Liebe LARP-Orgas und LARP-Vereine,
hier ein paar Infos zur Datenschutzgrundverordnung EU-DSGVO, die für uns alle ab dem 25.05.18 gilt und bindend ist.
Wir stellen euch hier unseren Kenntnisstand zum Thema EU-DSGVO zur Verfügung, um es euch vielleicht ein wenig leichter zu machen.
Der Deutsche Liverollenspiel-Verband bietet euch über uns ebenfalls eine gute Info zu diesem Thema und angeschlossene Vereine und Einzelpersonen können sich bei uns unter 1.vorstand@gflr.de informieren.
Organisationen, die nicht dem DLRV angehören, können diesen Service gegen einen Obulus von 50,- Euro ebenfalls in Anspruch nehmen.
Ein Hinweis vorweg: Die Umstellung auf DS-GVO ist ziemlich viel Arbeit, ihr solltet das Thema und seine Bearbeitung also nicht auf die lange Bank schieben, sondern zügig anfangen.
HINWEIS: Die Informationen auf dieser Seite sind allgemeiner Art und stellen grundsätzlich keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultiert bitte unbedingt einen Rechtsanwalt, wenn ihr es für nötig befindet.
Nun zur DSGVO, die am 25.05.2018 verbindlich für alle in Kraft tritt, die mit personenbezogenen Daten (und das beginnt schon bei der IP-Adresse von Personen, die eure Webseite besuchen) arbeiten.
Grundsätzlich findet ihr hier ganz viele wertvolle Infos zu dem Thema:
Allgemeine Infos in einem Text des Landesdatenschutzbeauftragten von Baden-Württemberg:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
Checkliste für Vereine zur Umstellung auf DS-GVO und allgemeine Infos des Landesdatenschutzbeauftragten von Niedersachsen:
https://www.lfd.niedersachsen.de/themen/vereine/datenschutz-im-verein-56043.html
Kurzpapiere der Datenschutzkonferenz zur Anwendung der DS-GVO
http://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/ds-gvo—kurzpapiere-155196.html
Bei den Kurzpapieren müsst ihr selbst mal schauen, welche außer den von mir unten erwähnten für euch vielleicht in Frage kommen könnten und hilfreich wären.
Für die, die nicht alles selbst lesen wollen, haben wir das hier (ohne Anspruch auf absolute Vollständigkeit) mal „ein wenig“ zusammengefasst. Einen guten Überblick bietet auch das Dokument „Checkliste.pdf“ des Landesdatenschutzbeauftragten des Landes Niedersachsen unter dem zweiten Link.
Was getan werden muss:
Datenschutzerklärung für eure Webseite
- (muss ziemlich ausführlich sein, Informationspflicht nach Art. 12 ff DSGVO ). Diese sollte so platziert sein, dass sie von überall auf eurer Seite mit einem Klick ansteuerbar ist. Da muss ziemlich viel rein, inklusive aller Links zu Datenschutzerklärungen von Anbietern, die auf eurer Webseite eingebunden sind (z.B. Google Analytics, Google-Fonts, Akismet etc.). Es muss alles kenntlich gemacht werden. Da das ganze ziemlich weitreichend und kompliziert ist, haben wir den guten Tipp bekommen, uns den T3N-Datenschutzguide https://t3n.de/store/order/dsgvoguide mit entsprechenden Dokumenten für 100,- Euro zu kaufen. Dieser Guide führt euch Schritt für Schritt durch die Erstellung und bietet grundsätzlich viele Infos zur DSGVO. Falls ihr euch aber selbst schlau machen wollt, könnt ihr das z.B. mit dem Kurzpapier Nr. 10 unter diesem Link tun:
Datenschutzrechtliche Einwilligung eurer Teilnehmer*innen und Mitglieder
- (Informationspflicht nach Art. 12 ff DSGVO) bzw. aller Personen, von denen ihr personenbezogene Daten außerhalb eurer Webseite erhebt (Anmeldeunterlagen, Daten über Kontaktformulare etc.) und speichert. Ggf. müssen bei Vereinen Satzungsanpassungen vorgenommen werden, um dem neuen Datenschutz zu entsprechen. Falls nicht sollten Verein zumindest eine Geschäftsordnung oder Datenschutzverordnung erarbeiten. Diese muss dann auf der nächsten Mitgliederversammlung beschlossen werden – es sei denn eure Satzung sagt was anderes. Auch eine ziemlich ausführliche Sache, für die man sich das Kurzpapier Nr. 10 anschauen sollte:
Thema Foto- und Videoaufnahmen eurer Teilnehmer*innen und Mitglieder
- Es gibt noch keine Regelung zu diesem Thema in der DSGVO bzw. sie ist sehr schwammig. Zurzeit gilt bis zu einer richterlichen Entscheidung auf Grundlage der DSGVO daher noch das Bundesdatenschutzgesetz (BDSG) bzw. das Kunsturhebergesetz (KUG) hier insbesondere die § 22 und ggf. auch § 23 (aber eher nicht).
- Nochmal wichtig zu wissen: Die Regelung mit mehreren Personen (mehr als 5 oder so) auf einem Bild etc. ggf. angelehnt an § 23 KUG greift in den meisten Fällen auf LARP nicht, da es sich nicht um öffentliche Veranstaltungen handelt und meistens die Teilnehmer*innen das Hauptmotiv des Bildes sind. Außerdem sind sie weder „Personen der Zeitgeschichte“, noch besteht ein „höheres Interesse der Kunst“. Ein Blick in
§22 KUG http://www.gesetze-im-internet.de/kunsturhg/__22.html und
§23 KUG https://www.gesetze-im-internet.de/kunsturhg/__23.html lohnt sich.
Was bedeutet das ggf. für euch: - Solange ihr nicht eine ziemlich ausführliche und unterschriebene Einverständniserklärung jedes einzelnen eurer Teilnehmer*innen zum Anfertigen und Veröffentlichen der Foto- und Videoaufnahmen habt (AGB reicht hier nicht aus, da meistens zu schwammig und wenig konkret formuliert), solltet ihr vielleicht sicherheitshalber keine Aufnahmen veröffentlichen. Vor allem, weil veröffentlichte Fotos von allen einsehbar sind und damit einen guten Angriffspunkt bieten, den jeder sehen kann. Ein Muster für eine mögliche Einverständniserklärung für Foto- und Videoaufnahmen habe ich zusammengebastelt. Ihr findet sie hier: folgt und dürft sie verwenden – immer in dem Wissen, dass es sich um kein durch einen Juristen abgesichertes Dokument handelt und die Bereitstellung keine Rechtsberatung darstellt.
Ein weiteres Muster findet ihr auch auf Seite 35 dieses Dokuments (wie oben) hier: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf - Was folgt ggf. daraus:
- Entweder ihr holt euch rückwirkend eine sehr ausführliche Einverständniserklärung – ziemlich viel Arbeit und der Rücklauf dürfte bescheiden sein
- Oder ihr löscht sicherheitshalber alle Aufnahmen aus vergangenen Veranstaltungen, bei denen ihr keine Einverständniserklärung habt. Schade, aber sicherer. Für aktuelle Veranstaltungen sollte ihr dann eine ausführliche Einverständniserklärung (siehe oben) von jedem einzelnen unterschreiben lassen.
Vertrag zur Auftragsdatenverarbeitung (ADV)
- mit Personen/Unternehmen/Organisationen, die für euch personenbezogene Daten verarbeiten – sogenannte Auftragsdatenverarbeiter. Darunter fallen auf jeden Fall eure Web-Server-Hosts (Webseiten und Online-Mailserver etc.) wie Strato o.ä. aber ggf. auch Personen wie Steuerberater, ggf. Bank etc. Da müsst ihr für euch prüfen, was bei euch der Fall ist und es mit euren Auftragsdatenverarbeitern abklären. Die Server-Hosts haben normalerweise Standard-Formulare zum Anklicken.
Verzeichnis der Verarbeitungstätigkeiten (VVT)
- über alle Prozesse, die bei euch in der Orga (und somit in der GbR) oder im Verein laufen und mit personenbezogenen Daten zu tun haben. Ziemlich viel Arbeit, also besser früh damit anfangen!
Offiziell eigentlich erst bei mehr als 250 Mitarbeitern/Mitgliedern benötigt. Es gibt aber die Klausel, dass man sowas doch braucht, wenn man „nicht nur gelegentlich“ mit personenbezogenen Daten hantiert. Darunter fällt z.B. bei Vereinen die alljährliche Aufforderung zum Überweisen der Mitgliedsbeiträge oder auch die alljährliche Einladung zur Versammlung, bei Orgas sowas wie Newsletter, Einladungen zu Veranstaltungen etc.. Von daher gilt es eigentlich für alle.
Dazu, was das ist und wie man das macht findet ihr im Anhang ein paar informative Dokumente aus verschiedenen Quellen. Konkret sind folgende Dokumente dafür wichtig, die ihr unter folgenden Links findet: - Word-Vorlage zu Verzeichnis von Verarbeitungstätigkeiten
- VV-Anleitung der Uni Bochum (pdf)
- DSK-Kurzpapiere Nr. 1 (VVT) und Nr. 16 (Gemeinsam Verantwortliche)
- VV-Anleitung der Uni Bochum
- Hinweise zum VVT Art. 30 des Landesdatenschutzbauftragten Niedersachsen (pdf)
(pdf zum Download rechts auf der Link-Seite)
Technische und organisatorische Maßnahmen (TOM) nach Art. 42 DSGVO
- Zum VVT gehört auch ein Verzeichnis der technischen und organisatorischen Maßnahmen, die ihr trefft, um die bei euch verarbeiteten personenbezogenen Daten zu schützen. Wichtig ist hierbei vor allem der Satz 1 im Art. 32:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; (…)“
Es geht also um die Verhältnismäßigkeit in Bezug auf die Art eurer Daten und das Risiko für Betroffene. Das ist im LARP relativ gering, solange ihr keine Daten „besonderer Kategorie“ erhebt (darunter fallen z.B. Gesundheitsdaten wie Allergien etc.) – siehe auch „Besondere Kategorien personenbezogener Daten“ weiter unten auf dieser Seite.
Trotzdem müsst ihr ein Verzeichnis der TOM anlegen. Schaut euch hierzu bitte die entsprechenden Seiten in den Dokumenten unter folgenden Links an:- Hinweise zum Verzeichnis von Verarbeitungstätigkeiten S. 8-12
(pdf zum Download rechts auf der Link-Seite) - VV-Anleitung der Uni Bochum S. 4-5
- Hinweise zum Verzeichnis von Verarbeitungstätigkeiten S. 8-12
Verschwiegenheitserklärung
- Ihr solltet die Personen in eurer Orga/in eurem Verein, die mit personenbezogenen Daten arbeiten, eine Verschwiegenheitserklärung unterzeichnen lassen. Gehört u.a. auch mit zu den TOM.
ggf. Datenschutzbeauftragter nach Art. 37 f DSGVO
- Unter bestimmen Voraussetzungen müsst ihr einen Datenschutzbeauftragten bestellen (der darf nicht Mitglied des Vorstands sein) und diesen der entsprechenden Behörde melden. Mit Gerichtsbeschluss vom 25.11.2019 ist die Grenze der Personen, die ständig mit personenbezogenen Daten arbeiten, ohne dass man einen Datenschutzbeauftragten bestellen muss, von 10 Personen auf 20 Personen angehoben worden um gemeinnützigen Organisationen und Vereinen unter die Arme zu greifen.
Für uns trifft das nicht zu, wir kommen nicht über 20 Personen. Wann man davon betroffen ist kann zusätzlich zur 20-Personen-Regelung in unten angegebem Dokument nachgelesen werden – da steht noch die 10-Personen-Regelung drin, die ist nicht mehr aktuell. Wen das betrifft, der sollte sich grundsätzlich nochmal überlegen, den Personenkreis, der mit Daten arbeitet bzw. Zugriff darauf hat, drastisch zu verschlanken bzw. bestimmte Daten nicht mehr zu erheben um ggf. doch keinen Datenschutzbeauftragten bestellen zu müssen! Infos zum Datenschutzbeauftragten findet ihr in folgendem Kurzpapier der DSK:
ggf. Datenschutzfolgeabschätzung
- Wenn ihr mit sensiblen Daten arbeitet, die ein hohes Risiko für Betroffene darstellen, müsst ihr eine Datenschutzfolgeabschätzung machen. Trifft außer bei Gesundheitsdaten auf uns und wahrscheinlich auch auf euch meist nicht zu. Von daher besser nicht mehr nach Allergien etc. fragen, sondern eher nach „was magst du nicht essen“ oder so. Info hierzu im Kurzpapier Nr. 5 der DSK unter dem Link oben:
„Besondere Kategorien personenbezogener Daten“
- Im LARP vor allem auf Gesundheitsdaten bez. Allergien, Krankheiten etc. bezogen. Solltet ihr nicht erheben. Punkt. Das ist am einfachsten. Erhebt ihr sie doch, folgt: Bestellung eines Datenschutzbeauftragten, Datenschutzfolgeabschätzung, verschärfte TOM etc.
Alternative zum Abfragen von Lebensmittel-Allergien: Was möchtest du nicht essen?
Für alle anderen Allergien sind die TN selbst verantwortlich, diese mit entsprechenden Personen zu kommunizieren (sowas wie Penicilin-Allergie mit Rettungskräften etc.) – nicht eure Baustelle!
Welche Daten genau diese Kategorien umfassen könnt ihr imKurzpapier Nr. 17 der DAK nachlesen:
Für Rückfragen stehe ich euch wie immer gerne zur Verfügung und wünsche euch gutes Durchhalten beim Umsetzen!
Viele Grüße
Kim
1. Vorsitzende der Gesellschaft für Live-Rollenspiel e.V.