich.at/foes/Impressum/DSGVO-Informationen.html im<br />
Auftrag des TFV verarbeitet.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [29]
Begriffsbestimmungen/Abkürzungen<br />
„Personenbezogene Daten“ sind nicht nur die zur unmittelbaren Identifizierung <strong>eine</strong>r<br />
natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburtsdatum,<br />
sondern darüber hinaus alle Informationen, die sich auf <strong>eine</strong> in sonstiger Weise<br />
identifizierte oder identifizierbare natürliche Personen beziehen (Art. 4 Nr. 1 DSGVO),<br />
wie beispielsweise Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E- Mail-<br />
Adresse, Anschrift, Eigentums- oder Besitzverhältnisse, persönliche Interessen,<br />
Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen,<br />
Platzierung bei <strong>eine</strong>m Wettbewerb und dergleichen.<br />
Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen. Nicht<br />
von der DSGVO geschützt werden Angaben über Verstorbene, wie etwa in <strong>eine</strong>m<br />
Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf<br />
<strong>eine</strong>r Liste der Verstorbenen (Erwägungsgrund 27 DSGVO).<br />
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder<br />
andere Stelle, die all<strong>eine</strong> oder gemeinsam mit anderen über die Zwecke und Mittel der<br />
Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).<br />
Dem Verein (Verband) sind s<strong>eine</strong> unselbständigen Untergliederungen wie Abteilungen,<br />
Ortsver<strong>eine</strong> oder Ortsgruppen sowie s<strong>eine</strong> Funktionsträger, Auftragnehmer, und s<strong>eine</strong><br />
Mitarbeiter, soweit diese im Rahmen der Aufgabenerfüllung für den Verein tätig<br />
werden, zuzurechnen.<br />
Die Vereinsmitglieder <strong>eine</strong>rseits sowie die Dachverbände andererseits, in denen der<br />
Verein selbst Mitglied ist, sind dagegen als außerhalb des Vereins stehende Stellen und<br />
damit als Dritte anzusehen.<br />
„Auftragsverarbeiter“ ist die natürliche oder juristische Person, Behörde, Einrichtung<br />
oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen<br />
verarbeitet (Art. 4 Nr. 8 DSGVO). Eine Auftragsverarbeitung spielt beispielsweise bei der<br />
Verlagerung der Mitgliederverwaltung in <strong>eine</strong> Cloud <strong>eine</strong> wichtige Rolle, auch bei der<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [30]
EDV-Wartung und der Aktenvernichtung.<br />
„Profiling“ (Art. 4 Nr. 4 DSGVO) jede Art der automatisierten Verarbeitung<br />
personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten<br />
verwendet werden, um bestimmte persönliche Aspekte, die sich auf <strong>eine</strong> natürliche<br />
Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung,<br />
wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit,<br />
Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren<br />
oder vorherzusagen;<br />
Insgesamt enthält der Art. 4 der DSGVO 26 Begriffsbestimmungen.<br />
Rechtsgrundlage der Verarbeitung<br />
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommen<br />
insbesondere Art. 6 1) b) und<br />
f) DSGVO in Betracht.<br />
Die Mitgliedschaft in <strong>eine</strong>m Verein ist als Vertragsverhältnis zwischen den Mitgliedern<br />
und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung<br />
und sie ergänzende Regelungen (z.B. <strong>eine</strong> Vereinsordnung) vorgegeben wird. Eine<br />
Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten<br />
genutzt werden können.<br />
Erhebt ein Verein personenbezogene Daten von <strong>eine</strong>r betroffenen Person (z. B.<br />
Vereinsmitglied, Teilnehmer an <strong>eine</strong>m Wettbewerb, usw.), so sind die Zwecke, für<br />
welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (Art. 5<br />
1). b) DSGVO).<br />
Die Vereinsatzung darf in Bezug auf die Verarbeitung personenbezogener Daten nicht<br />
einfach durch Mehrheitsbeschluss geändert werden. Erfordert der neue Vereinszweck<br />
<strong>eine</strong> weitergehende Verarbeitung personenbezogener Daten, darf die Satzung nur<br />
insoweit geändert werden, wie der neue<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [31]
Verarbeitungszweck mit dem ursprünglichen in <strong>eine</strong>m Zusammenhang steht (vgl. Art. 6<br />
4) a) DSGVO, Erwägungsgrund 50). Aus dem Vertragsverhältnis folgt, dass der Verein bei<br />
der Erhebung, Verarbeitung und Nutzung von Daten die <strong>Datenschutz</strong>grundrechte s<strong>eine</strong>r<br />
Mitglieder angemessen berücksichtigen muss.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
Facebook – Gewinnspiele<br />
Facebook Gewinnspiele sind sehr beliebt. Aber auch die Durchführung von<br />
Gewinnspielen unterliegt entsprechenden Regeln.<br />
Aus den Facebook-Richtlinien:<br />
<br />
Erlaubt ist: den erstellten Gewinnspiel-Beitrag zu kommentieren, mit „gefällt<br />
mir“ zu markieren oder <strong>eine</strong>n Kommentar bzw. ein Posting auf der Seite verfassen (mit<br />
oder ohne Foto) oder <strong>eine</strong> Nachricht an die Seite zu schicken.<br />
<br />
Nicht erlaubt ist: „markiere dich selbst und/oder <strong>eine</strong>n Freund/<strong>eine</strong> Freundin“,<br />
„teile diesen Beitrag“, „ändere dein Profilbild/Titelbild (auf ein vorgegebenes Bild)“ –<br />
um am Gewinnspiel teilzunehmen.<br />
<br />
Man darf bei <strong>eine</strong>m Gewinnspielposting auf Facebook dazuschreiben, dass man<br />
sich freut, wenn UserInnen den Beitrag teilen. Voraussetzung für <strong>eine</strong> Teilnahme am<br />
Gewinnspiel darf das aber k<strong>eine</strong>sfalls sein.<br />
Teilnahmebedingungen<br />
<br />
Gewinnspiele brauchen immer Teilnahmebedingungen. Diese kann man als<br />
Artikel auf der eigenen Webseite erstellen und im Gewinnspielposting verlinken. Oder<br />
als „Notiz“ aus der eigenen Facebook-Seite. In den Teilnahmebedingungen soll geregelt<br />
sein:<br />
o<br />
wer darf am Gewinnspiel teilnehmen?<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [32]
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Wer ist Veranstalter?<br />
Von wann bis wann läuft das Gewinnspiel?<br />
Was gibt es zu gewinnen?<br />
Wie findet die Gewinnübergabe statt?<br />
Was passiert, wenn sich ein Gewinner/<strong>eine</strong> Gewinnerin nicht meldet?<br />
<strong>Datenschutz</strong>bestimmungen<br />
Freistellung von Facebook (z.B.: „Das Gewinnspiel wird durch XY<br />
durchgeführt und steht in k<strong>eine</strong>rlei Beziehung zu Facebook. Facebook steht nicht als<br />
Ansprechpartner bezüglich dieses Gewinnspiels zur Verfügung. Sämtliche Fragen sind<br />
ausschließlich an XY zu übermitteln.“)<br />
<br />
K<strong>eine</strong> Teilnahmebedingungen zu haben ist ein absolutes No-Go.<br />
Notizen:<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
______________________________________________________________________<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [33]
Trotz DSGVO: Datenverarbeitung oft ohne Einwilligung erlaubt<br />
Jedes Mal, wenn ein Mythos um die <strong>Datenschutz</strong>grundverordnung aufgeklärt wird,<br />
tauchen die nächsten auf. Jüngst darunter: Ein lokaler Fußballverein dürfe ein Spiel<br />
nicht filmen. – Ein Wegweiser durch die Rechtfertigungsgründe.<br />
(Presse, 11.12.2018)<br />
Die Mythen, was die <strong>Datenschutz</strong>grundverordnung (DSGVO) alles verbiete, erinnern an<br />
die griechische Hydra: Klärt man <strong>eine</strong>n Mythos auf, ersch<strong>eine</strong>n mindestens zwei neue<br />
im Netz. Nach dem jüngsten dürfe der Trainer <strong>eine</strong>s lokalen Fußballvereins Spiele der<br />
Kampfmannschaft nicht mit der Videokamera aufzeichnen, da dies gegen die DSGVO<br />
verstoße. Es fehle an der Einwilligung aller Spieler und aller Zuschauer.<br />
Die DSGVO ist freilich nicht das Schreckgespenst, wie sie oft dargestellt wird, da sie in<br />
weiten Teilen Regelungen, wie wir sie bereits seit 2000 kennen, unverändert lässt. Und<br />
die Grundsätze gehen sogar bereits auf 1978 zurück.<br />
Der <strong>Datenschutz</strong> ist als Verbotsnorm mit Erlaubnisvorbehalt konstruiert: Jede<br />
Verarbeitung personenbezogener Daten ist verboten, außer es liegt ein<br />
Erlaubnistatbestand vor (Art 6 DSGVO, bei Daten besonderer Kategorien Art 9, bei<br />
Daten über strafrechtliche Verurteilungen und Straftaten Art 10).<br />
Entgegen weit verbreiteter Meinungen kennt Art 6 DSGVO neben <strong>eine</strong>r Einwilligung des<br />
Betroffenen noch fünf weitere Tatbestände, die <strong>eine</strong> Datenverarbeitung erlauben:<br />
Erfüllung <strong>eine</strong>s Vertrags; Erfüllung <strong>eine</strong>r rechtlichen Verpflichtung; Schutz<br />
lebenswichtiger Interessen <strong>eine</strong>r Person; Wahrnehmung <strong>eine</strong>r Aufgabe, die im<br />
öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt; die Wahrung<br />
der berechtigten Interessen des Verantwortlichen oder <strong>eine</strong>s Dritten, sofern nicht die<br />
Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person, die den<br />
Schutz personenbezogener Daten erfordern, überwiegen.<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [34]
Die oft fälschlich als notwendig erachtete Einwilligung des Betroffenen ist von den sechs<br />
Erlaubnistatbeständen immer die schwächste Rechtsgrundlage, da sie jederzeit<br />
widerrufbar ist und <strong>eine</strong> Verarbeitung danach verboten wäre. Holt etwa der ORF von<br />
sämtlichen Spielern, Ordnern, Funktionären und Zusehern im Stadion vor Übertragung<br />
<strong>eine</strong>s Länderspiels zur PrimeTime deren Einwilligung ein?<br />
Nein! Denn die Einwilligung ist jedenfalls die falsche Rechtsgrundlage für diese<br />
Verarbeitung. Auch die Übertragung <strong>eine</strong>s Länderspiels, das die österreichische<br />
Fußballnationalmannschaft knapp gewinnt, es aber wie so oft dann doch nicht für <strong>eine</strong><br />
Qualifikation reicht, wird durch das berechtigte Interesse des „Verantwortlichen bzw.<br />
von Dritten“, nämlich der breiten Öffentlichkeit, gedeckt sein.<br />
Für unseren örtlichen Fußballverein sieht das Prüfschema so aus:<br />
Ausnahmen für Medien und Haushalt<br />
Handelt der Fußballverein als Medieninhaber oder Herausgeber (etwa bei <strong>eine</strong>r<br />
Videoübertragung oder bei Aufnahmen für sein Internetportal oder die Printmedien)?<br />
Dann fällt er unter das viel diskutierte Medienprivileg nach § 9 DSG und sind die<br />
entsprechenden Bestimmungen der DSGVO nicht anzuwenden. Erfolgt die Aufnahme<br />
ausschließlich aus persönlichen oder familiären Gründen, ist die DSGVO wegen der<br />
sogenannten Haushaltsausnahme (Art 2 Abs 2 lit c) gleichfalls nicht anzuwenden.<br />
Liegt dies alles nicht vor, lautet die nächste Frage: Welches rechtmäßige, hinreichend<br />
klar formulierte, gegenwärtige Interesse besteht an der Aufzeichnung? Dieses Interesse<br />
kann in der Spielanalyse zur Verbesserung der Spielerleistungen ebenso liegen wie in<br />
der Beweissicherung bei Fehlentscheidungen des Schiedsrichters. Damit ist dem<br />
Erforderlichkeitsprinzip der DSGVO Genüge getan.<br />
Bloß ein geringfügiger Eingriff<br />
Abzuwägen ist dieses Interesse im nächsten Schritt mit den Grundrechten Betroffener<br />
(etwa der „zwangsläufig“ mitgefilmten Zuschauer, der Spieler, der Ordner) und den<br />
Folgen für diese. Fraglich ist schon, ob sich überhaupt Folgen ergeben. Nachdem die<br />
Videoaufnahmen lediglich zur „Beweissicherung“ gegenüber dem Verband bzw. zur<br />
Analyse des Spiels innerhalb des Vereins und in der Folge zur Verbesserung des<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [35]
Trainings verwendet werden und in diesem Zuge das „öffentliche Fußballspiel“<br />
aufgezeichnet wird, ist der Eingriff in das Grundrecht auf Geheimhaltung der Daten<br />
relativ gering. Die Videoaufzeichnung greift zudem nicht mehr in die Grundrechte der<br />
Betroffenen ein, als dies durch die bloße Beobachtung durch andere Personen im<br />
Stadion ohnedies, wenn auch nicht per se datenschutzrechtlich relevant, bereits<br />
geschieht.<br />
Widerspruch gilt nicht absolut<br />
Bleibt noch das Widerspruchsrecht des Betroffenen nach Art 21 DSGVO. Erhebt also ein<br />
Zuseher oder Spieler der gegnerischen Mannschaft tatsächlich Widerspruch gegen das<br />
Filmen, müssen als letzter Schritt schutzwürdige Gründe für die Verarbeitung<br />
nachgewiesen werden, die die Interessen, Rechte und Freiheiten der betroffenen<br />
Person überwiegen. Verbesserung der Trainingsmethoden oder Beweissicherung sind<br />
solche schutzwürdigen Gründe.<br />
Und das „Golden goal“ könnte vom österreichischen <strong>Datenschutz</strong>gesetz kommen. Sein<br />
§ 12 erklärt ausdrücklich Bildaufnahmen für zulässig, die ein „privates<br />
Dokumentationsinteresse verfolgen, das nicht auf die identifizierende Erfassung<br />
unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur<br />
mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.“<br />
Die Autoren (Quelle, PRESSE, 11.12.201)<br />
Ing. Mag.iur. Michael Furtlehner ist im <strong>Datenschutz</strong>management <strong>eine</strong>r großen<br />
Regionalbank tätig, Dr. Karl Krückl, MA LL.M Verteidiger in Strafsachen, emeritierter<br />
Rechtsanwalt und Of Counsel der Bruckmüller RechtsanwaltsgmbH in Linz.<br />
Von Michael Furtlehner ist der Praxisleitfaden „Das ‚berechtigte Interesse‘ iSd Art 6 Abs<br />
1 lit f DSGVO“ ISBN 9783746775005 erschienen.<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [36]
Abschließende Bemerkungen<br />
Die rechtliche Materie des <strong>Datenschutz</strong>es entwickelt sich laufenden weiter. Einige in<br />
Diskussion stehenden Fragen werden im Laufe der Zeit gerichtlich entschieden werden,<br />
bei anderen wird der Gesetzgeber nähere Definitionen und zusätzliche Gesetze erlassen.<br />
Somit ist dieses Arbeitsheft <strong>eine</strong> Momentaufnahme und soll auch dazu dienen, sich<br />
laufend den aktuellen rechtlichen Rahmenbedingungen anzupassen.<br />
Sämtliche Inhalte wurden mit größtmöglicher Sorgfalt zusammengestellt, erfolgen jedoch ohne Gewähr. Sie stellen k<strong>eine</strong><br />
Beratungsleistung welcher Art auch immer dar und können <strong>eine</strong> entsprechende Beratung nicht ersetzen. Insbesondere<br />
deswegen wird k<strong>eine</strong> Haftung hinsichtlich Richtigkeit, Vollständigkeit und Aktualität der Informationen (einschließlich des<br />
Verweises auf andere Quellen) übernommen.<br />
georg herrmann<br />
georg herrmann<br />
general-eccher-straße 39<br />
a-6020 innsbruck<br />
tel.: +43 663 03032077<br />
mail: georg.herrmann@icloud.com<br />
DSGVO, Fragestellung für <strong>Ver<strong>eine</strong></strong>, Georg Herrmann, zertifizierter <strong>Datenschutz</strong>beauftragter, 2018, Seite [37]