Bedingungen und Hinweise für die Nutzung von LANDA


Grundsatz

LANDA ist eine Webanwendung, die vorrangig dazu dient, die Prozesse der Mitgliederverwaltung zu vereinfachen und diese damit effektiver und sicherer zu gestalten. Um dieses Ziel zu erreichen, teilen sich die Anwenderinnen und Anwender (im Folgenden zur einfacheren Lesbarkeit Anwender genannt) aus einem Vereinen und dem zuständigen Regionalverband den Zugriff auf einen gemeinsamen Datensatz. Dieser Datensatz umfasst je nach Größe des Vereins eine Vielzahl personenbezogener Daten. Diese sind ein hohes Gut! Daher ist die Anwendung von LANDA stets auf der Grundlage der größtmöglichen Sorgfalt, Respekt und Vorsicht durchzuführen. Die Unversehrtheit der Daten von Vereinsmitgliedern hat in allen Belangen und in jeder Situation die höchste Priorität! Jegliches Handeln, welches personenbezogene Daten einer oder mehrerer Personen gefährdet, ist zu unterlassen.

Verantwortlichkeiten und Zugänge

LANDA ist ein Werkzeug, das zur Verarbeitung von personenbezogenen Daten dient. Die Funktionalität, Verfügbarkeit und die technische Sicherheit liegt im Verantwortungsbereich des Landesverbandes Sächsischer Angler e. V. als Betreiber der Anwendung.

Verantwortlich für die Einhaltung des Datenschutzes (im Sinne der DSGVO) im Verein ist dessen gesetzlicher Vertreter bzw. Vertreterin. Dies ist nach § 26 Bürgerliches Gesetzbuch (BGB) der Vorstand (bzw. mehrere Vorstände). Dieser ist auch dafür zuständig, dass lediglich jene Funktionsträger im Verein einen Zugang zu LANDA inklusive entsprechender Berechtigung erhalten, die gemäß ihren satzungsgemäßen Aufgaben im Verein dazu legitimiert sind. Mitglieder ohne Legitimation (oder gar Außenstehende) sind als Dritte zu bewerten und dürfen unter keinen Umständen Zugang zu personenbezogenen Daten anderer Vereinsmitglieder erhalten.

Sorgsamer Umgang mit dem Zugang zu LANDA

Der Zugang zu LANDA erfolgt in einem üblichen Webbrowser durch einen Nutzernamen (zum Beispiel Mailadresse) und ein selbst gewähltes, persönliches Passwort. Das Passwort ist so zu wählen, dass es nicht durch Außenstehende offensichtlich zu erraten ist. Weiterhin ist das Passwort vor Zugriff von nicht-autorisierte Personen zu schützen. Es ist nicht vorgesehen, dass sich mehrere Personen einen Zugang zu LANDA teilen! Sollten die eigenen Zugangsdaten ungewollt an nicht-autorisierte Personen geraten sein, ist das Passwort unverzüglich zurückzusetzen! Dies gilt auch bei Verdacht. Sollten andere Personen Zugang zum PC besitzen, an dem LANDA benutzt wird ist sicherzustellen, dass das Passwort im Browser für LANDA nicht automatisch gespeichert wird. Sollte LANDA an fremden PCs oder anderen Endgeräten benutzt werden ist sicherzustellen, dass der verwendete Browser die eingegebenen Zugangsdaten nicht gespeichert hat. Von der Verwendung von LANDA an öffentlich zugänglichen PCs wird dringend abgeraten, sollte nicht zweifelsfrei ausgeschlossen werden können, dass sich im Nachgang unberechtigte Personen Zugang zu LANDA verschaffen könnten!

Zwecke der Verarbeitung

Gemäß Art. 6 der DSGVO dürfen personenbezogene Daten lediglich zweckgebunden erhoben werden. Folgende Zwecke liegen der Anwendung von LANDA zugrunde:

  1. Erfassung der Mitgliedschaft einer natürlichen Person in einem Angelverein als Rechtsverhältnis
  2. Koordination der Rechte und Pflichten eines Mitgliedes gegenüber einem Verein und umgekehrt
  3. Erfüllung satzungsgemäßer Aufgaben von Verein und Regionalverband
  4. Umsetzung von gesetzlichen Vorgaben aus dem Sächsischen Fischereigesetz und der Sächsischen Fischereiverordnung


Informationspflicht nach Art. 13 der DSGVO

Gemäß Art. 13 der DSGVO ist sicherzustellen, dass die betroffene Person (=Person, von der personenbezogene Daten erhoben werden) zum Zeitpunkt der Erhebung eine datenschutzrechtliche Unterrichtung erhält. Darin ist festzuhalten:

nach Art. 13 (1)

  1. Name des Verantwortlichen
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Zweck der Verarbeitung
  4. Empfänger der personenbezogenen Daten (z.B. Dachverband)
  5. Absicht über Drittlandtransfer (= zum Beispiel die Verwendung von LANDA als Webanwendung)

nach Art. 13 (2)

  1. Dauer der Verarbeitung
  2. Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
  3. Hinweis auf Widerrufsrecht
  4. Hinweis auf Beschwerderecht

Für die Verwendung von LANDA wird den Vereinen ein Muster für eine solche Unterrichtung zur Verfügung gestellt [LINK].


Rechte von Betroffenen gemäß DSGVO und daraus resultierende Pflichten für Anwender von LANDA

Auskunftsrecht nach Art. 15 DSGVO

Jedem, in LANDA registrierten Mitglied steht ein Auskunftsrecht zu. Zusätzlich zu den Inhalten der datenschutzrechtlichen Untererrichtung (Siehe Punkt „Informationspflicht“) muss dem Mitglied auf Verlangen ein Auszug aller Daten angefertigt werden, die in LANDA mit dem besagten Mitglied in Verbindung stehen. Hierzu steht eine fertige Exportfunktion in LANDA zur Verfügung.

Recht auf Berichtigung nach Art. 16 DSGVO

Sollte ein Mitglied feststellen, dass seine oder ihre Daten nicht korrekt oder unvollständig sind, so muss der Anwender von LANDA die entsprechende Korrektur bzw. Vervollständigung der Daten vornehmen.

Recht auf Löschung nach Art. 17 DSGVO      

Das Recht auf Löschung besagt, dass personenbezogene Daten eines Mitgliedes, für deren Verarbeitung es keinen Zweck mehr gibt, unverzüglich zu löschen sind. Eine vollständige Löschung des Datensatzes eines Mitgliedes ist nur dann gerechtfertigt, wenn die Mitgliedschaft durch Austritt oder Tod beendet wird. Es gibt jedoch personenbezogene Daten, welche satzungsgemäß nicht mit einem Zweck verbunden sind (Siehe hierzu den Abschnitt „Gesonderte Einwilligung“). Die Löschung jener Daten kann vom Mitglied eingefordert werden auch ohne, dass es Auswirkungen auf dessen Mitgliedschaft hat.

Recht auf Einschränkung der Verarbeitung und Widerspruchsrecht nach Art. 18 & und 21. DSGVO

Hat der Verein, für den der Anwender personenbezogene Daten erhebt, Zwecke definiert, die über die satzungsgemäßen Aufgaben hinausgehen, kann das Mitglied des Vereins die Einschränkung der Verarbeitung für jene Zwecke verlangen beziehungsweise der Verarbeitung widersprechen. Bis auf die Aspekte, welche unter dem Abschnitt „Gesonderte Einwilligung“ geschildert werden, bietet LANDA jedoch keine Möglichkeit Daten zu erheben, die nicht mit einer satzungsgemäßen Aufgabe zu rechtfertigen sind. Diese Rechte der Betroffenen werden vor allem bei Verarbeitungsprozessen relevant, die außerhalb der Webanwendung LANDA stattfinden (Siehe Abschnitt „Nutzung der Daten außerhalb von LANDA – Exporte und Berichte“)

Gesonderte Einwilligung

LANDA bietet zwei Möglichkeiten zur Erhebung von Daten, die nicht von Haus aus zur Erfüllung satzungsgemäßer Aufgaben dienen. Die Erhebung der Daten ist keine Pflicht! Sollten diese Daten erhoben werden, so muss der Verein, für den der Anwender die Daten erhebt, selbstständig einen Zweck definieren und dem Mitglied mitteilen. Dieser Zweck darf die Interessen, Rechte und Freiheiten der betroffenen Person jedoch nicht einschränken!

A) Freies Bemerkungsfeld für vereinsspezifische Informationen (Freitext)

Hier kann der Anwender frei eine das Mitglied betreffende Information hinterlegen. Angedacht ist dieses Feld für Informationen, die die Vereinsarbeit unterstützen können (Beispiel: „Besitz eines Kettensägenscheins“).

B) Anhänge

In LANDA ist jedes Mitglied als ein eigener Datensatz hinterlegt. Zu jedem Datensatz bietet LANDA die Möglichkeit Anhänge in Form von beispielsweise Fotos (JPG-Dateien) oder PDF-Dateien zu hinterlegen. Ist es beabsichtigt, dass diese Funktion im Verein genutzt wird, so muss auch dies durch einen Zweck oder ein berechtigtes Interesse begründet werden können.

ACHTUNG! Sowohl für A) und B) gilt:

Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien von personenbezogenen Daten untersagt!

Dazu zählen:

  1. Daten zu rassischen und ethnischen Herkunft
  2. Daten zur politischen Meinung
  3. Daten zur religiösen und weltanschaulichen Überzeugungen
  4. Daten zum Sexualleben oder der sexuellen Orientierung
  5. Daten zur Gewerkschaftszugehörigkeit
  6. Biometrische und genetische Daten zur eindeutigen Identifizierung einer Person
  7. Gesundheitsdaten

Weiterhin kann das Mitglied der Verarbeitung der Daten aus Punkt A) und B) widersprechen und eine Löschung dieser fordern. Dieser Forderung muss der Anwender von LANDA folgen, es sei denn es sprechen besonders schützenswerte Gründe dagegen.

Nutzung der Daten außerhalb von LANDA – Exporte und Berichte

LANDA bietet umfangreiche Möglichkeiten, Exporte zu generieren und herunterzuladen. Auch Listen mit personenbezogenen Daten (Zum Beispiel Mitgliederlisten) aus LANDA exportiert werden. Die Sicherheit des heruntergeladenen Dokumentes unterliegen ab dem Zeitpunkt des abgeschlossenen Downloadvorganges ausschließlich dem Anwender von LANDA. Dieser hat mit geeigneten technischen und organisatorischen Maßnahmen (gemäß Art. 32 DSGVO - Sicherheit der Verarbeitung) sicherzustellen, dass diese Dokumente nicht durch Dritte eingesehen, manipuliert, kopiert, verteilt oder in irgendeiner anderen Art und Weise verarbeitet werden können. Jegliche Verwendung der Dokumente ist eine Verarbeitung im Sinne der DSGVO. Aus diesem Grund ist sie nur zulässig für Zwecke, die der Erfüllung satzungsgemäßer Aufgaben dienen. Die Dokumente, egal ob digital oder analog, sind zu löschen bzw. zu vernichten, wenn sie keinem Zweck mehr dienen. Eine Archivierung von Mitgliedsdaten ist nicht gestattet. Es gilt genau wie bei der Verwendung von LANDA auch für daraus exportierte Daten der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO), der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) sowie der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO).


Meldepflicht bei Unregelmäßigkeiten und Datenverlust

Die DSGVO sieht vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach Bekanntwerden der Verletzung die zuständige Aufsichtsbehörde durch den Verantwortlichen im Sinne der DSGVO informiert wird. Dies ist nicht notwendig, wenn davon ausgegangen werden kann, dass die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 DSGVO).

Sollten bei der Verwendung von LANDA Unregelmäßigkeiten auffallen (Zum Beispiel Veränderungen von Daten, die nicht durch den Anwender selbst getätigt worden, obwohl der Anwender den einzigen Zugang des Vereins besitzt) ist das noch nicht automatisch ein meldepflichtiger Vorfall. Folgendes Vorgehen ist einzuleiten:

  1. Zunächst ist unverzüglich der Verantwortliche (Vorstand) aus dem Verein zu informieren, wenn der Anwender nicht selbst verantwortlich ist.
  2. Es ist zu dokumentieren
  3. Was wurde festgestellt?
  4. Wann wurde dies festgestellt?
  5. Wer hat es festgestellt?
  6. Der Vorfall wird durch den Verantwortlichen oder in Absprache mit dem Verantwortlichen dem zuständigen Regionalverband gemeldet. Womöglich hat jener bereits ein Erklärung für Unregelmäßigkeiten.
  7. In Absprache mit dem Regionalverband wird entschieden, ob und inwiefern weitere Maßnahmen eingeleitet werden müssen.
  8. Sollte zweifelsfrei festgestellt werden, dass durch die Nutzung von LANDA eine Verletzung des Schutzes personenbezogene Daten stattgefunden hat, ist folgendes Vorgehen einzuleiten:
  9. Zunächst ist unverzüglich der Verantwortliche (Vorstand) aus dem Verein zu informieren, wenn der Anwender nicht selbst verantwortlich ist.
  10. Es ist zu dokumentieren
  11. Was wurde festgestellt?
  12. Wann wurde dies festgestellt?
  13. Wer hat es festgestellt?
  14. der Datenschutzbeauftragte des Landesverbandes Sächsischer Angler e. V. zu informieren (datenschutz@landesanglerverband-sachsen.de).
  15. Gemeinsames Vorgehen wird abgestimmt

Haftung

Personen, die aufgrund von Verstößen gegen die DSGVO einen materiellen oder immateriellen Schaden erleiden, haben einen Anspruch auf Schadensersatz (Art. 82 Abs. 1 DSGVO). Die Haftung hierfür übernimmt derjenige, der den Schaden durch Verarbeitung unter Nichtbeachtung der DSGVO verursacht hat (Art. 82 Abs. 2 DSGVO). Die Haftung kann nur ausgeschlossen werden, wenn der Verarbeiter nachweist, dass er für den Schaden nicht verantwortlich gemacht werden kann (Art. 82 Abs. 3 DSGVO).

Für den Anwender von LANDA bedeutet das, dass gegen ihn Schadensersatzansprüche von betroffenen Personen geltend gemacht werden können, wenn:

  1. im Rahmen der Nutzung von LANDA vorsätzlich Verarbeitungstätigkeiten durchgeführt wurden, die nicht im Rahmen der satzungsgemäßen Aufgaben des Vereins bzw. des Regionalverbandes legitimiert waren.
  2. Absichtlich oder durch fahrlässiges Handeln des Anwenders Dritte (auch nichtautorisierte Vereinsmitglieder) einen Zugang zu personenbezogenen Daten aus LANDA erhalten haben
  3. Unregelmäßigkeiten oder Datenverluste nicht gemeldet wurden