rohieb/webinar-datenschutz-grundverordnung-für-kleine-vereine-shownotes.txt

## webinar-datenschutz-grundverordnung-für-kleine-vereine-shownotes.txt
Webinar: Datenschutz-Grundverordnung für kleine Vereine
https://www.youtube.com/watch?v=5NmiaDEg3o8
(Shownotes by rohieb)

00:00:00 Einleitung
00.03:30 Agenda
00:05:00 Was ist Datenschutz?
- Abgeleitet aus Grundgesetz, Grundrecht auf Persönlichkeitsrecht
- Europäische Grundrechtecharta
- Ziel: Schutz des Einzelnen vor Beeinträchtigung des Persönlichkeitsrechts
  durch Umgang mit personenbezogenen Daten
- Abgrenzung zu Datensicherheit (Safety; Backups, ungewollter Datenverlust etc.)
  - Überschneidungen bei Hacking, Leaks
- 00:07:20 Grundsatz: Verbot mit Erlaubnisvorbehalt
  - Erhebung, Verarbeitung, Nutzung personenbezogener Daten grundsätzlich verboten
  - außer es wird durch Rechtsvorschfit erlaubt, oder Einwilligung der Betroffenen
    - Beispiel: Meldegesetz, Kaufverträge, Einwilligung bei Schufa-Klausel,
      Einwilligung bei Newslettern
- 00:10:15 Was sind personenbezogene Daten?
  - Definition aus DS-GVO, Art. 4:
      > „personenbezogene Daten“ [sind] alle Informationen, die sich auf eine
      > identifizierte oder identifizierbare natürliche Person (im Folgenden
      > „betroffene Person“) beziehen; als identifizierbar wird eine natürliche
      > Person angesehen, die direkt oder indirekt, insbesondere mittels
      > Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu
      > Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren
      > besonderen Merkmalen identifiziert werden kann, die Ausdruck der
      > physischen, physiologischen, genetischen, psychischen,
      > wirtschaftlichen, kulturellen oder sozialen Identität dieser
      > natürlichen Person sind.
  - Beispiel: Autonummer, IP- und MAC-Adresse, Versicherungsnummer
  -> Es gibt fast nichts, was *nicht* unter den Bereich des Datenschutzes fällt
- 00:12:36 Welche personenbezogenen Daten haben Vereine?
  - Name, Adresse, Telefon, Kontonummer, Sportart etc.
  - von Vereinsmitgliedern, Mitarbeitern
  - von Externen (z.B. Arzt, Angehörige, Daten anderer Vereine)
  - bei jedem Merkmal: hat der Betroffene eingewilligt? Gibt es eine
    Rechtsvorschrift, die die Erhebung erlaubt? (z.B. Gesetz, Vertrag, Satzung)
    - wenn nicht: Daten löschen!
- 00:14:52 Was ist Datenverarbeitung?
  - alles, was man mit Daten machen kann.
  - z.B. Erheben, Verändern, Weitergeben, Nutzen, Anonymisieren,
    Pseudonymisieren, Löschen, Einsatz von Dienstleistern

00:17:50 Was kommt mit der DS-GVO auf uns zu?
- Geltung ab 25. Mai 2018
- keine EU-Richtlinie, die in nationales Recht überführt werden muss, sondern
  Verordnung, die in jedem Mitgliedsstaat gleich und allgemein gilt
- Literaturempfehlung: Ehmann / Kranig: "Erste Hilfe zur
  Datenschutz-Grundverordnung für Unternehmen und Vereine", Verlag C.H.Beck,
  5,50€
  http://www.beck-shop.de/bayerischen-landesamt-fr-datenschutzaufsicht-erste-hilfe-datenschutz-grundverordnung-unternehmen-vereine/productview.aspx?product=25223528
- 00:22:20 Verordnung gilt für ganz oder teilweise automatisierte Verarbeitung
  personenbezogener Daten (i.e. per Computer) sowie nichtautomatisierte
  Verarbeitung, wenn in einem Dateisystem (i.e. Karteikarten) gespeichert
  -> Im Endeffekt kommt man da nicht raus.
- 00:26:21 Anforderungen an die Datenverarbeitung:
  - Rechtmäßigkeit: Verbot mit Erlaubnisvorbehalt, siehe oben
    - Bei bestehenden Mitgliedern ist Mitgliedsantrag o.ä. offenbar ausreichend.
  - Transparenz, Informationspflichten bei Erhebung (Art. 13, 14)
    - Welche Daten werden erhoben? Auf welcher Grundlage? Zu welchem Zweck?
      Geplante Speicherdauer? (Wohin) wird übermittelt?
    - Information über Betroffenenrechte (Auskunft, Löschung),
    - Information über Beschwerderecht bei Datenschutztaufsichtsbehörde
    - Kann im Rahmen des Mitgliedsantrags-Formulars passieren
    - Informationspflicht auch für bestehende Mitglieder!
    - 00:41:32 Ziel: Betroffene sollen wissen, was mit ihren persönlichen Daten
      passiert, um informiert einwilligen/ablehnen zu können
  - 00:45:35 Sicherheit der Verarbeitung
    - technische und organisatorische Maßnahmen nach Stand der Technik
      - jeder soll nur so viel Zugriff auf Daten haben, wie zur Erledigung
        der eigenen Arbeit erforderlich ist
    - dem Risiko angemessenes Schutzniveau (Sportverein vs. Arztpraxis)
    - Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit herstellen
    - Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen
      - z.B. Update der Firewall, Virenscanner
      - Nachweis/Nachvollziehbarkeit gegenüber Behörden
  - 00:49:45 Auftrags(daten)verarbeitung (Art. 28)
    - Überblick, wer Zugriff auf welche Daten hat
    - Betrifft IT-Administration (Hosting), Buchhalter, Steuerberater, …
  - 00:55:14 Rechenschaftspflicht
    - Nachweis der Einhaltung der Grundsätze für die Datenverarbeitung
    - Beweislast bei der datenerhebenden Stelle
    - z.B. nach Beschwerden bei der Datenschutzbehörde
- 00:57:33 Sicherstellung der Betroffenenrechte
  - Recht auf Auskunft
    - auf Antrag des Betroffenen
    - Daten aus allen Einrichtungsteilen zusammentragen
      - Tipp: einmal das Szenario durchspielen
    - Identität des Anfragenden sicherstellen!
  - Recht auf Berichtigung, Löschung, Widerruf der Einwilligung
    - Beispiel: Visitenkarten
- 01:06:20 Verzeichnis der Verarbeitungstätigkeiten
- 01:08:30 Datenschutzbeauftragter
  - nötig, wenn mindestens 10 Personen ständig mit automatisierter
    Verarbeitung personenbezogener Daten beschäftigt sind
    - Bsp. Handwerker: hat Adressen der Kunden, aber Hauptaufgabe ist
      montieren, nicht Daten verarbeiten -> keine ständige Datenverarbeitung
- 01:15:28 Umgang mit Datenschutzverletzungen
  - bspw. Hacking, Verlust, Diebstahl, Fehlversand, Softwarefehler, Schadcode,
    Fehlentsorgung
  - Meldepflicht innerhalb von 72 Stunden bei der Datenschutzaufsichtsbehörde,
    dann gemeinsame Prüfung für weiteres Vorgehen
  - ist die Erkennung von Datenschutzverletzungen möglich?
  - wer kümmert sich um die Meldung?
- 01:19:12 Sanktionen (Art. 83)
  - "in jedem Einzelfall wirksam, verhältnismäßig und abschreckend"
  - bis 10 Mio. € bzw. 2% Jahresumsatz für formelle Verstöße,
    bis 20 Mio. € bzw. 4% Jahresumsatz für materielle Verstöße

01:22:27 Umgang mit Bildern
- siehe Kunsturhebergesetz
- Grundsatz: Erlaubnis des Urhebers (Urheberrecht) und der abgebildeten
  Personen (Persönlichkeitsrecht)
  - ist eine Person zweifelsfrei identifizierbar (Gesicht, individuelle
    Kleidung oder Frisur, …), oder z.B. nur von hinten zu sehen?
  - Einwilligung unter Angabe der Zwecke (Informed Consent)
- konkludente Einwilligung reicht (z.B. durch fehlenden Widerspruch bei
  Bezahlung von Models)
- bis 10 Jahre nach dem Tod der abgebildeten Personen: Einwilligung der
  Angehörigen
- keine Einwilligung der abgebildeten Personen erforderlich bei
  - Bildnissen der Zeitgeschichte
  - Personen sind nur Beiwerk (z.B. Foto vom Kölner Dom mit Menschen davor)
  - Bilder von Menschenmengen
  - höheres Interesse der Kunst
- allerdings: Einwilligung der abgebildeten Personen erforderlich bei Verletzung
  eines berechtigten Interesses der Abgebildeten (oder bei Tod Angehörigen)
- mündliche Einwilling ist prinzipiell ausreichend, aber schwer nachvollziehbar
  bei Beschwerden
- 01:33:55 Muster Einwilligungserklärung bei Fotos
  - https://www.lda.bayern.de/de/infoblaetter.html

01:34:17 Wer ist verantwortlich für die Einhaltung der DS-GVO?
- bei Vereinen: der Vorstand (Art. 4 Nr. 7)
- Datenschutzbeauftragter dient (falls bestellt) der internen Kontrolle
  -> darf nicht dem Vorstand angehören

01:40:13 Rolle und Aufgabe der Datenschutzaufsicht
- Überblick und Statistik Bayerisches Landesamt für Datenschutzaufsicht
  - Beschwerden: Tendenz steigend
- Materialien auf https://www.lda.bayern.de
  - weiterführende Informationen und Infoblätter
  - Muster für Datenschutzverfahrensverzeichnis

01:46:24 Empfehlungen zum Schluss
- Datenschutz ist Chefsache
- Datenschutz geht alle an
- Datenschutz gilt von Anfang an (Privacy by Design)
- Überblick über die Situation schaffen
- mit der Aufsichtsbehörde sprechen, sie muss beraten

01:49:24 Fragen
	Webinar: Datenschutz-Grundverordnung für kleine Vereine
	https://www.youtube.com/watch?v=5NmiaDEg3o8
	(Shownotes by rohieb)

	00:00:00 Einleitung
	00.03:30 Agenda
	00:05:00 Was ist Datenschutz?
	- Abgeleitet aus Grundgesetz, Grundrecht auf Persönlichkeitsrecht
	- Europäische Grundrechtecharta
	- Ziel: Schutz des Einzelnen vor Beeinträchtigung des Persönlichkeitsrechts
	durch Umgang mit personenbezogenen Daten
	- Abgrenzung zu Datensicherheit (Safety; Backups, ungewollter Datenverlust etc.)
	- Überschneidungen bei Hacking, Leaks
	- 00:07:20 Grundsatz: Verbot mit Erlaubnisvorbehalt
	- Erhebung, Verarbeitung, Nutzung personenbezogener Daten grundsätzlich verboten
	- außer es wird durch Rechtsvorschfit erlaubt, oder Einwilligung der Betroffenen
	- Beispiel: Meldegesetz, Kaufverträge, Einwilligung bei Schufa-Klausel,
	Einwilligung bei Newslettern
	- 00:10:15 Was sind personenbezogene Daten?
	- Definition aus DS-GVO, Art. 4:
	> „personenbezogene Daten“ [sind] alle Informationen, die sich auf eine
	> identifizierte oder identifizierbare natürliche Person (im Folgenden
	> „betroffene Person“) beziehen; als identifizierbar wird eine natürliche
	> Person angesehen, die direkt oder indirekt, insbesondere mittels
	> Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu
	> Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren
	> besonderen Merkmalen identifiziert werden kann, die Ausdruck der
	> physischen, physiologischen, genetischen, psychischen,
	> wirtschaftlichen, kulturellen oder sozialen Identität dieser
	> natürlichen Person sind.
	- Beispiel: Autonummer, IP- und MAC-Adresse, Versicherungsnummer
	-> Es gibt fast nichts, was nicht unter den Bereich des Datenschutzes fällt
	- 00:12:36 Welche personenbezogenen Daten haben Vereine?
	- Name, Adresse, Telefon, Kontonummer, Sportart etc.
	- von Vereinsmitgliedern, Mitarbeitern
	- von Externen (z.B. Arzt, Angehörige, Daten anderer Vereine)
	- bei jedem Merkmal: hat der Betroffene eingewilligt? Gibt es eine
	Rechtsvorschrift, die die Erhebung erlaubt? (z.B. Gesetz, Vertrag, Satzung)
	- wenn nicht: Daten löschen!
	- 00:14:52 Was ist Datenverarbeitung?
	- alles, was man mit Daten machen kann.
	- z.B. Erheben, Verändern, Weitergeben, Nutzen, Anonymisieren,
	Pseudonymisieren, Löschen, Einsatz von Dienstleistern

	00:17:50 Was kommt mit der DS-GVO auf uns zu?
	- Geltung ab 25. Mai 2018
	- keine EU-Richtlinie, die in nationales Recht überführt werden muss, sondern
	Verordnung, die in jedem Mitgliedsstaat gleich und allgemein gilt
	- Literaturempfehlung: Ehmann / Kranig: "Erste Hilfe zur
	Datenschutz-Grundverordnung für Unternehmen und Vereine", Verlag C.H.Beck,
	5,50€
	http://www.beck-shop.de/bayerischen-landesamt-fr-datenschutzaufsicht-erste-hilfe-datenschutz-grundverordnung-unternehmen-vereine/productview.aspx?product=25223528
	- 00:22:20 Verordnung gilt für ganz oder teilweise automatisierte Verarbeitung
	personenbezogener Daten (i.e. per Computer) sowie nichtautomatisierte
	Verarbeitung, wenn in einem Dateisystem (i.e. Karteikarten) gespeichert
	-> Im Endeffekt kommt man da nicht raus.
	- 00:26:21 Anforderungen an die Datenverarbeitung:
	- Rechtmäßigkeit: Verbot mit Erlaubnisvorbehalt, siehe oben
	- Bei bestehenden Mitgliedern ist Mitgliedsantrag o.ä. offenbar ausreichend.
	- Transparenz, Informationspflichten bei Erhebung (Art. 13, 14)
	- Welche Daten werden erhoben? Auf welcher Grundlage? Zu welchem Zweck?
	Geplante Speicherdauer? (Wohin) wird übermittelt?
	- Information über Betroffenenrechte (Auskunft, Löschung),
	- Information über Beschwerderecht bei Datenschutztaufsichtsbehörde
	- Kann im Rahmen des Mitgliedsantrags-Formulars passieren
	- Informationspflicht auch für bestehende Mitglieder!
	- 00:41:32 Ziel: Betroffene sollen wissen, was mit ihren persönlichen Daten
	passiert, um informiert einwilligen/ablehnen zu können
	- 00:45:35 Sicherheit der Verarbeitung
	- technische und organisatorische Maßnahmen nach Stand der Technik
	- jeder soll nur so viel Zugriff auf Daten haben, wie zur Erledigung
	der eigenen Arbeit erforderlich ist
	- dem Risiko angemessenes Schutzniveau (Sportverein vs. Arztpraxis)
	- Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit herstellen
	- Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen
	- z.B. Update der Firewall, Virenscanner
	- Nachweis/Nachvollziehbarkeit gegenüber Behörden
	- 00:49:45 Auftrags(daten)verarbeitung (Art. 28)
	- Überblick, wer Zugriff auf welche Daten hat
	- Betrifft IT-Administration (Hosting), Buchhalter, Steuerberater, …
	- 00:55:14 Rechenschaftspflicht
	- Nachweis der Einhaltung der Grundsätze für die Datenverarbeitung
	- Beweislast bei der datenerhebenden Stelle
	- z.B. nach Beschwerden bei der Datenschutzbehörde
	- 00:57:33 Sicherstellung der Betroffenenrechte
	- Recht auf Auskunft
	- auf Antrag des Betroffenen
	- Daten aus allen Einrichtungsteilen zusammentragen
	- Tipp: einmal das Szenario durchspielen
	- Identität des Anfragenden sicherstellen!
	- Recht auf Berichtigung, Löschung, Widerruf der Einwilligung
	- Beispiel: Visitenkarten
	- 01:06:20 Verzeichnis der Verarbeitungstätigkeiten
	- 01:08:30 Datenschutzbeauftragter
	- nötig, wenn mindestens 10 Personen ständig mit automatisierter
	Verarbeitung personenbezogener Daten beschäftigt sind
	- Bsp. Handwerker: hat Adressen der Kunden, aber Hauptaufgabe ist
	montieren, nicht Daten verarbeiten -> keine ständige Datenverarbeitung
	- 01:15:28 Umgang mit Datenschutzverletzungen
	- bspw. Hacking, Verlust, Diebstahl, Fehlversand, Softwarefehler, Schadcode,
	Fehlentsorgung
	- Meldepflicht innerhalb von 72 Stunden bei der Datenschutzaufsichtsbehörde,
	dann gemeinsame Prüfung für weiteres Vorgehen
	- ist die Erkennung von Datenschutzverletzungen möglich?
	- wer kümmert sich um die Meldung?
	- 01:19:12 Sanktionen (Art. 83)
	- "in jedem Einzelfall wirksam, verhältnismäßig und abschreckend"
	- bis 10 Mio. € bzw. 2% Jahresumsatz für formelle Verstöße,
	bis 20 Mio. € bzw. 4% Jahresumsatz für materielle Verstöße

	01:22:27 Umgang mit Bildern
	- siehe Kunsturhebergesetz
	- Grundsatz: Erlaubnis des Urhebers (Urheberrecht) und der abgebildeten
	Personen (Persönlichkeitsrecht)
	- ist eine Person zweifelsfrei identifizierbar (Gesicht, individuelle
	Kleidung oder Frisur, …), oder z.B. nur von hinten zu sehen?
	- Einwilligung unter Angabe der Zwecke (Informed Consent)
	- konkludente Einwilligung reicht (z.B. durch fehlenden Widerspruch bei
	Bezahlung von Models)
	- bis 10 Jahre nach dem Tod der abgebildeten Personen: Einwilligung der
	Angehörigen
	- keine Einwilligung der abgebildeten Personen erforderlich bei
	- Bildnissen der Zeitgeschichte
	- Personen sind nur Beiwerk (z.B. Foto vom Kölner Dom mit Menschen davor)
	- Bilder von Menschenmengen
	- höheres Interesse der Kunst
	- allerdings: Einwilligung der abgebildeten Personen erforderlich bei Verletzung
	eines berechtigten Interesses der Abgebildeten (oder bei Tod Angehörigen)
	- mündliche Einwilling ist prinzipiell ausreichend, aber schwer nachvollziehbar
	bei Beschwerden
	- 01:33:55 Muster Einwilligungserklärung bei Fotos
	- https://www.lda.bayern.de/de/infoblaetter.html

	01:34:17 Wer ist verantwortlich für die Einhaltung der DS-GVO?
	- bei Vereinen: der Vorstand (Art. 4 Nr. 7)
	- Datenschutzbeauftragter dient (falls bestellt) der internen Kontrolle
	-> darf nicht dem Vorstand angehören

	01:40:13 Rolle und Aufgabe der Datenschutzaufsicht
	- Überblick und Statistik Bayerisches Landesamt für Datenschutzaufsicht
	- Beschwerden: Tendenz steigend
	- Materialien auf https://www.lda.bayern.de
	- weiterführende Informationen und Infoblätter
	- Muster für Datenschutzverfahrensverzeichnis

	01:46:24 Empfehlungen zum Schluss
	- Datenschutz ist Chefsache
	- Datenschutz geht alle an
	- Datenschutz gilt von Anfang an (Privacy by Design)
	- Überblick über die Situation schaffen
	- mit der Aufsichtsbehörde sprechen, sie muss beraten

	01:49:24 Fragen