Vorwort

 

 

Welche Daten werden von mir als Rotary-Mitglied erfasst und gespeichert? Wie schützt Rotary meine Daten?

Diese und andere Fragen zum Datenschutz haben viele Rotarierinnen und Rotarier. Der Governor ist für den Datenschutz im Distrikt verantwortlich.
Diese Verantwortung kann er nur tragen, wenn alle Clubs informiert sind und ihre diesbezüglichen Aufgaben und Verpflichtungen erfüllen.

Diese Website bietet essentielle Informationen, die die Clubs bei ihren Fragen unterstützen können. Gibt es mehr Dinge bezüglich des rotarischen Datenschutzes, die Sie wissen möchten? Dann wenden Sie sich an den Distiktbeauftragten für Datenschutz. Er informiert Sie gern!

Am 16. September fand das Distriktseminar »Datenschutz« statt. Wie üblich, können Interessierte sich diese Veranstaltung noch einmal im Internet ansehen.

Marja Ritterfeld, Governor 2020/2021 im Distrikt 1850



Die von Ihnen aufgerufene WebSite beinhaltet eine Zusammenstellung von Informationen des Datenschutzbeauftragten des Rotary-Distriktes 1850 zum Thema Datenschutz bei Rotary.
Viele der hier verwendeten Vorlagen und Ausarbeitungen sind Resultat vieler Sitzungen des rotarischen Datenschutzausschusses unter der Leitung von PDG Dr. Wilma Heim.

Einen besonderen Schwerpunkt machen dabei die Datenschutzbelange der Rotary Clubs des Distriktes 1850 aus.

In dieser sich ständig ändernden Dokumentation sind wichtige Informationen für die Rotary Clubs des Distriktes 1850 zusammengetragen. Neben Details über zu erbringende Leistungen der Clubs werden auch Tabellen und Anleitungen zum Umgang mit aktuellen datenschutzrelevanten Aktivitäten in den Clubs erläutert.

 

Gegliedert ist die Seite in die Themenbereiche

 

Kontakt

Ein Kontaktformular wird auf dieser Website nicht bereitgestellt. Sie können allerdings den Datenschutzbeauftragten (DSB) des Distriktes 1850 per Email kontaktieren:

Datenschutzbeauftragter vom D1850 Hubert Bischoff (hubert.bischoff@gmail.com)

 


Einleitung

 

 

Europäische-Datenschutz-Grundverordnung (DSGVO)

(der hier angegebene Text entstammt unter anderem der WebSite: https://www.datenschutz-grundverordnung.eu/)

Im Artikel 1 der DSGVO sind Gegenstand und Ziel der Verordnung festgeschrieben. Dort heißt es:

  1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Die DSGVO regelt den Umgang mit personenbezogenen Daten von natürlichen Personen - im Gegensatz zu juristischen Personen. Es ergibt sich für natürliche Personen ein Grundrecht auf den Schutz der sie betreffenden personenbzogenen Daten. Der Schutzzweck wird auf die »Verarbeitung« beschränkt. Der Datenschutz darf also kein Argument mehr sein, die Weitergabe, Verarbeitungen im Auftrag oder auch Übermittlungen, zu behindern.

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

  1. Personenbezogene Daten müssen

    a) auf rechtmäßige Weise, nach dem Grundsatz von »Treu und Glauben« und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");

    b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");

    c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

    d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit");

    e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ("Speicherbegrenzung");

    f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit");

  2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").

Rechtmäßigkeit der Verarbeitung

  1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

    a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

    b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen;

    c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

    d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

    e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;

    f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Einwilligung

  1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
  2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
  3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
  4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Mit den hier zitierten Teilaspekten der DSGVO lassen sich die Maßnahmen begründen, die für den Umgang mit personenbeozogenen Daten bei Rotary angewendet werden müssen. Die auf dieser WebSite in den anderen Abschnitten diskutierten Themen basieren auf den hier niedergelegten Grundsätzen.


Datenschutzstandards bei Rotary

 

 

Angebote wie soziale Netzwerke vermittelt über Facebook, WhatsApp oder Telegram, Cloud-Speicherdienste und beispielsweise Geodatendienste - wie Navigation - gehören mittlerweile zu unserem täglichen Leben. Das Internet gilt als ein wichtiger Baustein der allgemeinen Meinungs- und Kommunikationsfreiheit.

Damit die Meinungs- und Kommunikationsfreiheit erhalten bleibt, ist die Einhaltung von Datenschutzstandards geboten. Dafür wurde in Europa mit der Europäischen Datenschutz Grundverordnung DSGVO ein Rahmen von Datenschutzstandards geschaffen, der in allen Ländern der EU mittlerweile Rechtskraft hat.

In diesem Teil der Dokumentation werden in Form von Fragen die geltenden Standards ausgeleuchtet. Manchmal ist die Rede von einem Datenschutzbeauftragten, der auch mit DSB abgekürzt wird.

Fragen zur Erfassung der Organisation

Existiert ein Organigramm der Organisation?

Rotary Internation und auch Rotary Deutschland haben eine klare Organisationsstruktur, die in vielen verschiedenen Publikationen veröffentlicht sind. Siehe zum Beispiel unter https://www.rotary.org/de/about-rotary/our-structure

 

Welche Art Dienstleistungen erbringt die Organisation?

Rotary ist eine NGO (Non Governmental Organization) und wurde 1905 in Chicago gegründet. Als Ziele werden

  • humanitäre Dienste
  • Einsatz für Frieden und Völkerverständigung
  • Dienstbereitschaft im täglichen Leben
genannt.

 

Wo befinden sich die Standorte der Organisation?

In Deutschland gibt es zur Zeit ca. 1.062 Clubs, die regional in 15 Distrikte aufgeteilt sind. Die regionale Verteilung für den Distrikt 1850 ist unter folgendem Link zu finden: https://rotary.de/distrikt/1850

 

Befinden sich Standorte der Organisation außerhalb der EU?

Ja. Rotary ist eine weltweite Organisation. Somit gibt es auch Standorte außerhalb der EU.

 

Datenschutzdokumentation

Existiert ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO?

Die datenschutzrelevanten Tätigkeiten werden zu 95% mit dem Verwaltungssystem RO.CAS vorgenommen, das über eine entsprechende Dokumentation verfügt. Sollten bei einigen Clubs zusätzliche Verwaltungstätigkeiten anfallen, sind die Clubs von den DSBs der Distrikte gehalten, diese DSGVO-konform zu dokumentieren.

 

Wie ist das Verzeichnis dokumentiert?

Im Handbuch zur Software RO.CAS sind die Verfahren zur Erfassung und Pflege sowie die zu erfassenden Informationen dokumentiert. Siehe

https://rocas.rotary.de/handbuch/htm/

 

Haben Sie eine Liste aller Dienstleister, die für Sie im Rahmen einer Auftragsverarbeitung tätig sind?

Für den Distrikt liegt eine entsprechende Liste vor. Die Clubs, die beispielsweise ein externes Sekretariat beauftragt haben, führen diese Listen selbst.

 

Wurde ein Datenschutzmanagementsystem installiert, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt?

Das System RO.CAS erfüllt die Vorgaben der DSGVO bereits weitgehend. Die Dokumentation von erforderlichen Einverständniserklärungen ist in das Nachfolgesystem RO.CAS 2 (Release-Datum Juli 2020) integriert.

 

Datenschutzorganisation

Ein besonderer Fokus bei einem möglichen Datenschutzaudit liegt in der Datenschutzorganisation.

Ist in der Organisation ein Datenschutzbeauftragter bestellt?

Ja. Der aktuelle Datenschutzbeauftragte ist Freund

Gibt es eine eigene Datenschutzleitlinie?

Ja. Bei Rotary ist dies die Datenschutzbestimmung. siehe: https://my.rotary.org/de/privacy-policy

 

Wie ist organisatorisch sichergestellt, dass vor jeder Verarbeitung von personenbezogenen Daten geprüft wird, ob die geplante Verarbeitung zulässig ist?

Das Verwaltungsprogramm RO.CAS läßt programmtechnisch eine Verarbeitung nur zu, wenn die geplante Verarbeitung unter Maßgabe der DSGVO zulässig ist.

 

Gibt es in der Organisation ein aktuelles Rollen- und Rechtekonzept?

Ja. Siehe: https://rocas.rotary.de/handbuch/htm/

 

Wie werden Betroffene über ihre Rechte informiert?

Amtsträger

Personen, die Zugriff auf personenbezogene Daten des Clubs haben (in der Regel sind das die Vorstandsmitglieder (Präsident, Sekretär, Clubmeister, Schatzmeister, Internetbeauftragter ...) sind vom Präsidenten während einer Vorstandssitzung auf das Datengeheimnis (§ 5 BDSG (alt)) bzw. Art.29 DSGVO bzw. und die Einhaltung organisatorischer Sicherungsmaßnahmen hinzuweisen. Ein Vermerk im Vorstandsprotokoll ist angezeigt. Die Personen, die verpflichtet wurden, können auch die Verpflichtungserklärung der Amtsträger unterschreiben (https://de.rotary.de/dgr/Datenschutz/Datenschutzformulare/2018-05-09-Verpflichtung_Amtstraeger_nach-der-DSGVO.docx).

Mitglieder

Alle Mitglieder sind darauf hinzuweisen, dass Rotary-Verzeichnisse nicht missbraucht werden (z.B. Adressen für Werbung, Rundschreiben an Dritte) und datenschutzgerecht entsorgt werden müssen. Allgemeine Datenschutzhinweise für Mitglieder (https://de.rotary.de/dgr/Datenschutz/Datenschutzformulare/2018-05-14-Allgemeine-Datenschutzhinweise-fuer-Mitglieder.docx)

Alle neuen Mitglieder sind darüber zu informieren, welche Rechte und Pflichten aus der DSGVO für sie erwachsen.

 

Datensicherheit

Wie ist der Zugang zu personenbezogenen Daten geregelt?

Über das Verwaltungssystem RO.CAS sind die Zugänge zu den personenbezogenen Daten geregelt. Siehe: https://rocas.rotary.de/handbuch/htm/

 

Besteht ein IT-Sicherheitskonzept?

Ja. Dafür verantwortlich ist die Rotary Verlags GmbH, Ferdinandstraße 25, 20095 Hamburg als Auftragsdatenverarbeiter.

 

Besteht ein externer Zugriff auf einzelne oder alle Systeme im Netzwerk?

Ja. Partiell können ausgewählte Clubmitglieder als Amtsträger über einen Webzugang auf RO.CAS-Daten zugreifen. Siehe: https://rocas.rotary.de/handbuch/htm/

 

Wie wird die Einhaltung aktueller technischer Standards gewährleistet?

Das ist eine Aufgabe des Auftragsdatenverarbeiter Rotary Verlags GmbH, Ferdinandstraße 25, 20095 Hamburg.

 

Wie ist die Löschung von Daten geregelt?

Das Verwaltungssystem RO.CAS verfügt über Methoden zum Löschen von personenbezogenen Daten. Siehe: https://rocas.rotary.de/handbuch/htm/

 


Datenschutz im Rotary Club

 

 

Seit dem 25. Mai 2018 ist die DSGVO (DatenSchutzGrundVerOrdung) in Kraft und ist somit das neue BDSG (das BundesDatenSchutzGesetz neu).

Auf der Internetseite des Deutschen Governorrats ist eine Sammlung von Informationen zum Thema Datenschutz bei Rotary zu finden. Deutscher Governorrat und die Datenschutzgrundverordnung.(https://de.rotary.de/dgr/Datenschutz/)

Begriffe

Personenbezogene Daten sind alle Einzelangaben über eine bestimmte oder bestimmbare natürliche Person.

Die DSGVO gilt

  • soweit diese Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden.

  • für jede Person oder Stelle, die personenbezogene Daten erhebt, verarbeitet oder nutzt:

    • für sich selbst (Verantwortliche Stelle)
    • im Auftrag einer anderen Stelle auf deren Weisung (sogenannter Auftragsverarbeiter)

Die DSGVO gilt nicht

  • wenn die Person nicht identifizierbar ist (z.B. Statistiken)
  • für juristische Personen (Firmen)

Beachten Sie eine ausführliche Darstellung der Grundsätze der DSGVO unter Einleitung -- Allgemeines zum Thema DSGVO

Der Blick auf den Club

Es gibt in Deutschland keine Rechtsform »Club«; es gibt nur Vereine. Ein Rotary Club ist somit vergleichbar mit einem »nicht eingetragenen Verein« (damit ist der Club nicht gemeinnützig und Spenden an den Club sind nicht von der Steuerlast abzugsfähig). Er unterliegt den in der DSGVO niedergelegten Vorschriften.

»Verantwortlicher« im Sinne der DSGVO ist die Präsidentin oder der Präsident des Clubs.

Datenschutzbeauftragter in einem Rotary Club

Datenschutzbeauftragte, Art. 37 DSGVO und § 38 BDSG neu:

Gemäß § 38 Abs. 1 Satz 1 BDSG neu ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Da in einem Rotary Club nur Sekretär bzw. Präsident und CICO (ClubInformationCommunicationOfficer) sowie Schatzmeister und Clubmeister mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist die Ernennung eines Datenschutzbeauftragten nicht erforderlich.

Daten bei Rotary

Jeder Club muss personenbezogene Daten seiner Mitglieder verarbeiten, welche teilweise an die Rotary Verlags GmbH, Rotary Deutschland Gemeindienst e.V. (RDG) und Rotary International (RI) weitergegeben werden müssen. Diese Daten werden vom Clubsekretär in der Datenbank RO.CAS (demnächst RO.CAS 2 ) verwaltet und einige ausgewählte Daten an die drei Institutionen Rotary Verlag, RDG und RI automatisiert weitergegeben. Die Weitergabe der Daten ist erforderlich für eine Mitgliedschaft bei Rotary. Die Erhebung der zu speichernden Daten ist in Verbindung mit dem Zweck Rotarys notwendig.

Datenverwaltungssystem RO.CAS

In RO.CAS ist seit 2017 manches einfacher und besser geworden: Zugangsrechte für rotarische Amtsträger werden inzwischen erzeugt, dass zu den Mitgliedern die Ämter in RO.CAS eingetragen und zusätzlich Rollen zugeordnet werden. Mit den Rollen sind die Zugangsrechte verknüpft. Das gilt insbesondere für den Internet-Beauftragten des Clubs (CICO), den Sekretär, den Schatzmeister und für einige weitere Mitglieder des Clubvorstands. Bei Ämterwechsel sind die nicht mehr gültigen Rollen (=Zugangsrechte) wieder zu entziehen.

Jede Änderung wird automatisch an Verlag, RDG und RI übertragen, sofern die Änderungen diese Übermittlungsdaten betreffen. Die Auswahl der Daten für das Mitgliederverzeichnis bleibt unverändert. Eine ausdrückliche jährliche Freigabe durch die Mitglieder ist nicht nötig.

Die notwendigen Informationen über die Speicherung der Mitgliederdaten und die Hinweise auf die Einhaltung des Datenschutzes sollen in Kürze bei der Anmeldung in RO.CAS angezeigt werden. Das betrifft z.B. die Information für Neumitglieder.

Das Neumitglied hat ihr/sein Einverständnis freiwillig und schriftlich gegeben bzw. ist sich der Tragweite des Einverständnises der Datenspeicherung bewusst. Liegt eine Verweigerung der Datenspeicherung vor, kann die- oder derjenige nicht in einen Rotary-Club aufgenommen werden.

Sollten Daten von Partnern und/oder Kindern von Rotariern gespeichert werden, ist unbedingt eine Einverständniserklärung der Personen einzuholen und abzuspeichern, da diese Daten nicht direkt in Verbindung mit dem Zweck Rotarys stehen.

Die von der Rotary Verlags GmbH erstellten und angebotenen Softwaresysteme (neben RO.CAS auch RO.Web, RO.Cloud, RO.App, eMGV) sind DSGVO-konform.

Datenweitergabe bei Rotary

Da Rotary eine Internationale Organisation ist, deren Hauptsitz in den USA liegt, ist auch die Weitergabe von personenbezogenen Daten erforderlich. Diesem Thema ist ein eigener Abschnitt gewidmet, der unter Datentransfer erreicht werden kann.

Da die Datenweitergabe auch in Länder ausserhalb des Geltungsbereiches der DSGVO erfolgen muss, ist es notwendig, dafür die Clubsatzung zu ändern. Diesem Thema ist ein eigener Abschnitt gewidmet, der unter Satzungsänderung erreicht werden kann.

Rechte der Mitglieder

Jedes Mitglied muss auf seine Rechte in Bezug auf den Datenschutz und die Weitergabe belehrt werden, hierzu gehören

  • das Recht auf Auskunft der gespeicherten Daten,
  • Korrektur bei falschen Angaben und
  • Löschung, sobald Daten nicht mehr benötigt werden bzw. deren Pseudonymisierung (das bezieht sich auf das Recht des »Vergessenwerdens«).

Verpflichtung der Amtsträger

Personen, die Zugriff auf personenbezogene Daten des Clubs haben (in der Regel sind das die Vorstandsmitglieder Präsident, Sekretär, Clubmeister, Schatzmeister, Internetbeauftragter ...) sind vom Präsidenten während einer Vorstandssitzung auf das Datengeheimnis (§ 5 BDSG (alt)) bzw. Art.29 DSGVO bzw. und die Einhaltung organisatorischer Sicherungsmaßnahmen hinzuweisen. Ein Vermerk im Vorstandsprotokoll ist angezeigt. Die Personen, die verpflichtet wurden, können auch die Verpflichtungserklärung der Amtsträger unterschreiben.(https://de.rotary.de/dgr/Datenschutz/Datenschutzformulare/2018-05-09-Verpflichtung_Amtstraeger_nach-der-DSGVO.docx)

Pflichten der Mitglieder

Alle Mitglieder sind darauf hinzuweisen, dass Rotary-Verzeichnisse nicht missbraucht werden (z.B. Adressen für Werbung, Rundschreiben an Dritte) und datenschutzgerecht entsorgt werden müssen. Allgemeine Datenschutzhinweise für Mitglieder (https://de.rotary.de/dgr/Datenschutz/Datenschutzformulare/2018-05-14-Allgemeine-Datenschutzhinweise-fuer-Mitglieder.docx)

Alle neuen Mitglieder sind darüber zu informieren, welche Rechte und Pflichten aus der DSGVO für sie erwachsen.

Rundschreiben

Wochenberichte und sonstige Rundschreiben dürfen nur für rotary-interne Zwecke Verwendung finden, bei Rundschreiben sind die E-Mail-Adressen ins BCC und keinesfalls ins CC zu setzen.

Haftung von Auftragsverarbeitern

Sollten externe Stellen (z.B. ein externes Sekretariat) bzw. Organisationen mit der Bearbeitung von RO.CAS-Daten beauftragt sein, sollte eine entsprechende Vereinbarung geschlossen werden, die den Auftragsverarbeiter auf die Einhaltung der EU DSGVO verpflichtet. Damit geht dann auch die Haftung des Auftragsverarbeiters einher. Eine Vorlage für eine solche Vereinbarung mit einem Auftragsverarbeiter kann vom Datenschutzbeauftragten des Distriktes 1850 bezogen werden z.B. hier:

Zusatzvereinbarung mit externem Sekretariat.(https://de.rotary.de/dgr/Datenschutz/Datenschutzformulare/2019-07-09-Rotary_Zusatzvereinbarung_externe_Sekretariate.docx)

Mit der Einführung von RO.CAS 2 durch die Rotary Verlags GmbH muss ein Dienstleistungsvertrag in Sachen Datenverarbeitung mit der Rotary Verlags GmbH abgeschlossen werden. Stellvertretend für den Club kann der Distrikt diese Vereinbarung mit der Rotary Verlags GmbH abschließen. Dafür ist allerdings eine Bevollmächtigung des Distriktes notwendig.

Was ist im Club noch zu beachten?

Diese Hinweise sollten auf einer Clubversammlung allen Mitgliedern nahe gebracht werden. Dass diese »Hinweise und Empfehlungen« diskutiert wurden, sollte im Protokoll vermerkt werden.

Mitgliederdaten, z.B. Kontaktdaten dürfen ohne die ausdrückliche Zustimmung jedes Mitglieds nicht an club-fremde Personen oder Stellen weitergegeben werden. Das gilt auch für Listen der Mailadressen z.B. für Einladungen zu Veranstaltungen oder Rundschreiben. Mails an die Mitglieder dürfen ausschließlich vom eigenen Club verschickt werden. Es ist dafür zu sorgen, dass diesen Daten nicht in falsche Hände kommen, d.h. nicht offen herumliegen und auch nicht im Papierkorb landen. Wochenberichte werden grundsätzlich über RO.CAS verschickt. Dabei ist zu bedenken, dass Wochenberichte nicht nur die eigenen Clubmitglieder sondern auch Amtsträger im Distrikt erhalten. Kritische oder sensible Informationen zu Einzelpersonen, das können neben eigenen Clubmitgliedern auch Gäste sein, gehören nicht in den Bericht. Im Wochenbericht kann der Geburtstag der Clubmitglieder inkl. Alter in Jahren angezeigt werden. Wenn das einzelne Mitglieder nicht wünschen, ist diese Option gesamt auszuschalten. Wird beim Internetzugang WLAN genutzt, ist sicherzustellen, dass dieses mit einer Verschlüsselung gesichert und ein aktueller Virenscanner installiert ist. Passwörter dürfen nicht weitergegeben werden.

Was muss für den Internetauftritt des Clubs beachtet werden?

RO.WEB

Sollten Sie RO.WEB benutzen, ist die/der Präsidentin/Präsident für die Einhaltung der datenschutzrechtlichen Bestimmungen für die eigenverantwortlich eingestellten Clubbeiträge verantwortlich. Das betrifft nicht nur die textlichen Aspekte der Artikel, sondern auch jegliche Art von Bildern, die ggfls. Personenrechte verletzen. Für die Inhalte, die der Rotary-Verlag einstellt, liegt die Verantwortung beim Rotary-Verlag.

Die rechtlichen Schranken finden sich im KunstUrhebergesetz (KUG). Bildnisse dürfen von privaten Institutionen wie Rotary-Clubs nur mit der Einwilligung eines Abgebildeten veröffentlicht oder zur Schau gestellt werden.

Oft ist es nicht praktikabel, von jedem Teilnehmer einer Veranstaltung eine solche Erklärung einzuholen. Hier kann man sich der Ausnahmeregelung des § 23 Abs. 1 Nr. 3. KUG behelfen: ohne gesonderte Einwilligung dürfen Bilder von Versammlungen, Aufzügen oder ähnlichen Vorgängen veröffentlicht werden. Allerdings darf hierbei ein berechtigtes Interesse des Abgebildeten nicht verletzt werden. Um diese schutzwürdigen Interessen nicht zu tangieren ist es ratsam, vorab z.B. in Einladungsschreiben oder durch einen gut sichtbaren Aushang darüber zu informieren, dass Fotos von der Veranstaltung im Internet veröffentlicht werden sollen. Wünscht ein Teilnehmer die Datenlöschung, ist das unverzüglich umzusetzen. Für Fotos von Einzelpersonen benötigen Sie immer eine Einwilligung. Hier eine Zusammenfassung der Regelungen für die Handhabung von Bildern:

Handhabung von Bildern (https://de.rotary.de/dgr/Datenschutz/Datenschutz-aktuell/2019-01-21_Informationen-zur-Handhabung-von-Bildern.pdf)

Der Rotary-Verlag wird auch ein Impressum mit den Datenschutzbestimmungen hinzufügen, die den Bestimmungen der EU DSGVO genügt. Sollte das nicht erfolgen, kann ein solches Impressum vom Datenschutzbeauftragten des Distriktes 1850 bezogen werden.

Datenschutzerklärung für die Clubwebseite.(https://de.rotary.de/dgr/Datenschutz/Datenschutzformulare/2018-05-10-Datenschutzerklaerung_Clubwebseite_DSGVO_V_2.0.docx)

Eigener Internetauftritt

Sollten Sie eine eigne Internetseite betreiben, ist wiederum die/der Präsidentin/Präsident verantwortlich. Darüberhinaus sollte ein Impressum mit den Datenschutzbestimmungen Bestandteil des Auftrittes sein, in dem auf das eventuelle Handling mit personenbezogenen Daten eingegangen wird.

Im Zweifel verwenden Sie die oben genannte Vorlage.

Datenschutzbeauftragter Ihres Distrikts 1850

Hubert Bischoff, Rotary Club Syke

Sie können sich per Email mit Fragen zu dem Thema gerne an ihn wenden.

E-Mail: hubert.bischoff@gmail.com


Datenschutz im Distrikt

 

 

Der Distrikt hat innerhalb der Rotary-Organisation die Aufgabe des Mittlers zwischen Rotary International (RI) und dem jeweiligen Rotary Club.

So tritt der Distrikt im Namen seiner Clubs als Auftraggeber gegenüber der Rotary Verlags GmbH, Ferdinandstraße 25, 20095 Hamburg auf. Die Rotary Verlags GmbH als Auftragsverarbeiter für die sich aus dem Betrieb und Nutzung der vom Verlag bereitgestellten Rotary Plattformen (RO.CAS, RO.WEB, nachfolgend „RO-Systeme“) durch Rotary Organisationen (nachfolgend „RO“) ergebenen Tätigkeiten sowie auch zu den weiteren Tätigkeiten des Auftragsverarbeiters, bei denen Beschäftigte des Verlags oder durch den Verlag Beauftragte personenbezogene Daten (nachfolgend „Daten“) des Auftraggebers verarbeiten.

 

Vereinbarung zur Verarbeitung von Daten im Auftrag

zwischen

Rotary Clubs im Distrikt     

-- Auftraggeber = Verantwortlicher gemäß Anlage 1 --

vertreten durch den Governor     

und

Rotary Verlags GmbH

vertreten durch den Geschäftsführer

Ferdinandstraße 25

20095 Hamburg

-- Auftragsverarbeiter --

Präambel

Führt ein Auftragsverarbeiter Leistungen im Auftrag seines Vertragspartners (Verantwortlicher) aus, müssen die Anforderungen der jeweils gültigen Datenschutzgesetze Berücksichtigung finden und insbesondere bei den Verarbeitungstätigkeiten ein angemessenes Datenschutzniveau garantiert sein. Die vorliegende Vereinbarung berücksichtigt die besonderen Anforderungen aus der EU-Datenschutzgrundverordnung.

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem Betrieb und Nutzung der vom Verlag bereitgestellten Rotary Plattformen (RO.CAS, RO.WEB, nachfolgend „RO-Systeme") durch Rotary Organisationen (nachfolgend „RO") ergeben sowie zu den weiteren Tätigkeiten des Auftragsverarbeiters, bei denen Beschäftigte des Verlags oder durch den Verlag Beauftragte personenbezogene Daten (nachfolgend „Daten") des Auftraggebers verarbeiten.

Sie gilt im Zusammenhang mit folgenden Hauptverträgen:

  • IT-Vertrag über die Nutzung der Software RO-Systeme incl. aller Anlagen zwischen der Rotary Verlags GmbH und den deutschen Rotary Distrikten
  • Vereinbarung zwischen Rotary International und der Rotary Verlags GmbH bezüglich der Genehmigung zur Erstellung einer monatlichen Mitgliederzeitschrift mit Stand vom 01.01.2015.
  • und ZOLV Data HB vom 09./12.10 2015, angepasst an DSGVO am 07.03.2018
  • Spezifikation Datenexport für RDG vom 25.02.2020

Gegenstand des Auftrags

Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten (Anlage „Gegenstand des Auftrags").

Der Gegenstand des Auftrags und damit der Zweck, die Art und der Umfang der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten

  • ergibt sich aus den zugrunde liegenden Hauptverträgen
  • eingeschlossen ist die (Fern-)Wartung von Systemen, wobei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Die Verarbeitung und Nutzung der Daten findet server- und datenbankseitig ausschließlich im Gebiet der Bundesrepublik Deutsch­land, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Internationalen Abkommens für angemessenes Schutzniveau über den Europäischen Wirtschaftsraum hinaus statt.

Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Hauptverträge.

Art der Daten

Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind Daten aus folgenden Bereichen:

Datenkategorien

  • Personenstammdaten
  • Berufsdaten
  • Qualifikationsdaten
  • Historie rotarische Ämter
  • Meetingteilnahmen bei rotarischen Veranstaltungen
  • Bankverbindungsdaten
  • IT-Nutzungsdaten

Kreis der Betroffenen

Der Kreis, der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen, umfasst beim Auftragsverarbeiter folgende Kategorien:

  • rotarische Mitglieder
  • Partner rotarischer Mitglieder, auch verstorbener Mitglieder
  • Sonstige Personen

Technisch-organisatorische Maßnahmen

(1) Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben (Anlage „Technisch-organisatorische Maßnahmen"). Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Die technisch-organisatorischen Maßnahmen sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie die Systembelastbarkeit im Zuge der Datenverarbeitung sicherstellen. Aus den angegebenen Maßnahmen muss ein angemessenes Sicherheitsniveau ableitbar sein. Der Auftragsverarbeiter hat den Verantwortlichen bei der Ergreifung technisch-organisatorischer Maßnahmen bestmöglich zu unterstützen. Die Nichterfüllung der begründeten Anforderungen kann zur Beendigung des Vertrages führen.

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Berichtigung, Sperrung, Einschränkung und Löschung von Daten

Der Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten, selbst aber nicht tätig werden.

Kontrollen und sonstige Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags folgende Pflichten:

(1) Schriftliche Bestellung -- soweit gesetzlich vorgeschrieben -- eines Datenschutzbeauftragten.

Dessen Kontaktdaten werden dem Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitgeteilt.

(2) Die Wahrung des Datengeheimnisses.

Alle Personen, die auftragsgemäß auf personenbezogene Daten des Verantwortlichen zugreifen können, müssen auf das Datengeheimnis und die Vertraulichkeit verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.

(3) Die Wahrung des Fernmeldegeheimnisses nach § 88 TKG.

Alle Personen, die auftragsgemäß auf Inhalte von Telekommunikation zugreifen können, müssen auf das Fernmeldegeheimnis verpflichtet und über die sich auf diesem Auftrag ergebenden besonderen Schutzpflichten sowie die bestehende Zweckbindung belehrt werden.

(4) Der Auftragsverarbeiter stellt sicher, dass er die Verarbeitung personenbezogener Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen vornimmt (vergl. § 11 dieses Vertrages). Sofern der Auftragsverarbeiter zu einer Verarbeitung gesetzlich verpflichtet ist, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

(5) Der Auftragsverarbeiter hat den Verantwortlichen bei seiner Pflicht zur Wahrung der Betroffenenrechte zu unterstützen.

Dies ist durch geeignete organisatorische Maßnahmen zu gewährleisten.

(6) Sofern den Verantwortlichen aufgrund eines voraussichtlich hohen Risikos der Verarbeitung die Pflicht zur Datenschutz-Folgenabschätzung trifft, hat der Auftragsverarbeiter ihn hierbei zu unterstützen.

Dies gilt ebenso für die Pflicht zur vorherigen Konsultation der Aufsichtsbehörde, sofern sich eine solche aus der vorangegangenen Folgenabschätzung ergibt.

(7) Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde beim Auftragsverarbeiter ermittelt.

(8) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen.

Hierzu kann der Auftragsverarbeiter auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder andere hinreichende Garantien vorlegen.

Unterauftragsverhältnisse

Soweit bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Verantwortlichen Unterauftragsverarbeiter für die vorliegende Verarbeitung von Daten im Auftrag einbezogen werden sollen, wird dies genehmigt, wenn folgende Voraussetzungen vorliegen:

a) Die Einschaltung von Unterauftragsverarbeitern ist nur mit schriftlicher Zustimmung des Verantwortlichen gestattet. Der Auftragsverarbeiter hat den Verantwortlichen bei jeder Hinzuziehung oder Änderung von Unterauftragsverhältnissen rechtzeitig vorab zu informieren. Der Verantwortliche hat das Recht, einzelnen Unterauftragsvergaben oder Änderungen zu widersprechen.

b) Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit dem/ den Unterauftragsverarbeiter(n) so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftragsverarbeiter und Verantwortlichem entsprechen. Es müssen hinreichende Garantien dafür geboten sein, dass die technischen und organisatorischen Maßnahmen den Anforderungen an die rechtmäßige Datenverarbeitung genügen.

c) Bei der Unterbeauftragung sind dem Verantwortlichen Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung beim Unterauftragsverarbeiter einzuräumen. Dies umfasst auch das Recht des Verantwortlichen, vom Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.

Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer etc. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Der Auftragsverarbeiter setzt gemäß Anlage „Eingesetzte Unterauftragsnehmer" die dort benannten Unterauftragsverarbeiter zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne dieser Vereinbarung ein.

Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, eine Auftragskontrolle mit dem Auftragsverarbeiter durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

Im Hinblick auf die Kontrollverpflichtungen des Verantwortlichen vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragsverarbeiter sicher, dass sich der Verantwortliche von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragsverarbeiter dem Verantwortlichen auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder durch andere hinreichende Garantien erbracht werden.

Mitteilung bei Verstößen des Auftragsverarbeiters

Der Auftragsverarbeiter erstattet in allen Fällen dem Verantwortlichen eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Verantwortlichen oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.

Es ist dem Auftragsverarbeiter bekannt, dass Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Verantwortlichen mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Verantwortlichen. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

Soweit den Verantwortlichen Melde- und/oder Benachrichtigungspflichten treffen, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Dies gilt sowohl für die Meldung einer etwaigen Pflichtverletzung gegenüber der Aufsichtsbehörde, als auch für die Benachrichtigung der von der Verletzung des Schutzes personenbezogenen Daten betroffenen Personen.

Weisungsbefugnis des Verantwortlichen

Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen. Der Verantwortliche behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen (Anlage „Verantwortlicher") erteilen.

Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine beim Verantwortlichen befugte Person bestätigt oder geändert wird.

Löschung von Daten und Rückgabe von Datenträgern

Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Verantwortlichen -- spätestens mit Beendigung der Leistungsvereinbarung -- hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

Haftung

Für Schäden des Verantwortlichen durch schuldhafte Verstöße des Auftragsverarbeiters oder etwaiger Unterauftragsverarbeiter gegen diesen Vertrag sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen gelten die gesetzlichen Haftungsregelungen. Etwaige Haftungsbegrenzungen zwischen den Parteien (z.B. aus dem Hauptvertrag) finden auf diese Vereinbarung keine Anwendung.

Informationspflichten, Schriftformklausel, Rechtswahl, Salvatorische Klausel

Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren.

Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile -- einschließlich etwaiger Zusicherungen des Auftragsverarbeiters -- bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

Es gilt deutsches Recht sowie das in Deutschland unmittelbar und zwingend anzuwendende Recht der Europäischen Union.

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit dieser Vereinbarung im Übrigen unberührt.

An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der (datenschutz-) rechtlichen Zielsetzung am nächsten kommen, welche die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.

     

Ort, Datum Vorname, Name (Druckbuchstaben) Unterschrift

Verantwortlicher Governor im Auftrag der Clubs seines Distrikts

Ort, Datum Vorname, Name (Druckbuchstaben) Stempel/ Unterschrift Auftragsverarbeiter


Satzungsänderung

 

 

Einleitung

Eine Mitgliedschaft in einem Rotary Club ist nicht möglich, wenn die Daten der Mitgliederinnen und Mitglieder nicht kontinuierlich an den Dachverband RI und auch an RDG übermittelt werden. Dazu müsste aber nach Art 6(1)a DSGVO jeweils eine Einwilligung des Betroffenen eingeholt werden und vorliegen, da nur auf diese Weise die Datenübemittlung zulässig ist. Ein solches Verfahren ist nicht praktikabel.

Ein Ausweg aus diesem Dilemma ist die Anpassung der Clubsatzung, da damit eine Rechtsbasis nach Art 6(1)b geschaffen wird, die den Datentransfer zu RI und RDG konstituiert und legitimiert.

Datenschutz bei Rotary

  • Übertragung der Daten der Vereinsmitglieder auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO
  • Dazu ist es ratsam, eine Datenschutzklausel in die Vereinssatzung aufzunehmen, die die konkreten Vereinsziele und die konkreten Verarbeitungszwecke transparent darstellt (z.B. die Vernetzung der Vereinsmitglieder).
  • Auf diese Weise ist für die betroffene Person ersichtlich, welche Datenverarbeitungsmaßnahmen i.S.v. Art. 6 Abs. 1 S. 1 lit. b DSGVO »erforderlich« sind.

 

Formulierungsvorschlag für die Satzungsänderung

Muster für eine Datenschutzklausel in der Satzung

Die im Text referenzierte Tabelle »(Tabelle der Daten ist angefügt)« befindet sich auf der Seite Tabelle der Daten

§ XX Datenschutz im Club

1) Zur Erfüllung der Zwecke und Aufgaben des Clubs werden unter Beachtung der Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) personenbezogene Daten über persönliche und sachliche Verhältnisse der Clubmitglieder verarbeitet.

2) Soweit die in den jeweiligen Vorschriften beschriebenen Voraussetzungen vorliegen, hat jedes Clubmitglied insbesondere die folgenden Rechte:

  • das Recht auf Auskunft nach Art. 15 DSGVO,
  • das Recht auf Berichtigung nach Art. 16 DSGVO,
  • das Recht auf Löschung nach Art. 17 DSGVO,
  • das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,
  • das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und
  • das Widerspruchsrecht nach Art. 21 DSGVO.

3) Im Rahmen der Mitgliederverwaltung und -betreuung werden von den Mitgliedern Stammdaten erhoben. Es wird dabei zwischen Pflichtangaben, die für die Mitgliedsverwaltung notwendig sind, und freiwilligen Angaben unterschieden. Die Pflichtangaben und die ausgewählten freiwilligen Daten werden im Rahmen der Mitgliedschaft verarbeitet und gespeichert.

4) Als Mitglied des Dachverbandes Rotary International muss der Rotary Club Daten seiner Mitglieder an Rotary International weitergeben (Tabelle der Daten ist angefügt). Die Weitergabe der Daten erfolgt, soweit dies unmittelbar für die Zwecke des Clubs oder die Daten unmittelbar für die Zwecke von Rotary International erforderlich sind. Solche Zwecke sind etwa mitgliedschaftsbezogene Zwecke, Berichtszwecke, Kommunikation, Anerkennung von Spenden und Verwaltung von Zuschüssen. Dabei werden die schutzwürdigen Belange der Clubmitglieder in angemessenem Umfang berücksichtigt. Eine Verarbeitung zu anderen Zwecken erfolgt nur mit Einwilligung des Clubmitglieds oder im Falle des Vorliegens anderer gesetzlicher Erlaubnistatbestände.

5) Weitergabe von Mitgliederdaten durch die Rotary Clubs an den RDG e.V.

a. RDG benötigt zur Erfüllung seiner satzungsgemäßen Aufgaben Namen und Kontaktdaten aller Mitglieder in deutschen Rotary Clubs.

Dafür ist keine individuelle Zustimmung oder Datenfreigabe erforderlich. Das gilt auch dann, wenn ein einzelner Club und damit auch dessen Mitglieder (noch) nicht Mitglied bei RDG sind.

Die Notwendigkeit ergibt sich aus dem allgemeinen deutschen Steuer-, Spenden- und Clubrecht, sowie der Bestimmung des §4.2 der Satzung des RDG.

b. Spenden, die direkt an RDG gezahlt werden, werden in der Spenden- und Finanzbuchhaltung des RDG e.V. erfasst und gespeichert.

Die Kontoverbindung eines Spenders muss nach den Vorgaben der Finanzverwaltung in jedem Falle gespeichert werden. Die Speicherungsdauer richtet sich nach den Vorgaben der Finanzverwaltung und den Vorgaben, die Rotary International für die Anerkennung von Recognition Points für die Verleihung von Paul-Harris-Fellow-Ehrungen festlegt.

6) Der Club veröffentlicht Daten einzelner Vorstandsmitglieder auf der Homepage, in der Mitgliederzeitschrift etc. nur mit Zustimmung des betroffenen Clubmitglieds und nur im erforderlichen Umfang. Dabei werden die schutzwürdigen Belange der Clubmitglieder in angemessenem Umfang berücksichtigt.

7) Den Organen des Clubs, allen Mitgliedern oder sonst für den Club Tätigen ist es untersagt, personenbezogene Daten unbefugt zu anderen als dem jeweiligen zur Aufgabenerfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, Dritten zugänglich zu machen oder sonst zu nutzen. Diese Pflicht besteht auch über das Ausscheiden der oben genannten Personen aus dem Club hinaus.

8) Zur Wahrnehmung der Aufgaben und Pflichten nach der DSGVO und dem BDSG bestellt der Distrikt einen Datenschutzbeauftragten für die datenschutzrechtliche Betreuung der Clubs im jeweiligen Distrikt.


Datenweitergabe

 

Datenfluss

 

In dieser Grafik sind alle verantwortlichen Stellen, die Daten für eigene Zwecke verarbeiten, grün markiert.

Die angegebenen Datenspeicherungen und -weitergaben gelten nur für rotarische Mitglieder. Für Angehörige sind grundsätzlich Zustimmungen nötig.

Der Datentransfer zu ROTARY INTERNATIONAL (RI) basiert auf einem Passus in der Clubsatzung, der die Datenweitergaben an RI regelt.

Blaue Kästen sind Auftragsverarbeiter. Kennzeichnend für eine Auftragsdatenverarbeitung ist, dass es sich um die Erfüllung eigener Pflichten des Auftragsgebers und nicht um eigene Pflichten des Auftragnehmers handelt. Der Auftragnehmer unterliegt vollumfänglich den Weisungen des Auftraggebers.

Auftragsverarbeiter sind in der deutschen rotarischen Organisation der Rotary Verlag und ZOLV in Schweden.

Mit SEMDA gehen dieselben Daten wie bisher per Mail oder Fax jetzt aber über eine sichere verschlüsselte Leitung nach Schweden, zu der Firma ZOLV. Dort werden die Daten in die von RI geforderte Form transferiert und wieder über einen sicheren verschlüsselten Weg an RI gesendet.

  • Für einen Datentransfer nach Schweden gelten dieselben Regelungen wie innerhalb Deutschlands.
  • ZOLV erbringt eine Leistung zur Auftragsdatenverarbeitung Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).
  • Der dazu notwendige Vertrag zwischen dem Rotary Verlag und ZOLV ist abgeschlossen und gesetzeskonform.
  • Jeder deutsche Distrikt hat stellvertretend für seine Clubs einen Vertrag zur Auftrags-DV mit dem Verlag abgeschlossen.

Erläuterung

Innerhalb von Rotary Deutschland gibt es eine Vielzahl von Daten, die Rotary-intern von einem Ort zum anderen wandern. Das oben gezeigte Diagramm zeigt die Datenwege auf.

Der ROTARY DEUTSCHLAND GEMEINDIENST E.V. (RDG) ist ein gemeinnütziger, eingetragener Verein, in dem alle Freundinnen und Freunde der deutschen Rotary Clubs Mitglied sind. Mit ca. 55.000 Mitgliedern ist es Aufgabe des Vereins, rotarische Spendengelder zu verwalten und für rotarische Projekte einzusetzen. Spenden an RDG sind steuerlich absetzbar - im Gegensatz zu den Mitteln, die ein Club gespendet bekommt. Jeder kann sich über den Sinn und Zweck von RDG informieren: https://www.rdg-rotary.de/rdg/.

ROTARY INTERNATIONAL (RI) ist die weltweite Dachorganisation, bestehend aus ca. 35.000 Rotary Clubs in über 200 Ländern - mit mehr als 1,2 Mio. Mitgliedern. Jeder Club gehört somit der globalen Vereinigung Rotary International (RI) an.

ROTARY DEUTSCHLAND GEMEINDIENST E.V. (RDG)

Jede Rotarierin und jeder Rotarier muss dem Verein beitreten. Datenschutzrechtlich sowie aus Sicht des Vereinsrechts und des Spendenrechts ergeben sich daraus einige Anforderungen an RDG:

  • RDG ist aus Gründen des Vereinsrechts gesetzlich verpflichtet, eine vollständige Datei seiner Mitglieder zu führen. Dazu werden die Daten derjenigen benötigt, für die ein Mitgliedsbeitrag gezahlt wird, denn nach Satzung wird derjenige Rotarier Mitglied im RDG, der den Beitrag erstmalig zahlt.
  • RDG ist aus Gründen des Spendenrechts gesetzlich verpflichtet zu prüfen, ob der Endbegünstigte einer Auszahlung Mitglied eines deutschen Rotary Clubs ist. Diese Bestimmung ist auch in §4.2 der Satzung enthalten. Dazu benötigt RDG auch die Daten derjenigen, die nicht Mitglied in RDG sind, weil für sie der Mitgliedsbeitrag noch niemals gezahlt wurde (z.B. Rotarier, die unterjährig eintreten).

Die Datenschutzbeauftragte des RDG hat dieser Übermittlung und den in diesem Papier enthaltenen Funktionen zugestimmt. Aus Rechtsgründen und Gründen der rotarischen Redlichkeit dürfen die Daten jedoch nur mit Kenntnis der Mitglieder an RDG weitergegeben werden. Diese Informationspflicht liegt bei den Clubs.

Es werden Maßnahmen zur Information der betroffenen Clubs bzw. Mitglieder in Bezug auf Rückfragen zum Datenschutz getroffen. RDG veröffentlicht zur Information seine Datenschutzerklärung unter https://www.rdgo.de/doc/Datenschutzerklaerung-des-RDG.pdf. Diese sollte in RO.CAS verlinkt und aufrufbar sein.

 

Notwendigkeit einer Satzungsänderung

Eine Mitgliedschaft in einem Rotary Club ist nicht möglich, wenn die Daten der Mitgliederinnen und Mitglieder nicht kontinuierlich an den Dachverband RI und auch an RDG übermittelt werden. Dazu müsste aber nach Art 6(1)a DSGVO jeweils eine Einwilligung des Betroffenen eingeholt werden und vorliegen, da nur auf diese Weise die Datenübemittlung zulässig ist. Ein solches Verfahren ist nicht praktikabel.

Ein Ausweg aus diesem Dilemma ist die Anpassung der Clubsatzung, da damit eine Rechtsbasis nach Art 6(1)b geschaffen wird, die den Datentransfer zu RI und RDG konstituiert und legitimiert.

 


 

Tabelle der Daten, die übertragen werden

RDG e.V.

Tabelle RO.CAS-Adressen

BezeichnungBemerkung
RI-Mitgliedsnummer 
Abo-Nummer 
SatztypMitglied / Ehrenmitglied
Distrikt 
Ro.CAS ID 
Clubnummer 
Club 
AdresstypPrivatadresse
Nachname 
Vorname 
Praefix 
Anrede 
Akademischer Titel 
Adelstitel 
Straße 
PLZ 
Ort 
Land 
Telefonprivat
E-Mailprivate E-Mail-Adresse
PHF-Stufe 
Datum Eintritt 
Datum Austritt 
Austrittsgrund 
Geburtsdatum 
  

Tabelle Ämter

BezeichnungBemerkung
RI-Mitgliedsnummer 
Abo-Nummer 
Amtsjahrlaufendes und nächstes Jahr
Distrikt 
Ro.CAS ID 
Clubnummer 
Club 
FunktionClubmeister, Präsident...
Nachname 
Vorname 
Praefix 
Anrede 
Akademischer Titel 
Adelstitel 
Straße 
PLZ 
Ort 
Land 
Telefonprivat
Telefondienstlich
Mobiltelefon 
E-Mailprivate E-Mail-Adresse
E-Maildienstliche E-Mail-Adresse
  

ROTARY INTERNATIONAL (RI)

Obwohl Rotary International seinen Sitz nicht in Deutschland hat, müssen die personenbezogenen Daten trotzdem auch an die Dachorganisation übermittelt werden. Da die U.S.A. nicht zum Geltungsbereich der DSGVO gehört, sind besondere Maßnahmen zu ergreifen, damit eine vorzunehmende Datenübertragung in die U.S.A. datenschutzrechtlich einwandfrei erfolgen kann. Die U.S.A.gelten in Europa datenschutzrechtlich als unsicherer Drittstaat.

Welche Daten sammelt ROTARY INTERNATIONAL über Rotarierinnen und Rotarier?

Es sind verschiedene Arten personenbezogener Daten, die Rotarierinnen und Rotarier persönlich identifizieren. Auf der nachfolgend angegebenen Internetseite ist erläutert, was RI an Daten sammelt: https://my.rotary.org/de/privacy-policy

Die SEMDA-Beschreibung nennt folgende Felder in den Datentabellen, die durch den laufenden Datentransfer gefüllt werden. Da SEMDA ein internationales Übertragungsprotokoll ist, werden nicht alle Felder durch RO.CAS gefüllt.

Tabelle Mitglieder:

Bezeichnung Bezeichnung

  
CheckSumSpouseName
UniqueIdEnterDate
ClubNoExitDate
DistrictExitReason
MembNo(Member-ID)PhoneHome
NameFamilyPhoneBusiness
NameMiddelCellPhone
NameFirstFax
Address1Emailbusiness
Address2Emailpersonal
Address3WebSite
PostCodeLastOrgNo
CityLastOrgExitDate
CountryCodeMagazine
DateOfBirthSponsorId1
GenderSponsorId2
TitleClassification
BadgeNameLanguage
MemberType 

 

Tabelle Clubs:

Bezeichnung Bezeichnung

  
DistrictOffice address1
ClubNoOffice address2
ClubNameOffice address3
ApprovedOffice postCode
MeetDayOffice city
MeetTimeOffice country
MeetPlaceemail
Address1webSite
Address2language
Address3 
PostCode 
City 
Country 
CountryCode 

 

Tabelle Funktionäre:

Bezeichnung Bezeichnung

  
PresidentMembership Chair
Incoming PresidentIncoming Membership Chair
Secretary Incoming SecretaryRotary Foundation Chai
TreasurerIncoming Rotary Foundation Chair
Incoming TreasurerIT-coordinator
Executive SecretaryIncoming IT-coordinator
Incoming Executive Secretary 

Datenschutz bei WhatsApp, Telegram und Co

 

 

WhatsApp, Telegram und andere Messenger arbeiten mit den Kontaktdaten, die auf den mobilen Geräten von Nutzern dieser Anwendungen gespeichert sind.

Problematisch erscheint in diesem Zusammenhang, dass der Messengerdienst eine Kontaktliste erstellt, indem die auf dem Smartphone gespeicherten Telefonnummern mit denjenigen Nummern abgleicht, die auf den Servern von Whatsapp oder anderen Messengerdiensten abgelegt sind. Dabei werden aber ohne Ausnahme alle Nummern aus dem Adressbuch abgeglichen: Die App erhält somit Zugriff auf alle Nummern, die auf dem Smartphone gespeichert sind – und damit auch auf diejenigen Nummern von Personen, die die App nicht nutzen und nur als reine Kontakte geführt werden.

Aus datenschutzrechtlicher Sicht liegt dadurch bereits ein Zugriff auf personenbezogene Daten vor, denn: Art. 4 DSGVO definiert personenbezogene Daten als konkrete Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Ganz ohne Zweifel gehört die Telefonnummer (mobil oder als Festnetzanschluss) zu diesen Daten.

Es muss im Grunde aus rechtlicher Sicht von jedem Kontakt eine Einwilligung zur Weitergabe der personenbezogenen Daten an den Messengerdienst vorliegen. Dies ist sicherlich häufig nicht der Fall.

Nun könnte man auf die Idee kommen, dass diejenigen Personen, die den Messengerdienst WhatsApp (oder andere) nutzen ja implizit eine Zustimmung erteilt haben, weil ansonsten eine Inanspruchnahme des Dienstes nicht möglich ist.

In jedem Fall ist eine implizite Zustimmung nicht zutreffend für diejenigen Kontakte auf dem Smartphone, die den Messengerdienst nicht nutzen. Hier liegt also ein Verstoß gegen die DSGVO vor, wenn ein solcher Kontakt ohne Zustimmung auf den Messengerserver übertragen wird und dort auch verbleibt.

WhatsApp

WhatsApp gehört zum Facebook-Konzern und übermittelt sämtliche auf dem Mobiltelefon gespeicherten Kontaktdaten ungefragt an Facebook-Server in die U.S.A., was einen Verstoß gegen die DSGVO darstellt. Somit kommt auch Facebook in den Besitz von personenbezogenen Daten von Menschen, die das gar nicht wollen.

Telegram

Telegram ist für viele Betriebssystem verfügbar und lässt sich auch über eine Desktop-App oder den Browser nutzen. Die Nachrichten werden über eine Cloud synchronisiert und können damit auf jedem Gerät parallel abgerufen werden. Davon ausgeschlossen sind die sogenannten „geheimen Chats“, die durch eine Ende-zu-Ende-Verschlüsselung gesichert sind und nach einer Weile automatisiert gelöscht werden.

Hinsichtlich der Umsetzung der DSGVO hat der Dienst in den letzten Jahren ordentlich nachgebessert, allerdings werden auch hier die Kontakte im Telefonbuch ungefragt mit den Servern synchronisiert; diese Funktion lässt sich aber abschalten, so dass danach Kontakte nur noch von Hand hinzugefügt werden können. Ist dies mit den Inhabern der entsprechenden Nummern abgesprochen, darf die Nutzung als DSGVO-konform gelten; allerdings macht ein solches Vorgehen viel Arbeit.

Threema

Threema ist ein kostenpflichtiger Messenger, verspricht jedoch für die einmalige Gebühr von 3 Euro maximale Sicherheit. Die üblichen Funktionen wie Einzelchats und Gruppen stehen auf den mobilen Betriebssysteme Android und iOS zur Verfügung. Sämtliche Chats, Datenpakete, Sprachnachrichten und Anrufe werden Ende zu Ende verschlüsselt. Die fehlende Cloud-Synchronisierung sorgt für noch mehr Datensicherheit, da es keinen zentralen Server gibt, der Ziel von Hackerattacken werden kann. Das Vertrauen in die Sicherheit des Dienstes aus der Schweiz ist bei der landeseigenen Verwaltung so groß, dass diese den Messenger offiziell auf Diensthandys nutzt.

Über Sicherheitslücken ist bislang nichts bekannt. Die Kontaktsynchronisation muss vor dem ersten Start der App freigegeben werden. Damit gilt Threema als DSGVO-konform.


ZOOM

ZOOM logo

ZOOM - Datenschutzerklärung und Information zur Datenverarbeitung

Viele Clubs im Distrikt 1850 nutzen das Web-Konferenzsystem »ZOOM«. ZOOM Video Communications ist ein US-Unternehmen mit Sitz in San José, Kalifornien.

Laut einer Selbst-Beschreibung betreibt das Unternehmen 13 Rechenzentren weltweit, eines davon in Deutschland.

Unter Datenschutzgesichtspunkten ist die Software ZOOM als ein US-amerikanisches Produkt deshalb problematisch, weil personenbezogene Daten europäischer Bürger in den Vereinigten Staaten nicht ausreichend geschützt werden. Um ZOOM als Veranstalter zu nutzen, muss ein Anwender personenbezogene Daten preisgeben. Eine tabellarische Aufstellung findet sich unter einer ZOOM Personenbezogene Daten Auflistung https://ZOOM.us/de-de/privacy.html#_Toc44414842.

Der EuGH hat in einem jüngsten Urteil festgestellt, dass es für Personen, die keine amerikanischen Staatsbürger sind, in den Vereinigten Staaten de facto keine Datenschutzmöglichkleiten gibt.

Daten europäischer Bürger, die von Europa aus beispielsweise an amerikanische Software-Anbieter oder Cloud-Dienstleister übertragen werden, sind dem Risiko jederzeitiger, anlassloser, gerichtlich nicht überprüfbarer Kontrolle durch NSA oder FBI ausgesetzt. Das hält der Europäische Gerichtshof zu Recht für untragbar.

Damit ist ZOOM unter dem Gesichtspunkt des Datenschutzes eigentlich nicht verwendbar.

Trotz einer noch nicht abschließenden Bewertung und Diskussion durch den Ausschuss für Datenschutz beim DGR (Deutscher Governor Rat) gebe ich an dieser Stelle die

Datenschutzhinweise für Online-Meetings und Webinare via »ZOOM im Rotary Distrikt 1900«

wieder, da auch in unserem Distrikt ZOOM verwendet wird. Die Datenschutzhinweise wurden von Freundin Martina Hannen vom RC Bad Salzuflen verfasst.

Datenschutzhinweise für Online-Meetings und Webinare via »ZOOM«

Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von »ZOOM« informieren und weisen ausdrücklich darauf hin, dass die Nutzung des Distrikt-Accounts durch Anbieten von / Teilnahme an Meetings und Webinaren in ZOOM in unserem Distrikt stets auf freiwilliger Basis erfolgt. Der Distrikt 1900 kann nicht mehr tun, als auf die Datenschutzhinweise hinzuweisen und deren Einhaltung gelegentlich zu kontrollieren. Eine Garantie für Vollständigkeit und Richtigkeit kann nicht übernommen werden. In der freiwilligen Nutzung des Distrikt-Accounts liegt in jedem Fall das Einverständnis, dass jegliche Haftung des Distrikts 1900 für eventuelle Schäden infolge der Nutzung von ZOOM ausgeschlossen ist. Der Nutzer stellt den Distrikt und seine Beauftragten von etwaigen Haftungsansprüchen frei.

Zweck der Verarbeitung

Wir nutzen das Tool »ZOOM«, um Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: „Online-Meetings“). »ZOOM« ist ein Service der ZOOM Video Communications, Inc., die ihren Sitz in den USA hat.Welche Daten werden verarbeitet? Bei der Nutzung von »ZOOM« werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

Angaben zum Benutzer

  • Vorname, Nachname,

  • Telefon (optional),

  • E-Mail-Adresse,

  • Passwort (wenn „Single-Sign-On“ nicht verwendet wird),

  • Profilbild (optional),

  • Abteilung (optional)

  • Meeting-Metadaten:

    • Thema,
    • Beschreibung (optional),
  • Teilnehmer-IP-Adressen,

  • Geräte-/Hardware-Informationen

Bei Aufzeichnungen (optional)

  • MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen,
  • M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.

Bei Einwahl mit dem Telefon

  • Angabe zur eingehenden und ausgehenden Rufnummer,
  • Ländername,
  • Start- und Endzeit.

Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.

Text-, Audio- und Videodaten

Sie haben ggf. die Möglichkeit, in einem »Online-Meeting« die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im »Online-Meeting« anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die »ZOOM«-Applikationen abschalten bzw. stummstellen. Um an einem »Online-Meeting« teilzunehmen bzw. den »Meeting-Raum« zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen.

Umfang der Verarbeitung

Wir verwenden »ZOOM«, um »Online-Meetings« durchzuführen. Wenn wir »Online-Meetings« aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Die Tatsache der Aufzeichnung wird Ihnen zudem in der »ZOOM«-App angezeigt. Wenn es für die Zwecke der Protokollierung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein. Im Falle von Webinaren können wir für Zwecke der Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar-Teilnehmenden verarbeiten.

Wenn Sie bei »ZOOM« als Benutzer registriert sind, dann können Berichte über »Online-Meetings« (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis zu einem Monat bei »ZOOM« gespeichert werden. Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.

Sinnvolle Einstellungen

Sinnvolle Sicherheitseinstellungen im Profil unter Einstellungen oder bei der Anlage der Meetings:

  • Immer die Passwortfunktion für das Meeting aktivieren; ab und an das Passwort wechseln. Gelegentlich die Meeting ID wechseln.
  • Deaktivieren der Funktion »Beitritt vor Moderator aktivieren«
  • Falls Bombering-Gefahr erhöht (z.B. weil wegen interessantem Vortrag die Meeting ID plus Passwort ausserhalb des Clubs verteilt wurde): Wartezimmerfunktion einschalten
  • Im Meeting: unter der Funktion »Bildschirm teilen« die Version »Nur Host, nicht Teilnehmer« aktivieren. Damit lässt sich steuern, wer Inhalte teilen darf. Für den Vortragenden lässt sich das wieder deaktivieren
  • Telefoneinwahl (wenn überhaupt gewünscht) nur aus Deutschland zulassen (in Meetingeinstellung)
  • Generell keine Anmeldung in der App per facebook oder google tätigen, sondern wenn Anmeldung dann immer manuell eingeben
  • Falls Bombering oder unerwünschte Teilnehmer: aktivieren der Funktion »entfernten Teilnehmern den erneuten Beitritt erlauben«
  • Kamerafernsteuerung deaktivieren (Profil-Einstellungen-sonstiges)
  • Erweiterungen des Programmes aus dem App-Markt (Kalenderverknüpfungen etc.) vermeiden

Verantwortlicher

Soweit Sie die Internetseite von »ZOOM« aufrufen, ist der Anbieter von »ZOOM« für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von »ZOOM« jedoch nur erforderlich, um sich die Software für die Nutzung von »ZOOM« herunterzuladen. Sie können »ZOOM« auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt in der »ZOOM«-App eingeben. Wenn Sie die »ZOOM«-App nicht nutzen wollen oder können, dann sind die Basisfunktionen auch über eine Browser-Version nutzbar, die Sie ebenfalls auf der Website von »ZOOM« finden.

Rechtsgrundlagen der Datenverarbeitung

Soweit personenbezogene Daten von Mitgliedern von Rotary Clubs verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von »ZOOM« personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von »ZOOM« sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von »Online-Meetings«. Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von »Online-Meetings« Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von »Online-Meetings«.

Empfänger / Weitergabe von Daten

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind. Weitere Empfänger: Der Anbieter von »ZOOM« erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbeitungsvertrages mit »ZOOM« vorgesehen ist.

Datenverarbeitung außerhalb der Europäischen Union

»ZOOM« ist ein Dienst, der von einem Anbieter aus den USA erbracht wird. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt. Bei der Nutzung von allen US-amerikanischen Diensten (facebook, google, whatsapp, dropbox etc.) muss man immer bedenken, dass in den USA andere Datenschutzbestimmungen gelten als in der EU. Im Gegensatz zu einigen anderen hat ZOOM jedoch eine Konformitätserklärung zur DSGVO abgegeben. Die Datenserver stehen immer in den U.S.A. und ermöglichen sehr vielen Diensten den mit NSA Zugriff. Ein angemessenes Datenschutzniveau ist zum einen durch die »Privacy Shield«-Zertifizierung der ZOOM Video Communications, Inc., zum anderen aber auch durch den Abschluss der sog. EU-Standardvertragsklauseln garantiert. (wurde gerade jüngst vom EuGH als nicht ausreichend bewertet)

Ihre Rechte als Betroffene/r

Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben. Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht. Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.

Löschung von Daten

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Aktualität und Änderung dieser Datenschutzerklärung

Wir behalten uns vor, den Inhalt dieser Datenschutzerklärung jederzeit anzupassen. Dies erfolgt in der Regel bei Weiterentwicklung oder Anpassung der eingesetzten Dienste. Die aktuelle Datenschutzerklärung können Sie auf unserer Webseite einsehen.

 

 

Datenschutzbeauftragter des Distikts:

Name und Anschrift des Verantwortlichen

Rotary Club oder Rotary Distrikt 1850

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist der:

Rotary Club

oder

Rotary Distrikt 1850

Vertreten durch die/den Präsidentin/Präsidenten

oder

Vertreten durch die/den Governerin/Governor

 

Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des Verantwortlichen ist:

Hubert Bischoff Rotary Club Syke
Neißer Str. 12
28857 Syke
Deutschland
E-Mail: hubert.bischoff@gmail.com


Impressum

Verantwortlicher bzw. Vertretungsberechtigter gemäß

§ 5 TMG,

§ 55 Abs. 2 RStV und Art. 4, Nr.7 DSGVO

Rotary Distrikt 1850

vertreten durch die amtierende Datenschutzbeauftragte / den amtierenden Datenschutzbeauftragten

Hubert Bischoff

RC Syke

E-Mail: hubert.bischoff@gmail.com

 

Disclaimer

1. Haftung für Inhalte

Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Der Rotary Club, im folgenden Autor genannt, übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen den Autor, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen, sofern seitens des Autors kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Alle Angebote sind freibleibend und unverbindlich. Der Autor behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.

2. Verweise und Links

Bei direkten oder indirekten Verweisen auf fremde Webseiten ("Hyperlinks"), die außerhalb des Verantwortungsbereiches des Autors liegen, würde eine Haftungsverpflichtung ausschließlich in dem Fall in Kraft treten, in dem der Autor von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre, die Nutzung im Falle rechtswidriger Inhalte zu verhindern. Der Autor erklärt hiermit ausdrücklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf den zu verlinkenden Seiten erkennbar waren. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die Urheberschaft der gelinkten/verknüpften Seiten hat der Autor keinerlei Einfluss. Deshalb distanziert er sich hiermit ausdrücklich von allen Inhalten aller gelinkten /verknüpften Seiten, die nach der Linksetzung verändert wurden. Diese Feststellung gilt für alle innerhalb des eigenen Internetangebotes gesetzten Links und Verweise sowie für Fremdeinträge in vom Autor eingerichteten Gästebüchern, Diskussionsforen und Mailinglisten. Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröffentlichung lediglich verweist.

3. Urheber- und Kennzeichenrecht

Der Autor ist bestrebt, in allen Publikationen die Urheberrechte der verwendeten Grafiken, Tondokumente, Videosequenzen und Texte zu beachten, von ihm selbst erstellte Grafiken, Tondokumente, Videosequenzen und Texte zu nutzen oder auf lizenzfreie Grafiken, Tondokumente, Videosequenzen und Texte zurückzugreifen. Alle innerhalb des Internetangebotes genannten und ggf. durch Dritte geschützten Marken- und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind! Das Copyright für veröffentlichte, vom Autor selbst erstellte Objekte bleibt allein beim Autor der Seiten. Eine Vervielfältigung oder Verwendung solcher Grafiken, Tondokumente, Videosequenzen und Texte in anderen elektronischen oder gedruckten Publikationen ist ohne ausdrückliche Zustimmung des Autors nicht gestattet.

4. Rechtswirksamkeit dieses Haftungsausschlusses

Dieser Haftungsausschluss ist als Teil des Internetangebotes zu betrachten, von dem aus auf diese Seite verwiesen wurde. Sofern Teile oder einzelne Formulierungen dieses Textes der geltenden Rechtslage nicht, nicht mehr oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer Gültigkeit davon unberührt Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich. Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.

 

Bildnachweise:

Die Rechte an allen Bildern auf dieser Website liegen bei ihren jeweiligen Urhebern oder Lizenzgebern. Neben Abbildungen, die vom Rotary Club selbst erstellt wurden, kommen Bilder von Rotary International zum Einsatz. Alle Rechte vorbehalten.

Foto-Nachweise Für die Verwendung der Fotos gelten Folgende Hinweise zum Urheberrecht:

© Rotary International 2014 © Bildrechte liegen beim Rotary Club Syke bzw. beim Rotary Distrikt 1850


Datenschutzerklärung

Datenschutzinformationen für Besucher der Webseite

Der Rotary Distrikt 1850 möchte Ihnen nachstehend erklären, welche Daten von Ihnen auf dieser Webseite wie verarbeitet werden.

Zweck, Rechtsgrundlage, Kategorien von Empfängern, Speicherdauer der Datenverarbeitung

Zweck: Darstellung von Informationen über Datenschutz im Distrikt 1850 sowie Kommunikation über das Internet

Zweck der Datenverarbeitung auf dieser Webseite ist die Information über Tätigkeiten unseres Distriktes, verbunden mit der Möglichkeit der Nutzer, zielgerichtet mit Ansprechpartnern Kontakt aufnehmen zu können. Im Übrigen bearbeiten wir Personendaten gemäß folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffenen Person.
  • Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung entsprechender vorvertraglicher Maßnahmen.
  • Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, der wir gemäß allenfalls anwendbarem Recht der EU oder gemäß allenfalls anwendbarem Recht eines Landes, in dem die DSGVO ganz oder teilweise anwendbar ist, unterliegen.
  • Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtigten Interessen von uns oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere unser betriebswirtschaftliches Interesse, unsere Website bereitstellen zu können, die Informationssicherheit, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung weiterer Rechtsvorschriften.

Hierzu setzen wir im Rahmen der Leistungserbringung gesondert zur Verschwiegenheit und auf den Datenschutz verpflichte Personen ein.

Bei Ihrem Besuch der Website wird eine Verbindung mit Ihrem Browser hergestellt. Diese nachstehenden dabei erhobenen Informationen werden temporär Systemdateien abgelegt und automatisch erfasst:

  • IP-Adresse Ihres Geräts,
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL von abgerufenen Dateien,
  • Website, von der aus der Zugriff erfolgt bzw. von aus Sie auf unsere Seite geleitet wurden (Referrer-URL),
  • verwendeter Browser und ggf. das Betriebssystem Ihres Geräts sowie
  • der Name Ihres Providers.

Die genannten Daten werden durch uns zu Zwecken des reibungslosen Verbindungsaufbaus und der Systemsicherheit verarbeitet. Die anfallenden Verbindungsdaten werden automatisch gelöscht, in der Regel maximal nach sieben Tage. Sofern die Webseite missbräuchlich genutzt wird, werden Log-Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, bis zur Klärung des Vorfalls aufgehoben.

Nutzung von Cookies

Diese Website verwendet keine "Cookies".

Cookies sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen.

Kontaktformular

Ein Kontaktformular existiert nicht. Wenn Sie uns über Email anschreiben, werden Ihre Daten aus der Email zur Bearbeitung Ihres Anliegens verarbeitet.

Rechtsgrundlage für die Übermittlung an uns ist eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Daten werden dann gelöscht. Sofern aus Ihrer Anfrage keine Aufbewahrungspflicht entsteht (z.B. bei einer Bestellung), werden die Daten nach Ablauf von drei Jahren gelöscht. Ihre Daten werden intern an den zuständigen Ansprechpartner zur Bearbeitung Ihres Anliegens weitergeleitet. Eine Weitergabe an Dritte erfolgt nicht ohne Ihre Freigabe.

Google Fonts

Wir verwenden zur ansprechenden Anzeige unserer Webseite möglicherweise Schriftarten, die von Google bereitgestellt werden (Google Fonts, Anbieter Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Hierbei wird die Schriftart zur Anzeige in Ihrem Browser durch Google bereitgestellt. Rechtsgrundlage ist unser berechtigtes Interesse zur ansprechenden Anzeige unserer Webseite nach Art. 6 Abs. 1 lit. f DSGVO. Die Datenschutzerklärung von Google finden Sie hier: (https://www.google.com/policies/privacy/)[https://www.google.com/policies/privacy/].

Adobe Typekit

Wir verwenden zur ansprechenden Anzeige unserer Webseite möglicherweise Schriftarten, die von Adobe bereitgestellt werden (Adoby Typekit, Anbieter: Adobe Systems Incorporated, A17 345 Park Avenue, San Jose, CA, 95110). Hierbei wird die Schriftart zur Anzeige in Ihrem Browser durch Adobe bereitgestellt. Rechtsgrundlage ist unser berechtigtes Interesse zur ansprechenden Anzeige unserer Webseite nach Art. 6 Abs. 1 lit. f DSGVO. Die Datenschutzerklärung von Adobe finden Sie hier: (https://www.adobe.com/privacy/policies/typekit.html.)[https://www.adobe.com/privacy/policies/typekit.html]

Ihr Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit

Sie können jederzeit Ihr Recht auf Auskunft, Berichtigung und Löschung von Daten wahrnehmen. Kontaktieren Sie uns einfach auf den oben beschriebenen Wegen. Sofern Sie eine Datenlöschung wünschen, wir aber noch gesetzlich zur Aufbewahrung verpflichtet sind, wird der Zugriff auf Ihre Daten eingeschränkt (gesperrt). Gleiches gilt bei einem Widerspruch. Ihr Recht auf Datenübertragbarkeit können Sie wahrnehmen, soweit die technischen Möglichkeiten beim Empfänger und bei uns zur Verfügung stehen.

Datensicherheit/ Verschlüsselung

Diese Webseite nutzt „Hypertext Transfer Protocol Secure“ (https). Die Verbindung zwischen Ihrem Browser und unserem Server erfolgt verschlüsselt.

Aktualität und Änderung dieser Datenschutzerklärung

Wir behalten uns vor, den Inhalt dieser Datenschutzerklärung jederzeit anzupassen. Dies erfolgt in der Regel bei Weiterentwicklung oder Anpassung der eingesetzten Dienste.