Diese Datenschutzordnung wurde durch die Mitgliederversammlung am 07.04.2019 beschlossen
und ist ab dem 25.05.2018 gültig.
Präambel
Diese Ordnung wird erlassen in Ausübung des gemäß Artikel 140 Grundgesetz garantierten
Rechts der Immanuel Gemeinde Leonberg e.V., seine Angelegenheiten selbständig innerhalb
der Schranken der für alle geltenden Gesetze zu ordnen und zu verwalten. Dieses Recht ist
europarechtlich geachtet und festgeschrieben in Artikel 91 der Verordnung EU 2016/679 des
Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung
der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). In Wahrnehmung dieses Rechts regelt
diese Ordnung die Datenverarbeitung.
Erster Abschnitt: Allgemeine Bestimmungen
§ 1. Gegenstand, Ziele und Anwendungsbereich
-
Diese Datenschutzordnung gilt für die Immanuel Gemeinde Leonberg e. V. und ihre
Arbeitszweige
-
Dies Datenschutzordnung enthält Vorschriften zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten. Sie dient dem Schutz der Grundrechte und
Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz
personenbezogener Daten.
-
Diese Ordnung gilt für die ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung
personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert
werden sollen. Akten und Aktensammlungen gelten nur dann als Dateisystem, wenn sie in
einer bestimmten Systematik geordnet sind.
-
Diese Ordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch
einen nicht zum Verein gehörigen Auftragsverarbeiter gemäß § 19, wenn die
Datenverarbeitung Zwecken des Vereines dient.
-
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer
Tätigkeiten.
§ 2. Verantwortlichkeit für die Durchführung des Datenschutzes
-
Der Vorstand stellt die Einhaltung des Datenschutzes im Sinne dieser Ordnung innerhalb
des Vereins sicher. Der Vorstand kann diese Aufgabe an die Verwaltung der Immanuel
Gemeinde Leonberg delegieren.
-
Die jeweiligen Bereichsleiter stellen die Einhaltung des Datenschutzes im Sinne dieser
Ordnung für deren Arbeitszweige sicher.
§ 3. Begriffsbestimmungen
Im Sinne dieser Ordnung bezeichnet der Ausdruck:
-
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen: Als
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,
insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer,
zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen
Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind,
identifiziert werden kann.
-
„besondere Daten“ personenbezogene Daten, aus denen die rassische und ethnische
Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder die
Gewerkschaftszugehörigkeit hervorgehen, sowie genetische oder biometrische Daten zur
eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum
Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Personenbezogene
Daten bezüglich der religiösen Überzeugungen gehören im Rahmen einer Kirche zu ihrem
Grundbekenntnis und fallen daher nicht unter die „besonderen Daten“.
-
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten,
wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die
Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die
Vernichtung.
-
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich
bei ihr um einen Dritten handelt oder nicht.
- „Drittland“ ein Land, das nicht Mitglied der Europäischen Union ist.
-
„verantwortliche Stelle“ eine Stelle des Vereins die alleine oder gemeinsam mit
anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten
entscheidet.
-
„Auftragsverarbeiter“ eine natürliche oder juristische Person, die personenbezogene
Daten im Auftrag der verantwortlichen Stelle verarbeitet.
-
„Dritter“ eine natürliche oder juristische Person, Behörde, selbständige Gemeinde oder
Einrichtung außer der betroffenen Person, der verantwortlichen Stelle, dem
Auftragsverarbeiter, und den Personen, die unter der unmittelbaren Verantwortung der
verantwortlichen Stelle oder des Auftragsverarbeiters befugt sind, die
personenbezogenen Daten zu verarbeiten.
-
„Anonymisierung“ ist die Verarbeitung personenbezogener Daten derart, dass die
personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zugeordnet
werden können oder nur mit einem großen Aufwand an Zeit, Kosten und Arbeitskraft einer
identifizierten oder identifizierbaren Person zugeordnet werden können.
-
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die
personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und organisatorischen
Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren Person zugewiesen werden.
-
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten
Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder
nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
-
„Datenschutzrat“ eine unabhängige Stelle des Vereins, die über die Einhaltung der
Datenschutzordnung wacht.
-
„Datenschutzbeauftragter“ der durch den Vorstand des Vereins bestellte Beauftragte für
den Datenschutz.
-
„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten
mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
-
„Einwilligung“ der betroffenen Person: jede freiwillige, für einen bestimmten Fall, in
informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer
Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die
betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist.
§ 4. Seelsorgegeheimnis
-
Pastoren, Diakone, Bereichsleiter und Personen mit einem besonderen Seelsorgeauftrag
unterliegen dieser Ordnung. Abweichend zu § 8 Absatz 1 dürfen sie zum Zweck ihres
Seelsorgeauftrags eigene Aufzeichnungen führen, die auch besondere Daten enthalten.
Diese Aufzeichnungen dürfen niemanden zugänglich gemacht werden. Dazu sind geeignete
technische und organisatorische Maßnahmen zu treffen.
- Die besonderen Bestimmungen über die Schweigepflicht bleiben unberührt.
§ 5. Rechtmäßigkeit der Verarbeitung
- Grundsätzlich gilt: Personenbezogene Daten müssen
-
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene
Person nachvollziehbaren Weise verarbeitet werden (Prinzip von „Rechtmäßigkeit,
Verarbeitung nach Treu und Glauben, Transparenz“)
-
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in
einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden
(„Prinzip der Zweckbindung“)
-
auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Prinzip
der Datenminimierung“) und
-
in einer Form gespeichert werden, die die Identifizierung der betroffenen Person
nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden,
oder für im Interesse des Vereins liegende Archivzwecke oder für wissenschaftliche
und historische Forschungszwecke oder für statistische Zwecke erforderlich ist
(„Prinzip der Speicherzeitbegrenzung“).
-
Die Verarbeitung ist nur zulässig, wenn mindestens einer der nachstehenden Bedingungen
erfüllt ist:
-
Eine staatliche Rechtsvorschrift erlaubt die Verarbeitung der personenbezogenen
Daten oder ordnet sie an.
-
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie
betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke
gegeben.
-
Die Verarbeitung ist zur Erfüllung der Aufgaben der verantwortlichen Stelle
erforderlich.
-
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
der die verantwortliche Stelle unterliegt.
-
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen
Person oder einer anderen natürlichen Person zu schützen.
-
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im
Interesse des Vereins liegt.
-
Die Verarbeitung ist zur Wahrung der berechtigten Interessen der verantwortlichen
Stelle oder eines Dritten erforderlich und die Interessen oder Grundrechte und
Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten
erfordern, überwiegen nicht.
- Sie erfolgt für journalistisch-redaktionelle Zwecke des Vereins.
- Der Zweck der Datenverarbeitung und der Kreis der betroffenen Personen müssen vor der Verarbeitung festgelegt oder erkennbar sein.
-
Die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die
personenbezogenen Daten ursprünglich erhoben wurden (Zweckänderung), ist nur zulässig,
wenn die Möglichkeit der Pseudonymisierung geprüft wurde und mindestens einer der
nachstehenden Bedingungen erfüllt ist:
-
Eine Rechtsvorschrift sieht dies vor und die Interessen des Vereins stehen nicht
entgegen.
- Die betroffene Person hat eingewilligt.
-
Es ist offensichtlich, dass die Verarbeitung im Interesse der betroffenen Person
liegt und kein Grund zu der Annahme besteht, dass diese in Kenntnis des anderen
Zweckes ihre Einwilligung verweigern würde:
-
Die Daten können aus allgemein zugänglichen Quellen entnommen werden oder die
verantwortliche Stelle darf sie veröffentlichen, es sei denn, dass das
schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung
offensichtlich überwiegt.
-
es besteht der Grund zu der Annahme, dass andernfalls die Wahrnehmung des
religiösen Auftrages gefährdet würde;
-
die Verarbeitung ist zur Durchführung wissenschaftlicher Forschung im Interesse
des Vereins erforderlich, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens überwiegt das Interesse der betroffenen Person an dem
Ausschluss der Zweckänderung erheblich und der Zweck der Forschung kann auf andere
Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden;
-
sie ist für statistische Zwecke zur Erfüllung des religiösen Auftrags
erforderlich.
-
Eine Verarbeitung für andere Zwecke ist ferner zulässig, wenn sie der Wahrnehmung von
Aufsichts- und Kontrollbefugnissen des Vereins, der Rechnungsprüfung, der Revision
oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle
dient. Das gilt auch für die Verarbeitung zu Ausbildungszwecken durch die
verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen der
betroffenen Person entgegenstehen.
§ 6. Bedingungen für die Einwilligung
-
Beruht die Verarbeitung auf einer Einwilligung, muss die verantwortliche Stelle
nachweisen können, dass die betroffene Person in die Verarbeitung ihrer
personenbezogenen Daten eingewilligt hat.
-
Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die
noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in
verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so
erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der
Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Ordnung
darstellen.
-
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch
den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung
bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor
Abgabe der Einwilligung von Satz 1 und Satz 2 in Kenntnis gesetzt.
-
Sollen Daten von Kindern verarbeitet werden, so ist, wenn das Kind das vierzehnte
Lebensjahr noch nicht vollendet hat, eine Einwilligung nur wirksam, wenn sie durch den
Träger der elterlichen Sorge für das Kind erfolgt ist. Hat das Kind das vierzehnte
Lebensjahr vollendet, darf die Einwilligung eigenständig durch das Kind erfolgen. Das
Kind soll die Eltern über eine solche Einwilligung in Kenntnis setzen.
-
Erfolgt die Datenverarbeitung im Rahmen von elektronischen Angeboten des Vereins und
wird ein solches Angebot einem Kind direkt gemacht, so unternimmt die verantwortliche
Stelle unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um
sich zu vergewissern, dass die Einwilligung gemäß Absatz 4 erteilt wurde.
§ 7. Datenübermittlung an Bereiche des Vereins sowie öffentliche Stellen
-
Die Datenübermittlung von personenbezogenen Daten an Bereiche des Vereins ist
zulässig, wenn
-
sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der
empfangenden Stelle liegenden Aufgaben erforderlich ist.
- die Zulässigkeitsvoraussetzungen des § 5 vorliegen
-
Die Verantwortung für die Zulässigkeit der Übermittlung trägt die verantwortliche
Stelle. Erfolgt die Übermittlung auf Ersuchen des Bereiches, trägt auch dieser
Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das
Übermittlungsersuchen im Rahmen der Aufgaben der datenempfangenden Stelle ist, es sei
denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht.
-
Die datenempfangende Stelle darf die übermittelten Daten für den Zweck verarbeiten
oder nutzen, zu dessen Erfüllung sie ihr übermittelt werden. Eine Verarbeitung oder
Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 5 Abs. 4 zulässig.
-
Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere
personenbezogene Daten der betroffenen oder einer anderen Person so verbunden, dass
eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die
Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der
betroffenen oder einer anderen Person an deren Geheimhaltung offensichtlich
überwiegen; eine Verwendung dieser Daten ist unzulässig.
-
Absatz 4 gilt entsprechend, wenn personenbezogene Daten innerhalb der Bereiche des
Vereins weitergegeben werden.
-
Personenbezogene Daten dürfen an Stellen anderer öffentlich-rechtlicher
Religionsgesellschaften und gemeinnützige, religiöse Vereine übermittelt werden, wenn
diese zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist, sofern
sichergestellt ist, dass bei der empfangenden Stelle ausreichende Datenschutzmaßnahmen
getroffen werden, und nicht berechtigte Interessen der betroffenen Person
entgegenstehen.
-
Personenbezogene Daten dürfen an staatliche und kommunale Stellen übermittelt werden,
wenn eine Rechtsvorschrift dies zulässt oder es zur Erfüllung der Aufgaben der
übermittelnden Stelle des Vereins erforderlich ist und nicht berechtigte Interessen
der betroffenen Person entgegenstehen.
§ 8. Verarbeitung besonderer Daten
- Die Verarbeitung besonderer Daten gemäß § 3 Nummer 2 ist untersagt.
- Absatz 1 gilt nicht in folgenden Fällen:
-
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen
Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt.
-
Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person
oder einer anderen natürlichen Person erforderlich und die betroffene Person ist
aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
-
Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene
Person offensichtlich öffentlich gemacht hat.
-
Die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien (z. B.
Verschlüsselung und/oder Pseudonymisierung) einer verantwortlichen Stelle ohne
Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen und für die Aufgabenerfüllung
notwendigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung
ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Stelle oder auf
Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit
ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung
der betroffenen Personen nach außen offengelegt werden.
-
Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen oder bei Handlungen des Kirchengerichts im Rahmen ihrer
justiziellen Tätigkeit erforderlich.
-
Die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses
erforderlich und die verantwortliche Stelle hat angemessene und spezifische
Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person
vorgesehen.
-
Die Verarbeitung findet für Zwecke der Gesundheitsfürsorge oder der Arbeitsmedizin
oder für die Beurteilung der Arbeitsfähigkeit des Beschäftigten statt und die
Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet und das
mit der Verarbeitung befasste Personal unterliegt dem Berufsgeheimnis;
-
Die Verarbeitung ist für Archivzwecke, für wissenschaftliche oder historische
Forschungszwecke, die im Interesse des Vereins sind, erforderlich und die
verantwortliche Stelle hat angemessene und spezifische Maßnahmen zur Wahrung der
Grundrechte und Interessen der betroffenen Person vorgesehen.
-
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und
Straftaten oder damit zusammenhängende Sicherungsmaßregeln sind unter der
Voraussetzung von § 5 zulässig, wenn dies das staatliche Recht zulässt.
Zweiter Abschnitt: Rechte der betroffenen Person
§ 9. Transparente Information, Kommunikation
-
Die verantwortliche Stelle trifft geeignete Maßnahmen, um der betroffenen Person alle
Informationen, die nach dieser Ordnung hinsichtlich der Verarbeitung zu geben sind, in
präziser, für die betroffene Person nachvollziehbarer, verständlicher und leicht
zugänglicher Form zu übermitteln.
-
Die verantwortliche Stelle stellt der betroffenen Person Informationen über die
ergriffenen Maßnahmen gemäß den §§ 12 bis 16 unverzüglich, in jedem Fall aber
innerhalb eines Monats nach Eingang eines entsprechenden Antrags zur Verfügung. Diese
Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung
der Komplexität und der Anzahl der Anträge erforderlich ist. Die verantwortliche
Stelle unterrichtet die betroffene Person innerhalb eines Monates nach Eingang über
eine Fristverlängerung zusammen mit den Gründen für die Verzögerung.
-
Wird die verantwortliche Stelle auf den Antrag der betroffenen Person hin nicht tätig,
so unterrichtet sie die betroffene Person unverzüglich, in jedem Fall aber innerhalb
eines Monats nach Eingang des Antrags über die Gründe hierfür und über die
Möglichkeit, beim Datenschutzrat Beschwerde einzulegen.
-
Informationen werden unentgeltlich zur Verfügung gestellt. Bei offenkundig
unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven
Anträgen einer betroffenen Person kann die verantwortliche Stelle sich weigern,
aufgrund des Antrags tätig zu werden, oder ein angemessenes Entgelt verlangen.
-
Hat die verantwortliche Stelle begründete Zweifel an der Identität der natürlichen
Person, die einen Antrag gemäß den §§ 11 bis 16 stellt, so kann sie zusätzliche
Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person
erforderlich sind.
§ 10. Informationspflichten bei Datenerhebung
-
Der Datenschutzbeauftragte stellt folgende Informationen zur Datenerhebung öffentlich
zur Verfügung:
-
Das Bestehen eines Rechts auf Auskunft, auf Berichtigung, auf Löschung, auf
Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie eine
Widerspruchrechts gegen die Verarbeitung.
-
Das Bestehen des Rechts, eine gegebenenfalls erteilte Einwilligung zu widerrufen.
- Das Bestehen eines Beschwerderechts beim Datenschutzrat.
-
Werden personenbezogene Daten bei der betroffenen Person erhoben, so erteilt die
verantwortliche Stelle der betroffenen Person auf Verlangen Folgendes mit:
- Den Namen und die Kontaktdaten der verantwortlichen Stelle.
- Die Kontaktdaten des zuständigen Datenschutzbeauftragten.
- Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.
- Die Rechtsgrundlage für die Verarbeitung.
- Gegebenenfalls die Empfänger der personenbezogenen Daten und
-
wenn die Verarbeitung auf § 5 Absatz 2 Buchstabe g beruht, die berechtigten
Interessen, die von der verantwortlichen Stelle oder einem Dritten verfolgt
werden.
-
Absatz 2 findet keine Anwendung, wenn und soweit die betroffene Person bereits über
die Informationen verfügt oder die Informationserteilung einen unverhältnismäßigen
Aufwand erfordern würde.
-
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt die
verantwortliche Stelle der betroffenen Person über die in Absatz 2 aufgeführten
Informationen hinaus die zu ihr gespeicherten Daten mit, auch soweit sie sich auf
Herkunft oder empfangende Stellen beziehen. Absatz 3 gilt entsprechend. Die
verantwortliche Stelle ist weiterhin von dieser Verpflichtung befreit, wenn die Daten
oder die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder
wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und
das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss oder
wenn durch die Auskunft das Seelsorgegeheimnis gemäß § 4 berührt wird.
-
Beabsichtigt die verantwortliche Stelle, die personenbezogenen Daten für einen anderen
Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden,
so stellt sie der betroffenen Person vor dieser Weiterverarbeitung Informationen über
diesen anderen Zweck und gegebenenfalls die Empfänger der personenbezogenen Daten zur
Verfügung. Diese Informationspflicht gilt nicht im Fall von § 5 Abs. 5.
§ 11. Auskunftsrecht der betroffenen Person
-
Die betroffene Person hat das Recht, von der verantwortlichen Stelle eine Bestätigung
darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies
der Fall, so ist der betroffenen Person auf Antrag Auskunft zu erteilen über die zum
Zeitpunkt der Antragstellung zu ihr gespeicherten personenbezogenen Daten. Die
Auskunft muss folgende Informationen enthalten:
- die Verarbeitungszwecke;
- die Kategorie personenbezogener Daten;
-
die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden
sind;
-
falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert
werden, oder, falls diese nicht möglich ist, die Kriterien für die Festlegung
dieser Dauer;
-
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden
personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die
verantwortliche Stelle oder eines Widerspruchrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts beim Datenschutzrat;
- Information über die Herkunft der Daten.
-
Auskunft darf nicht erteilt werden, soweit die Daten oder die Tatsache ihrer
Speicherung aufgrund einer speziellen Rechtsvorschrift oder wegen überwiegender
berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der
betroffenen Person an der Auskunftserteilung zurücktreten muss oder wenn durch die
Auskunft das Seelsorgegeheimnis gemäß § 4 berührt wird.
-
Die Auskunft im Umfang einer Kopie ist unentgeltlich. Weitere Kopien müssen nicht
erstellt werden. Stellt die betroffene Person den Antrag elektronisch, so sind die
Informationen in einem gängigen Format zur Verfügung zu stellen.
§ 12. Recht auf Berichtigung
-
Die betroffene Person hat das Recht, von der verantwortlichen Stelle die unverzügliche
Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
-
Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das
Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
-
Das Recht auf Berichtigung besteht nicht, wenn die personenbezogenen Daten zu
Archivzwecken im Interesse des Vereins verarbeitet wurden. Bestreitet die betroffene
Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer
Gegendarstellung einzuräumen. Der Verein ist verpflichtet, die Gegendarstellung den
Unterlagen hinzuzufügen.
§ 13. Recht auf Löschung
-
Die betroffene Person hat das Recht, von der verantwortlichen Stelle zu verlangen,
dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und die
verantwortliche Stelle ist verpflichtet, personenbezogene Daten unverzüglich zu
löschen, sofern mindestens einer der folgenden Gründe zutrifft:
-
Die personenbezogenen Daten sind für die Zwecke für die sie erhoben oder auf
sonstige Weise verarbeitet wurden nicht mehr notwendig.
-
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung
stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
-
Die betroffene Person legt gemäß § 16 Widerspruch gegen die Verarbeitung ein und
es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
-
Die personenbezogenen Daten wurden im Rahmen eines elektronischen Angebotes einer
Stelle des Bundes erhoben, das Kindern direkt gemacht wurde, falls die Kinder das
vierzehnte Lebensjahr zum Zeitpunkt der Erhebung noch nicht vollendet hatten.
-
Hat die verantwortliche Stelle die personenbezogenen Daten öffentlich gemacht und ist
sie gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft sie unter
Berücksichtigung der verfügbaren Technologie und der Implementierungskosten
angemessene Maßnahmen, um die Löschung aller Links zu diesen personenbezogenen Daten
oder von Kopien oder Replikationen dieser personenbezogenen Daten anzustreben.
- Die Absätze 1 und 2 gelten nicht, soweit der Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
-
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach
staatlichem Recht, dem die verantwortliche Stelle unterliegt, erfordert,
-
zur Wahrnehmung einer Aufgabe aufgrund eines wichtigen Interesses des Vereins,
-
für im Interesse des Vereins liegende Archivzwecke, wissenschaftliche oder
historische Forschungszwecke, soweit das in Absatz 1 genannte Recht
voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht
oder ernsthaft beeinträchtigt oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
-
Ist eine Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich, tritt an
die Stelle des Rechts auf Löschung das Recht auf Einschränkung der Verarbeitung gemäß
§ 14. In diesen Fällen trifft die verantwortliche Stelle geeignete Maßnahmen zum
Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen
Person.
§ 14. Recht auf Einschränkung der Verarbeitung
-
Die betroffene Person hat das Recht, von der verantwortlichen Stelle die Einschränkung
der Verarbeitung personenbezogener Daten zu verlangen, wenn eine der folgenden
Voraussetzungen gegeben ist:
-
Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person
bestritten und die Prüfung der Richtigkeit durch die verantwortliche Stelle ist
noch nicht abgeschlossen.
-
Die verantwortliche Stelle benötigt die personenbezogenen Daten für die Zwecke der
Verarbeitung nicht mehr, die betroffene Person benötigt sie jedoch zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
-
Die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß § 16 eingelegt
und es steht noch nicht fest, ob die berechtigten Gründe der verantwortlichen
Stelle gegenüber denen der betroffenen Person überwiegen.
-
Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen
Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person
oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum
Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aufgrund
eines wichtigen Interesses verarbeitet werden.
-
Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt
hat, wird von der verantwortlichen Stelle unterrichtet, bevor die Einschränkung
aufgehoben wird.
§ 15. Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
-
Die verantwortliche Stelle teilt der betroffenen Person jede Berichtigung oder
Löschung ihrer personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach §
12, § 13 oder § 14 mit, es sei denn, dies erweist sich als unmöglich oder ist mit
einem unverhältnismäßigen Aufwand verbunden.
-
Die verantwortliche Stelle unterrichtet die betroffene Person über alle Empfänger,
denen personenbezogene Daten offengelegt wurden, wenn die betroffene Person dies
verlangt.
§ 16. Widerspruchsrecht
-
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen
Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener
Daten gemäß § 5 Absatz 2 Buchstabe f) und g) Widerspruch einzulegen.
-
Der Widerspruch verpflichtet die verantwortliche Stelle dazu, die Verarbeitung zu
unterlassen, soweit nicht an der Verarbeitung ein zwingendes Interesse des Vereins
besteht, das Interesse einer dritten Person überwiegt, oder die Verarbeitung zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
-
Die betroffene Person muss bei Datenverarbeitung gemäß § 5 Absatz 2 Buchstabe f) und
g) spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in
Absatz 1 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen
und von anderen Informationen getrennten Form zu erfolgen.
Dritter Abschnitt: Pflichten der verantwortlichen Stelle und der Auftragsverarbeiter
§ 17. Datengeheimnis und Verschwiegenheit
Den mit dem Umgang personenbezogenen Daten betrauten Personen ist es untersagt,
personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das gilt insbesondere
für das Offenlegen solcher Daten. Diese Personen sind bei der Aufnahme ihrer Tätigkeit
auf das Datengeheimnis schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach
Beendigung ihrer Tätigkeit fort.
§ 18. Technische und organisatorische Maßnahmen
-
Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter haben unter
Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der damit verbundenen
Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und
organisatorische Maßnahmen zu treffen und zu dokumentieren, um ein dem Risiko
angemessenes Sicherheitsniveau zu gewährleisten.
- Diese Maßnahmen erfordern die Betrachtung folgender Aspekte:
- die Pseudonymisierung und die Verschlüsselung personenbezogener Daten;
-
die Fähigkeit, die Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit) der datenverarbeitenden Systeme und Dienste auf Dauer
sicherzustellen;
-
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu
ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
-
die Implementierung von Verfahren zur regelmäßigen Überprüfung und Bewertung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der
Sicherheit der Verarbeitung.
-
Bei der Beurteilung des angemessenen Sicherheitsniveaus sind die Risiken zu
berücksichtigen, die mit der Verarbeitung personenbezogener Daten verbunden sind,
insbesondere durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder
unbefugten Zugang.
-
Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter treffen
technische und organisatorische Maßnahmen, die geeignet sind, durch Voreinstellung
grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen
bestimmten Verarbeitungszweck erforderlich ist, zu verarbeiten. Diese Verpflichtung
gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer
Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen
insbesondere geeignet sein sicherzustellen, dass personenbezogene Daten nicht ohne
Eingreifen der verantwortlichen Stelle durch Voreinstellungen einer unbestimmten Zahl
von natürlichen Personen zugänglich gemacht werden.
-
Bei der Auswahl der Maßnahmen darf berücksichtigt werden, dass ihr Aufwand in einem
angemessenen Verhältnis zum angestrebten Sicherheitsniveau steht.
-
Die Einhaltung eines nach dem EU-Recht anerkannten Verfahrens zur Feststellung der
Sicherheit der personenbezogenen Daten kann als Indiz für die Erfüllung der Pflichten
gemäß den Absätzen 1 bis 4 gewertet werden.
-
Die verantwortliche Stelle unternimmt Schritte, um sicherzustellen, dass ihr
unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese
nur gemäß den Weisungen der verantwortlichen Stelle verarbeiten.
§ 19. Verarbeitung von personenbezogenen Daten im Auftrag
-
Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag einer verantwortlichen
Stelle, so ist die verantwortliche Stelle für die Einhaltung der Vorschriften dieser
Ordnung und anderer anzuwendender Vorschriften über den Datenschutz verantwortlich.
Die im ZWEITEN ABSCHNITT genannten Rechte sind ihr gegenüber geltend zu machen.
Zuständig für die Aufsicht ist der Datenschutzrat.
-
Erfolgt eine Verarbeitung im Auftrag einer verantwortlichen Stelle, so arbeitet diese
nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete
technische und organisatorische Maßnahmen so durchgeführt werden, dass die
Verarbeitung den Schutz der Rechte der betroffenen Person gewährleistet und konform zu
den Anforderungen dieser Ordnung oder der Verordnung EU 2016/679 erfolgt.
-
Hat eine natürliche oder juristische Person ihren Sitz oder ihre Betriebsstätte, die
für die Verarbeitung im Auftrag benötigt werden, in einem Drittland, so ist die
Erteilung eines Auftrags zur Verarbeitung von personenbezogenen Daten durch die
verantwortliche Stelle nur zulässig, wenn die EU-Kommission für dieses Land
beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet.
-
Der Auftragsverarbeiter wird dazu verpflichtet, keine weiteren Auftragsverarbeiter
ohne vorherig gesonderte oder allgemeine schriftliche Genehmigung der verantwortlichen
Stelle in Anspruch zu nehmen. Bedingung für eine Genehmigung durch die verantwortliche
Stelle ist insbesondere die Verpflichtung des Auftragsverarbeiters zu gewährleisten,
dass der weitere Auftragsverarbeiter gleichwertige Bedingungen gemäß § 18 und § 19
akzeptiert.
-
Der Auftrag ist schriftlich zu erteilen. Dieser Auftrag beinhaltet insbesondere, dass
der Auftragsverarbeiter
-
die personenbezogenen Daten nur auf dokumentierte Weisung der verantwortlichen
Stelle verarbeitet
-
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten
Personen auf das Datengeheimnis gemäß § 17 verpflichtet haben oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
-
alle gemäß § 18 für Auftragsverarbeiter erforderlichen Maßnahmen oder
gleichwertige Maßnahmen ergreift
-
die Bedingungen für die Inanspruchnahme der Dienste eines weiteren
Auftragsverarbeiters gemäß Absatz 5 einhält
-
angesichts der Art der Verarbeitung der verantwortlichen Stelle nach Möglichkeit
mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt,
seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der im zweiten
Abschnitt genannten Rechte der betroffenen Person nachzukommen
-
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen
Daten nach Wahl der verantwortlichen Stelle entweder löscht oder zurückgibt
-
der verantwortlichen Stelle alle erforderlichen Informationen zum Nachweis der
Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und
Überprüfungen – einschließlich Inspektionen, die von der verantwortlichen Stelle
oder einem anderen von dieser beauftragten Prüfer durchgeführt werden, ermöglicht
und dazu beiträgt und
-
die verantwortliche Stelle unverzüglich informiert, falls er der Auffassung ist,
dass eine Weisung der verantwortlichen Stelle gegen diese Ordnung oder gegen
andere anzuwendende Datenschutzbestimmungen verstößt
- der Verpflichtung gemäß § 21 Absatz 2 nachzukommen hat.
-
Die verantwortliche Stelle hat sich von der Einhaltung der Vertragsbedingungen gemäß
Absatz 5 zu überzeugen. Das Ergebnis ist zu dokumentieren. Dokumentiert die
verantwortliche Stelle die Einhaltung eines nach dem EU-Recht anerkannten Verfahrens
zur Feststellung der Sicherheit der personenbezogenen Daten durch den
Auftragsverarbeiter, kann dies als Nachweis gemäß § 37 Absatz 1 gewertet werden.
-
Der Datenschutzrat kann Standardvertragsklauseln festlegen, auf denen der Auftrag
gemäß Absatz 5 beruht.
-
Bei der Beauftragung eines Auftragsverarbeiters, der keine Stelle des Vereins und – im
Falle einer natürlichen Person – kein Mitglied der Gemeinde ist, ist die Entscheidung
für die Beauftragung schriftlich zu begründen und verfügbar zu halten.
§ 20. Verzeichnis der Verarbeitungstätigkeiten
-
Jede verantwortliche Stelle muss ein Verzeichnis aller Verarbeitungstätigkeiten, die
ihrer Zuständigkeit unterliegen, führen. Dieses Verzeichnis enthält folgende Angaben:
-
den Namen und die Kontaktdaten der verantwortlichen Stelle sowie gegebenenfalls
des Auftragsverarbeiters und des dezentral Beauftragten;
- den Zweck der Verarbeitung;
-
eine Beschreibung der Kategorien betroffener Personen und der Kategorie
personenbezogener Daten sowie
-
die Kategorie von Empfängern, gegenüber denen die personenbezogenen Daten
offengelegt worden sind oder offengelegt werden sollen, einschließlich Empfängern
in Drittländern.
-
Das im Absatz 1 genannte Verzeichnis ist schriftlich zu führen. Ein gängiges
elektronisches Format ist zulässig.
-
Die verantwortliche Stelle und der Auftragsverarbeiter, soweit er dieser Ordnung
unterliegt, stellen dem Datenschutzrat die Verzeichnisse auf Anfrage zur Verfügung.
-
Der Verein kann vorsehen, dass für bestimmte Verfahren ein zentral geführtes
Verzeichnis gepflegt wird.
§ 21. Meldung von Verletzungen des Schutzes personenbezogener Daten an den Datenschutzrat
-
Im Fall einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu
einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führt, meldet
dies die verantwortliche Stelle unverzüglich.
-
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten
bekannt wird, meldet er diese der verantwortlichen Stelle unverzüglich.
-
Die Meldung gemäß Absatz 1 enthält insbesondere eine Beschreibung der Art der
Verletzung des Schutzes personenbezogener Daten und der mutmaßlichen Folgen der
Verletzung des Schutzes.
-
Die verantwortliche Stelle hat Verletzungen des Schutzes personenbezogener Daten samt
den ergriffenen Abhilfemaßnahmen zu dokumentieren.
§ 22. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten
betroffen Person
-
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes
Risiko für die persönlichen Rechte natürlicher Personen zur Folge, so benachrichtigt
die verantwortliche Stelle die betroffenen Personen unverzüglich von der Verletzung.
-
Die Benachrichtigung der betroffenen Person hat in klarer und einfacher Sprache zu
erfolgen und enthält zumindest die in § 21 Absätze 3 und 4 genannten Informationen und
Maßnahmen sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten.
-
Von der Benachrichtigung der betroffenen Person kann abgesehen werden, wenn eine der
folgenden Bedingungen erfüllt ist:
-
Die verantwortliche Stelle hat durch nachträgliche Maßnahmen sichergestellt, dass
das hohe Risiko für die Rechte der betroffenen Personen gemäß Absatz 1 aller
Wahrscheinlichkeit nach nicht mehr besteht.
-
Die verantwortliche Stelle hat geeignete technische und organisatorische
Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der
Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche,
durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu
den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch
Verschlüsselung.
-
Die Benachrichtigung ist mit einem unverhältnismäßigen Aufwand verbunden. In
diesem Fall hat stattdessen eine Bekanntmachung in einem Publikationsinstrument
des Bundes oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen
Personen vergleichbar wirksam informiert werden.
§ 23. Datenschutz-Folgeabschätzung
-
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,
aufgrund der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen
zur Folge, so führt die verantwortliche Stelle vorab eine Abschätzung der Folgen der
vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für
die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken
kann eine einzige Abschätzung vorgenommen werden.
-
Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen
erforderlich:
-
umfangreiche Verarbeitung besonderer personenbezogener Daten oder von
personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten und
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
- Die Folgenabschätzung umfasst insbesondere:
-
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke
der Verarbeitung, gegebenenfalls einschließlich der von der verantwortlichen
Stelle verfolgten berechtigten Interessen;
-
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
in Bezug auf den Zweck;
-
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
und
-
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich
Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz
personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass
die datenschutzrechtlichen Regelungen eingehalten werden.
-
Die verantwortliche Stelle holt bei der Durchführung einer
Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.
Vierter Abschnitt: Aufsichtsgremium und Beauftragte für den Datenschutz
§ 24. Bestellung und Stellung des Datenschutzbeauftragten
-
Der Vorstand bestellt einen Datenschutzbeauftragten im Einklang mit § 27 per
Beschluss.
-
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und
insbesondere des Fachwissens bestellt, das er auf dem Gebiet des Datenschutzrechts und
der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung
der in § 25 genannten Aufgaben.
-
Der Datenschutzbeauftragte kann Beschäftigter des Vereins sein oder seine Aufgaben auf
der Grundlage eines Dienstvertrags oder Dienstleistungsvertrags erfüllen.
-
Der Verein stellt sicher, dass der Datenschutzbeauftragte frühzeitig über Projekte für
Verfahren, bei denen es zur Verarbeitung von personenbezogenen Daten kommen wird,
informiert wird.
-
Der Vorstand unterstützt den Datenschutzbeauftragten, indem er die für die Erfüllung
dieser Aufgaben erforderlichen Ressourcen und die zur Erhaltung seines Fachwissens
erforderlichen Ressourcen zur Verfügung stellen.
-
Der Vorstand stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner
bzw. ihrer Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
Der Beauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder
benachteiligt werden.
- Der Datenschutzbeauftragte berichtet dem Datenschutzrat.
-
Der Datenschutzbeauftragte ist jederzeit zur Anrufung des Vorstandes berechtigt.
-
Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung
ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser
Ordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
-
Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung des
Datengeheimnisses und der Vertraulichkeit gebunden.
-
Die Abberufung des Datenschutzbeauftragten ist nur mit Zustimmung der
Mitgliederversammlung zulässig. Eine vorläufige Suspendierung durch den Vorstand ist
nur aus wichtigem Grund möglich. In diesem Fall nimmt der Vertreter die Rechte und
Pflichten des Beauftragten wahr. Die Suspendierung ist schriftlich zu begründen und
längstens bis zur nächsten Mitgliederversammlung zulässig.
§ 25. Aufgaben und Befugnisse des Datenschutzbeauftragten
-
Der Datenschutzbeauftragte sensibilisiert, informiert und berät die Stellen des
Vereins über Fragen und maßgebliche Entwicklungen des Datenschutzes sowie über die
Vermeidung von Risiken.
-
Er unterrichtet betroffene Personen auf Anfrage über deren persönliche Rechte aus
dieser Ordnung.
-
Er nimmt Beschwerden von betroffenen Personen und von beim Verein Beschäftigten
entgegen und übergibt sie dem Datenschutzrat zur Bearbeitung.
-
Er wirkt bei der Überwachung der Einhaltung dieser Ordnung durch Durchführung von
Prüfungen mit. Dabei kann er sich durch ein Mitglied des Datenschutzrates vertreten
oder unterstützen lassen. Für die Durchführung von Prüfungen gelten die folgenden
Regeln:
-
Der Prüfer wird von der betroffenen verantwortlichen Stelle bei der Erfüllung
seiner bzw. ihrer Aufgaben unterstützt. Auf Verlangen ist ihm, bzw. ihr Auskunft
sowie Einsicht in alle Unterlagen und Akten über die Verarbeitung
personenbezogener Daten zu geben, und es sind alle diesbezügliche Daten
bereitzustellen;
-
der Prüfer teilt die Ergebnisse seiner Prüfung der betroffenen verantwortlichen
Stelle und dem Datenschutzrat mit. Damit können Vorschläge zur Verbesserung des
Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der
Verarbeitung personenbezogener Daten und eine Aufforderung zur Stellungnahme
verbunden sein;
- Aufzeichnungen gemäß § 4 sind von solchen Prüfungen ausgenommen;
-
Der Beauftragte kann Musterverträge und Standards zur Verarbeitung personenbezogener
Daten erstellen, deren Einsatz und Umsetzung überprüfen und die Ergebnisse
veröffentlichen.
§ 26. Aufsichtsgremium
-
Über die Einhaltung dieser Ordnung wacht ein unabhängiges Aufsichtsgremium für den
Datenschutz (Datenschutzrat).
- Der Datenschutzrat bildet sich aus Vertretern verschiedener Gemeinden.
-
Der Datenschutzbeauftragte ist Teil des Datenschutzrates. Dabei entstehende Kosten
trägt der Verein.
-
Der Datenschutzrat handelt bei der Erfüllung seiner Aufgaben und bei der Ausübung
seiner Befugnisse völlig unabhängig. Er unterliegt weder direkter noch indirekter
Beeinflussung von außen und nimmt keine Weisungen entgegen.
-
Werden dem Datenschutzrat Verstöße gegen die Datenschutzbestimmungen oder sonstige
Mängel bei der Verarbeitung personenbezogener Daten bekannt, so beanstandet er dies
gegenüber der verantwortlichen Stelle oder gegenüber dem Auftragsverarbeiter und
fordert zur Stellungnahme innerhalb einer von ihm gesetzten Frist auf. Von einer
Beanstandung kann abgesehen werden, wenn es sich um unerhebliche oder inzwischen
beseitigte Mängel handelt. Mit der Aufforderung zur Stellungnahme können Vorschläge
zur Beseitigung der Mängel oder zur sonstigen Verbesserung des Datenschutzes verbunden
werden. Die Stellungnahme der verantwortlichen Stelle bzw. gegebenenfalls des
Auftragsverarbeiters soll eine Darstellung der Maßnahmen enthalten, die aufgrund der
Mitteilung des Datenschutzrats getroffen worden sind.
- Der Datenschutzrat ist befugt, bei Bedarf anzuordnen:
-
Verarbeitungsvorgänge auf bestimmte Weise in Einklang mit dieser Ordnung zu
bringen;
-
Verarbeitungsvorgänge vorübergehend oder dauerhaft zu beschränken oder zu
unterlassen;
- Personenbezogene Daten zu berichtigen, zu sperren oder zu löschen;
-
Die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person
entsprechend zu benachrichtigen.
- Der Datenschutzrat gibt sich eine Geschäftsordnung
-
Die Mitglieder sind bei der Erfüllung ihrer Aufgaben an die Wahrung des
Datengeheimnisses und der Vertraulichkeit gebunden. Dies gilt nicht für Mitteilungen
zwischen den Mitgliedern. Ehemalige Mitglieder dürfen sich zu Angelegenheiten, die
während ihrer Mitgliedschaft der Verschwiegenheit unterlagen, ohne Genehmigung des
Datenschutzrates nicht äußern.
-
Der Datenschutzrat kann mit Zustimmung des Vorstands der Immanuel Gemeinde Leonberg
e.V. Durchführungsbestimmungen zu dieser Ordnung und ergänzende Bestimmungen zum
Datenschutz beschließen. Diese dürfen dieser Ordnung nicht widersprechen.
-
Der Datenschutzrat gilt als oberste Aufsichtsbehörde der Immanuel Gemeinde Leonberg
e.V.
§ 27. Geldbußen
-
Verstößt eine verantwortliche Stelle oder ein Auftragsverarbeiter, der dieser Ordnung
unterliegt, vorsätzlich oder fahrlässig gegen Bestimmungen dieser Ordnung, so kann der
Datenschutzrat Geldbußen verhängen oder für den Wiederholungsfall androhen.
-
Der Datenschutzrat stellt sicher, dass die Verhängung von Geldbußen in jedem
Einzelfall wirksam, verhältnismäßig und abschreckend ist.
-
Geldbußen werden je nach den Umständen des Einzelfalls verhängt. Bei der Entscheidung
über die Verhängung einer Geldbuße und über deren Höhe ist insbesondere Folgendes zu
berücksichtigen:
-
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs
oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der
Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen
Schadens;
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
-
Jegliche von der verantwortlichen Stelle oder dem Auftragsverarbeiter getroffenen
Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
-
Etwaige einschlägige frühere Verstöße der verantwortlichen Stelle oder des
Auftragsverarbeiters;
-
Die Bereitschaft zur Zusammenarbeit mit dem Aufsichtsgremium, um dem Verstoß
abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
- Die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
- Die Art und Weise, wie der Verstoß dem Aufsichtsgremium bekannt wurde;
-
Jegliche andere erschwerende oder mildernde Umstände im jeweiligen Fall, wie
unmittelbar oder mittelbar durch den Verstoß erlangte wirtschaftliche Vorteile
oder vermiedene Nachteile;
-
Die wirtschaftlichen Verhältnisse der verantwortlichen Stelle bzw. des
Auftragsverarbeiters.
-
Bei Verstößen werden im Einklang mit Absatz 3 Geldbußen von bis zu 20 000 Euro
verhängt. Nimmt die Stelle nicht als Unternehmen am Wettbewerb teil, so gilt die
Höchstgrenze 10 000 Euro.
-
Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich oder anstelle von
Maßnahmen nach § 26 Absatz 6 verhängt.
-
Die gegebenenfalls vereinnahmten Gelder werden auf Beschluss des Datenschutzrats zur
Verwendung in Mission oder Diakonie zur Verfügung gestellt.
§ 28. Recht auf Beschwerde
-
Jede Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an
den Datenschutzrat wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer
personenbezogenen Daten in ihren Rechten verletzt worden zu sein.
-
Der Datenschutzrat unterrichtet die betroffene Person über den Stand der Bearbeitung
und das Ergebnis der Beschwerde.
-
Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind, den Verdacht
aufkommen zu lassen, diese Ordnung oder eine andere anzuwendende Rechtsvorschrift über
den Datenschutz sei verletzt worden, gemaßregelt oder benachteiligt werden.
Beschäftigte müssen für Mitteilungen an den Datenschutzrat nicht den Dienstweg
einhalten.
§ 29. Schadenersatz durch verantwortliche Stelle
-
Jede Person, der wegen einer Verletzung der Regelungen dieser Ordnung ein Schaden
entstanden ist, hat einen Anspruch auf Schadenersatz gegen die verantwortliche Stelle.
Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine
angemessene Entschädigung in Geld verlangen.
-
Eine verantwortliche Stelle wird von der Haftung gemäß Absatz 1 befreit, wenn sie
nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden
eingetreten ist, verantwortlich ist.
-
Auf das Mitverschulden der betroffenen Person ist § 254 des Bürgerlichen Gesetzbuches
und auf die Verjährung sind die Verjährungsfristen für unerlaubte Handlungen des
Bürgerlichen Gesetzbuches entsprechend anzuwenden.
-
Mehrere Ersatzpflichtige haften als Gesamtschuldner im Sinne des Bürgerlichen
Gesetzbuches.
-
Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser
Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben
unberührt.
-
Beansprucht ein Betroffener Schadenersatz, so soll zunächst der Datenschutzrat eine
Anhörung mit dem Ziel einer Einigung vornehmen.
Fünfter Abschnitt: Vorschriften für besondere Verarbeitungssituationen
§ 30. Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen
-
Daten von Beschäftigten dürfen nur verarbeitet werden, soweit dies zur Begründung,
Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder zur
Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch
für Zwecke der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine
Rechtsvorschrift, ein Vertrag oder eine Dienstvereinbarung dies vorsieht.
-
Im Zusammenhang mit dem Verdacht auf Straftaten und Amtspflichtverletzungen, die durch
Beschäftigte begangen worden sein sollen, insbesondere zum Schutz möglicher
Betroffener, dürfen unter Beachtung des Verhältnismäßigkeitsgrundsatzes
personenbezogene Daten von Beschäftigten verarbeitet werden, solange der Verdacht
nicht ausgeräumt ist und die Interessen von möglichen Betroffenen dies erfordern.
-
Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage
einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung
insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten
Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu
berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte
Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder die
verantwortliche Stelle und die beschäftigte Person gleichgelagerte Interessen
verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer
Umstände eine andere Form angemessen ist. Die verantwortliche Stelle hat die
beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht
aufzuklären.
-
Eine Offenlegung der Daten von Beschäftigten an Strafverfolgungsbehörden ist zulässig,
wenn sie zur Aufdeckung einer Straftat oder Amtspflichtverletzung oder zum Schutz
möglicher Betroffener erforderlich erscheint.
-
Die Offenlegung von Daten von Beschäftigten an künftige Dienst- oder Arbeitgeber ist
nur mit Einwilligung der betroffenen Person zulässig.
-
Verlangt die verantwortliche Stelle zur Begründung oder im Rahmen eines
Beschäftigungsverhältnisses notwendige medizinische oder psychologische Untersuchungen
und Tests zur Feststellung der Eignung des Bewerbers, darf die verantwortliche Stelle
lediglich die Offenlegung des Ergebnisses der Begutachtung verlangen.
-
Personenbezogene Daten, die vor Begründung eines Beschäftigungsverhältnisses erhoben
wurden, sind spätestens ein Jahr, nachdem feststeht, dass ein solches nicht zustande
kommt, zu löschen. Dies gilt nicht, soweit überwiegend berechtigte Interessen der
verantwortlichen Stelle der Löschung entgegenstehen oder die betroffene Person in die
weitere Speicherung einwilligt.
-
Für die Verarbeitung von Sozialdaten gemäß Sozialgesetzbuch X. Buch (SGB X) gelten die
Bestimmungen dieses Gesetzbuchs.
-
Nach Beendigung eines Beschäftigungsverhältnisses sind personenbezogene Daten zu
löschen, soweit diese Daten nicht mehr benötigt werden.
§ 32. Verarbeitung personenbezogener Daten für journalistische Zwecke
-
Führt eine Verarbeitung gemäß § 5 Absatz 2 Buchstabe h) zur Veröffentlichung von
Gegendarstellungen der betroffenen Person, so sind diese Gegendarstellungen zu den
gespeicherten Daten zu nehmen und für die selbe Zeitdauer aufzubewahren wie die Daten
selbst.
-
Wird jemand durch eine Berichterstattung gemäß § 5 Absatz 2 Buchstabe h) in seinem
Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der
Berichterstattung zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen.
Die Auskunft kann verweigert werden, soweit aus den Daten auf die berichtenden oder
einsendenden Personen oder die Gewährsleute von Beiträgen, Unterlagen und Mitteilungen
für den redaktionellen Teil geschlossen werden kann.
§ 33. Veranstaltungen des Vereins
Die Aufzeichnung oder Übertragung von Gottesdiensten oder anderen öffentlichen
Veranstaltungen mittels audiovisueller Medien und die Veröffentlichung der Daten ist
zulässig, wenn die Teilnehmenden durch geeignete Maßnahmen vorab über Art und Umfang der
Aufzeichnung oder Übertragung informiert werden.
§ 34. Videoüberwachung öffentlich zugänglicher Räume
-
Die Beobachtung öffentlich zugänglicher Bereiche innerhalb und außerhalb von Gebäuden
mittels optisch-elektronischer Einrichtungen ist nur zulässig, soweit sie
- in Ausübung des Hausrechts des Vereins oder
-
zum Schutz von Personen und Sachen erforderlich ist und keine Anhaltspunkte dafür
bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Das Interesse
an der nicht überwachten Teilnahme an Veranstaltungen des Vereins ist besonders
schutzwürdig.
-
Der Umstand der Beobachtung und der Name und die Kontaktdaten der verantwortlichen
Stelle sind gegebenenfalls durch geeignete Maßnahmen erkennbar zu machen.
-
Die Speicherung und Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn
sie zum Erreichen des verfolgten Zweckes erforderlich ist und keine Anhaltspunkte
bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
-
Die gespeicherten Daten dürfen von der verantwortlichen Stelle an eine
Strafverfolgungsbehörde übermittelt werden, falls diese die Daten anfordert.
-
Die Daten sind unverzüglich, in jedem Fall aber innerhalb von sieben Tagen zu löschen,
wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige
Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Sechster Abschnitt: Schlussbestimmungen
§ 35. Ergänzende Bestimmungen
-
Die verantwortliche Stelle muss die Einhaltung dieser Ordnung nachweisen können.
-
Soweit personenbezogene Daten von Sozialleistungsträgern nach außen offengelegt werden
sollen, gelten zum Schutz ergänzend die staatlichen Bestimmungen entsprechend.
§ 36. Gleichstellung
Wird in dieser Ordnung die männliche sprachliche Form der Personenbeschreibung
verwendet, erlaubt dieses keinen Rückschluss auf das Geschlecht einer Person.
§ 37. Inkrafttreten, Außerkrafttreten
Diese Ordnung tritt am 25. Mai 2018 in Kraft.