Antrag Änderung der Bundessatzung bezüglich Datenschutz

Hallo,
folgenden Satzungsänderungsantrag haben wir seitens Bundesvorstand eingebracht:

Die Bundesversammlung möge beschließen:

Die Bundessatzung wird um §15 ergänzt, der bisherige §15 Auflösung des Vereins wird zu §16.

§ 15 Datenschutzregelung

Der BdP e.V. benötigt zur Erfüllung seiner Zwecke die personenbezogenen Daten seiner Mitglieder. Unter Beachtung der Regelungen der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes werden personenbezogene Daten der Mitglieder im BdP und seinen Untergliederungen verarbeitet.

Mit dem Beitritt nimmt der BdP e.V. folgende persönliche Daten des Mitglieds auf:

  • vollständigen Namen,
  • Anschrift,
  • Geschlecht,
  • Telefonnummern und E-Mail-Adressen,
  • Geburtsdatum,
  • Bankverbindung (bei Teilnahme am Lastschrifteinzugsverfahren)

Darüber hinaus werden Daten über die Teilnahme an Veranstaltungen sowie die Ausübung von Ämtern und Aufgaben erhoben.

Diese persönlichen Informationen werden von dem Verein elektronisch gespeichert. Jedem Vereinsmitglied wird dabei eine Mitgliedsnummer zugeordnet. Der Verein trägt dafür Sorge, dass die personenbezogenen Daten des Mitglieds durch geeignete technische und organisatorische Maßnahmen vor der Kenntnisnahme Dritter geschützt werden.

Jedes Vereinsmitglied hat das Recht auf:

  • Auskunft über die zu seiner Person gespeicherten Daten,
  • Berichtigung der Daten, sofern diese unrichtig sind,
  • Sperrung der Daten, wenn deren Richtigkeit nicht feststeht,
  • Löschung der Daten, wenn die Speicherung unzulässig war oder wird,
  • Bereitstellung dieser Daten in einem gängigen Format (Recht auf Datenübertragung), Art. 20 DSGVO

Antragsteller

Bundesvorstand

Begründung

Im Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Der BdP hat sich intensiv mit den neuen und bestehenden Regelungen beschäftigt und hierzu auch externe Rechtsberatung in Anspruch genommen. Hierbei hat sich gezeigt, dass ergänzend zu zahlreichen weiteren Maßnahmen auch die Aufnahme eines Passus zum Datenschutz in die Satzung erforderlich ist. Die ausführlichen Datenschutzhinweise im Rahmen des Aufnahmeantrags bleiben hiervon unberührt.

1 Like

Hallo, ich finde es sehr gut, dass man sich der Thematik DSGVO nun annimmt. Mir persönlich geht der Antrag noch nicht weit genug. Ich denke wir müssen in der Lage sein unseren Mitgliedern auch zu erklären, “WO” sich unsere Daten befinden.
Stichwort:

  • Drittstaaten
  • sicher oder nicht sicher etc.

@Cricket: es ist ja nicht so, dass sich bisher niemand im BdP dieser Thematik angenommen hätte. Dass sich die Stämme und LV bereits länger damit auseinandergesetzt haben, kann man z.B. an den verschiedenen Hinweisen und Hilfestellungen der Landesgeschäftstellen für ihre Stämme etc. entnehmen.
Wie Guschtl richtig schreibt, geht es jetzt “nur” noch um die Aufnahme eines entsprechenden Hinweises in der Satzung.

“Sicher” oder “nicht sicher” ist ein Dauerbrenner im Bereich der EDV - zeige mir ein System, das nicht irgendwann unsicher wird. Man könnte aber beispielsweise eine entsprechende Formulierung verwenden (“Der Zugriff erfolgt über ein internetfähiges System, das derart konfiguriert ist, dass ein Zugriff nur über Internetleitungen mit einer dem aktuellen Stand entsprechenden Verschlüsselung erfolgen kann”). Wobei eine ähnliche Formulierung bereits im Antrag enthalten ist (“Der Verein trägt dafür Sorge, dass die personenbezogenen Daten des Mitglieds durch geeignete technische und organisatorische Maßnahmen vor der Kenntnisnahme Dritter geschützt werden.”).

Was meinst du mit “Drittstaaten”? Ich gehe davon aus, dass unsere Mitgliedsdaten auf in Deutschland befindlichen Servern gespeichert werden - wenn man die Internetleitung nach Immenhausen berücksichtigt, sicher nicht auf dort befindlichen eigenen Servern, aber zumindest bei einem entsprechenden Dienstleister. Aber auch hier wäre ein entsprechender Hinweis sicherlich hilfreich, um entsprechende Verunsicherungen gar nicht erst aufkommen zu lassen.

1 Like

Ich danke soweit für die Kritik. Nur reden wir hier von einem Thema, welches schon vor einem Jahr hätte, erledigt seien müssen. Zitat aus der einleitenden Begründung: „Im Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten“.

Ich mag mich erinnern, dass im Mai 2018 folgender Satz in der Bundesmail stand „Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung in Kraft getreten. Auf meinBdP haben wir die wichtigsten Informationen für Landesverbände und Stämme zusammengestellt“ (via Mailchimp mit Sitz in den USA). Damals wurde jedoch lapidar die Datenschutzerklärung abgewimmelt mit der Aussage “wären eh über den Aufnahmeantrag geregelt” und sprach in keiner Weise die Verpflichtungen des Bundes an. Ich weise darauf hin, dass mein letztes Zitat aus dem Gedächtnis ist und kein Vorwurf darstellt.

“Sicher” ist heute selbstverständlich gar nichts mehr. Nur in der Vorratsdatenspeicherung redet man auch von unsicheren Drittstaaten. Selbstverständlich gehe ich davon aus, dass wir weder im Bund noch in den LVs damit etwas zu tun haben, oder? Ich möchte hier nur sensibilisieren und doch kann nur der Hoster sagen, ob dieser Server aus dem Ausland zukauft oder nicht.

Da auch der Bund dazu verpflichtet war mit seinem Hoster einen Datenverarbeitungsvereinbarung einzugehen kann im Antrag eine Ergänzung beigefügt werden wie folgt: “Der Bund verpflichtet sich seine Mitgliederdaten ausschließlich auf Servern in Deutschland zu hinterlegen”. Die Daten von Webseiten können hiervon unberührt bleiben, da diese mit ihren jeweiligen und eigenen Datenschutzerklärungen gesichert sind bzw. sein sollten.

Es sollte keine Kritik sein, zumindest nicht im negativen Sinn :slight_smile:
Stimme dir grundsätzlich zu, gerade was die Thematik Datensicherheit und Serverstandorte angeht, und ich hoffe, dass wir den Bundesvorstand als Antragsteller dahingehend haben sensibilisieren können, dass er die Anregungen noch mit in seinen Antrag aufnimmt.

Ich habe dies auch nicht als negative Kritik betrachtet. Nur je länger ich mir Gedanken darum mache, stellt sich mir die Frage, ob dieser Absatz im vollen Umfang in der Satzung Sinn macht. Wenn sich irgendetwas in der Datenschutzregelung ändert führt dies logischer Weise zu einer Änderung der Satzung die uns, beziehungsweise den zahlenden Mitgliedern, Geld kostet.
Eine Datenschutzerklärung müssen wir so oder so führen und kann daher auch von der Bundessatzung getrennt bleiben. Im ausgegliederten Format lassen sich Änderungen in dieser unkompliziert und zeitnah bearbeiten und aktualisieren. Schlussfolgernd hieße dies: Änderung des Datenschutzes im Bund bedarf einer Bundesversammlung. Das nenne ich unflexibel

Ich werde diese Diskussionsgrundlage unseren Delegierten mit auf den Weg geben.

Kann hier Cricket nur zustimmen.
Als wir unsere Stammeshomepages in Düsseldorf DSGVO konform machen wollten, war die Hilfe vom Bund sehr schwach.
Klar ist das viele Firmen und Vereine auch heute noch nicht konform sind. Auch klar war 2018 auch, das sich alles erst einspielen musste und die Gesetze in der Rechtsprechung gefestigt werden muss. Dies passiert so langsam und die ersten Abmahnanwälte und -Vereine bringen sich in Position, sodass die ersten Abmahnungen kleine Firmen erreichen. Hier müssen wir unseren Bund durch eine Saubere Satzung und Hilfestellungen zum Datenschutz schützen.
Die Satzung sollte so flexible sein, das wir nicht eine Änderung der Datenschutzregeln nicht erst durch einen BV Antrag wieder ändern können.

Ansonsten, gut das das Thema nun angegangen wird.

Gut Pfad

Aga

Hallo zusammen,

wie Cricket richtig angemerkt hat, möchten wir die Regelungen zum Datenschutz in der Satzung bewusst so knapp wie möglich halten, um nicht bei Änderungen an der Gesetzgebung oder der noch jungen Rechtssprechung zur DSGVO jedes mal die Satzung ändern zu müssen. Vielmehr handelt es sich hierbei entsprechend der Empfehlung unseres Rechtsberaters um einen Mindestinhalt, den die Satzung vorsehen sollte, um auf der sicheren Seite zu sein.

Die Bestimmung in der Satzung entbindes aber keinesfalls von den weiteren Pflichten, welche das Bundesdatenschutzgesetz bzw. die DSGVO auferlegen. Hierzu gehören beispielsweise das Führen von Verarbeitungsverzeichnissen, das Dokumentieren von technisch-organistaorischen Maßnahmen (TOMs - diese Stellen sicher, dass Prozesse und Tools entsprechend den Vorgaben so sicher wie möglich ausgestaltet sind) und Löschrichtlinien. Darüber hinaus hat der BdP selbstverständlich mit allen Dienstleistern, die personenbezogene Daten verarbeiten (dazu gehören auch die Betreiber unserer Webserver etc.) eine Auftragsverarbeitungs-Vereinbarung abgeschlossen und somit diese ebenfalls auf die Einhaltung der Datenschutzvorgaben verpflichtet.
Diese Auflagen gelten größtenteils auch für Stämme und Landesverbände, die auf meinBdP verfügbaren Dokumente geben hier einen ersten Überblick - insbesondere darüber was zwingend getan werden muss, um kein Opfer von Abmahn-Anwälten zu werden (hier sind insbesondere die Dtaenschutzhinweise auf Webseiten relevant!).

Viele Grüße,
Guschtl

PS: Da der Begriff Drittstaaten gefallen ist: Drittstaaten im Sinne der DSGVO sind alle Staaten außerhalb des Geltungsbereichs der DSGVO, d.h. außerhalb der EU. Hier verarbeitet der BdP selbstverständlich keine Mitgliedsdaten, jedoch unvermeidbar andere Daten, die ebenfalls als personenbezogene Daten gelten (durch Dienstleister wie Facebook oder Instagram, auf denen wir Webpräsenzen unterhalten und die Daten der Nutzer entsprechend deren Geschäfts- und Datenschutzbestimmungen erfassen). In den Fällen, in denen das der Fall ist, weisen wir in den Datenschutzhinweisen auf unserer Homepage darauf hin.

2 Like

Sicherlich ist es schwer den gesamten BdP DSGVO-Konform zu machen. Jeder Stamm hat seine eigene Webpräsenz und wie guschtl es richtig beschreibt; Facebook und Co KG kommen dazu.
Nun finde ich es wichtig oben anzufangen, im Bund, und sukzessiv, zeitnah die Landesverbände sowie die Stämme rechtssicher zu machen. Sensibilisierung für Details. Genauso wie der BdP vielfältig ist, sind es auch die Techniken der Webseiten.

Meine Empfehlung beinhaltet nur die Erwähnung einer Datenschutzerklärung neben der Bundessatzung.
Ich möchte dieses Thema des “Antrages” natürlich nicht als Plattform zur Diskussion des Datenschutzes nutzen. Bestünde hier, auf mitreden.pfadfinden.de, die Möglichkeit zum Thema DSGVO im BdP eine eigene Kategorie zu erstellen?

Hört sich soweit gut an.

Hallo Guschtl,

auch kleine und eher formelle Änderungen an der Bundessatzung haben ja immer so eine gewisse Tragweite. Deshalb mal folgende Anmerkungen bzw. Rückfragen zu diesem Antrag zur Satzungsänderung.

  1. Der Titel Datenschutzregelung kommt mir ziemlich generisch vor. Ich habe nicht den Eindruck dass der Paragraph den Datenschutz im BdP regelt. Passender zum Inhalt fände ich z.B. Erhebung und Verarbeitung personenbezogener Daten oder ähnlich.

  2. Auch nach mehrmaligen Lesen habe ich das Gefühl, dass die inhaltliche Trennung der ersten beiden Sätze irgendwie nicht ganz sauber ist. Mein Vorschlag wäre das eher so zu machen:
    Der BdP e.V. und seine Untergliederungen müssen zur Erfüllung ihrer satzungsgemäßen Zwecke personenbezogenen Daten der Mitglieder erheben und verarbeiten. Dies erfolgt unter Beachtung der Regelungen der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes.
    Wobei ich hier EUDSGVO und BDSG gar nicht erst aufführen würde, sondern einfach unter Beachtung gesetzlicher Regelungen oder ähnlich.

  3. Warum wird der Schutz vor Kenntnisnahme durch Dritte explizit aufgeführt? Ich würde mal behaupten, dass andere Grundsätze der Verarbeitung von personenbezogenen Daten doch mindestens genau so wichtig sind … Ich würde das raus lassen.

  4. Im abschließenden Abschnitt werden (auszugsweise) Rechte der betroffenen Personen gemäß BDSG / DSGVO aufgeführt. Was ist der Hintergrund, dass diese Rechte in der Vereinssatzung explizit aufgenommen werden?

Beste Grüße
Philipp

1 Like

Hallo Philipp,
vielen Dank für deine Rückmeldungen! Wir haben uns mit diesen beschäftigt und auch nochmal Rücksprache mit unserem Rechtsberater gehalten.
Zu 1. Die Überschrift ist bewusst generisch gehalten
Zu 2. Das ist insofern korrekt, dass der Satzbau in der Tat etwas holprig ist. Das würden wir gerne auf der BV entsprechend deines Vorschlags ändern lassen. Uns wurde aber explizit empfohlen, die Gesetzesbezeichnungen in der Satzung zu lassen.
Zu 3. Juritisch relevant ist hier der Verweis auf die TOMs (technisch-organisatorischen Maßnahmen). Raus kann der Satz deswegen nicht, man könnte jedoch den Satzteil “vor Kenntnisnahme Dritter” entfallen lassen und das entsprechend allgemeiner formulieren.
Zu 4. Das ist erforderlich, um den Informationspflichten aus Art. 13, 14 DSGVO nachzukommen. Da in der Satzung die Datenverarbeitung geregelt wird, müssen auch die Betroffenenrechte dort geregelt werden.
Viele Grüße,
Guschtl

1 Like

Danke für die Klärung!