From 3ea9bcb38c6377633246bed138792db1bd14c30d Mon Sep 17 00:00:00 2001 From: Jali Date: Sat, 3 Feb 2024 19:05:17 +0100 Subject: [PATCH] Add the notes for the talk --- notes.md | 177 +++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 177 insertions(+) diff --git a/notes.md b/notes.md index e69de29..3ba73ff 100644 --- a/notes.md +++ b/notes.md @@ -0,0 +1,177 @@ +# Die Datenschutzgrundverordnung im Sport + +## Was ist die DGSVO? + +Die Datenschutzgrundverordnung (DGSVO) ist eine Verordnung des europäischen +Rechts. Sie gilt daher, anders als eine Richtline, unmittelbar, und muss nicht +durch nationale Gesetze umgesetzt werden. Das Ziel der Verordnung ist eine +einheitliche Regelung zum Datenschutz im gesamten EU-Gebiet, sodass die Daten +der Bürger in allen EU-Staaten das gleiche hohe Schutzniveau der ihrer Daten +erwarten können. + +Die meisten Regelungen der DGSVO waren im deutschen Datenschutzrecht schon vor +Inkrafttreten verankert. + +### Wen schützt die DGSVO? + +„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher +Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“ + +So heißt es in Artikel 1 Abs.2. Es geht also nicht um öffentliche oder +unternehmensbezogene Daten, sondern in erster Line um personenbezogene Daten. +Ein Unternehmen, dass z.B. unternehmensinterne Daten veröffentlicht sieht (wie +z.B. bei den "Cum-Ex" Ermittlungen), kann sich nicht auf die DGSVO berufen! + +In erster Line geht es natürlich um die Verarbeitung personenbezogener Daten +mittels elektronischer Datenverarbeitung. Also weniger um den Zettelkasten zu +Hause, als um das Sammeln und Auswerten von Daten in Computersystemen durch +interessierte Parteien. Grund dafür ist, dass insbesondere durch die +Zusammenführung verschiedener Daten viel über eine Person erfahren kann, +eventuell auch Dinge, die diese Person lieber für sich behalten möchte +(Beispiel: sexuelle Orientierung). + +### Wann ist die DGSVO zu beachten? + +Art. 2 Abs. 1 DSGVO: + +„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten +sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem +Dateisystem gespeichert sind oder gespeichert werden sollen.“ + +Also immer, wenn Dinge automatisch verarbeitet oder in einem Computer +verarbeitet werden. + +Es gilt auch eine sog. *Haushaltsausnahme*. Das heißt, private Daten, z.B. auf +dem heimischen PC, sind davon ausgenommen. Aber Achtung: Das ändert sich, sobald +die Daten öffentlich im Internet geteilt werden. + +### Was müssen Vereine beachten? + +Für Vereine gelten erstmal die gleichen Regeln wie für Unternehmen. Das ist +Absicht, damit Unternehmen nicht einfach Vereine gründen können, um +Datenschutzvorschriften zu umgehen. In der Praxis darf ein Verein natürlich alle +personenbezogene Daten verarbeiten, die der Erfüllung des Vereinziels dienen. +Also, Mitgliederverwaltung aber auch solche Dinge wie Informationen +Wettkampfteilnehmende und so weiter. + +Ein gängiges Missverständnis ist, dass für die Datenverarbeitung immer die +Einwilligung der Betroffenen eingeholt werden muss, was dazu führt, dass viele +Vereine aber auch Schulen und Kindergärten sich selbst mit einer überbordeneden +Bürokratie zummüllen, und die Mitglieder mit mit seitenweisen +Einwilligungserklärungen nerven. Das ist in der Regel nicht nötig. Wenn eine +Datenverarbeitende Stelle, also der Verein, ein berechtigtes Interesse hat, die +Daten zu erheben, ist ein extra Einverständnis nicht erforderlich. Was ein +berechtigtes Interesse ist, hat der Gesetzgeber festgelegt. Die Verwaltung von +Mitgliedern eines Vereins zum Beispiel. Aber auch die Übertragung von Daten von +Wettkampfteilnehmenden an den ausrichtenden Verband fält darunter. Der Verkauf +der Daten an einen Sponsor hingegen nicht. + +### Kann ich eine Mitgliederliste im Verein veteilen? + +Hier ist mit einem klaren "Jein" zu antworten. Die Verteilung dieser Daten kann +ein berechtigtes Interesse sein, z.B. bei Vereinen deren primärer Zweck die +Vernetzung iher Mitglieder ist. Bein einem Sportverein ist das eher nicht der +Fall. In so einem Fall kann eine Einwilligung der Mitglieder eingeholt werden. + +### Was ist mit Fotos auf dem Sommerfest? + +Eine häufige Streitfrage ist, was mit Fotos auf Vereinsfesten und +Sportveranstaltungen sei. Manche Vereine machen sich auch hier die Mühe überall +um Einwilligungen zu bitten. Das ist im Regelfall ebenfalls nicht nötig. Eine +öffentliche Sportveranstaltung ist natürlich immer mindestens von lokalem +öffentlichen Interesse, und somit eine Veranstaltung der Zeitgeschichte. Als +solche darf sie natürlich auch fotografisch dokumentiert werden. Die DGSVO +greift hier nicht, stattdessen das Kunsturheberrechtsgesetz, das das Recht am +eigenen Bild regelt. Hier ist die goldene Regel: Bilder der Veranstaltung an +sich sind OK, wenn ihr Portraits einzelner Sportler:innen schießen wollt, müsst +ihr fragen. + +Komplizierter ist die Verbreitung der Bilder in sozialen Medien. Während ihr die +Bilder problemlos in der Lokalpresse oder auf der Vereinswebseite +veröffentlichen könnt, ist der Status der sozialen Medien rechtlich nocht +ungeklärt. Da hier die Daten in der Regel gerade benutzt werden um Personen zu +identifizieren (Facebook, zum Beispiel lässt seine Gesichtserkennung über alle +hochgeladenen Fotos laufen). Abschließende Urteile stehen hier noch aus, aber +ich würde sagen, dass es mit Unternehmen, die sich grundsätzlich nicht an +europäisches Datenschutzrecht halten schwierig wird, im Streitfall das Argument +zu gewinnen. + +Mein Vorschlag ist, ähnlich wie der CCC dies macht, bereits vor der +Veranstaltung eine Fotopolicy zu veröffentlichen, sodass die Teilnehmenden sich +entscheiden können, ob und unterwelchen Umständen sie auf Fotos mit drauf sein +möchten. Wichtig ist dabei, denen, die nicht fotografiert werden möchten, immer +eine Gelegenheit zu geben, aus dem Bild zu gehen. Das ist höflich und spart eine +Menge Ärger. + +### Was ist mit WhatsApp, Insta, Microsoft? + +Die meisten von euch nutzen vermutlich WhatsApp um innerhalt eurer Gruppen, z.B. +Termine zu kommunizieren, aber auch um euch untereniander auszutauschen. Da +WhatsApp so verbreitet ist, macht es das ja auch sehr einfach, eine +Vereinsgruppe zu erstellen. Da nach einer Erhebung 95% aller Menschen in +Deutschland, die ein Smartphone haben, WhatsApp zumindest installiert haben, ist +die Abdeckung riesig. Insofern spricht einiges dafür, WhatApp im Verein zu +benutzen. Und jetzt kommt das große *Aber*: + +- WhatsApp lagert alle Daten ausserhalb der EU. Was dort damit geschieht ist + unklar +- WhatsApp liest alle Kontakte aus eurem Adressbuch und sendet die Daten an die + Betreiberfirma Meta. Auch die Daten von nicht WhatsApp-Nuztern. Das verstößt + einddeutig gegen die DGSVO +- Eine nach der DGSVO gültige Auftragsdatenverarbeitung liegt nicht vor. Dieser + Vertrag zwischen den Nutzenden einer Software, und der Firma, die die Daten + verarbeitet muss von der verarbeitenden Firma vorgelegt werden. Sie dient als + Beleg, dass die Firma sich an bestehende Datenschutzgesetze hält. Der Vorteil + ist: Hat die Firma so eine Auftragsdatenverarbeitung, und hält sich nicht + daran, seid ihr aus der Haftung für Schäden, die durch den Datenmisbrauch + entstehen raus. +- Privats und Vereinsrelevantes lassen sich schwer trennen. Wer eine Gruppe auf + WhatsApp betreibt, hat das bestimmt schon erfahren: Wenn die Gruppe nicht auf + "nur senden" steht, kommen immmer wieder Beiträge rein, die gar nichts mit dem + Verein zu tun haben. Mit unter auch private Bilder, die dann wiederum aus + Sicht des Vereins, der als Betreiber der Gruppe ja verantwortlich ist, + datenschutzrechtlich problematisch sein können (z.B. Kinderbilder die von + Eltern verschickt werden). + +#### Alternativen zu WhatsApp + +WhatsApp ist grundsätzlich nicht konform mit der DGSVO zu nutzen. Letztlich +müssen die Einzelnen entscheiden, ob sie das benuzten wollen oder nicht. Ich +weiß, dass es schwer sein kann, andere -vor allem technisch nicht so +interessierte Menschen- davon zu überzeugen einen datenschutzfreundlichern +Messenger zu verwenden. Holt euch aber zumindest das Einverständnis von allen +Beteiligten. Außerdem müsst ihr eine Alternative anbieten, um Mitgliedern die +Datenschutz bewusster sind wenigstens die wichtigsten Ereignisse ankündigen zu +können (z.B. " Training fällt wegen Krankheit heute aus."). Hier sozialen Druck +aufzubauen ist der falsche Weg! + +Es gibt andere Messenger, die sich deutlich besser mit der DGSVO vereinigen +lassen. Allen voran sei hier Signal genannt, der als einziges personenbezogens +Datum die Telefonnummer des Teilnehmenden speichert (um die Verbindung zwischen +Usern herzustellen), und konsequent Ende-zu-Ende verschlüsselt ist. Andere +kompatible Messenger sind Threema (kostet aber einmalig €3.99 pro Installation) +und Matrix. + +Matrix ist ein dezentrales System des sog. Fediverse, bei dem man die Server +auch selber betreiben kann. Die Goldlösung hier wäre, wenn der Verein einen +solchen Server anbieten könnte. Damit wären alle datenschutzrechtlichen Probleme +gelöst. + +#### Microsoft Office und Co. + +Auch bei der Verarbeitung der Mitgliedsdaten (z.B. der Anwesenheitslisten) ist +einiges zu beachten. Die meisten werden das mit Excel machen. Microsoft Office +kann, laut dem Bundesdatenschutzbeauftragen Ulrich Kelber, aber nicht +datenschutzkonform eingesetzt werden. Untenehmen, die die Enterprise-Version +haben können das theoretisch ändern, Privatpersonen eher nicht. + +Der Hauptgrund ist, dass mit dem Modell Office als *Software-As-A-Service* +anzubieten, alles was ihr mit Office macht in die Azure-Cloud von Microsoft +übertragen wird, die wiederum nicht europäischen Datenschutzstandards +entspricht. Wir wissen das Microsoft den Inhalt der von euch erstellten +Dokumente von Microsoft auch analysiert wird. Unabhängig von den +Datenschutzproblemen, die das für den Verein bringen kann, rate ich +grundsätzlich davon ab MS Office 365 zu benutzen. Freie Alternativen wie +LibreOffice und OpenOffice speichern keine Daten bei Dritten, und sind obendrein +auch noch kostenlos. Im Funktionsumfang unterscheiden sie sich auch nicht von +den Microsoft-Produkten