Talks/2024-02-11_GDPRInSports
2
0
Fork 0
Code Issues Pull Requests Packages Projects Releases 2 Wiki Activity
Files
3ea9bcb38c6377633246bed138792db1bd14c30d
2024-02-11_GDPRInSports/notes.md
Jali 3ea9bcb38c Add the notes for the talk
2024-02-03 19:05:17 +01:00

9.6 KiB
Raw Blame History

Die Datenschutzgrundverordnung im Sport

Was ist die DGSVO?

Die Datenschutzgrundverordnung (DGSVO) ist eine Verordnung des europäischen Rechts. Sie gilt daher, anders als eine Richtline, unmittelbar, und muss nicht durch nationale Gesetze umgesetzt werden. Das Ziel der Verordnung ist eine einheitliche Regelung zum Datenschutz im gesamten EU-Gebiet, sodass die Daten der Bürger in allen EU-Staaten das gleiche hohe Schutzniveau der ihrer Daten erwarten können.

Die meisten Regelungen der DGSVO waren im deutschen Datenschutzrecht schon vor Inkrafttreten verankert.

Wen schützt die DGSVO?

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

So heißt es in Artikel 1 Abs.2. Es geht also nicht um öffentliche oder unternehmensbezogene Daten, sondern in erster Line um personenbezogene Daten. Ein Unternehmen, dass z.B. unternehmensinterne Daten veröffentlicht sieht (wie z.B. bei den "Cum-Ex" Ermittlungen), kann sich nicht auf die DGSVO berufen!

In erster Line geht es natürlich um die Verarbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung. Also weniger um den Zettelkasten zu Hause, als um das Sammeln und Auswerten von Daten in Computersystemen durch interessierte Parteien. Grund dafür ist, dass insbesondere durch die Zusammenführung verschiedener Daten viel über eine Person erfahren kann, eventuell auch Dinge, die diese Person lieber für sich behalten möchte (Beispiel: sexuelle Orientierung).

Wann ist die DGSVO zu beachten?

Art. 2 Abs. 1 DSGVO:

„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Also immer, wenn Dinge automatisch verarbeitet oder in einem Computer verarbeitet werden.

Es gilt auch eine sog. Haushaltsausnahme. Das heißt, private Daten, z.B. auf dem heimischen PC, sind davon ausgenommen. Aber Achtung: Das ändert sich, sobald die Daten öffentlich im Internet geteilt werden.

Was müssen Vereine beachten?

Für Vereine gelten erstmal die gleichen Regeln wie für Unternehmen. Das ist Absicht, damit Unternehmen nicht einfach Vereine gründen können, um Datenschutzvorschriften zu umgehen. In der Praxis darf ein Verein natürlich alle personenbezogene Daten verarbeiten, die der Erfüllung des Vereinziels dienen. Also, Mitgliederverwaltung aber auch solche Dinge wie Informationen Wettkampfteilnehmende und so weiter.

Ein gängiges Missverständnis ist, dass für die Datenverarbeitung immer die Einwilligung der Betroffenen eingeholt werden muss, was dazu führt, dass viele Vereine aber auch Schulen und Kindergärten sich selbst mit einer überbordeneden Bürokratie zummüllen, und die Mitglieder mit mit seitenweisen Einwilligungserklärungen nerven. Das ist in der Regel nicht nötig. Wenn eine Datenverarbeitende Stelle, also der Verein, ein berechtigtes Interesse hat, die Daten zu erheben, ist ein extra Einverständnis nicht erforderlich. Was ein berechtigtes Interesse ist, hat der Gesetzgeber festgelegt. Die Verwaltung von Mitgliedern eines Vereins zum Beispiel. Aber auch die Übertragung von Daten von Wettkampfteilnehmenden an den ausrichtenden Verband fält darunter. Der Verkauf der Daten an einen Sponsor hingegen nicht.

Kann ich eine Mitgliederliste im Verein veteilen?

Hier ist mit einem klaren "Jein" zu antworten. Die Verteilung dieser Daten kann ein berechtigtes Interesse sein, z.B. bei Vereinen deren primärer Zweck die Vernetzung iher Mitglieder ist. Bein einem Sportverein ist das eher nicht der Fall. In so einem Fall kann eine Einwilligung der Mitglieder eingeholt werden.

Was ist mit Fotos auf dem Sommerfest?

Eine häufige Streitfrage ist, was mit Fotos auf Vereinsfesten und Sportveranstaltungen sei. Manche Vereine machen sich auch hier die Mühe überall um Einwilligungen zu bitten. Das ist im Regelfall ebenfalls nicht nötig. Eine öffentliche Sportveranstaltung ist natürlich immer mindestens von lokalem öffentlichen Interesse, und somit eine Veranstaltung der Zeitgeschichte. Als solche darf sie natürlich auch fotografisch dokumentiert werden. Die DGSVO greift hier nicht, stattdessen das Kunsturheberrechtsgesetz, das das Recht am eigenen Bild regelt. Hier ist die goldene Regel: Bilder der Veranstaltung an sich sind OK, wenn ihr Portraits einzelner Sportler:innen schießen wollt, müsst ihr fragen.

Komplizierter ist die Verbreitung der Bilder in sozialen Medien. Während ihr die Bilder problemlos in der Lokalpresse oder auf der Vereinswebseite veröffentlichen könnt, ist der Status der sozialen Medien rechtlich nocht ungeklärt. Da hier die Daten in der Regel gerade benutzt werden um Personen zu identifizieren (Facebook, zum Beispiel lässt seine Gesichtserkennung über alle hochgeladenen Fotos laufen). Abschließende Urteile stehen hier noch aus, aber ich würde sagen, dass es mit Unternehmen, die sich grundsätzlich nicht an europäisches Datenschutzrecht halten schwierig wird, im Streitfall das Argument zu gewinnen.

Mein Vorschlag ist, ähnlich wie der CCC dies macht, bereits vor der Veranstaltung eine Fotopolicy zu veröffentlichen, sodass die Teilnehmenden sich entscheiden können, ob und unterwelchen Umständen sie auf Fotos mit drauf sein möchten. Wichtig ist dabei, denen, die nicht fotografiert werden möchten, immer eine Gelegenheit zu geben, aus dem Bild zu gehen. Das ist höflich und spart eine Menge Ärger.

Was ist mit WhatsApp, Insta, Microsoft?

Die meisten von euch nutzen vermutlich WhatsApp um innerhalt eurer Gruppen, z.B. Termine zu kommunizieren, aber auch um euch untereniander auszutauschen. Da WhatsApp so verbreitet ist, macht es das ja auch sehr einfach, eine Vereinsgruppe zu erstellen. Da nach einer Erhebung 95% aller Menschen in Deutschland, die ein Smartphone haben, WhatsApp zumindest installiert haben, ist die Abdeckung riesig. Insofern spricht einiges dafür, WhatApp im Verein zu benutzen. Und jetzt kommt das große Aber:

  • WhatsApp lagert alle Daten ausserhalb der EU. Was dort damit geschieht ist unklar
  • WhatsApp liest alle Kontakte aus eurem Adressbuch und sendet die Daten an die Betreiberfirma Meta. Auch die Daten von nicht WhatsApp-Nuztern. Das verstößt einddeutig gegen die DGSVO
  • Eine nach der DGSVO gültige Auftragsdatenverarbeitung liegt nicht vor. Dieser Vertrag zwischen den Nutzenden einer Software, und der Firma, die die Daten verarbeitet muss von der verarbeitenden Firma vorgelegt werden. Sie dient als Beleg, dass die Firma sich an bestehende Datenschutzgesetze hält. Der Vorteil ist: Hat die Firma so eine Auftragsdatenverarbeitung, und hält sich nicht daran, seid ihr aus der Haftung für Schäden, die durch den Datenmisbrauch entstehen raus.
  • Privats und Vereinsrelevantes lassen sich schwer trennen. Wer eine Gruppe auf WhatsApp betreibt, hat das bestimmt schon erfahren: Wenn die Gruppe nicht auf "nur senden" steht, kommen immmer wieder Beiträge rein, die gar nichts mit dem Verein zu tun haben. Mit unter auch private Bilder, die dann wiederum aus Sicht des Vereins, der als Betreiber der Gruppe ja verantwortlich ist, datenschutzrechtlich problematisch sein können (z.B. Kinderbilder die von Eltern verschickt werden).

Alternativen zu WhatsApp

WhatsApp ist grundsätzlich nicht konform mit der DGSVO zu nutzen. Letztlich müssen die Einzelnen entscheiden, ob sie das benuzten wollen oder nicht. Ich weiß, dass es schwer sein kann, andere -vor allem technisch nicht so interessierte Menschen- davon zu überzeugen einen datenschutzfreundlichern Messenger zu verwenden. Holt euch aber zumindest das Einverständnis von allen Beteiligten. Außerdem müsst ihr eine Alternative anbieten, um Mitgliedern die Datenschutz bewusster sind wenigstens die wichtigsten Ereignisse ankündigen zu können (z.B. " Training fällt wegen Krankheit heute aus."). Hier sozialen Druck aufzubauen ist der falsche Weg!

Es gibt andere Messenger, die sich deutlich besser mit der DGSVO vereinigen lassen. Allen voran sei hier Signal genannt, der als einziges personenbezogens Datum die Telefonnummer des Teilnehmenden speichert (um die Verbindung zwischen Usern herzustellen), und konsequent Ende-zu-Ende verschlüsselt ist. Andere kompatible Messenger sind Threema (kostet aber einmalig €3.99 pro Installation) und Matrix.

Matrix ist ein dezentrales System des sog. Fediverse, bei dem man die Server auch selber betreiben kann. Die Goldlösung hier wäre, wenn der Verein einen solchen Server anbieten könnte. Damit wären alle datenschutzrechtlichen Probleme gelöst.

Microsoft Office und Co.

Auch bei der Verarbeitung der Mitgliedsdaten (z.B. der Anwesenheitslisten) ist einiges zu beachten. Die meisten werden das mit Excel machen. Microsoft Office kann, laut dem Bundesdatenschutzbeauftragen Ulrich Kelber, aber nicht datenschutzkonform eingesetzt werden. Untenehmen, die die Enterprise-Version haben können das theoretisch ändern, Privatpersonen eher nicht.

Der Hauptgrund ist, dass mit dem Modell Office als Software-As-A-Service anzubieten, alles was ihr mit Office macht in die Azure-Cloud von Microsoft übertragen wird, die wiederum nicht europäischen Datenschutzstandards entspricht. Wir wissen das Microsoft den Inhalt der von euch erstellten Dokumente von Microsoft auch analysiert wird. Unabhängig von den Datenschutzproblemen, die das für den Verein bringen kann, rate ich grundsätzlich davon ab MS Office 365 zu benutzen. Freie Alternativen wie LibreOffice und OpenOffice speichern keine Daten bei Dritten, und sind obendrein auch noch kostenlos. Im Funktionsumfang unterscheiden sie sich auch nicht von den Microsoft-Produkten