Auf dieser Seite möchten wir auf die häufig gestellten Fragen zur DSGVO im Bezug der Aktivitäten der Gliederungen antworten. Die Fragen und Antworten werden fortlaufend von uns aktualisiert. Punkte die noch nicht aufgelistet sind, werden von uns noch mit unserem Datenschutzbeauftragten abgestimmt. Bitte schauen Sie hin und wieder auf diese Seite um ggf. bei erforderlichen Handlungsschritte aktiv werden zu können.
Gliederungsseiten
Damit Ihre Gliederungsseite für die neue Datenschutzgrundverordnung (DSGVO) auf der sicheren Seite ist, empfehlen wir entsprechende Handlungsschritte, wenn eine der folgenden Zustände auf Ihre Gliederungsseite zutrifft:
- Die GI ist nicht Inhaber der Domain und hat kein Zugriff auf die Daten
Da wir weder Zugriff auf Ihre Seite haben noch Rechteinhaber sind, sehen wir uns auch nicht in der Lage, Sie bei der Vorbereitung Ihrer Seite auf die DSGVO zu unterstützen. Bitte sorgen Sie deshalb dafür, dass Sie eine DSGVO-Erklärung auf Ihrer Seite unterbringen. Um so etwas in Zukunft zu vermeiden und Sie und uns auf die rechtlich sichere Seite zu bringen, müssen wir dringend Abhilfe schaffen und sind auf Ihre Kooperation angewiesen. Bitte nehmen Sie für die nächsten Handlungsschritte möglichst bald Kontakt mit unserer Herrn Schröder (viktor.schroeder@gi.de) auf. - Die GI ist nicht Domaininhaber, aber hat Zugriff auf die Daten
Ihre Seite muss eine aktuelle Datenschutzerklärung aufweisen, sodass wir Sie dringend bitten auf Ihrer Seite einen Verweis auf die GI-Datenschutzerklärung unterzubringen. Diese finden Sie unter https://gi.de/datenschutz/. Darüber hinaus ist es für uns rechtlich höchst problematisch, dass wir nach außen zwar als Inhaber der Seite erscheinen, tatsächlich aber Sie der Domaininhaber sind. Damit ergibt sich eine rechtlich uneindeutige und für Sie eventuell auch kritische Situation: Da Sie der Inhaber sind, werden Sie auch für Verfehlungen der Seite verantwortlich gemacht – wiewohl Sie sich als Instrument und unter der Ägide der GI wähnen. Bitte überlegen Sie deshalb, ob Sie die GI nicht die Domain übertragen können, sodass wir auch rechtlich Inhaber und verantwortlich sind. Hierzu wenden Sie sich bitte an Herrn Schröder (viktor.schroeder@gi.de) in unserer IT. - Die GI ist Domaininhaber, aber die Gliederungsseite ist nicht in unserem Auftritt
Ihre Seite muss eine aktuelle Datenschutzerklärung aufweisen, sodass wir Sie dringend bitten, auf Ihrer Seite einen Verweis auf die GI-Datenschutzerklärung unterzubringen. Diese finden Sie unter https://gi.de/datenschutz/.
- Die Gliederungsseite wird als Subdomain der „gi.de“ betrieben
Handlungsschritt nicht erforderlich, da Datenschutzerklärung automatisch auf die aktuelle Datenschutzerklärung auf der GI-Hauptseite verlinkt wird. Eine Migration in den neuen GI Auftritt wird von der Geschäftsstelle automatisch durchgeführt.
Weitere Fragen:
- Gibt es da eine Möglichkeit, dass die Betreiber dieser Seiten, Unterstützung von der GI bekommen? Was kann man sich da vorstellen?
Grundsätzlich bevorzugen wir einen Umzug Ihrer Gliederungsseite in unser CMS. Hintergrund ist, dass nur so Sie und wir auf der rechtlich und technisch sicheren Seite sind, was Aktualisierungen, Datenschutz, Impressum etc. angeht. Die Beschäftigung mit der DSGVO hat uns gezeigt, welche Gefahren Ihnen und uns drohen, wenn Webseiten nicht regelmäßig technisch, juristisch und inhaltlich geprüft werden. Dies leistet die GI-Geschäftsstelle für Sie. Bitte wenden Sie sich für Hilfestellung beim Umzug an Herrn Viktor Schröer (viktor.schroeder@gi.de). Bei Fragen stehe ich Ihnen auch gerne für ein persönliches Gespräch zur Verfügung.
Veranstaltungen
- Welche Schutzmaßnahmen sind zu treffen, um die Teilnehmerdaten angemessen zu sichern? Kann die GI dabei unterstützen?
Mit dem neuen GI Auftritt / TYPO3 bieten wir ein einfaches Veranstaltungsmanagement an. Bei jeder Veranstaltung kann optional eine Anmeldung aktiviert werden (siehe Beispiel). Teilnehmerlisten können als CSV exportiert und weiter verarbeitet werden. Die personenbezogene Daten werden im TYPO3 gespeichert, also beim Hosting-Anbieter, mit dem wir ein Auftragsverarbeitungsvertrag haben.
- Bietet die GI z. B. ein geschützten Speicherbereich, wo wir z. B. die Listen speichern können oder auch einen Online-Zugang, über den sich die Teilnehmer anmelden können?
Wir bieten einen geschützten Speicherbereich in unserem Confluence an. Jede Gliederung kann einen Bereich erhalten, in dem auch Dateilisten geführt werden können und alle Leitungsmitglieder automatisch mit dem Zugang vom Mitgliederbereich haben. Die Teilnehmeranmeldung kann wie im vorigen Punkt beschrieben erfolgen. - Wie lange dürfen bzw. sollen die Veranstaltungsdaten aufbewahrt werden?
Entweder hat man eine gesetzliche Aufbewahrungspflicht in dem Fall meines Beispiel steuerrechtlicher Natur oder man darf nur so lange wie der Zweck vorhanden bzw. so lange es notwendig ist den Zweck zu erfüllen. Eine dann verhältnismäßige Frist kann in Abwägung der berechtigten Interessen einerseits und den schutzwürdigen Interessen andererseits „frei“ festgelegt werden.
- Was ist zu beachten und zu tun, wenn bei meiner Veranstaltung fotografiert und/oder gefilmt werden soll?
Das Thema Film- und Fotoaufnahmen hat mit der DSGVO eine noch nicht abschließend geklärte Wendung erhalten. Die bisherigen Regelungen im KuG gelten nur noch für Medien, nicht aber für sonstige Stellen. Allerdings haben die deutschen Datenschutzaufsichtsbehörden bereits erklärt, dass die Spielregeln des KuG als Auslegung im Rahmen des berechtigten Interesses gemäß Art. 6 Abs. 1f DSGVO genutzt werden können. Bei Fotos von einzelnen oder nur wenigen Personen ist allerdings eine Einwilligung erforderlich. Eine besondere Herausforderung besteht in den Transparenz- und Informationspflichten der DSGVO.
Daraus ergibt sich im Rahmen einer Einladung für eine Veranstaltung und zweckmäßigerweise ergänzt um Thekenaufsteller o. ä. das Erfordernis einer etwas umfangreicheren Information als jene, die Sie in Ihrer Mail angeführt haben. Text könnte wie folgt lauten:
„Zum Zweck der eigenen Berichterstattung über die „……………………………“ werden Fotografien und Videos angefertigt. Eine Auswahl dieser Bildwerke soll auf unserer Website und/oder …………………….. veröffentlicht werden, sowie in hauseigenen Print-Publikationen.Mit der Teilnahme an dieser Veranstaltung stimmen Sie einer entsprechenden Veröffentlichung von Bildwerken Ihrer Person zu. Sofern Sie das nicht möchten, bitten wir Sie, unseren Fotografen darauf hinzuweisen. Informationen zu Ihren Rechten und zum Datenschutz finden Sie auf unserer Website https://gi.de.“
Hinweis: Beim Anmeldeverfahren über das Veranstaltungsmodul im GI TYPO3 ist eine Zustimmung der Teilnahmebedingungen anzukreuzen. Die Teilnahmebedingungen stehen unter https://gi.de/teilnahmebedingungen/
Beispiel Hinweisschild bei Veranstaltung.
Mailinglisten
- Wie betreibe ich Mailinglisten unter Einhaltung der DSGVO?
Bei den Mailinglisten ist es in erster Linie wichtig, dass die Empfänger der Mailingliste zugestimmt haben. Wenn die Empfänger sich selber eingetragen haben, dann ist keine weitere Aktion erforderlich. Sollte das nicht der Fall sein, dann müssen die Empfänger darüber informiert werden, wie sie sich aus der Liste austragen können. - Wie ist das bei der Einwilligung bei unseren Mitgliederdaten und den diversen Mailinglisten? Wenn sich die Mitglieder in Mailinglisten selbst eingetragen haben, muss man sie dann nachher nochmal konkret um Erlaubnis bitte, dass man sie darin behält?
"Durch die DSGVO ändert sich an den Vorgaben von Einwilligungen oder der Berechtigung zur Zusendung von "Werbung" wozu auch Einladungen zu Veranstaltungen gehören nichts. Im Übrigen hatten wir doch meine ich auch in der Vergangenheit klar definiert, dass z.B. die Mitglieder der GI aufgrund Ihrer Mitgliedschaft auch Informationen zu Veranstaltungen erhalten dürfen, weil dies einfach zum Vertragszweck der Mitgliedschaft gehört. Die "eigenverantwortlichen" Fachgruppen, zu denen sich die Mitglieder ja quasi gesondert anmelden können, müßten natürlich schon weiterhin nur mit ihren Daten arbeiten, welche sich auch explizit bei denen gemeldet haben."
Publikationen
- Wann ist eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) erforderlich?
Verlage
Es spricht viel dafür, dass es sich bei der Übermittlung von Mitgliederdaten an einen Verlag, damit dieser die von den Mitgliedern abonnierten Zeitschriften an sie versenden kann, nicht um eine Auftragsdatenverarbeitung handelt. Der Versand der Zeitschriften an die Mitglieder durch den Verlag erfolgt nicht nur im Interesse der GI, sondern vielmehr auch im Interesse des Verlags, der damit die Verkaufszahlen der von ihm verlegten Zeitschriften steigert. Ein Verlag trägt das unternehmerische Risiko des Erfolgs der verlegten Produkte. Bei der Auftragsverarbeitung erfolgt die Leistung des Auftragnehmers hingegen nur im Interesse des Verantwortlichen, ohne dass der Auftragsverarbeiter ein eigenes Verarbeitungsinteresse jenseits der Erfüllung seiner vertraglichen Verpflichtungen gegenüber dem Verantwortlichen hat. Ein weiteres Indiz dafür, dass es sich nicht um eine Auftragsverarbeitung handelt ist, dass die Verlage als Absender und damit als eigener Verantwortlicher erkennbar werden. Eine Auftragsverarbeitungsvereinbarung mit den Verlagen ist deshalb in diesem Fall nicht erforderlich.Druck- und Versanddienstleister
Etwas anderes gilt hinsichtlich der Beauftragung von Druck- und Versanddienstleistungen. Hier führt der Dienstleister die Leistungen gemäß den Weisungen des Auftraggebers durch, ohne dass der Auftragnehmer ein über die Erfüllung seiner gegenüber dem Auftraggeber bestehenden Verpflichtungen hinausgehendes Interesse an dem Druck und Versand hätte. Das unternehmerische Risiko des Druckdienstleister beschränkt sich hier auf die Erfüllung der vertraglichen Verpflichtungen. Eine Auftragsverarbeitungsvereinbarung erscheint hier als der Weg, das Vertragsverhältnis datenschutzrechtlich korrekt abzubilden. Es ist allerdings anzumerken, dass diese Einschätzung nur in dem Fall gilt, dass sowohl Druck als auch Versand erfolgen. Sofern nur der Druck erfolgt ist nicht von einer Auftragsverarbeitung auszugehen.