Talks/2024-02-11_GDPRInSports
2
0
Fork 0
Code Issues Pull Requests Packages Projects Releases 2 Wiki Activity

Add the notes for the talk

Browse Source
This commit is contained in:
Alexander Noack
2024-02-03 19:05:17 +01:00
parent a2a8cb35be
commit 3ea9bcb38c
1 changed files with 177 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

177
notes.md
View File

@@ -0,0 +1,177 @@
# Die Datenschutzgrundverordnung im Sport
## Was ist die DGSVO?
Die Datenschutzgrundverordnung (DGSVO) ist eine Verordnung des europäischen
Rechts. Sie gilt daher, anders als eine Richtline, unmittelbar, und muss nicht
durch nationale Gesetze umgesetzt werden. Das Ziel der Verordnung ist eine
einheitliche Regelung zum Datenschutz im gesamten EU-Gebiet, sodass die Daten
der Bürger in allen EU-Staaten das gleiche hohe Schutzniveau der ihrer Daten
erwarten können.
Die meisten Regelungen der DGSVO waren im deutschen Datenschutzrecht schon vor
Inkrafttreten verankert.
### Wen schützt die DGSVO?
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher
Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
So heißt es in Artikel 1 Abs.2. Es geht also nicht um öffentliche oder
unternehmensbezogene Daten, sondern in erster Line um personenbezogene Daten.
Ein Unternehmen, dass z.B. unternehmensinterne Daten veröffentlicht sieht (wie
z.B. bei den "Cum-Ex" Ermittlungen), kann sich nicht auf die DGSVO berufen!
In erster Line geht es natürlich um die Verarbeitung personenbezogener Daten
mittels elektronischer Datenverarbeitung. Also weniger um den Zettelkasten zu
Hause, als um das Sammeln und Auswerten von Daten in Computersystemen durch
interessierte Parteien. Grund dafür ist, dass insbesondere durch die
Zusammenführung verschiedener Daten viel über eine Person erfahren kann,
eventuell auch Dinge, die diese Person lieber für sich behalten möchte
(Beispiel: sexuelle Orientierung).
### Wann ist die DGSVO zu beachten?
Art. 2 Abs. 1 DSGVO:
„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem
Dateisystem gespeichert sind oder gespeichert werden sollen.“
Also immer, wenn Dinge automatisch verarbeitet oder in einem Computer
verarbeitet werden.
Es gilt auch eine sog. *Haushaltsausnahme*. Das heißt, private Daten, z.B. auf
dem heimischen PC, sind davon ausgenommen. Aber Achtung: Das ändert sich, sobald
die Daten öffentlich im Internet geteilt werden.
### Was müssen Vereine beachten?
Für Vereine gelten erstmal die gleichen Regeln wie für Unternehmen. Das ist
Absicht, damit Unternehmen nicht einfach Vereine gründen können, um
Datenschutzvorschriften zu umgehen. In der Praxis darf ein Verein natürlich alle
personenbezogene Daten verarbeiten, die der Erfüllung des Vereinziels dienen.
Also, Mitgliederverwaltung aber auch solche Dinge wie Informationen
Wettkampfteilnehmende und so weiter.
Ein gängiges Missverständnis ist, dass für die Datenverarbeitung immer die
Einwilligung der Betroffenen eingeholt werden muss, was dazu führt, dass viele
Vereine aber auch Schulen und Kindergärten sich selbst mit einer überbordeneden
Bürokratie zummüllen, und die Mitglieder mit mit seitenweisen
Einwilligungserklärungen nerven. Das ist in der Regel nicht nötig. Wenn eine
Datenverarbeitende Stelle, also der Verein, ein berechtigtes Interesse hat, die
Daten zu erheben, ist ein extra Einverständnis nicht erforderlich. Was ein
berechtigtes Interesse ist, hat der Gesetzgeber festgelegt. Die Verwaltung von
Mitgliedern eines Vereins zum Beispiel. Aber auch die Übertragung von Daten von
Wettkampfteilnehmenden an den ausrichtenden Verband fält darunter. Der Verkauf
der Daten an einen Sponsor hingegen nicht.
### Kann ich eine Mitgliederliste im Verein veteilen?
Hier ist mit einem klaren "Jein" zu antworten. Die Verteilung dieser Daten kann
ein berechtigtes Interesse sein, z.B. bei Vereinen deren primärer Zweck die
Vernetzung iher Mitglieder ist. Bein einem Sportverein ist das eher nicht der
Fall. In so einem Fall kann eine Einwilligung der Mitglieder eingeholt werden.
### Was ist mit Fotos auf dem Sommerfest?
Eine häufige Streitfrage ist, was mit Fotos auf Vereinsfesten und
Sportveranstaltungen sei. Manche Vereine machen sich auch hier die Mühe überall
um Einwilligungen zu bitten. Das ist im Regelfall ebenfalls nicht nötig. Eine
öffentliche Sportveranstaltung ist natürlich immer mindestens von lokalem
öffentlichen Interesse, und somit eine Veranstaltung der Zeitgeschichte. Als
solche darf sie natürlich auch fotografisch dokumentiert werden. Die DGSVO
greift hier nicht, stattdessen das Kunsturheberrechtsgesetz, das das Recht am
eigenen Bild regelt. Hier ist die goldene Regel: Bilder der Veranstaltung an
sich sind OK, wenn ihr Portraits einzelner Sportler:innen schießen wollt, müsst
ihr fragen.
Komplizierter ist die Verbreitung der Bilder in sozialen Medien. Während ihr die
Bilder problemlos in der Lokalpresse oder auf der Vereinswebseite
veröffentlichen könnt, ist der Status der sozialen Medien rechtlich nocht
ungeklärt. Da hier die Daten in der Regel gerade benutzt werden um Personen zu
identifizieren (Facebook, zum Beispiel lässt seine Gesichtserkennung über alle
hochgeladenen Fotos laufen). Abschließende Urteile stehen hier noch aus, aber
ich würde sagen, dass es mit Unternehmen, die sich grundsätzlich nicht an
europäisches Datenschutzrecht halten schwierig wird, im Streitfall das Argument
zu gewinnen.
Mein Vorschlag ist, ähnlich wie der CCC dies macht, bereits vor der
Veranstaltung eine Fotopolicy zu veröffentlichen, sodass die Teilnehmenden sich
entscheiden können, ob und unterwelchen Umständen sie auf Fotos mit drauf sein
möchten. Wichtig ist dabei, denen, die nicht fotografiert werden möchten, immer
eine Gelegenheit zu geben, aus dem Bild zu gehen. Das ist höflich und spart eine
Menge Ärger.
### Was ist mit WhatsApp, Insta, Microsoft?
Die meisten von euch nutzen vermutlich WhatsApp um innerhalt eurer Gruppen, z.B.
Termine zu kommunizieren, aber auch um euch untereniander auszutauschen. Da
WhatsApp so verbreitet ist, macht es das ja auch sehr einfach, eine
Vereinsgruppe zu erstellen. Da nach einer Erhebung 95% aller Menschen in
Deutschland, die ein Smartphone haben, WhatsApp zumindest installiert haben, ist
die Abdeckung riesig. Insofern spricht einiges dafür, WhatApp im Verein zu
benutzen. Und jetzt kommt das große *Aber*:
- WhatsApp lagert alle Daten ausserhalb der EU. Was dort damit geschieht ist
unklar
- WhatsApp liest alle Kontakte aus eurem Adressbuch und sendet die Daten an die
Betreiberfirma Meta. Auch die Daten von nicht WhatsApp-Nuztern. Das verstößt
einddeutig gegen die DGSVO
- Eine nach der DGSVO gültige Auftragsdatenverarbeitung liegt nicht vor. Dieser
Vertrag zwischen den Nutzenden einer Software, und der Firma, die die Daten
verarbeitet muss von der verarbeitenden Firma vorgelegt werden. Sie dient als
Beleg, dass die Firma sich an bestehende Datenschutzgesetze hält. Der Vorteil
ist: Hat die Firma so eine Auftragsdatenverarbeitung, und hält sich nicht
daran, seid ihr aus der Haftung für Schäden, die durch den Datenmisbrauch
entstehen raus.
- Privats und Vereinsrelevantes lassen sich schwer trennen. Wer eine Gruppe auf
WhatsApp betreibt, hat das bestimmt schon erfahren: Wenn die Gruppe nicht auf
"nur senden" steht, kommen immmer wieder Beiträge rein, die gar nichts mit dem
Verein zu tun haben. Mit unter auch private Bilder, die dann wiederum aus
Sicht des Vereins, der als Betreiber der Gruppe ja verantwortlich ist,
datenschutzrechtlich problematisch sein können (z.B. Kinderbilder die von
Eltern verschickt werden).
#### Alternativen zu WhatsApp
WhatsApp ist grundsätzlich nicht konform mit der DGSVO zu nutzen. Letztlich
müssen die Einzelnen entscheiden, ob sie das benuzten wollen oder nicht. Ich
weiß, dass es schwer sein kann, andere -vor allem technisch nicht so
interessierte Menschen- davon zu überzeugen einen datenschutzfreundlichern
Messenger zu verwenden. Holt euch aber zumindest das Einverständnis von allen
Beteiligten. Außerdem müsst ihr eine Alternative anbieten, um Mitgliedern die
Datenschutz bewusster sind wenigstens die wichtigsten Ereignisse ankündigen zu
können (z.B. " Training fällt wegen Krankheit heute aus."). Hier sozialen Druck
aufzubauen ist der falsche Weg!
Es gibt andere Messenger, die sich deutlich besser mit der DGSVO vereinigen
lassen. Allen voran sei hier Signal genannt, der als einziges personenbezogens
Datum die Telefonnummer des Teilnehmenden speichert (um die Verbindung zwischen
Usern herzustellen), und konsequent Ende-zu-Ende verschlüsselt ist. Andere
kompatible Messenger sind Threema (kostet aber einmalig €3.99 pro Installation)
und Matrix.
Matrix ist ein dezentrales System des sog. Fediverse, bei dem man die Server
auch selber betreiben kann. Die Goldlösung hier wäre, wenn der Verein einen
solchen Server anbieten könnte. Damit wären alle datenschutzrechtlichen Probleme
gelöst.
#### Microsoft Office und Co.
Auch bei der Verarbeitung der Mitgliedsdaten (z.B. der Anwesenheitslisten) ist
einiges zu beachten. Die meisten werden das mit Excel machen. Microsoft Office
kann, laut dem Bundesdatenschutzbeauftragen Ulrich Kelber, aber nicht
datenschutzkonform eingesetzt werden. Untenehmen, die die Enterprise-Version
haben können das theoretisch ändern, Privatpersonen eher nicht.
Der Hauptgrund ist, dass mit dem Modell Office als *Software-As-A-Service*
anzubieten, alles was ihr mit Office macht in die Azure-Cloud von Microsoft
übertragen wird, die wiederum nicht europäischen Datenschutzstandards
entspricht. Wir wissen das Microsoft den Inhalt der von euch erstellten
Dokumente von Microsoft auch analysiert wird. Unabhängig von den
Datenschutzproblemen, die das für den Verein bringen kann, rate ich
grundsätzlich davon ab MS Office 365 zu benutzen. Freie Alternativen wie
LibreOffice und OpenOffice speichern keine Daten bei Dritten, und sind obendrein
auch noch kostenlos. Im Funktionsumfang unterscheiden sie sich auch nicht von
den Microsoft-Produkten