Liebe Mitglieder der Frauen Union,
am 25. Mai 2018 tritt die neue EU Datenschutzgrundverordnung (DS-GVO) in Kraft und wird in deutsches Recht überführt. Ziel der DS-GVO ist neben einer Anpassung der Vorschriften an den technischen Fortschritt, die Vermeidung eines Datenschutzgefälles innerhalb der EU durch die Schaffung eines weitestgehend einheitlichen Datenschutzrechtes. Hierdurch werden vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt, deren Daten verarbeitet werden (Betroffene). Ihre Rechte werden durch neue Transparenz- und Informationspflichten gegenüber den datenverarbeitenden Unternehmen und Organisationen gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und Informationen über deren Nutzung haben. Außerdem wird der Anspruch auf Löschung ihrer personenbezogenen Daten nun gesetzlich geregelt.
Neben bereits bekannten Pflichten stellt die neue DS-GVO weitergehende Anforderungen an den Datenschutz in Organisationen. Neu ist beispielsweise die Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz- Folgenabschätzung (DSFA), also einer Vorabkontrolle der möglichen Risiken zum Schutz der persönlichen Rechte und Freiheiten der Betroffenen.
Die damit verbundene sogenannte Beweisumkehrpflicht führt zu erheblichen Nachweispflichten aller datenverarbeitenden Stellen, Unternehmen und Organisationen. Hierzu gehört auch die Frauen Union als eine Vereinigung der CDU.
Die beiden grundsätzlichen Hauptaufgaben, die das neue DS-GVO für alle datenverarbeitenden Stellen vorsieht, sind:
1. das Transparenzgebot: weitreichende Informationspflicht gegenüber dem Betroffenen 2. die Beweisumkehrpflicht zu Lasten der Dateninhaber (z.B. Parteien). Zur Durchsetzung der neuen DS-GVO wird es künftig erheblich wirksamere und abschreckendere Sanktionsmechanismen gegen Verstöße in Form von hohen Bußgeldern geben. Diese können je nach Fall und Verstoß mit 10-20 Millionen Euro oder bis zu 4% eines gesamten Jahresumsatzes einer Firma oder Organisation betragen. Hinzu kommen möglicherweise erhebliche Schadenersatzansprüche der Betroffenen. Daher ist es dringend erforderlich, sich mit diesem Thema zu beschäftigen und rechtlich einwandfreie Regelungen zu treffen!
Um Ihnen einen ersten Überblick zu verschaffen, finden Sie nachfolgend einige der wichtigsten Begrifflichkeiten und deren Erklärungen anhand von Beispielen in Bezug auf unsere Arbeit innerhalb der Frauen Union – ohne Garantie auf Vollständigkeit.
Wichtig hierbei ist, dass Sie und wir nachweisen können, dass für einen möglicherweise entstandenen Schaden keine Verantwortung unserer Organisation vorliegt.
Die kontrollierenden Aufsichtsbehörden sind dabei weisungsungebunden und autark; dies geht im Verstoßfall bis zu Zutrittsrechten in Ihre und unsere Büro- oder möglicherweise sogar Privaträume.
Sie sind nach dem Gesetz „verantwortlich“ bezüglich aller personenbezogenen Daten anderer (ggfs. auch externe Daten von Nichtparteimitgliedern), wenn Sie über deren Zwecke und Mittel der Verarbeitung und Nutzung entscheiden. Neben allen hauptamtlichen Mitarbeiterinnen unserer Partei und der Vereinigungen fallen darunter auch alle Vorsitzenden und alle Vorstandsmitglieder, Mitgliederbeauftragte oder ehrenamtliche Geschäftsführer in allen Gliederungsebenen! Wichtig für Sie zu wissen ist, dass wir als Vereinigung der CDU im Rahmen der Verarbeitung personenbezogener Mitgliederdaten lediglich sogenannte „Dritte“ sind. Als Mitglied („Daten-Erstinhaber“) tritt man in einen CDU Kreisverband ein, aufgrund dessen ist dieser der Inhaber dieser Daten; daher liegt die Datenherrschaft immer beim jeweiligen Kreisverband („Zweiter“). Wir als Vereinigung der CDU sind daher nur als „Dritte“ zu sehen. Darüber hinaus gibt es oft eigene Datensammlungen, z.B. zur Einladung von Nicht-Mitgliedern zu Veranstaltungen.
Die CDU-Bundesdatenschutzbeauftragte rät daher, die Grundsätze des Umganges mit personenbezogenen Daten und den entsprechenden IT Richtlinien innerhalb jedes Kreisverbandes mittels eines entsprechenden Vorstandsbeschlusses zu bestätigen.
Was sind personenbezogene Daten:
Grundsätzlich sind alle Daten „personenbezogen“, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Klassisch sind dies: Name, Adresse, E-Mail-Kennung, aber auch die IP-Adresse, Cookies, Geräteinformationen, Software-Anwendungen des Betroffenen, genutzte Portale und Kanäle des Betroffenen usw. Darüber hinaus erfahren Sie im Rahmen ihrer Tätigkeiten oft besondere persönliche Daten. Diese sogenannten „sensitiven“ oder „sensiblen“ Daten und Informationen stehen ebenfalls unter Datenschutz – dazu zählen nach dem Gesetz:
– rassische Zugehörigkeit (Hautfarbe, Volkszugehörigkeit),
– ethnische Herkunft,
– religiöse und weltanschauliche Überzeugungen,
– sexuelle Orientierung, u.v.m.
– und auch die politische Meinung gehört dazu!
Gerade letzter Punkt ist nach den künftig geltenden Bestimmungen sehr weit zu verstehen. Personenbezug ist nur bei natürlichen lebenden Personen möglich, juristische Personen genießen keinen Schutz nach der DS-GVO. Ebenso fallen persönliche oder familiäre Tätigkeiten (z.B. private Post) nicht unter das DS-GVO.
Nachfolgend einige Beispiele aus der Praxis:
1. Sie planen eine Mitgliederversammlung in ihrem Kreisverband und verwenden eine Mitgliederliste. Schon die Information, dass jemand Mitglied der Frauen Union ist, vermittelt eine persönliche politische Einstellung und gehört somit zu den personenbezogenen Daten und bedarf deshalb des besonderen Schutzes vor dem Zugriff Dritter.
2. Sie laden zu Vorstandssitzungen und Veranstaltungen ein. Dafür nutzen sie einen E-Mail-Verteiler. Diese Mailadressen sind personenbezogene Daten, sofern Sie keine Aliasadressen: z.B. vorname.nachname@fu-musterstadt.de verwenden. Auch bei öffentlich zugänglichen (E-Mail)-Adressen muss nachgewiesen werden können, dass sie ebensolche sind oder waren.
3. Bildrechte / Verlinkung z.B. in den sozialen Medien: Das Gesetz erlaubt nur die Verarbeitung für interne Zwecke. Eine Offenlegung wie z.B. Veröffentlichung im Internet oder Übermittlung an Dritte ohne vorherige Einwilligung der betroffenen Person ist nicht gestattet. Die Einwilligung muss sich genau auf einen bestimmten dargestellten Zweck beziehen. Eine Einwilligung für unbestimmte Zwecke ist nicht zulässig!
Beispiel: Sie erstellen Bilder bei einer Veranstaltung, die Sie in den sozialen Medien wie Facebook oder auf Ihrer Homepage veröffentlichen bzw. posten möchten? Hier reicht es in der Regel, wenn entweder vorab z.B. bereits im Eingangsbereich der Veranstaltung ein für alle unübersehbares Schild aufgestellt wird, mit einem entsprechenden Hinweis zur Abtretung der Bildrechte. Tipp: machen Sie vor der Veranstaltung von dem / den aufgestellten Schildern ein Foto per Smartphone mit den exakten GPS Daten. So können Sie im Nachhinein immer nachweisen, dass Sie hier Ihrer Informationspflicht nachgekommen sind. Bei spontanen Fotos z.B. von mehreren Personen ist es durchaus ausreichend laut und unter Zeugen mitzuteilen, dass dieses Bild evtl. veröffentlicht wird (am besten so exakt wie möglich- z.B. Veröffentlichung auf Facebook) – wer hiermit nicht einverstanden ist, sollte sich nicht mit ablichten lassen. Auch bei Verlinkungen einzelner Personen über Facebook/ Twitter oder Instagram etc. zu Texten oder Bildern sollten Sie sich immer vorab die Einwilligung der jeweiligen Person einholen!
4. Zweckbindung:
Die Zwecke der Datenverarbeitung müssen eindeutig und bereits vor der Erhebung festgelegt sein und dürfen nicht nachgeschoben werden. Schwammige Zweckbekundungen müssen unterbleiben. Wichtig ist immer eine konkrete Zweckbenennung.
Sie erhalten eine Visitenkarte von jemandem, der zu einer bestimmten Veranstaltung eine Einladung wünscht? Bitte vermerken Sie sich am besten direkt auf der Visitenkarte, zu welchem Zweck Sie diese erhalten haben und nutzen diese auch nur hierfür. Eine Einwilligung zur Datennutzung ist immer fallbezogen!
5. Weitergabe an Dritte nur nach vorheriger dezidierter Einwilligung der Betroffenen Beispiele: Ihre ortsansässige Bundestags- oder Landtagskandidatin möchte gerne regelmäßig die FU Mitglieder informieren und bittet Sie um eine Adressliste oder einen E-Mail Verteiler; oder ein Mitglied möchte z.B. für eine Veranstaltung oder zum Informationsaustausch eine Mitgliederliste. Sie dürfen diese Daten nicht herausgeben! Lediglich wenn der Betroffene vorab schriftlich dem Kreisverband seine persönliche Einwilligung z.B. zum Erhalt des Newsletters eines Abgebordneten zugestimmt hat, darf er in dieser Angelegenheit auch angeschrieben werden. Besondere Vorsicht ist bei der Beantwortung von E-Mails (elektronischer Post) geboten, insbesondere, wenn in der Adresszeile mehr als ein Empfänger vermerkt ist. Eine Weiterleitung, in der alle Adressen ersichtlich bleiben, ist unzulässig und stellt einen Verstoß gegen das Gesetz dar! Ferner ist das Ablegen von z.B. Mitgliederlisten auf Medien wie Laptop, CD oder USB-Stick nur in verschlüsselter Form zulässig, damit ein ungehinderter Datenmissbrauch durch einen unberechtigten verhindert wird.
6. Welche Daten darf ich ohne vorherige Einwilligung nutzen?
Hierunter fallen die Nutzung von Kontakt- oder Adressdaten z.B. für Einladungen zu Veranstaltungen per Post. Voraussetzung hierfür ist, dass die zu erhebenden Daten grundsätzlich für jedermann zugänglich sind, z.B. im Telefonbuch oder im Internet. Die öffentliche Zugänglichkeit muss im Nachgang nachweisbar sein! Es empfiehlt sich zur Absicherung einen Nachweis abzulegen.
Beispiel: Sie möchten für eine Veranstaltung eine bestimmte Berufsgruppe einladen (z.B. Hebammen). Dann dürfen Sie die öffentlich zugängigen Daten für einen Postversand der Einladung verwenden. Eine Ansprache per E-Mail ist nur im Falle von Verbänden (= juristische Person) zulässig. (Auf keinen Fall die persönliche oder dienstliche E-Mail Adresse einer Hebamme, die Ihnen aus privaten Gründen zufällig vorliegt, verwenden!)Datenverarbeitung und Nutzung Wichtig für Sie ist, dass Sie selbst für viele Bereiche die Verantwortung dafür tragen, wie und wofür Sie Daten speichern, aufbewahren und ggfs. weitergeben. Dabei reicht die Beteiligung eines „Verantwortlichen“ an einem Verarbeitungsvorgang bereits für die Haftung im Grundsatz aus. „Nichtverantwortlichkeit“ muss bei solchen Vorgängen immer nachgewiesen werden können. Deswegen sollte jeder Einzelne seinen Verpflichtungen möglichst sorgfältig und voll umfänglich nachkommen und sich durch Dokumentation seiner Handlungen beweissicher verhalten.
Daten-Sammlungen, Datenverarbeitungen, Verwendung und Nutzen:
Hierzu bedarf es entweder:
1. einer konkreten und nachweisbaren Einwilligung zu einem bestimmten Zweck
2. einer gesetzlichen Grundlage
Aufgaben der Kreis-, Bezirks-, Stadt- und Landesverbände:
1. Lassen Sie die Grundsätze im Umgang mit Daten und IT durch einen Vorstandsbeschluss festlegen und bestätigen. Voraussichtlich werden die meisten CDU-Kreisgeschäftsstellen einen Musterbeschluss für ihre Gliederungen und Vereinigungen zur Verfügung stellen, den Sie dann beschließen lassen können.
2. Jede datenverarbeitende Stelle muss einen Datenschutzbeauftragten benennen. Dies sind nach Auskunft der CDU-Bundesdatenschutzbeauftragten auch Parteigliederungen. Ein Datenschutzbeauftragter muss zwangsläufig alle entsprechenden Ausbildungsgrundlagen haben. Idealerweise einigen sich alle Gliederungen auf einen gemeinsamen Datenschutzbeauftragten; diese/r kann im Idealfall dieselbe Person wie beim CDU KV sein. Dazu muss jede Parteigliederung einen offiziellen Beschluss fassen.
Ein Datenschutzbeauftragter muss sowohl über technische Grundkenntnisse als auch über sehr gute Kenntnisse der DS-GVO verfügen und entsprechend geschult / zertifiziert sein.
3. Prüfen Sie alle Datenerhebungen bei Ihnen vor Ort darauf, ob die Maßstäbe für eine korrekte Datenerhebung vorliegen. Passen Sie im Zweifel Ihre Beitrittsformulare, Einladungs-Antwortkarten, Online-Formulare und Kontaktformulare im Internet an. Vergessen sie dabei nicht die folgenden sieben Grundsätze:
– Erhebung in Treu und Glauben
– Transparenz (nachvollziehbare Erhebung und Verarbeitung für den Datengeber)
– Zweckbindung (festgelegte und rechtmäßige Zwecke)
– Datenminimierungsgrundsatz (Beschränkung auf das sachlich angemessene und notwendige Maß)
– Richtigkeit (Ziel von richtigen und aktuellen Daten)
– Speicherbegrenzung (maximal so lange wie für den genannten Zweck erforderlich speichern.
Integrität und Vertraulichkeit (geeignete technische und organisatorische
Maßnahmen zum Schutz vor unbefugtem Zugriff, Zerstörung oder
Schädigung)
Fallbeispiele für Verstöße gegen die DS-GVO:
1. Sie veranstalten eine Mitgliederversammlung und legen am Eingang der Lokalität eine Teilnehmerliste aus. Nicht nur jede/r geladene TeilnehmerIn kann in diese Liste schauen und Namen sowie Adressen nachlesen, sondern auch jeder normale Gast. Ein Gast zückt sogar sein Handy und fotografiert die Liste ab.
2. Sie laden Ihren Vorstand zu einer Vorstandssitzung per Mail ein und setzen die privaten E-Mailadressen (die sie nachvollziehbar zu diesem Zwecke erhalten haben – immer dokumentieren!) nicht ins BCC (Blindkopie) , sondern (versehentlich) ins CC (Kopie). Sie verstoßen damit gegen Integrität und Vertraulichkeit.
3. Sie führen Mitgliederlisten und heften sie zuhause ab. Sie bewahren die Ordner sogar sicher auf. Sie legen Ihr Amt nieder, aber übergeben die Akten (inklusive vieler Daten über teilweise längst ausgeschiedene oder verstorbene Mitglieder) weder dem Nachfolger noch der Kreisgeschäftsstelle. Ein Verstoß gegen den Grundsatz der Speicherzeitbegrenzung liegt dann in jedem Fall vor.
4. Sie erhalten Mailadressen von einigen Mitgliedern, um diese per E-Mail mit einem regelmäßigen „Newsletter“ zu versorgen. Irgendwann nutzen Sie diese Mailadessen für Ihre Firma und schreiben sie mit anderem Bezug (Werbung) an. Sie verstoßen klar gegen die Zweckbindung (und diverse andere Gesetze)!
5. Sie erhalten bei einer Veranstaltung von einem Mitglied die Bitte, in den Verteiler eines Arbeitskreises eingeladen zu werden. Das Mitglied drückt Ihnen dafür seine/ihre Visitenkarte in die Hand. Sie können damit jedoch nicht klar nachweisen, dass er/sie das explizit so gewünscht hat. Tipp: Lassen Sie auf der Rückseite notieren:
„alle Daten zum Zwecke der Aufnahme einer Kontaktaufnahme“ mit Unterschrift. Und: Archivieren Sie die Visitenkarte mit dieser Notiz! (Transparenz und Zweckbindung)
Fazit: Sie dürfen als Funktionsträgerin nur mit den Mitgliederdaten arbeiten, die zur Erfüllung Ihrer Aufgaben und nur für diesen ausgewiesenen Zweck notwendig sind! Bei allen Verstößen gegen die DS-GVO müssen diese innerhalb von 72 Stunden Ihrem zuständigen Datenschutzbeauftragten gemeldet werden!
Internetauftritt
Auch hier sollten Sie sich mit Ihrem Anbieter/Dienstleister und ggfs. Ihrer CDU Kreisgeschäftsstelle abstimmen. Fragen Sie nach, wo Sie sogenannte „Double-Opt-In-Verfahren“ (ausdrückliches Zustimmungsverfahren aus dem Marketing, bei dem der Endverbraucher Werbekontaktaufnahmen vorher explizit bestätigen muss) benötigen. Sichern Sie sich auch gegenüber Ihren eigenen Funktionsträgern rechtlich ab. Holen Sie immer deren schriftliche Genehmigung ein, um personenbezogene Daten, die Platzierung eines autorisierten Fotos und auch die Nennung einzelner Personen z.B. im Rahmen von Pressemitteilungen online rechtssicher zu gestalten. Ihre Homepage muss bis zum 25. Mai der neuen DS GVO entsprechen, ansonsten empfehlen wir Ihnen, die Homepage bis zu einer entsprechenden Überprüfung offline zu stellen.
Nachfolgend ein gutes Textbeispiel eines KV aus NRW, das in jeder Einladung zu einer Mitgliederversammlung abgedruckt wird:
„Mit Annahme seiner Wahl stimmt ein jedes Mitglied der Speicherung, Bearbeitung, Verarbeitung, Veröffentlichung und Übermittelung seiner personenbezogenen Daten im Rahmen der Erfüllung der Aufgaben der CDU-Kreisverbandes XX, seinen Gliederungen sowie Vereinigungen und Sonderorganisationen zu. Durch seine Mitgliedschaft und die damit verbundene Anerkennung der Satzung des Kreisverbandes stimmt ein jedes Mitglied der Veröffentlichung von Bildern und Namen, Videos und mp3 Dateien in Print- und Telemedien sowie elektronischen / sozialen Medien zu.
Sämtliche Urheberrechte nach dem UrhG und verwandten Gesetzen an Werken, die ein Mitglied im Rahmen seiner Mitgliedschaft und seiner Vorstandsarbeit schöpft, deren Neuschöpfung oder Bearbeitung steht ausschließlich und alleine dem Kreisverband XX, seinen Gliederungen sowie Vereinigungen und Sonderorganisationen zu.“
In Veranstaltungseinladungen sollte ein ähnlicher Passus bereits heute Praxis sein. Zusätzlich ist eine entsprechende (fotografierte) Beschilderung vor Ort sinnvoll.
Resümée: Diese Beispiele sollen Ihnen übersichtlich beschreiben, welche die wichtigsten von Ihnen zu treffenden Maßnahmen sein sollten. Trotzdem bitten wir Sie, sich zunächst an Ihre CDU-Kreisgeschäftsstellen zu wenden und dort nachzufragen, was genau davon vor Ort zu beachten ist. Evtl. sind noch weitere Aspekte der neuen EU DS-GVO für Ihre Arbeit relevant, wie die Nutzung von Cloud-Diensten, Ansprüche an IT-Sicherheit oder die Meldung von Datenpannen. Die CDU Kreisgeschäftsführer haben selbst ein großes Interesse daran, dass alle ihre Untergliederungen rechtskonform agieren. Alle FU Kreisvorsitzenden bitten wir möglichst zeitnah in ihren Vorständen über die neue EU Datenschutzgrundverordnung zu diskutieren, einen Vorstandsbeschluss über die Grundsätze im Umgang mit Daten und IT zu fassen und vor allem: bis zum 25. Mai einen Datenschutzbeauftragten zu nominieren.
Darüber hinaus müssen alle neuen FunktionsträgerInnen – insbesondere Nachfolgerinnen oder neu gewählte Vorstandsmitglieder – regelmäßig über die neue DS-GVO informiert werden.
Wir hoffen Ihnen mit dieser Zusammenstellung die wichtigsten Punkte nahegebracht zu haben, die Sie und die FU vor Ort sensibilisiert und vor Rechtsfolgen schützt.Ihre Geschäftsstelle der Frauen Union der CDU Nordrhein-Westfalen
Source: Frauen Union der CDU Nordrhein-Westfalen