Hallo,
in einem gemeinnützigen Verein soll in der Datenschutzbestimmung u.a. folgendem Passus zugestimmt werden.
“Übermittlung von Titel, Vor- und Nachname, Adresse, Telefonnummer, E-Mail, Kontodaten
an Verwaltungssoftwaren, CRM-Systeme, Newsletterprogramme, Kommunikationstools, …”.
Ich halte diese Formulierung für unzulässig.
Wozu benötigen Newsletterprogramme Kontodaten oder Telefonnummern?
Und darf man in der Formulierung “…” verwenden. Damit wäre ja Tür und Tor geöffnet für alles Mögliche.
Was ist von diesem Passus zu halten?
Was ich auch äußerst kritisch sehe ist das folgende.
Wie in vielen Datenschutzerklärungen gibt es keine Wahlmöglichkeit, so dass man sie in Gänze akzeptieren muss.
Etwas später steht dann
"Diese Einwilligung kann jederzeit zur Gänze oder in Teilen schriftlich oder mündlich widerrufen werden.
Warum lässt man nicht im Formular selbst bei den nicht unbedingt erforderlichen Punkten die Wahlmöglichkeit?
also bevor ich antworte erstmal ein paar Klarstellungen:
Mit Datenschutzbestimmungen meinst du die Datenschutzhinweise bzw. umgangssprachlich auch Datenschutzerklärung richtig?
Datenschutzhinweise müssen nicht akzeptiert werden daher muss es auch keine Wahlmöglichkeit geben. Was man teilweise findet ist ein anklicken einer Checkbox ich habe diese gelesen. Dies dient im Kern nur dem Nachweis, dass man die Infos nach Art 13/14 bereitgestellt hat (aber es kann auch anders gelöst werden).
Eine Einwilligung muss zwar informiert erfolgen, aber Datenschutzhinweise sind keine Einwilligung.
Nun zu deinen Fragen:
Ich vermute dass hier die übermittelten Datenarten und Empfänger zusammengesfasst wurden. Dies ist natürlich nicht optimal. Aber das hast du ja schon erkannt. Was aber zulässig ist, ist die Kategorien der Empfänger anzugeben.
Eine Einweilligung ist was anders wie eine Information. Natürlich gibt es Überschneidungen. Als Beispiel bei Cookie Bannern muss man sagen wofür die sind und was die Cookies machen aber der Cookie Banner mit der Checkbox zu möglichen Cookie Kategorien ist was anderes als die Datenschutzerklärung wo eben ausführlicher beschrieben wird.
Also mein erster Eindruck von deinem Post ist, dass du oder der Verein hier etwas durcheinander bringt bzw. es aus ggf. Unverständnis nicht korrekt umgesetzt oder beschreiben wurde.
Zusätzlich zur Unterscheidung, ob es um die Einwilligung (als Rechtsgrundlage der Verarbeitung) geht, oder um die Datenschutzerkläung (als Umsetzung der Informationspflicht darüber), könnte es hilfreich sein, die Verarbeitung aufzuspalten.
Ein vereinsinterner Newsletter kann als Mitteilung an Mitglieder durchgehen, die zur Erfüllung des Mitgliedsvertrags erforderlich (= zulässig) ist; ohne extra Einwilligung. Darüber hinaus gehende Aspekte dann ggf. mit Einwilligung, aber nur für die relevanten Punkte. Das kann dazu führen, dass beim Umsetzen darauf geachtet werden muss, wofür die Erlaubnis vorliegt, und entsprechend wäre dann zu differenzieren. (Newsletter aufgrund der Mitgliedseigenschaft; bei Einwilligung zusätzlich bestimmte Werbung.)
Der Titel des Dokuments lautet “Datenschutzbestimmung”.
Dieses wurde an die Mitglieder eines eingetragenen Vereins zugesandt mit der Aufforderung es zu unterschreiben.
Neben den im Eingangsbeitrag geschriebenen Texten, steht auch noch, dass neben dem Namen auch Geburtsdatum, Adresse und Telefonnummer auf der vereinseigenen Homepage veröffentlicht werden darf.
Das Dokument soll man unterschrieben zurückgeben.
Unterschreiben, mit welcher “angedrohten” Wirkung? Würde man damit eine aufblasbare Waschmaschine bestellen?
Evtl. soll es eine “Einwilligung” sein, die es handwerklich evtl. doch nicht ist. (Falls die gesetzlichen Bedingungen nicht erfüllt sind; z. B. Zwecke, Freiwilligkeit, Erklärungscharakter und Widerrufsinformation fehlen.)
“Bestimmung” klingt nach “Vorschrift” o. ä., indem jemand Pflichten einseitg festlegt oder durchreicht.
D., der manchmal den Sinn von Dokumenten anzweifeln muss, wenn sowohl die Überschrift nicht zum Text passt als auch der Inhalt nicht erhellend ist.
Öh… das wird jetzt aber zur Rechtsberatung. Deshalb nur kurz die problematischen Punkte:
Die Mitglieder-Benachrichtigung und -Verwaltung dürfte auch zur Erfüllung des Mitgliedsvertrags erfolgen und bräuchte dann keine Einwilligung.
Wobei WhatsApp-Mitteilungen wegen der Übermittlung der kompletten Adressbücher weit über den Zweck hinaus gehen, also nicht ohne Weiteres erforderlich sind (und damit zunächst noch unzulässig; praktisch auch mit Einwilligung nicht zulässig hinzubekommen).
Der 2. Teil zur Teilnahme an Wettbewerben kann je nach Zusammenhängen fest mit der Mitgliedschaft verbunden sein; oder bei der Möglichkeit, auch ohne zentral organisierte Wettbewerbe dabei zu sein getrennt einwilligbar. Dann auch auf das Nötige beschränkt.
Die 3. Tabelle zur Veröffentlichung ist ein wahrscheinlich nicht von der Mitgliedschaft abhängiger Zweck, wäre also getrennt einzuwilligen. Auch ist der angekündigte Umfang (Geburtsdatum, Kontaktdaten, Beruf) umfangriecher als für den genannten Zweck der Darstellung von Erfolgen nötig.
