Maßnahme 1: Die Datenschutz-Erklärung
Jede Vereinshomepage benötigt eine neue Datenschutz-Erklärung. Die DSGVO regelt viele Punkte inhaltlich und formal anders als die bisherigen Vorschriften. So muss zB. für jede Datenverarbeitung eine Rechtsgrundlage in der Datenschutzerklärung benannt werden.
Was ist zu tun:
Erstellung einer Datenschutzerklärung + Verlinkung auf Internetseite
Maßnahme 2: Das Kontaktformular
1. Zum einen verlangt die DSGVO angemessene technische Maßnahmen zum Schutzpersonenbezogener Daten. Das führt faktisch zu einer Verschlüsselungspflicht von Kontaktformularen.
2. Zum anderen gibt es ein Urteil des OLG Köln, das von Seitenbetreiber fordert, bei Kontaktformularen eine Einwilligung / Checkbox der Nutzer einzuholen
.Was ist zu tun:
1. Seiten mit Anfrage- und Kontaktformularen SSL-verschlüsseln.
2. Einwilligungslösung mit Checkbox auf dem Kontaktformularen umsetzen
3. SSL Zertifikat buchen (Provider) und einbinden
4. Einwilligungstext erstellen und mit Checkbox (nicht abgehakt) auf der Seite einbinden und zur Datenschutzerklärung verlinken.
Beispiel
Einwilligung mit Checkbox:
- a) Welche Daten werden erhoben
- b) Wofür werden diese Daten erhoben/ verarbeitet
- c) Wie lange werden diese gespeichert bzw. wann gelöscht
- d) Hinweis auf jederzeitiges Widerrufsrecht
+ Hinweis mit Link auf Ihre Datenschutzerklärung
Textbeispiel:
"Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@meinverein.de widerrufen.Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung."
Maßnahme 3: SSL – Verschlüsselung
Grundsatz: Alle Seiten, auf denen der Nutzer personenbezogene Daten eingibt,sollten verschlüsselt sein.
Das betrifft vor allem:
• Kontakt- und Anfrageformulare
• Seiten, auf denen etwas bestellt werden kann
• Downloadseiten auf denen der Nutzer seine E-Mail-Adresse angibt
• Newsletter-Eintrage-Seiten
• Log-In-Seiten
Was ist zu tun:
SSL Zertifikat buchen und einbinden:
Maßnahme 4: Auftragsverarbeitung und externe Dienstleister
Viele Betreiber von Webseiten nutzen Dienste externer Anbieter, an die Nutzerdaten vom Seitenbetreiber übertragen werden.
Beispiele sind etwa:
• Externe Newsletter-Anbieter
• Ticket-Systeme
• Hoster
• Agenturen
• Externe Rechnungsbearbeitung/ Buchhaltung (Vereinsverwaltung
Auf der anderen Seite haben Agenturen und Webdesigner häufig auch Zugriff auf die Endkundendaten Ihrer Kunden. Diese Daten dürfen eigentlich nur mit Zustimmung der jeweils betroffenen Personen an andere Unternehmen und Dienstleister übertragen werden. Da dies praktisch aber oft kaum möglich ist, hilft die Konstruktion der Auftrags(daten)verarbeitung, um die Zustimmung jedes einzelnen Kunden zu umgehen.
Was ist zu tun:
1. Prüfen Sie als Seitenbetreiber, mit welchem externen Dienstleister Sie einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) abschließen müssen. Fragen Sie im Zweifel bei dem jeweiligen Anbieter nach einem Auftragsverarbeitungs-Vertrag (AV-Vertrag) und schließen diesen mit dem Anbieter ab.
Prüfen Sie als Webdesigner oder Agentur, ob Sie Zugriff auf personenbezogene Daten Ihrer Unternehmenskunden haben, etwa über Google Analytics, direkten Zugriff auf Kundenanfragen oder Bestellungen usw. Schließen Sie mit Ihren Kunden einen AV-Vertrag ab.
Quelle: eRecht24
Zum Umgang mit Fotos und deren Veröffentlichung
Unter welchen Voraussetzungen dürfen Fotos aufgenommen und veröffentlicht werden?
Wie bisher dürfen Personen fotografiert und die Aufnahmen veröffentlicht werden, wenn der Verein hieran ein berechtigtes Interesse hat oder der Fotografierte eingewilligt hat. Fotos, auf denen die einzelnen Personen nicht erkennbar sind, dürfen stets aufgenommen und veröffentlicht werden.
Der Verein hat ein berechtigtes Interesse an der Aufnahme und Veröffentlichung des Fotos und die Interessen des Fotografierten an der Nicht-Veröffentlichung überwiegen nicht (Art. 6 Abs. 1 f) DSGVO). Grundsätzlich hat ein Verein ein berechtigtes Interesse daran, Fotos zu veröffentlichen, um z.B. auf der Vereinshomepage über Aktivitäten zu berichten oder über den Verein zu informieren. In der Regel ergeben sich daraus auch keine Beeinträchtigungen für den Betroffenen.
Der Verein kann sich auch künftig von der umfangreichen Rechtsprechung stützen, die es schon gibt. Eine besondere rechtliche Regeln zum Thema „Fotos im Internet" für Vereine gibt es dabei nicht. Anwendbar sind die allgemeinen Regeln des Kunsturhebergesetz (KUG).
Nach dem KUG gilt zwar im § 22 der Grundsatz, dass Bilder nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen, aber häufig kommen die Ausnahmen gemäß § 23 KUG ins Spiel. Das betrifft generelle Vereinsveranstaltungen (auch im aktuellen Spielbetrieb). Eine Einwilligung der dargestellten Personen ist hierfür nicht notwendig. Das gilt auch dann, wenn einzelne Teilnehmer persönlich zu erkennen sind. Wesentlich ist jedoch, dass die dargestellten Personen gerade als Teilnehmer der betreffenden Veranstaltung abgebildet werden. Der Bezug zur Veranstaltung muss als klar zu erkennen sein.
Besondere Regelungen gelten für Fotos von Minderjährigen:
Mit Einwilligung der Eltern dürfen Fotos von Minderjährigen aufgenommen und veröffentlicht werden.
Soweit eine Einwilligung erforderlich ist, ist folgendes zu beachten:
Eine vorbeugende allgemeine Einwilligung macht keinen Sinn. Denkbar ist jedoch eine Regelung, die auf konkrete Situationen bezogen ist, in der Satzung oder der Beitrittserklärung zum Verein. Dringend zu raten ist deshalb, mit schriftlichen Einwilligungen zu arbeiten. Mündliche Einwilligung kann man nur schwer nachweisen.
TIPP:
- Allgemeine Fotohinweise bei Veranstaltungen ersetzen keine individuelle Einwilligung. Trotzdem haben Sie sich bewährt und reduzieren das Potential für Ärger.
- Holen Sie eine Einwilligung nur ein, wenn nicht die Aufnahme und Veröffentlichung eines Fotos aus anderen Gründen erlaubt ist. Wenn Sie einmal eine Einwilligung eingeholt haben und diese dann widerrufen wird, müssen Sie von der Veröffentlichung Abstand nehmen und die Aufnahme löschen. Sie können sich nachträglich nicht auf ein berechtigtes Interesse des Vereins an der Aufnahme und Veröffentlichung stützen.
Ein paar abschließende Hinweise:
Informieren Sie sich nach der Umsetzung regelmäßig über neue Entwicklungen im Bereich DSGVO.
weiterführende Links zum Thema - Verein und DSGVO:
Datenschutz im Verein (www.stiftungdatenschutz.org) » | Datenschutz im Verein (fussball.de) » |
Bei der Überprüfung auf Rechtsicherheit, insbesondere der Umsetzung der erforderlichen Maßnahmen der DSGVO auf Ihrer bestehenden Homepage helfen wir Ihnen gern. Bitte kontaktieren Sie uns »