...
- Welche Schutzmaßnahmen sind zu treffen, um die Teilnehmerdaten angemessen zu sichern? Kann die GI dabei unterstützen?
Mit dem neuen GI Auftritt / TYPO3 bieten wir ein einfaches Veranstaltungsmanagement an. Bei jeder Veranstaltung kann optional eine Anmeldung aktiviert werden (siehe Beispiel). Teilnehmerlisten können als CSV exportiert und weiter verarbeitet werden. Die personenbezogene Daten werden im TYPO3 gespeichert, also beim Hosting-Anbieter, mit dem wir ein Auftragsverarbeitungsvertrag haben.
- Bietet die GI z. B. ein geschützten Speicherbereich, wo wir z. B. die Listen speichern können oder auch einen Online-Zugang, über den sich die Teilnehmer anmelden können?
Wir bieten einen geschützten Speicherbereich in unserem Confluence an. Jede Gliederung kann einen Bereich erhalten, in dem auch Dateilisten geführt werden können und alle Leitungsmitglieder automatisch mit dem Zugang vom Mitgliederbereich haben. Die Teilnehmeranmeldung kann wie im vorigen Punkt beschrieben erfolgen. - Wie lange dürfen bzw. sollen die Veranstaltungsdaten aufbewahrt werden?
Entweder hat man eine gesetzliche Aufbewahrungspflicht in dem Fall meines Beispiel steuerrechtlicher Natur oder man darf nur so lange wie der Zweck vorhanden bzw. so lange es notwendig ist den Zweck zu erfüllen. Eine dann verhältnismäßige Frist kann in Abwägung der berechtigten Interessen einerseits und den schutzwürdigen Interessen andererseits „frei“ festgelegt werden.
- Was ist zu beachten und zu tun, wenn bei meiner Veranstaltung fotografiert und/oder gefilmt werden soll?
Das Thema Film- und Fotoaufnahmen hat mit der DSGVO eine noch nicht abschließend geklärte Wendung erhalten. Die bisherigen Regelungen im KuG gelten nur noch für Medien, nicht aber für sonstige Stellen. Allerdings haben die deutschen Datenschutzaufsichtsbehörden bereits erklärt, dass die Spielregeln des KuG als Auslegung im Rahmen des berechtigten Interesses gemäß Art. 6 Abs. 1f DSGVO genutzt werden können. Bei Fotos von einzelnen oder nur wenigen Personen ist allerdings eine Einwilligung erforderlich. Eine besondere Herausforderung besteht in den Transparenz- und Informationspflichten der DSGVO.
Daraus ergibt sich im Rahmen einer Einladung für eine Veranstaltung und zweckmäßigerweise ergänzt um Thekenaufsteller o. ä. das Erfordernis einer etwas umfangreicheren Information als jene, die Sie in Ihrer Mail angeführt haben. Text könnte wie folgt lauten:
„Zum Zweck der eigenen Berichterstattung über die „……………………………“ werden Fotografien und Videos angefertigt. Eine Auswahl dieser Bildwerke soll auf unserer Website und/oder …………………….. veröffentlicht werden, sowie in hauseigenen Print-Publikationen.Mit der Teilnahme an dieser Veranstaltung stimmen Sie einer entsprechenden Veröffentlichung von Bildwerken Ihrer Person zu. Sofern Sie das nicht möchten, bitten wir Sie, unseren Fotografen darauf hinzuweisen. Informationen zu Ihren Rechten und zum Datenschutz finden Sie auf unserer Website https://gi.de.“
Hinweis: Beim Anmeldeverfahren über das Veranstaltungsmodul im GI TYPO3 ist eine Zustimmung der Teilnahmebedingungen anzukreuzen. Die Teilnahmebedingungen stehen unter https://gi.de/teilnahmebedingungen/
Beispiel Hinweisschild bei Veranstaltung.
Mailinglisten
- Wie betreibe ich Mailinglisten unter Einhaltung der DSGVO?
Bei den Mailinglisten ist es in erster Linie wichtig, dass die Empfänger der Mailingliste zugestimmt haben. Wenn die Empfänger sich selber eingetragen haben, dann ist keine weitere Aktion erforderlich. Sollte das nicht der Fall sein, dann müssen die Empfänger darüber informiert werden, wie sie sich aus der Liste austragen können. - Wie ist das bei der Einwilligung bei unseren Mitgliederdaten und den diversen Mailinglisten? Wenn sich die Mitglieder in Mailinglisten selbst eingetragen haben, muss man sie dann nachher nochmal konkret um Erlaubnis bitte, dass man sie darin behält?
"Durch die DSGVO ändert sich an den Vorgaben von Einwilligungen oder der Berechtigung zur Zusendung von "Werbung" wozu auch Einladungen zu Veranstaltungen gehören nichts. Im Übrigen hatten wir doch meine ich auch in der Vergangenheit klar definiert, dass z.B. die Mitglieder der GI aufgrund Ihrer Mitgliedschaft auch Informationen zu Veranstaltungen erhalten dürfen, weil dies einfach zum Vertragszweck der Mitgliedschaft gehört. Die "eigenverantwortlichen" Fachgruppen, zu denen sich die Mitglieder ja quasi gesondert anmelden können, müßten natürlich schon weiterhin nur mit ihren Daten arbeiten, welche sich auch explizit bei denen gemeldet haben."
...