Auszug | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
ChecklisteDiese Checkliste könnt ihr im Verlauf eurer Arbeit immer mal wieder machen, um zu schauen, wo ihr gerade steht. Checkliste zum Runterladen:
Was mach ich denn jetzt konkret? – Der 17-Punkte-Plan
|
Erläuterungen
Datenschutzerklärung
Erweitern |
---|
Ihr braucht eine Datenschutzerklärung auf der Homepage über alle Daten, die ihr auf ihr erhebt. Die muss am da sein! Sie muss enthalten:
Das gilt nur für die Homepage! Zusätzlich lohnt es sich, eine allgemeine Datenschutzerklärung auf die Homepage zu stellen, auf die ihr euch bei der Datenerhebung für einzelne Veranstaltungen beziehen könnt. Dann müsstet ihr im Anmeldeformular nur noch auf diese Allgemeine Datenschutzerklärung verweisen und ggf. spezifische Ergänzungen machen. Eure Datenschutzerklärung muss leicht verständlich sein. Schließlich muss man auch fähig sein, in sie einzuwilligen. Am besten orientiert ihr euch an der Datenschutzerklärung, die auf der Seite des Bundes (www.pfadfinden.de) sowie auf unseren Webpräsenzen veröffentlicht sein werden. Tipp: Nutzt diesen Datenschutz-Generator für eure Homepage. Für eure Allgemeine Datenschutzerklärung für Veranstaltungen haben wir diese Vorlage gebastelt: Vorlage Datenschutzerklärung für Veranstaltungen. Bitte beachtet: Ihr müsst bei jeder Erhebung von Daten auf diese Erklärung verweisen! |
Passus in Anmeldungen
Erweitern |
---|
Auch wenn ihr eine allgemeine Datenschutzerklärung habt, müsst ihr in Anmeldungen einen Passus einbauen, den die Betroffenen unterschreiben. Das gilt sowohl für Online- als auch Papieranmeldungen. Dieser Passus muss die Angaben aus der Datenschutzerklärung präzisieren. Zum Beispiel: Die Daten werden nach Prüfung der Abrechnung gelöscht, sofern es nicht gesetzliche Vorgaben und/oder vertragliche Verpflichtungen zur Aufbewahrung gibt. ( Diese gesetzlichen Vorgaben gibt es insbesondere im Bereich der Buchhaltung bzw. Kassenführung.) Auch sollte hier präzisiert sein, wer der*die Verantwortliche der Veranstaltung ist (Veranstaltungsleitung), die auch die Daten erhebt. Das Ding kann z.B. auf die Rückseite des Anmeldebogens kommen, allerdings braucht ihr vorne über der Überschrift schon den entscheidenden Hinweis: "Ich stimme der Verwendung meiner Daten im Rahmen der umseitigen Datenschutzrichtlinien des BdP Stamm Zuckerberg zu." Hier braucht ihr ein sog. Opt-In-Verfahren, d.h. die betroffene Person muss das Häkchen selbst setzen! Das sieht so aus: https://goo.gl/images/4ioFwk. Beim oberen hat die Person das Häkchen schon gesetzt, beim unteren muss sie es noch setzen. Da ihr auch dokumentieren müsst, wer der Verarbeitung der eigenen Daten zugestimmt hat, lohnt es sich, die Anmeldeformulare solange aufzubewahren, wie ihr auch die Daten aufbewahrt! Anschließend sind die Anmeldungen natürlich fachgerecht zu entsorgen (sodass die Müllabfuhr nicht mehr ohne weiteres auf die Daten zugreifen kann). Hierfür haben wir eine Vorlage: Datenschutz & Bildrechte im Anmeldeformular. |
Einwilligung
Erweitern |
---|
Wie bereits gesagt: Die Person muss von sich aus einwilligen. Es darf ihr nicht schon vorgegeben sein, dass sie einwilligt (Opt-In-Verfahren). Zu dieser Einwilligung muss sie fähig sein; fähig wird man, indem man von euch ausreichend informiert wird (siehe oben Datenschutzerklärung & Passus in Anmeldungen). Die Person darf die Einwilligung jederzeit widerrufen. Was ihr dann tun müsst/könnt, findet ihr unten. Zu allen Daten, die ihr aus einem Aufnahmeantrag in den BdP gewonnen habt, besteht bereits eine Einwilligung! Das gilt auch, wenn die Daten sich geändert haben und die betroffene Person euch die neuen korrekten Daten mitgeteilt hat (z.B. neue Handynummer, neue Adresse usw.). Das heißt: Daten aus der Mitgliederverwaltung dürfen grundsätzlich genutzt werden. Alle weiteren Daten benötigen eine explizite Einwilligung der*s Betroffenen. Das heißt natürlich, dass ihr nicht irgendwelche Daten in der MV eintragen dürft, die ihr z.B. aus einer Veranstaltungsanmeldung gewonnen habt (es handelt sich um eine Korrektur bereits in der MV vorhandener Daten, denn: Daten müssen richtig sein!). |
Verzeichnis der Verarbeitungstätigkeiten
Erweitern |
---|
Das Verzeichnis der Verarbeitungstätigkeiten ist etwas neues. Hier müssen wir dokumentieren, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. Natürlich muss es immer aktuell sein! Aber um nachweisen zu können, dass es aktuell ist, ist es sinnvoll, für ca. 1 Jahr eine Versionsgeschichte anzulegen, d.h. nachvollziehbar zu machen, was wann geändert wurde. Hierfür bietet es sich an, nds.meinBdP zu nutzen, da das Programm selbst eine Versionsgeschichte anlegt. Vorstellbar ist eine Speicherung verschiedener Versionen über 1 Jahr. Eine Verarbeitungstätigkeit in diesem Sinne ist "Stammessommerfahrt" (als vorübergehende Verarbeitungstätigkeit) oder "Stammesrat" (als kontinuierliche Verarbeitungstätigkeit). Kontuinuierliche Verarbeitungstätigkeiten sollten kontinuierlich geführt werden. Bei vorübergehenden Verarbeitungstätigkeiten lohnt es sich, das Verzeichnis gleich am Anfang auszufüllen und spätestens zum Ende der Verarbeitungstätigkeit (lies: Veranstaltungsorganisation) noch einmal zu überarbeiten, bevor ihr es abschließt. Achtung: Auch vorübergehende Verarbeitungstätigkeiten werden aus dem Verzeichnis nicht gelöscht! Das ganze Verzeichnis ist nicht öffentlich. Es dient in erster Linie euch als Übersicht und Qualitätskontrolle. Es ist aber auch für die Aufsichtsbehörde. Es ist ausdrücklich nicht für Betroffene einzusehen! Das heißt, ihr müsst dieses Verzeichnis auch gut vor Einsicht schützen (auf nds.meinbdp z.B. durch ein entsprechendes Berechtigungsmanagement). Wie so etwas auf unsere Bedürfnisse angepasst aussehen kann, findet ihr in Kürze hier. Grundsätzlich ist es sinnvoll, ein Vorblatt zu erstellen (beinhaltet Angaben zur*m Verantwortlichen & zum*r Datenschutzbeauftragten) sowie je eine Tabelle pro Verarbeitungstätigkeit. Darin geht es dann z.B. darum, wer betroffen ist, welche Daten verarbeitet werden, wer die Daten verarbeitet, wann gelöscht wird und welche technischen und organisatorischen Maßnahmen (TOM) getroffen wurden. Wer führt das Verzeichnis? Diese Frage müsst ihr für euch selbst beantworten. Sie hängt sehr stark von eurer internen Struktur ab. Das einzige, was wichtig ist, ist, was am Ende rauskommt: Ein zentrales Verzeichnis, auf das der*die Verantwortliche und der*die Datenschutzbeauftragte jederzeit zugreifen können, um es ggf. der Aufsichtsbehörde vorzulegen. Da die Aufsichtsbehörde meistens noch etwas mehr sehen möchte, als nur das, was im Standard-Verzeichnis abgebildet wird, kann es sich lohnen, zu jeder Verarbeitungstätigkeit noch eine zweite Tabelle anzuhängen, ein quasi erweitertes Verzeichnis. Darin geht es vor allem um Dokumentationspflichten, z.B. hinsichtlich datenschutzfreundlicher IT-Gestaltung oder hinsichtlich der Geltendmachung von Betroffenenrechten. Hieran dürften sich die Verarbeitungstätigkeiten allerdings wenig unterscheiden, wenn ihr immer unter den gleichen Voraussetzungen arbeitet. |
eine*n Datenschutzbeauftragte*n berufen
Erweitern | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Was ist & macht ein*e DSB?Ein*e Datenschutzbeauftragte*r (DSB) unterstützt und kontrolliert den*die Verantwortliche*n in Fragen des Datenschutzes. Dazu sollte er*sie fachlich qualifiziert sein durch z.B. eine Weiterbildung bzw. eine Schulung. Wir raten dringend davon ab, einfach irgendwen zur*m DSB zu berufen. Wir als Landesverband sind noch auf der Suche, wie wir euch gerade an dieser Stelle bestmöglich unterstützen können. Bitte wartet hier weitere Infos von unserer Seite ab, bevor ihr jemanden beruft. Der*die DSB sollte nicht mit der Landesbeauftragten für Datenschutz verwechselt werden – das ist nicht unsere neue LB Datenschutz, sondern die Aufsichtsbehörde des Landes Niedersachsen! Der*die DSB ist nicht für die Umsetzung des Datenschutzes zuständig, sondern (wie gesagt) dafür, euch dabei inhaltlich zu unterstützen und zu kontrollieren. Außerdem können sich Betroffene bei ihm*ihr melden, wenn sie sich über euch beschweren wollen. Die genauen Aufgaben einer*s DSB findet ihr weiter unten. Muss ich eine*n DSB berufen?Mit 99%iger Sicherheit ja. Macht gern selbst einmal den Test:
Anmerkungen:
Wer kann DSB werden?Ein*e DSB muss nicht selbst Teil des Stammes sein, sondern kann auch völlig extern sein – ihr könntet theoretisch sogar eine*n professionelle*n Dienstleister*in aus Berlin–Mitte damit beauftragen und bezahlen. Wir sind gerade dabei zu prüfen, ob wir eine*n DSB auf Landesebene finden, der*die auch dafür zur Verfügung stünde, von euch ebenfalls berufen zu werden. Bitte wartet also weitere Infos von uns ab! Ein*e DSB kann nebenbei natürlich auch andere Aufgaben im Verein haben, z.B. als Gruppenleiter*in. Aber das darf keine Aufgabe sein, bei der es zu einem Interessenskonflikt kommt! Ein solcher Interessenskonflikt liegt vor, wenn z.B. der*die nds.meinBdP-Admin oder der*die Mitgliederverwalter*in oder ein Mitglied der Stammesführung DSB ist. Eine endgültige juristische Klärung steht zwar noch aus, wann ein Interessenskonflikt genau vorliegt und wann nicht, aber grundsätzlich können wir vermutlich sagen: Wenn du daran beteiligt bist, das Datenschutz-System an zentraler Stelle mitzugestalten oder verantwortlich bist für den sämtlichen Datenschutz, dann darfst du nicht DSB werden. Wenn du nur in geringerem Maße Daten nutzt, z.B. eine Anmeldung zu einer Fahrt verwaltest oder eine Handynummer in deinem Handy speicherst, dann kannst du DSB werden. Wie berufe ich jemanden zur*m DSB?Zunächst mal: Fragen. Wenn Du dann jemanden gefunden hast, lohnt es sich, die Person schriftlich zu berufen oder auf eurer Stammesvollversammlung zu wählen oder zu bestätigen. Auch in letzterem Fall lohnt sich eine genaue Aufgabenbeschreibung, die von beiden Seiten (der Stammesführung einerseits und der*m DSB andererseits) unterschrieben wird. Das alles schriftlich zu machen, ist es deshalb sinnvoll, weil ihr dann gegenüber der Aufsichtsbehörde nachweisen könnt, dass ihr wirklich und zu jedem Zeitpunkt (ab dem 25. Mai 2018) eine*n DSB gehabt habt. Wie eine solche schriftliche "Bestellung" aussehen kann, findet ihr hier. Wie gesagt: Wartet bitte noch wenige Tage ab, bis wir auf Landesebene weitergekommen sind! Anschließend müsst ihr eure*n DSB an die Aufsichtsbehörde melden, damit die weiß, an wen sie sich wenden kann. Dafür wird es ein bundeseinheitliches Formular geben, das, sobald es fertig ist, auf dieser Seite des niedersächsischen Landesbeauftragten für den Datenschutz veröffentlicht wird. Auch das werden wir für euch im Auge behalten. Was sind die genauen Aufgaben einer*s DSB?Die genauen Aufgaben werden in Art. 39, Abs. 1 DSGVO geregelt:
Damit all das möglich ist, muss man natürlich die Kontaktdaten der*s DSB veröffentlichen. Das geschieht sinnvollerweise auf der Homepage und kann außerdem auf den Anmeldeformularen zu Veranstaltungen geschehen. Aber: Es wäre natürlich nicht im Sinne des Datenschutzes, wenn ihr die persönliche Anschrift veröffentlicht! Es bietet sich an, eine Funktions-E-Mail-Adresse einzurichten wie z.B. datenschutz@stamm-zuckerberg.de. |
Auftragsverarbeitung
Erweitern |
---|
"Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person (z.B. GmbH, KG, AG), Behörde, Einrichtung oder andere Stelle personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet" (Erste Hilfe zur Datenschutz-Grundverordnung, S. 24). Das heißt: Immer, wenn ihr jemandem außerhalb eures Stammes Daten gebt, die er*sie in eurem Auftrag verarbeiten soll, oder ihr jemandem Einblick in eure Daten gebt, liegt eine Auftragsverarbeitung vor. Unterschiedliche Ebenen des BdP müssen untereinander in keinem Fall einen Auftragsverarbeitungsvertrag schließen. Beispiele wären z.B. wenn ein Elternteil, das nicht Mitglied ist, eure Kasse führt und deshalb personenbezogene Daten verarbeitet. Es liegt nicht vor, wenn ihr externe Fachleistungen in Anspruch nehmt. Wenn Auftragsverarbeitung vorkommt, dann:
Hier kommt wahrscheinlich die große Frage auf, ob Webseitenhoster, Facebook, Instagram, E-Mail-Server usw. Auftragsverarbeiter*innen im Sinne der DSGVO sind. Hier steht noch weitere Klärung aus. |
Betroffenenrechte geltend machen
Erweitern |
---|
Betroffene haben Rechte. Sie sollen in der Lage sein zu erfahren, "wer welche Informationen über sie zu welchem Zweck gespeichert hat und wie er sie nutzt." (Erste Hilfe zur Datenschutz-Grundverordnung, S. 40). Finden wir das nicht super? Eigentlich schon. Aber welche Rechte haben Betroffene eigentlich? Und was machen wir, wenn sie die einfordern? Recht auf transparente InformationDieses Recht bezieht sich auf die Datenschutzerklärung und den Passus in der Anmeldung (s.o.). Das sind Sachen, die wir als Verantwortliche den Betroffenen von uns aus geben müssen. Recht auf AuskunftDies ist das grundlegendste Betroffenenrecht (logischerweise, denn erst, wenn man weiß, was andere über einen wissen, kann man z.B. verlangen, es zu löschen). Was müsst ihr tun, wenn jemand Auskunft verlangt?
Recht auf Berichtigung, Löschung und Einschränkung der VerarbeitungNehmen wir an: Marco Mühlstein merkt, du hast eine falsche Adresse von ihm, dann musst du die auf seinen Wunsch hin korrigieren. Nehmen wir an: Marco Mühlstein ist der Meinung, dass du seine Schuhgröße nicht mehr brauchst, weil der Besuch im Bundestag jetzt schon drei Jahre her ist. Dann ist offensichtlich der ursprüngliche Zweck nicht mehr vorhanden und du musst löschen. Nehmen wir an: Marco Mühlstein möchte nicht mehr, dass in der Excel-Tabelle mit den Anmeldungen zum Sommerlager steht, dass er evangelisch ist. Du stellst fest: Stimmt, diese Information ist vollkommen irrelevant, und du musst löschen. Nehmen wir an: Marco Mühlstein möchte, dass du sämtliche Daten von ihm direkt nach der Sommerfahrt löschst und auf keinen Fall weitergibst. Dann gibt es aber noch eine andere Rechtsgrundlage für dich: Ihr müsst der Stadtjugendpflege die Daten übermitteln, um Zuschüsse zu erhalten. Aber du musst in diesem Fall die Datenverarbeitung einschränken, d.h.: Sie werden noch gespeichert, solange es nötig ist, aber du verwendest sie ausschließlich für die rechtlich zulässigen und nur absolut notwendigen Zwecke. In allen Fällen musst du Marco hinterher mitteilen, dass du seinem Auftrag nachgekommen bist; bei geänderten Daten lohnt es sich, ihm einfach die neuen Daten zu schicken. Recht auf DatenübertragbarkeitMarco Mühlstein kann beantragen, dass er die Daten von dir "in einem gängigen Format" (also z.B. Excel) zur Verfügung gestellt bekommen, oder sogar, dass du diese Daten an jemand anderen weitergibst, z.B. an die Stammesführung vom Stamm der Amazonen, weil ihr ja zusammen ein Lager organisiert und die Stammesführung vom Stamm der Amazonen halt Marcos Handynummer braucht. Was ihr dem Stamm der Amazonen aber nicht mitteilen dürft, ist, welche Erkenntnisse ihr aus der Arbeit mit Marco gesammelt habt (z.B. dass er immer erst ab 13 Uhr erreichbar ist, weil er solange schläft). Recht auf Widerspruch gegen die VerarbeitungNehmen wir an, ihr verarbeitet Daten auf Basis einer Interessensabwägung und veröffentlicht den Namen und die Handynummer von eurer Meutenführerin auf eurer Homepage, damit Eltern sie erreichen können. Die Meutenführung findet das aber nicht gut und widerspricht – dafür muss sie plausible Gründe nennen (z.B.: Ich werde ständig von einer marokkanischen Nummer angerufen!). Jetzt seid ihr in der Pflicht, neue Gründe zu finden, warum ihr die Handynummer doch veröffentlichen müsst. Solltet ihr keinen Grund finden, müsst ihr die Handynummer runternehmen. (In diesem Fall könnte eine Lösung sein, dass ihr euch gemeinsam auf die E-Mail-Adresse einigt, vielleicht sogar eine Funktionsadresse wie z.B. meute.insta@stamm-zuckerberg.de). Recht, keiner automatisierten Entscheidung unterworfen zu werdenKlingt kompliziert, ist aber einfach – und für uns wahrscheinlich höchst irrelevant: Wir haben alle einen Anspruch darauf, dass kein Computer alleine darüber entscheidet, was mit unseren Daten passiert. Das trifft z.B. nicht zu, wenn Brittje in der LGS jemanden in den Verteiler für den Stammesversand hinzufügt, weil die Person gerade Stammesführung geworden ist, denn: Brittje ist kein Computer! Die Entscheidung ist also nicht automatisiert, sondern passiert von Hand. Recht auf Widerrufen der EinwilligungBetroffene können, wenn sie eine Einwilligung gegeben haben, diese jederzeit widerrufen. Was heißt das für euch? Da die Einwilligung nur eine (wenn auch die beste und wichtigste!) Form ist, auf die ihr Datenverarbeitung gestützt werden kann, solltet ihr zunächst prüfen:
Ziel sollte sein, dass ihr der betroffenen Person klar sagt, dass ihr die Datenverarbeitung auf die absolut notwendigen Fälle einschränken werdet, dass ihr das aber auch dürft. In der Vorlage Datenschutzerklärung für Veranstaltungen, die ihr für euch ja nutzen könnt, ist das ja auch beschrieben, die Betroffenen haben dem zugestimmt. |
technische und organisatorische Maßnahmen (TOM)
Erweitern | ||
---|---|---|
Um Daten zu schützen, müssen wir auch einige so genannte TOMs treffen. Diese TOMs haben neben dem Datenschutz noch einen ganz anderen Zweck: Sie bewahren den BdP und euren Stamm vor Schaden! Nämlich vor Schäden, die mit einem Leak oder ähnlichem einhergehen könnten. Einmal die falsche Liste an die Zeitung geschickt und schon habt ihr einen Skandal in eurem Provinzkäseblatt. Da muss nicht mal Runde Hack-Braten von Stamm Moskau versuchen, eure Stammesführungswahl zu manipulieren.
Ziele und VorbereitungDiese TOMs haben lt. Art. 32 DSGVO folgende Ziele:
Bevor ihr anfangt, einfach TOMs umzusetzen, müsst ihr euch natürlich klar sein, wer was wann warum wie verarbeiten muss. Denn danach richten sich so Fragen wie: Für wen müssen die Daten denn auf dem Lager eigentlich verfügbar sein? Wann braucht die Schatzmeisterin die Namen und Anschriften und das Alter eigentlich für die Zuschussbeantragung? Usw. Diese Sachen müsst ihr bei vorübergehenden Verarbeitungstätigkeiten natürlich immer wieder neu entscheiden, aber einige Ähnlichkeiten zwischen zwei Lagern wird es ja wohl doch geben. Und bei Dauerbrennern wie die Aufbewahrung von Aufnahmeanträgen solltet ihr sowas auf jeden Fall vorher klären! Es bietet sich an, solche Sachen schriftlich festzuhalten, denn diese Antworten werdet ihr die nächsten Jahre brauchen! Was ihr ebenfalls tun solltet, ist abzuwägen, welche Risiken in welchen Fällen auf euch zukommen können. Denn es macht durchaus einen Unterschied, welche Daten auf welche Weise vernichtet, verloren, verändert oder unbefugt offengelegt werden: Wenn plötzlich Kontodaten der Eltern auf Google zu finden sind, dann ist Polen offen. Wenn aber ein Wölfling auf der Zuschussliste seine große Schwester zwei Jahre jünger macht, ist das zwar auch eine unbefugte Offenlegung (und eine Veränderung der Daten), aber verkraftbar – ihr solltet es trotzdem tunlichst vermeiden, irgendwo Listen rumliegen zu lassen, denn eine solche Veränderung kann schon ziemlich Ärger geben mit der Zuschussbehörde! Diese Risikoabwägung dürfte relativ leicht fallen, wenn ihr euer Verzeichnis der Verarbeitungstätigkeiten habt: Dann könnt ihr schauen, wer welche Daten wie wann warum verarbeitet und wo da potentielle Sicherheitslöcher bestehen könnten. TOM analogIhr solltet versuchen, möglichst wenig personenbezogene Daten in Papierform zu haben. Wo es sich nicht umgehen lässt, solltet ihr sie so verwahren, dass sie nicht für jede*n zugänglich sind, sondern nur für die Personen, die mit diesen Daten umgehen müssen! Beispiele:
Es kann Geld kosten, neue Schlösser einzubauen oder wasserdichte Zip-Bags für Anmeldungen zu kaufen. Das sollte es euch wert sein, denn: Denkt an euer Image und denkt an die möglichen Strafzahlungen. TOM digital: IT-SicherheitDie meisten Daten, die wir verarbeiten, verarbeiten wir wahrscheinlich digital. Hier drohen auch die größten Risiken: Während man mit Daten von einer Veranstaltungsanmeldung auf Papier im ersten Moment nicht so viel anfangen kann (denn um sie auszuwerten, muss man sie erst abtippen), kann man aus Daten, die man von einem Computer abgeschöpft hat, sofort extrem viel machen. Häufig genug ist man übrigens selbst schuld, wenn man den Datenschutz verletzt! Einige Beispiele findet ihr unten (na, wer fühlt sich ertappt?). "Datenschutz ohne IT-Sicherheit kann es praktisch nicht geben." (Erste Hilfe zur Datenschutz-Grundverordnung, S. 25). Deshalb werden die Ziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit auch in der DSGVO erwähnt: Es sind die klassischen Schutzziele von IT-Sicherheit. IT-Sicherheit kann Geld kosten! Ihr solltet euch also ggf. Gedanken darüber machen, wie viel Geld ihr zur Verfügung stellen wollt und könnt, um eure Daten sicher zu verwahren. Wir empfehlen, auf nds.meinbdp zu setzen, auch wenn ihr damit den LV als Auftragsverarbeiter einsetzt, aber hier könnt ihr euch relativ sicher sein, dass eure Daten sicher gelagert sind und oben genannte Ziele umgesetzt werden. Hier nun einige Beispiele:
typische Irrtümer der IT-SicherheitDas Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mal mit typischen Sicherheitsirrtümern beschäftigt. Na, wer von euch kennt Sätze wie diese:
Na, klingen solche Sätze bekannt? Schaut gerne mal rein auf die Seite des BSI und korrigiert euer Wissen über IT-Sicherheit. |
Was tun, wenn Datenschutz verletzt wurde
...Erweitern |
---|
Was ist das?Und dann ist es passiert... Aber wann ist es eigentlich passiert? Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Datensicherheit verletzt wurde – egal ob absichtlich oder nicht, egal ob rechtmäßig oder nicht – und Daten so vernichtet, verloren, verändert oder für Unbefugte offengelegt oder zugänglich gemacht wurden. Dabei spielt es keine Rolle, ob es "normale" personenbezogene Daten (wie das Geburtsdatum) oder besonders schützenswerte Daten (wie Gesundheitsdaten) sind. Eine Verletzung kann auch dann vorliegen, wenn nicht davon auszugehen ist, dass es zu einem Schaden kommen wird oder kann. Was heißt das?Ein paar Beispiele:
Was mach ich dann?
Datenschutzfolgenabschätzung... |
Besonderheit: Bilder
Anker | ||||
---|---|---|---|---|
|
Erweitern | ||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Abbildungen von Personen sind personenbezogene Daten, denn anhand ihres Aussehens kann ich eine Person identifizieren. Im wesentlichen gilt hier also (neben den allgemeinen Regeln für personenbezogene Daten aus der DSGVO) das alte KUG weiter: Keine Bilder verwenden, auf denen Menschen zu sehen sind, die darin nicht eingewilligt haben! Was ihr genau dabei beachten müsst, wie eine solche Einwilligung aussehen kann, in welchen Fällen keine Einwilligung nötig ist, das findet ihr hier: Nach § 22 KUG dürft ihr ein Bildnis nur mit der Einwilligung der abgebildeten Person veröffentlichen. Eine Einwilligung muss vor der Veröffentlichung erfolgen. Es gibt zwar Ausnahmen (s.u.), aber die sind genau das: Ausnahmen. In der Regel benötigt ihr also immer eine Einwilligung. Wie ihr das machen könnt, seht ihr Datenschutz & Bildrechte im Anmeldeformular. Hier erstmal ein paar Grundlagen:
MinderjährigeInsbesondere bei Minderjährigen sollte die Einwilligung schriftlich vorliegen. Ihr könnt sie im Anmeldeformular unterbringen. Es ist ein "höchstpersönliches Recht" darüber zu entscheiden, was jemand mit meinem Gesicht macht. Bei diesen Rechten haben Kinder und Jugendliche bereits ein gewisses Mitspracherecht. Ab einem bestimmten Alter bzw. einer bestimmten Reife solltet ihr also zusätzlich zur Unterschrift der Eltern auf das Verhalten der*s Jugendlichen achten. Mit dem eigenen Verhalten drückt man nämlich stillschweigend aus, ob man einverstanden ist (s.u.). Also: Auch wenn Mutti und Vati unterschrieben haben, dass Bilder der 16-jährigen Sandy überall verwendet werden dürfen, kann sie selbst auf euch zukommen und sagen, dass sie das nicht will, oder sich einfach aus dem Bild drehen, wenn sie merkt, dass ein Bild gemacht wird. stillschweigende EinwilligungEine stillschweigende Einwilligung liegt vor, wenn eine Person in dem vollen Bewusstsein, dass das Foto zur Veröffentlichung bestimmt ist, sich abbilden lässt. Die Crux ist hier das volle Bewusstsein. Um zu ermitteln, ob eine Person veröffentlicht werden will, die ihr auf einem Bild seht, das ihr veröffentlichen wollt, von der aber keine schriftliche Einwilligung vorliegt, stellt euch folgende Fragen:
Ein typisches Beispiel ist das Posieren für ein Foto: Wenn ihr z.B. nach der Stammesvollversammlung ein Foto der neuen Stammesführung macht. Das heißt aber nicht, dass du als Stammespressesprecherin dieses Bild jetzt für immer und auf allen Plattformen verwenden darfst! Zu welchem konkreten Zweck wurde dieses Foto gemacht? Für die Homepage vielleicht oder auch für Facebook, aber hattet ihr auch über die Zeitung gesprochen? Frage lieber nochmal nach. Bei Minderjährigen gilt das genauso! Bei Minderjährigen gilt: Die Einwilligung der Erziehungsberechtigten muss in jedem Fall vorliegen. Ab 14 Jahren bzw. ab einer gewissen Reife sollte jedoch auch die abgebildete Person zustimmen. |
Social Media: WhatsApp, Facebook, instagram & co.
Erweitern | ||
---|---|---|
| ||
Laut dem Merkblatt "WhatsApp im Unternehmen" von der Landesbeauftragten für Datenschutz Niedersachsen ist die Nutzung von WhatsApp in keinem Fall DSGVO-konform zu gestalten. Was ist das Problem bei WhatsApp?Es gibt 3 Probleme
Aber bei WhatsApp ist doch alles verschlüsselt, oder? Naja, nicht alles! WhatsApp kann zwar nicht lesen, was du schreibst. Aber WhatsApp kann sehr wohl lesen, wer mit wem wann wo auf welchem Gerät wie schreibt. All das sind personenbezogene Daten: so genannte Metadaten. Das sind Daten wie z.B. IP-Adressen, über die man schon zu einem gewissen Grad nachvollziehen kann, wer das ist; also Daten, nach denen eine Person zwar nicht eindeutig bestimmt ist, aber mit der eine Person bestimmbar ist. Das heißt in diesem Beispiel: Wenn ich all diese Daten von dir über einen gewissen Zeitraum sammle und auswerte, kann ich herausfinden, wo in etwa du wohnst (= wo du dich abends aufhältst), zu welcher Schule du gehst (= wo du vormittags bist), wann du Unterricht und wann du Pause hast (= wann du weniger bzw. mehr chattest), was für ein Gerät du dir leisten kannst (= Huawei oder iPhone? aktuelles Modell oder gebraucht gekauft? ...), vielleicht sogar wie alt du bist (= anhand der Art zu tippen, wie Forschungen herausgefunden haben), was du für Freizeitaktivitäten hast (= wie deine Gruppen heißen), wer deine engsten Freund*innen sind und wer eher nicht (= mit wem du wie oft schreibst), deine Handynummer, deinen Namen, dein Bild ... und vor allem: die Handynummern, Namen, Bilder, Adressen, E-Mail-Adressen usw. deiner Freund*innen (über das Adressbuch). Im privaten Bereich kann natürlich dir niemand vorschreiben, was du mit deinen Daten machst. Wenn es dir persönlich egal ist, dass WhatsApp all das von dir erfahren kann, dann sei es so. Aber schon hier bist du rechtlich seit längerem verpflichtet, deine Kontakte zu fragen, ob es okay ist, dass WhatsApp ihre Daten ausliest; das musst du ggf. nachweisen können. Und da sind wir noch nichtmal im Bereich der DSGVO! Was wir hier machen, ist ja aber nicht deine Privatangelegenheit, auch wenn du dein privates Handy benutzt (Stichwort: Bring Your Own Device; dazu anderswo mehr). Das heißt: Wenn du dein privates Handy für Pfadfinder*innenzwecke benutzt, musst du dich an die DSGVO halten! Und das heißt: Wenn du WhatsApp benutzt (egal ob privat oder für die Pfadfinder*innen), bist du schuld, dass dein Stamm gegen die DSGVO verstößt. Wenn also irgendein Elternteil, das gar kein Smartphone hat, herausbekommt, dass ihr WhatsApp benutzt, und also seine Daten von WhatsApp ausgelesen werden – dieses Elternteil kann sich bei der Aufsichtsbehörde beschweren und die Aufsichtsbehörde kann euch ordentlich dran kriegen. Dann hilft euch nichts und niemand mehr... Ja und was machen wir jetzt?Am besten: WhatsApp löschen! (... ja das geht ...) Aber vielleicht gibt es da ja doch noch Möglichkeiten mit unterstützenden Apps ... Alternativen zu WhatsApp(...) |
Erweitern | ||
---|---|---|
| ||
Richtlinien von Facebook selbst: https://www.facebook.com/policies/pages_groups_events/ |
Erweitern | ||
---|---|---|
| ||
Erweitern | ||
---|---|---|
| ||