Logo der Refugee Law Clinic Konstanz e.V. Ehrenamtliche Rechtsberatung für Geflüchtete in Konstanz

Datenschutz / Privacy

Datenschutzordnung der Refugee Law Clinic Konstanz e.V.

Stand: 3. November 2018

     I.         Allgemeine Grundsätze

1.    Bekenntnis zum Datenschutz

Zur Förderung der satzungsmäßigen Vereinszwecke der Refugee Law Clinic Konstanz e.V. (im Folgenden RLC) ist es unvermeidbar, personenbezogene Daten von Vereinsmitgliedern, an der Vereinsarbeit interessierten Personen, der für die RLC tätigen wissenschaftlichen Hilfskräften, der mit der RLC zusammenarbeitenden DolmetscherInnen, der von der RLC beratenen MandantInnen und ihrer Begleitpersonen sowie der BesucherInnen der Vereinshomepage zu verarbeiten. Alle RLC-Mitglieder bekennen sich zur Wahrung der datenschutzrechtlichen Grundsätze und Pflichten, die bei der Verarbeitung personenbezogener Daten durch die RLC gem. Art. 2 Abs. 1, Art. 3 Abs. 1, Art. 5 Abs. 2 der Datenschutzgrundverordnung (im Folgenden DSVGO) zu beachten sind. Der Schutz personenbezogener Daten liegt im Eigeninteresse aller Vereinsmitglieder, weil darin eine Voraussetzung für eine vertrauensvolle Zusammenarbeit zwischen Vereinsmitgliedern, mit Kooperationspartnern und mit von uns unterstützten Flüchtlingen liegt.  Zum Nachweis, dass die in Art. 5 DSGVO niedergelegten Grundsätze und die sich aus der DSGVO ergebenen Pflichten durch die RLC als Verantwortliche eingehalten werden (Art. 5 Abs. 2 DSGVO) und zur Konkretisierung dieser Pflichten beschließt die RLC-Mitgliederversammlung folgende vereinsinterne Datenschutzordnung (im Folgenden DO).

2.    Begriffe

Die in der Datenschutzordnung verwendeten Begriffe entsprechend den Begriffsbestimmungen in Art. 4 DSGVO. Die RLC wird im Folgenden auch „Verantwortliche“ genannt. Soweit auf die Aufsichtsbehörde Bezug genommen wird, ist damit der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg gemeint.

3.    Zuständigkeit

Die Zuständigkeit für den Datenschutz innerhalb der RLC verteilt sich auf folgende Organe und Personen.

a)   Vorstands- und Vereinsmitglieder

Es ist die Pflicht aller Vereinsmitglieder, die sich aus der DSGVO und der DO ergebenen Datenschutzbestimmungen einzuhalten und an einem hohen Datenschutzniveau mitzuwirken. Der Vorstand hat die besondere Pflicht, alle organisatorische und technische Maßnahmen zu ergreifen, um den rechtlich erforderlich Datenschutz zu gewährleisten.

b)   Wissenschaftliche Hilfskräfte

Die Universität Konstanz beschäftigt zwei wissenschaftliche Hilfskräfte, die ihre Arbeitskraft der RLC zur Verfügung stellen. Ihnen obliegen administrative Tätigkeiten wie die Organisation und Einladung zu Veranstaltungen der RLC. Dabei unterliegen sie den gesetzlichen Datenschutzbestimmungen der DSGVO sowie – aufgrund ihrer Vereinsmitgliedschaft – auch dieser DO.

a)   Mitgliederversammlung

Die Mitgliederversammlung beschließt die Geltung der DO. Sie erteilt dem Vorstand die Befugnis, die Datenschutzordnung jeweils bis zur nächsten Mitgliederversammlung inhaltlich zu verändern, soweit dies erforderlich ist, um datenschutzrechtliche Anforderungen einzuhalten. Der Vorstand berichtet auf jeder Mitgliederversammlung über etwaige Änderungen.

b)   Keine Bestellung einer datenschutzbeauftragten Person

Die RLC wird aus Art. 37 DSGVO nicht verpflichtet, eine datenschutzbeauftragte Person zu bestellen und macht auch von der Möglichkeit einer freiwilligen Bestellung (Art. 37 Abs. 4 DSGVO) keinen Gebrauch.

Insbesondere ergibt sich keine entsprechende Verpflichtung aus Art. 37 Abs. lit. c) Var. 1 DSGVO, wonach eine datenschutzbeauftragte Person zu bestellen ist, wenn die Kerntätigkeit des Verantwortlichen darin liegt, umfangreich besondere Kategorien von Daten gem. Art. 9 DSGVO zu erheben. Bei der Beratung von Geflüchteten ist es teilweise erforderlich, sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO zu erhebe. Allerdings kann die Verarbeitung derartiger Daten nicht als „umfangreich“ im Sinne von Art. 37 Abs. 1 lit. c) DSGVO eingestuft werden.

Dem Kurzpapier Nr. 12 der Datenschutzkonferenz (S. 1) sowie den Leitlinien in Bezug auf Datenschutzbeauftragte der Art. 29-Datenschutzgruppe (S. 8 ff. des Dokumentes „WP 243“ vom 13.12.16) zufolge sind entsprechend des Erwägungsgrundes 91 der DSGVO folgende Kriterien heranzuziehen, um zu beurteilen, ob eine umfangreiche Datenverarbeitung vorliegt:

·       die absolute Anzahl der betroffenen Personen

·       die Menge der verarbeiteten Daten (Volumen)

·       das Spektrum der verarbeiten Daten

·       die geografische Ausbreitung der Verarbeitung (regional, national oder supranational) und

·       die Dauer der Verarbeitung.

Wenn mehrere Kriterien als „hoch“ einzustufen sind, liege eine umfangreiche Datenverarbeitung statt. Erwägungsgrund 91 der DSGVO besagt zudem, dass eine Datenverarbeitung dann nicht umfangreich ist, wenn von einem einzelnen Rechtsanwalt personenbezogene Daten von Mandanten verarbeitet werden.

Nach diesen Kriterien findet bei der RLC keine umfangreiche Verarbeitung von Daten gem. Art. 9 Abs. 1 DSGVO vor.

Die absolute Anzahl betroffener Personen liegt bei ca. 30 Personen im Jahr. Dies ergibt sich daraus, dass die RLC im Jahr ca. 90 verschiedene Personen berät. Durchschnittlich ist es nur bei jeder dritten Person erforderlich, einzelne Daten gem. Art. 9 Abs. 1 DSGVO zu erheben. Dies ist v.a. bei der Vorbereitung zu asylrechtlichen Anhörungen, bei der Prüfung von Schutzgründen oder von Abschiebehindernissen der Fall. Im Vergleich zur Anzahl von einem einzelnen Anwalt bearbeiteten Mandate, auf den Erwägungsgrund 91 der DSGVO Bezug nimmt, ist die Anzahl von ca. 30 betroffenen Person im Jahr als eher gering einzustufen. Quantitativ erreicht die Datenverarbeitung durch die RLC nicht die Anzahl von Datenverarbeitungen, die ein einzelner Anwalt pro Jahr vornimmt. Zudem beziehen sich alle Beispiele für eine umfangreiche Datenverarbeitung, die in den oben erwähnten Leitlinien der Art. 29-Gruppe auf S. 9 genannt werden, auf eine Datenverarbeitung im Rahmen einer gewerblichen Tätigkeit, wohingegen die RLC gemeinnützig ist und ihre Mitglieder ehrenamtlich, selbstlos und ohne eigenes Interesse die Daten verarbeiten. Quantitativ erreicht die Datenverarbeitung der RLC in keiner Weise die Anzahl der betroffenen Personen wie in den von der Art. 29-Gruppe genannten Beispielen, zB die Verarbeitung von Patientendaten durch ein Krankenhaus oder die Verarbeitung von Kundendaten durch eine Versicherung.

Die Menge der verarbeitenden Daten kann je nach Fall allerdings unterschiedlich ausfallen. Teilweise werden die Daten nur im Beratungsgespräch mündlich benannt, ohne dass sie gespeichert und weiterverarbeitet werden. Nur wenn weitere Beratungstermine erforderlich sind, wird mit Zustimmung der zu beratenden Person ein elektronisches Beratungsprotokoll angefertigt, in denen beispielsweise der Fluchtgrund dargestellt und dabei Daten im Sinne von Art. 9 Abs. 1 DSGVO gespeichert werden. Derartige Protokolle enthalten in den meisten Fällen wenige Sätze, die sich auf die juristisch relevanten Sachverhaltsangaben beziehen, nicht dagegen auf alle Angaben, die die zu beratenden Personen insgesamt machen.

Teilweise werden dem Protokoll noch Kopien angehängt, auf denen Daten im Sinne von Art. 9 Abs. 1 DSGVO abgedruckt sind (zB ein ärztliches Attest). Die Menge der verarbeitenden Daten kann in den meisten Fällen aber als eher gering eingeordnet werden.

Es ist nur in seltenen Fällen erforderlich, aus mehreren in Art. 9 Abs. 1 DSGVO genannten Kategorien Daten zu erheben, sodass auch das Spektrum der verarbeitenden Daten in der überwiegenden Zahl der Fälle als gering einzustufen sind. Meistens bezieht sich der Sachverhalt auf einen Aspekt, der besondere Datenkategorien aus Art. 9 Abs. 1 DSGVO betrifft (zB die Zugehörigkeit zu einer politischen oder religiösen Minderheit als Grund für eine Verfolgung im Herkunftsstaat oder gesundheitliche Probleme, die einer Abschiebung entgegenstehen).

Die Datenverarbeitung findet weder regional, national oder supranational, sondern ausschließlich lokal in Konstanz statt. Auch die Dauer der Datenverarbeitung ist als gering einzustufen, weil die Daten in einem Beratungstermin gespeichert werden, wenn dies für weitere Beratungstermine erforderlich ist und nur im Fall einer tatsächlich stattfindenden wiederholten Beratung wieder aufgerufen werden. Sie beschränkt sich somit in den meisten Fällen auf eine kurze Zeitspanne weniger Stunden. Sobald absehbar ist, dass eine Beratung nicht mehr erforderlich ist, werden die Daten unverzüglich gelöscht. Spätestens erfolgt eine Löschung der Daten nach drei Jahren nach Ablauf des Jahres, in dem letztmals Kontakt der zu beratenden Person und einem Mitglied der RLC bestand, wenn eine Fortsetzung der Beratung nicht absehbar ist.

   II.         Datenschutzfolgenabschätzung

Aus Art. 35 DSGVO folgt für die RLC keine Rechtspflicht, eine Datenschutzfolgenabschätzung (DSFA) vorzunehmen.

Das Regelbeispiel in Art. 35 Abs. 3 lit. b) Var. 1 DSGVO ist nicht erfüllt, weil keine umfangreiche Verarbeitung besonderer Kategorien von Daten gem. Art. 9 Abs. 1 DSGVO erfolgt. Das Tatbestandsmerkmal der „umfangreichen“ Datenverarbeitung ist bei Art. 35 Abs. 3 lit. b) Var. 1 DSGVO gleich auszulegen wie bei Art. 37 Abs. 3 lit. b) Var. 1 DSGVO und es gelten dieselben Maßstäbe aus Erwägungsgrund 91 der DSGVO. Nach diesen Maßstäben ist die Verarbeitung von Daten im Sinne von Art. 9 Abs. 1 DSGVO nicht umfangreich (s.o.).

Auch liegt kein hohes Risiko für Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen vor, was nach dem Grundtatbestand in Art. 35 Abs. 1 S. 1 DSGVO eine DSFA erforderlich machen würde. Keines der in Art. 35 Abs. 1 S. 1 DSGVO genannten Kriterien der Risikobeurteilung trifft auf die Datenverarbeitungsvorgänge der RLC zu.

Es werden insbesondere keine neuen Technologien verwendet, aus dem sich ein hohes Risiko ergeben könnte. Die Art der Datenverarbeitung begründet kein hohes Risiko, weil die RLC umfangreiche Maßnahmen zum Datenschutz gem. Art. 32 Abs. 1 DSGVO trifft, insbesondere im Hinblick auf eine Verarbeitung von Datenkategorien gem. Art. 9 Abs. 1 DSGVO. Der Umfang der Datenverarbeitung beschränkt sich im Hinblick auf alle Datenverarbeitungsvorgänge auf dasjenige, was notwendig ist, um den Vereinszweck zu fördern. Insbesondere im Hinblick auf die Verarbeitung sensibler Daten gem. Art. 9 Abs. 1 DSGVO liegt der Umfang unterhalb der Schwelle, die nach Art. 35 Abs. 3 lit. b) Var. 1 DSGVO eine DSFA erforderlich machen würde. Hinsichtlich der Datenverarbeitung gegenüber den anderen von der Datenverarbeitung betroffenen Personen (Vereinsmitglieder, an der Vereinsarbeit interessierte Personen, BesucherInnen der Vereinshomepage, wissenschaftliche Hilfskräfte, DolmetscherInnen) liegt ebenfalls nur ein geringer Umfang vor, der den üblichen Rahmen der Datenverarbeitung eines kleinen Vereins mit ca. 30 Mitgliedern nicht übersteigt. Auch aus den Umständen oder dem Zweck der Datenverarbeitung ergibt sich kein hohes Risiko für die betroffenen Personen.

Die Datenverarbeitung erfolgt ausschließlich im Interesse der betroffenen Personen und zur Förderung der als gemeinnützig anerkannten Vereinszwecke. Es werden keine gewerblichen Interessen mit der Datenverarbeitung erfolgt. Es bestehen keine Interessen derjenigen Personen, die mit der Datenverarbeitung betraut sind, die mit den Interessen der betroffenen Personen in Konflikt stehen könnten. Das einzige relevante Risiko für die betroffenen Personen kann in einem Datenverlust, Datendiebstahl oder einer Datenmanipulation durch Dritte gesehen werden. Es gibt jedoch keinen Grund, dieses Risiko als hoch einzustufen.

 III.         Regeln zum Datenschutz für einzelne Datenverarbeitungsvorgänge

Die Verarbeitung personenbezogener Daten durch die RLC findet gegenüber folgenden Personengruppen statt:

·       den Vereinsmitgliedern

·       Nicht-Vereinsmitgliedern, die an der Vereinsarbeit interessiert sind

·       Wissenschaftlichen Hilfskräften, die für die RLC tätig sind

·       DolmetscherInnen , mit denen die RLC kooperiert

·       Personen, die von der RLC ehrenamtlich beraten werden sowie ihre Begleitpersonen und

·       BesucherInnen der Vereinshomepage.

Im Folgenden wird aufgeführt, welche Personen gegenüber den genannten Gruppen welche Daten, zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet und wie dabei die Daten geschützt werden. Das Verzeichnis über Verarbeitungstätigkeiten gem. Art. 30 DSGVO fasst diese Angaben im Überblick zusammen (siehe Anhang).

1.    Datenschutz gegenüber Vereinsmitgliedern

a)   Zweck und Rechtsgrundlage

Die Datenverarbeitung von Vereinsmitgliedern erfolgt zum Zwecke der vereinsinternen Mitgliederverwaltung und zur Verfolgung des Vereinszwecks der ehrenamtlichen Beratung von Geflüchteten und der Studentenhilfe durch die Vorstandsmitglieder und die wissenschaftlichen Hilfskräfte, die für die RLC tätig sind. Diese können die Daten nutzen, um mit Vereinsmitgliedern regelmäßig Kontakt aufzunehmen (zB Versendung von Einladungen zu Veranstaltungen, Organisation der Beratungstätigkeit). Die E-Mailadresse wird in eine oder mehrere vereinsinterne E-Mail-Listen aufgenommen. Außerdem werden die Kontaktdaten anderen Vereinsmitgliedern übermittelt, wenn dies erforderlich ist, um die vereinsinterne Organisation zu gewährleisten (zB vereinsinterne Willensbildung, Zusammenarbeit in Projektgruppen des Vereins). Jedes Vereinsmitglied willigt mit seinem Beitritt ein, dass zum Zweck der Information über Vereinstätigkeiten und der Organisation der Beratungstätigkeit sowie der Studentenhilfe die von ihnen zur Verfügung gestellten personenbezogenen Daten verarbeitet werden. Im Verhältnis zwischen der RLC und den Vereinsmitgliedern erfolgt die Verarbeitung personenbezogener Daten zur Erfüllung der sich aus der Satzung ergebenden Pflicht und Aufgabe, den Vereinszweck zu fördern (Art. 6 Abs. 1 lit. b) Var. 1 DSGVO).

b)   Betroffene Personen und Daten

Von der Datenverarbeitung betroffen sind alle Personen, die ihren Vereinsbeitritt erklärt haben und deren Aufnahme der Vorstand gem. § 4 Nr. 2 Satz 3 der RLC-Vereinssatzung zugestimmt hat. Von den Vereinsmitgliedern werden potentiell folgende Daten verarbeitet: Vor- und Nachname, Postanschrift, Geburtsdatum, Festnetznummer, Handynummer, Datum des Vereinsbeitritts, Funktion innerhalb des Vereins und die E-Mailadressen.

Durch freiwillige Selbstauskunft geben Vereinsmitglieder der im Verein für Finanzen zuständigen Person ggf. ihre Kontonummer bekannt, um vereinsbezogener Aufwendungen per Überweisung erstattet zu bekommen. Besondere Datenkategorien gem. Art. 9 DSGVO werden im Verhältnis zu Vereinsmitgliedern nicht verarbeitet.

c)    Datenschutz bei einzelnen Datenverarbeitungsvorgängen

Vor- und Nachname, Postanschrift, Geburtsdatum, Telefonnummern, Datum des Vereinsbeitritts sowie die Emailadresse werden durch freiwillige Angaben des Betroffenen auf dem Mitgliedsantrag erhoben und an die RLC übermittelt. Die Mitgliedsanträge und die darauf befindlichen genannten Daten werden dem Vorstand zur Entscheidung über die Aufnahme in den Verein vorgelegt. Sie werden in einem vom Kassenwart verwalteten Ordner aufbewahrt, auf den nur er Zugriff hat. Auf dem Mitgliedsantrag wird darauf hingewiesen, dass der Verein gem. Art. 6 Abs. 1 lit. b) Var. 1 DSGVO berechtigt ist, die angegebenen Daten entsprechend der Bestimmungen der RLC-Datenschutzordnung zu verarbeiten. Auf dem Mitgliedsantrag erfolgt zudem ein datenschutzrechtlicher Hinweis (Vgl. Vorlage im Anhang). Außerdem erfolgt gegenüber den bisherigen und zukünftigen Vereinsmitgliedern eine Information gem. Art. 13 DSGVO (Vgl. Vorlage im Anhang).

Die genannten personenbezogenen Daten, die sich zur Kontaktaufnahme mit dem Vereinsmitglied eignen, werden von Mitgliedern des Vereinsvorstandes sowie den wissenschaftlichen Hilfskräften verarbeitet. Kontaktdaten wie die Postanschrift, Telefonnummern oder E-Mailadressen können an andere Vereinsmitglieder weitergegeben werden, wenn dies erforderlich ist, um die vereinsinterne Organisation zu gewährleisten (zB vereinsinterne Willensbildung im E-Mailverteiler, Zusammenarbeit in Projektgruppen des Vereins).

An Nicht-Vereinsmitglieder erfolgt die Übermittlung von Vor- und Nachnamen sowie Kontaktmöglichkeiten (Postanschrift, Telefonnummern, E-Mailadresse) nur auf Veranlassung der von der Datenverarbeitung betroffenen Person, was insbesondere in folgenden Fällen eintreten kann:

·       Ein Vereinsmitglied erklärt sich zur Bearbeitung bestimmter Mandate bereit und die Koordinierung dieser Beratungstätigkeit macht es erforderlich, dass zwischen dem Mandanten und dem beratenden Vereinsmitglied ein direkter Kontakt besteht. In diesem Fall können die genannten Daten an die zu beratende Person oder die sie betreuende Person (zB andere Ehrenamtliche oder SozialarbeiterInnen) weitergegeben werden.

·       Ein Vereinsmitglied nimmt an einer Veranstaltung teil, die nicht von Vereinsmitgliedern durchgeführt wird. Zur Anmeldung können die hierfür erforderlichen Daten an die Veranstalter übermittelt werden, wenn das Vereinsmitglied seine Veranstaltungsteilnahme zugesagt hat.

·       Ein Vereinsmitglied erklärt sich bereit, die Kooperation mit einem anderen Akteur zu pflegen (zB Café Mondial) oder für vereinsexterne Personen als Vertreter und Ansprechpartner aufzutreten (zB gegenüber der Gemeinde). In diesem Fall werden personenbezogene Daten zur Kontaktaufnahme an den anderen Akteur bzw. vereinsexterne Personen übermittelt.

·       Ggf. erforderliche Übermittlung der Daten an Versicherungen des Vereins.

 

Auf der Vereinshomepage können Vor- und Nachname von Vorstandsmitgliedern veröffentlicht werden, soweit eine Rechtspflicht besteht, den Namen gesetzlicher Vereinsvertreter zu veröffentlichen. Die Veröffentlichung weiterer Daten, insb. Kontaktdaten ist nicht vorgesehen.

Die Daten werden nach zwei Jahren nach Ablauf des Jahres gelöscht, in dem die Mitgliedschaft der betroffenen Person im Verein erloschen ist.

2.    Datenschutz gegenüber an der Vereinsarbeit interessierten Personen

a)   Zweck und Rechtsgrundlage der Datenverarbeitung

Der Verein sucht kontinuierlich neue Mitglieder. Um den an der Vereinsarbeit interessierten Personen Informationen über die Vereinsarbeit zuzusenden und sie zu Veranstaltungen einladen zu können, ist eine Verarbeitung personenbezogener Daten erforderlich. Die Datenverarbeitung gegenüber Interessierten, die (noch) nicht Vereinsmitglied sind, beruht auf ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO.

b)   Betroffene Personen und Daten

Von der Datenverarbeitung sind alle Personen betroffen, die ihre Daten freiwillig der RLC offenbaren, um den Verein weiter kennenzulernen und über die Vereinstätigkeit informiert zu werden. Der Verarbeitung unterliegen Vor- und Nachname und die E-Mailadresse. Im Einzelfall können auch die Postanschrift, Telefonnummern sowie der Beruf als personenbezogene Daten von der Verarbeitung betroffen sein. Besondere Datenkategorien gem. Art. 9 DSGVO sind nicht betroffen.

c)    Datenschutz bei einzelnen Datenverarbeitungsvorgängen

Die Erhebung der Daten erfolgt durch freiwillige Selbstauskunft der Betroffenen. Auf Einführungs- und Fortbildungsveranstaltungen an der Universität Konstanz werden Listen in Papierform ausgegeben, bei denen Interessierte freiwillig ihren Vor- und Nachname sowie die E-Mailadresse für eine weitere Kontaktaufnahme durch den Verein eintragen können. Diese Kategorien von Daten erlangt der Verein auch durch interessierte Personen, die sich direkt bei der RLC per E-Mail, das Kontaktformular auf der Vereinshomepage oder über eine Nachricht auf der Facebook-Seite des Vereins melden. Im Einzelfall werden auf diesen Wegen auch andere personenbezogene Daten wie Postanschrift, Telefonnummer oder der Beruf der RLC mitgeteilt.

Bei der Datenerhebung im Rahmen von Veranstaltungen zur Anwerbung von Neumitgliedern werden diejenigen Personen, die sich auf der Kontaktliste eingetragen, ein Formblatt zur Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO (Vgl. Vorlage im Anhang) sowie eine Unterrichtung gem. Art. 13 DSGVO (Vgl. Vorlage im Anhang) zur Verfügung gestellt. Gegenüber Personen, die von sich aus ihre Daten an den Verein mitteilen, wird per E-Mail das Formblatt zur Einwilligung sowie eine Unterrichtung gem. Art. 13 DSGVO zugesendet und vor der Datenverarbeitung eine Einwilligung eingeholt. Eine Datenverarbeitung erfolgt nur, wenn eine wirksame Einwilligung vorliegt.

Die Einwilligung bezieht sich auf die im Folgenden aufgeführten Datenverarbeitungsvorgängen und zu den genannten Zwecken:

·       Archivierung der in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um die Kontaktdaten zu sichern

·       Nutzung der Daten zur Kontaktaufnahme durch Vorstandsmitglieder, für die RLC tätigen wissenschaftlichen Hilfskräfte sowie Vereinsmitgliedern, die für die RLC eine bestimmte Aufgabe wahrnehmen, über die freiwillig bekannt gegebenen Kommunikationskanäle, um die interessierte Person über die Vereinsarbeit (zB anstehende Veranstaltungen, Organisation der Beratungstätigkeit) zu informieren

·       Aufnahme der E-Mailadresse in eine oder mehrere E-Mail-Verteilerliste der RLC zur vereinsinternen Verwaltung und Organisation

·       Übermittlung der Kontaktdaten an Vereinsmitglieder, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder Beratung zu organisieren, bezüglich der die betroffene Person ihre Teilnahme oder Mitwirkung gegenüber der RLC zugesagt hat

·       Löschung der Daten mit dem Widerruf der Einwilligung oder nach drei Jahren nach Ablauf des Jahres, in dem die Daten erhoben wurden, wenn die betroffene Person zwischenzeitlich nicht Vereinsmitglied wurde.

3.    Datenschutz gegenüber wissenschaftlichen Hilfskräften

Die wissenschaftlichen Hilfskräfte, die für die RLC administrative Tätigkeiten und Fortbildungen für Vereinsmitglieder durchführen, sind bei der Universität Konstanz beschäftigt, sodass kein Beschäftigungsverhältnis gem. Art. 88 DSGVO, § 26 BDSG besteht, aus denen sich besondere datenschutzrechtliche Pflichten für die RLC ergeben. Wissenschaftliche Hilfskräfte müssen Vereinsmitglied sein. Soweit ihre personenbezogenen Daten verarbeitet werden, geschieht dies gem. Art. 6 Abs. 1 lit. b) Var. 1) DSGVO und unterscheidet sich hinsichtlich der zu beachtenden Datenschutzbestimmungen nicht von der Datenverarbeitung gegenüber anderen Vereinsmitgliedern (s.o.).

4.    Datenschutz gegenüber DolmetscherInnen

a)   Zweck und Rechtsgrundlage der Datenverarbeitung

Zur Durchführung von Beratungen zugunsten von Personen, die kein Deutsch sprechen, kooperiert die RLC mit ehrenamtlichen DolmetscherInnen. Um die DolmetscherInnen für eine Beratung gezielt anfragen zu können, bedarf es einer Verarbeitung ihrer personenbezogenen Daten. Dies beruht auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO und – soweit sensible Daten betroffen sind – gem. Art. 9 Abs. 2 DSGVO.

b)   Betroffene Personen und Daten

Von der Datenverarbeitung sind Personen betroffen, die sich gegenüber der RCL bereit erklärt haben, ehrenamtlich Dolmetscherleistungen zu erbringen.  Als Daten werden erhoben: Vor- und Nachname, Festnetznummer, Handynummer, E-Mailadressen sowie ethnische / geographische Herkunft und Sprachkompetenzen. Dies beiden letztgenannten Datenkategorien könnten unter Art. 9 Abs. 1 DSGVO fallen.

c)    Datenschutz bei einzelnen Datenverarbeitungsvorgängen

Die Datenerhebung erfolgt durch freiwillige Selbstauskunft der betroffenen Personen gegenüber der RLC. Ihre Daten werden erst verarbeitet, wenn sie eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO und Art. 9 Abs. 2 DSGVO erklärt haben (Vgl. Vorlagen im Anhang). Sie werden gem. Art. 13 DSGVO (Vgl. Vorlage im Anhang) über den Datenschutz informiert.

Die Datenverarbeitung hat sich entsprechend der Einwilligung auf folgende Vorgänge und Zwecke zu beschränken:

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um die Kontaktdaten zu sichern. Zugang zu dieser Liste haben nur die Mitglieder des Vereinsvorstandes sowie die wissenschaftlichen Hilfskräfte.

·       Nutzung der Daten zur Kontaktaufnahme durch Vorstandsmitglieder, für die RLC tätigen wissenschaftlichen Hilfskräfte sowie Vereinsmitgliedern, die für die RLC eine Beratung durchführen oder Veranstaltung organisieren, über die von dem/der DolmetscherIn bekannt gegebenen Kommunikationskanäle, um sie für Übersetzungen anzufragen und eine darauf bezogene Kooperation zu organisieren. An Vereinsmitglieder, die nicht Vorstandsmitglieder oder Hilfskräfte sind, werden die Daten nur von denjenigen Personen übermittelt, die aufgrund ihrer Sprachkompetenz für die anstehende Beratung in Betracht kommen.

 

·       Übermittlung der Kontaktdaten an weitere Vereinsmitglieder, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder Beratungen zu organisieren, bezüglich der die betroffene Person ihre Teilnahme oder Mitwirkung (v.a. in Form von Übersetzungen) gegenüber der RLC zugesagt hat.

·       Löschung der Daten mit dem Widerruf der Einwilligungen, mit der Beendigung der Zusammenarbeit mit der RLC oder nach drei Jahren nach Ablauf des Jahres, in dem letztmalig im Rahmen einer Beratung der RLC Übersetzungen erbracht wurden.

5.    Datenschutz gegenüber MandantInnen und Begleitpersonen

a)   Zweck und Rechtsgrundlage der Datenverarbeitung

Die ehrenamtliche Beratung von Personen zu asyl- und ausländerrechtlichen Fragen erfordert die Verarbeitung personenbezogener Daten der zu beratenden Personen (MandantInnen). Die zu beratenden Personen werden teilweise durch Ehrenamtliche oder SozialarbeiterInnen bei der Beratung begleitet (Begleitpersonen). Auch von diesen Personen werden teilweise Daten verarbeitet.

Die Datenerhebung hat den Zweck, die Person identifizieren zu können, mit der eine Beratungsvereinbarung geschlossen wurde. Die Datenerhebung ist zudem erforderlich, um nach dem Beratungsgespräch Kontakt halten zu können, ggf. weitere Auskünfte zu erteilen, Dokumente zuzustellen oder Termine zu vereinbaren. Mit den MandantInnen wird eine Beratungsvereinbarung geschlossen, durch die ein unentgeltliches Auftragsverhältnis begründet wird. Durch diese Vereinbarung verpflichtet sich die RCL zur Beratung. Die Datenverarbeitung ist zur Erfüllung dieser Vereinbarung erforderlich (Art. 6 Abs. 1 lit. b) Var. 1 DSGVO). Der Beratungsvertrag wird auch mit Begleitpersonen geschlossen, sodass auch ihnen gegenüber Art. 6 Abs. 1 lit. b) Var. 1 DSGVO als Rechtsgrundlage der Datenverarbeitung greift.

Des Weiteren ist es zur Rechtsberatung zu ausländer- und asylrechtlichen Fragestellungen erforderlich, sensible Daten gem. Art. 9 Abs. 1 DSGVO zu verarbeiten. Insoweit stützt sich die Datenverarbeitung auf eine explizite Einwilligung der Betroffenen gem. Art. 9 Abs. 2 DSGVO (Vgl. Vorlage im Anhang).

b)   Betroffene Personen und Daten

Von der Datenverarbeitung sind die MandantInnen betroffen, also Personen, die freiwillig das Beratungsangebot der RLC wahrnehmen. Mit Abschluss der Beratungsvereinbarung gibt die zu beratende Person ihren Vor- und Nachname bekannt. Über ein Beratungsprotokoll werden im Regelfall weitere freiwillige Angaben erhoben. Das betrifft neben dem Vor- und Nachnamen eine Postanschrift am derzeitigen Wohnsitz oder Aufenthaltsort, eine Festnetz- und Handynummer und die E-Mailadresse.  Je nach Beratungsbedarf werden über das Beratungsprotokoll noch die folgenden freiwillige Angaben erfasst: Geburtsdatum, Geburtsort, Staatsangehörigkeit, Familienstand, Name, Geburtsdatum und Geburtsort des Ehepartners sowie etwaiger Kinder, Postanschrift im Heimatland, Sprachen, Beruf, Eigentums- und Besitzverhältnisse sowie persönliche Interessen.

 

Die Beurteilung bestimmter asyl- und ausländerrechtlicher Fragen und eine darauf gestützte Beratung macht es in manchen Fällen erforderlich, sensible Daten gem. Art. 9 Abs. 1 DSGVO in das Beratungsprotokoll aufzunehmen. Dabei handelt es sich ausschließlich um freiwillig von der zu beratenden Person übermittelte Daten. Im Einzelfall können folgende Datenkategorien betroffen sein: „Rassische“ bzw. ethnische / geographische Herkunft, politische Meinung, Mitgliedschaft in Organisationen (insb. Gewerkschaften, Parteien, NGO), religiöse und weltanschauliche Ansichten und Zugehörigkeit zu Religions- oder Weltanschauungsgemeinschaften, Sexualleben / sexuelle Orientierung, biometrische Daten sowie Gesundheitsdaten (zB ärztliche Befunde und Atteste) sowie alle ähnlich sensible Daten.

 

Von der Datenverarbeitung sind auch Begleitpersonen betroffen, also Personen, die von Berufs wegen oder ehrenamtlich die zu beratenden Personen in die Beratung bei der RLC begleiten, übermitteln an die RLC-Mitglieder regelmäßig ihren Vor- und Nachnamen, eine Postanschrift, Festnetz- und Handynummer sowie die Emailadresse.

c)    Datenschutz bei einzelnen Datenverarbeitungsvorgängen

In der Beratungsvereinbarung, die zwischen der RLC und den MandantInnen sowie den ggf. vorhandenen Begleitpersonen zustande kommt, wird ausdrücklich darauf hingewiesen, welche Daten zu welchem Zweck verarbeitet werden und dass mit der Unterschrift sich die zu beratenden Person sowie ihre Begleiter ausdrücklich mit der Datenverarbeitung zur Erfüllung des Vertrages einverstanden erklären (Vgl. Vorlage im Anhang). Zusätzlich zur Beratungsvereinbarung setzt die Beratungstätigkeit durch die RLC voraus, dass die zu beratende Person in die Verarbeitung sensibler Daten gem. Art. 9 Abs. 2 DSGVO freiwillig und ausdrücklich einwilligt (Vgl. Vorlage im Anhang). Den zu beratenden Personen sowie ggf. deren Begleitpersonen wird bei Abschluss der Beratungsvereinbarung eine datenschutzrechtliche Information gem. Art. 13 DSGVO ausgehändigt (Vgl. Vorlage im Anhang).

Gegenüber Minderjährigen erfolgt die Beratung nur, wenn die Sorgeberechtigten den Beratungsvertrag mit Wirkung für den Minderjährigen unterzeichnet, mit Wirkung für den Minderjährigen die Einwilligung gem. Art. 9 Abs. 2 DSGVO abgegeben und die Informationen gem. Art. 13 DSGVO erhalten haben.

Die Beratungsvereinbarungen, auf denen Vor- und Nachname der zu beratenden Person notiert sind, werden in Papierform in Räumlichkeiten des Café Mondial Konstanz e.V. in einem verschlossenen Schrank archiviert. Zugang zu dem Schrank haben nur die Mitglieder des Vereinsvorstandes, die wissenschaftlichen Hilfskräfte der RLC sowie diejenigen Vereinsmitglieder, die Beratungen vornehmen und hierfür den Schlüssel für eine beschränkte Dauer von wenigen Stunden übergeben bekommen haben.

Die Verarbeitung der sensiblen Daten im Sinne von Art. 9 Abs. 1 DSGVO ist entsprechend der Einwilligung (Art. 9 Abs. 2 DSGVO, vgl. Vorlage im Anhang) auf folgende Datenverarbeitungsvorgänge und Zwecke beschränkt:

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um eine Beratung zu diesen Rechtsfragen zu ermöglichen (insb. eine auf die Daten gestützte Recherche zu Sach- und Rechtsfragen und weitere Beratung zu einem zweiten oder weiteren Beratungstermin). Die Beratungsprotokolle werden elektronisch ausschließlich auf einem Laptop der RLC geführt und in verschlüsselter Form auf einer externen Festplatte gespeichert. Der Laptop sowie die externe Festplatte sind jeweils mit einem Passwort geschützt. Zugang zu dem Passwort haben nur die Vorstandsmitglieder, wissenschaftlichen Hilfskräfte sowie Vereinsmitglieder, die die Beratungen durchführen. Der Laptop sowie die Festplatte befinden sich in einem verschlossenen Schrank, zu dem der Zugang - wie oben beschrieben - beschränkt ist.

·       Nutzung der Daten zu dem Zweck, die Beratung durchzuführen, wobei Vorstandsmitglieder, für die RLC tätige wissenschaftliche Hilfskräfte sowie Vereinsmitgliedern, die für die RLC die Beratung durchgeführt haben oder die eine zukünftige Beratung durchführen werden, Zugang zu den Daten haben, soweit dies zur Erbringung der Beratungsleistung erforderlich ist

·       Übermittlung der sensiblen Daten an Dritte (zB Anwälte, andere Organisationen, die Flüchtlinge unterstützen), aber nur, wenn sich die zu beratende Person mit der weiteren Unterstützung durch eine andere Organisation oder Person und eine Übermittlung der Daten an diese ausdrücklich einverstanden erklärt hat

·       Löschung der Daten mit dem Widerruf der Einwilligung, mit der Beendigung der Zusammenarbeit mit der RLC oder nach 3 Jahren nach Ablauf des Jahres, in dem letztmals Kontakt der zu beratenden Person und einem Mitglied der RLC bestand, wenn eine Fortsetzung der Beratung nicht absehbar ist.

6.    Datenschutz gegenüber BesucherInnen der Vereinshomepage

Die Nutzung der Internetseiten der Refugee Law Clinic Konstanz ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Personenbezogene Daten von BesucherInnen unserer Vereinshomepage werden nur dann erhoben, wenn diese Personen das Kontaktformular nutzen bzw. per E-Mail sich an uns wenden und dabei derartige Daten an die RLC übermitteln. Dies trifft auf Vereinsmitglieder, auf an der Vereinsarbeit interessierten Personen, auf Personen, die für die RLC Übersetzungsleistungen erbringen möchten und auf Personen zu, die von der RLC beraten werden möchten sowie deren Begleitpersonen. Für diese Fälle gelten die jeweils zu den einzelnen Personengruppen oben aufgestellten Datenschutzregeln und es sind die für die einzelnen Personengruppen erstellten Vorlagen für Einwilligungen gem. Art. 6 Abs. 1 lit. a) DSGVO bzw. Art. 9 Abs. 2 DSGVO und Informationen gem. Art. 13 DSGVO zu verwenden. Darüber hinaus wird kein Bedarf gesehen, weitere Regeln zum Schutz von Daten der BesucherInnen der Vereinshomepage zu treffen.

 IV.         Auftragsverarbeitung, Art. 28 DSGVO

Es werden keine personenbezogenen Daten in einer Cloud gespeichert, sodass diesbezüglich keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO vorliegt.

Der Vorstand stellt sicher, dass auf der Vereinshomepage durch den Provider keine Dienstleistungen erbracht werden, die als Auftragsverarbeitung gem. Art. 4 Nr. 8 DSGVO eingestuft werden können. Das betrifft v.a. die Weiterleitung von Nachrichten durch das Kontaktformular sowie das Tracking des Verhaltens von BesucherInnen der Homepage. Falls dies nicht möglich ist, wirkt der Vorstand darauf hin, dass mit dem Provider ein Vertrag geschlossen oder anderweitig sichergestellt wird, dass die aus Art. 28 DSGVO folgenden Pflichten eingehalten werden.

   V.         Sicherungsmaßnahmen gem. Art. 32 Abs. 1 DSGVO

Die Vorstands- und alle Vereinsmitglieder ergreifen die im Folgenden aufgeführten organisatorischen und technischen Maßnahmen, um die Einhaltung der sich aus der DSGVO und dieser Datenschutzordnung ergebenen Bestimmungen zum Schutz personenbezogener Daten zu gewährleisten.

1.    Risikoeinschätzung (Art. 32 Abs. 1, Abs. 2 DSGVO)

Im Hinblick auf alle oben genannten Datenverarbeitungstätigkeiten wird von einem geringen Risiko für die Rechte und Freiheiten der von Datenverarbeitung betroffenen Personen ausgegangen. Dies ergibt sich aus den oben unter II. genannten Gründen. Dementsprechend werden organisatorische und technische Maßnahmen zum Datenschutz im Verhältnis zu den Mitgliedern, den an der Vereinsarbeit interessierten Personen, den BesucherInnen der Homepage und den DolmetscherInnen auf einem üblichen Niveau ergriffen. Hinsichtlich der Verarbeitung sensibler Daten von MandantInnen werden darüber hinaus besondere Maßnahmen zum Datenschutz ergriffen.

2.    Vereinsinterne Aufklärung und Schulung

Der Vereinsvorstand gewährleistet durch folgende Maßnahmen, dass alle Vereinsmitglieder, die mit der Verarbeitung personenbezogener Daten bei Tätigkeiten für den Verein betraut sind, Kenntnis von den datenschutzrechtlichen Anforderungen und Bestimmungen haben:

 

·       Gemeinsame Erarbeitung der Datenschutzordnung

·       Zugänglichmachung der Datenschutzordnung und aller im Anhang aufgelisteten Vorlagen gegenüber den Vereinsmitgliedern

·       Regelmäßige Hinweise zum Datenschutz auf Vereinsveranstaltungen, insb. Mitgliederversammlung, Vorstandssitzung, Einführungs- und Fortbildungsveranstaltungen sowie Fallbesprechungen und

·       Unterrichtung und Schulung der wissenschaftlichen Hilfskräfte, die für die RLC tätig sind hinsichtlich der datenschutzrechtlichen Anforderungen an ihre Tätigkeit.

3.    Datenerhebung

Die Vorstandsmitglieder, die wissenschaftlichen Hilfskräfte und alle Vereinsmitglieder erheben personenbezogene Daten für die RLC nur, wenn sich die Datenerhebung auf eine Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO stützen lässt. Hinsichtlich der Datenkategorien und des Datenumfangs sind die Beschränkungen einzuhalten, die sich aus der DO ergeben. Ist eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 DSGVO und/oder eine datenschutzrechtliche Information gem. Art. 13 DSGVO erforderlich, gewährleistet das Vereinsmitglied, welches die Daten erhebt, dass die Einwilligungen eingeholt und die Informationen rechtzeitig erteilt wurden. Der Vorstand und die wissenschaftlichen Hilfskräfte gewährleisten, dass in Situationen, in denen typischerweise Daten erhoben werden (Vereinsveranstaltungen und Beratungstermine), die erforderlichen Vorlagen für Einwilligungen und Informationen gem. Art. 13 DSGVO in ausreichender Zahl vorliegen.

4.    Datenspeicherung

Der Vereinsvorstand und die wissenschaftlichen Hilfskräfte gewährleistet, dass die im Folgenden aufgeführten technischen Maßnahmen dauerhaft aufrecht erhalten bleiben, um die sich aus Art. 32 Abs. 1 lit. a) bis lit. c) DSGVO ergebenen Anforderungen, insb. Verschlüsselung personenbezogener Daten, Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit technischer Systeme der Datenverarbeitung sowie die Verfügbarkeit der personenbezogenen zu erfüllen. Die technischen Maßnahmen beziehen sich auf den vereinseigenen Laptop, die privaten Laptops aller Vereinsmitglieder, die diese für die vereinsbezogene Datenverarbeitung einsetzen und die vereinseigene externe Festplatte.

Hinsichtlich des vereinseigene Laptops, auf dem sich personenbezogene Daten von Vereinsmitgliedern befinden und die Beratungsprotokolle angefertigt werden, werden folgende technische Schutzmaßnahmen vorgenommen:

·       Passwortschutz und Beschränkung des Zugangs zum Passwort auf Mitglieder des Vereinsvorstandes, der wissenschaftlichen Hilfskräfte sowie derjenigen Personen, die eine Beratung für dir RLC vornehmen

·       Einschaltung der Firewall / Virenschutz, regelmäßige Aktualisierung dieser Software und Durchführung regelmäßiger Systemscans

·       Automatische Aktualisierung des Betriebssystems

·       Einschluss des Laptops in einen Schrank und Beschränkung des Zugangs zu dem Schrankschlüssel auf die oben genannten Personen.

Jedes Vereinsmitglied, welches seinen privaten Laptop im Rahmen der vereinsinternen Organisation oder der RLC-Beratungstätigkeit einsetzt, hat dafür Sorge zu tragen, dass die für den vereinseigenen Laptop geltenden technischen Sicherungsmaßnahmen gleichermaßen ergriffen und aufrecht erhalten wurden.

Hinsichtlich der externen Festplatte, auf der die sensiblen Daten iSv Art. 9 Abs. 1 DSGVO der MandantInnen in elektronischer Form (Beratungsprotokoll, Scan von Dokumenten) gespeichert sind, erfolgen folgende besonderen Schutzmaßnahmen:

·       Zusätzlicher Passwortschutz der Festplatte und Beschränkung des Zugangs zum Passwort auf die oben genannten Personen

·       Verschlüsselung der auf der externen Festplatte gespeicherten Daten und

·       Einschluss der Festplatte gleich wie der Laptop (s.o.).

5.    Datenzugang, Datennutzung und Datenübermittlung

Der Zugang zu personenbezogenen Daten ist auf die Vereinsmitglieder beschränkt, die dazu befugt sind, den Vereinszweck durch eine bestimmte Tätigkeit zu fördern, hierzu Zugang zu den Daten benötigen und deren Zugang der jeweiligen Rechtsgrundlage der Datenverarbeitung entspricht. Die Beschränkungen des Datenzugangs ergeben sich aus den Regeln zum Datenschutz für einzelne Datenverarbeitungstätigkeiten (s.o.). Technisch wird die Beschränkung des Datenzugangs gewährleistet, indem auf dem Laptop der RLC Benutzeraccounts eingerichtet sind, diese mit einem Passwort geschützt werden, das Passwort nur denen Personen bekannt gegeben wird, die zum Datenzugang berechtigt sind und der Zugang zu den Schlüsseln zu Schränken, in denen Daten gelagert werden, in gleicher Weise beschränkt ist.

Zu welchem Zweck welche Daten auf welche Art und Weise genutzt werden dürfen, ergibt sich aus den Regeln zu den einzelnen Datenverarbeitungsvorgängen (s.o.). Jedes Vereinsmitglied vergewissert sich vor der Nutzung personenbezogener Daten, dass die hierfür geltenden Beschränkungen eingehalten werden. Gleiches gilt für Datenübermittlungen.

6.    Datenlöschung

Die Vorstandsmitglieder sowie die wissenschaftlichen Hilfskräfte leiten die Löschung der Daten unverzüglich ein, wenn ein Ereignis eingetreten ist, welches zur Löschung berechtigt und verpflichtet. Die Löschfristen können den Regeln zu den einzelnen Datenverarbeitungstätigkeiten bzw. dem Verzeichnis über Datenverarbeitungstätigkeiten (rechte Spalte) entnommen werden. Soweit eine Löschung nicht unverzüglich erfolgen muss (zB im Fall des Widerrufs einer Einwilligung), sind die Löschfristen so gestaltet, dass sie alle einheitlich zum Jahresende auslaufen. Im Dezember eines jeden Jahres legen Vorstand und wissenschaftliche Hilfskräfte fest, welche Daten zum Jahresende gelöscht werden müssen und nehmen diese Löschung vor.

7.    Überprüfung der Sicherungsmaßnahmen, Art 32 Abs. 1 lit. d) DSGVO

Der Vorstand überprüft regelmäßig, ob die in der Datenschutzordnung festgelegten Bestimmungen und Vorlagen den gesetzlichen Anforderungen entsprechen. Er nimmt rechtlich erforderliche Anpassungen vor, informiert darüber die Vereinsmitglieder, wenn sie von Änderungen selbst betroffen sind oder wenn Änderungen für die von ihnen ausgeführten Datenverarbeitungen relevant sind. Außerdem berichtet der Vorstand über derartige Änderungen auf der nächsten Mitgliederversammlung.

Der Vorstand kontrolliert anlassbezogen und in regelmäßigen Abständen auch anlassunabhängig, ob die Datenschutzbestimmungen eingehalten werden und erstattet der Mitgliederversammlung darüber Bericht.

8.    Verfahren bei  Datenschutzverstößen, Art. 33 und 34 DSGVO

Jedes Vereinsmitglied hat die Verletzung des Schutzes personenbezogener Daten gegenüber dem Vereinsvorstand zu melden. Meldepflichtig sind sowohl Verstöße durch Vereinsmitglieder, wenn sie ohne Rechtsgrundlage Daten verarbeiten sowie durch Dritte verursachte Datenschutzverstöße, von denen das Vereinsmitglied Kenntnis erlangt hat.

Der Vorstand entscheidet, ob aus der Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Person im Sinne von Art. 33 Abs. 1 DSGVO resultiert. Liegt ein derartiges Risiko vor, dann meldet der Vorstand diese Verletzung binnen 72 Stunden nach Kenntnis von der Verletzung unter Angabe der in Art. 33 Abs. 3 DSGVO genannten Informationen an die Aufsichtsbehörde. Wird die Frist überschritten, wird der Meldung eine Begründung für die Verzögerung beigefügt (Art. 33 Abs. 3 S. 2 DSGVO). Der Vorstand dokumentiert jede zur Kenntnis gelangte Verletzung nach Maßgabe von Art. 33 Abs. 5 DSGVO.

Der Vorstand benachrichtigt unverzüglich die von der Verletzung betroffenen Personen, wenn er zu der Einschätzung kommt, dass mit der Verletzung ein hohes Risiko für ihre Rechte und Freiheiten einhergeht (Art. 34 Abs. 1 DSGVO) und wenn kein Ausnahmetatbestand aus Art. 34 Abs. 3 DSGVO greift. Die Benachrichtigung erfolgt nach Maßgabe von Art. 34 Abs. 2 DSGVO.

 VI.         Anhang

1.    Datenschutz gegenüber Vereinsmitgliedern

a)   Datenschutzhinweis auf Mitgliedsantrag

Auf dem Mitgliedsantrag wird folgender Satz oberhalb der Unterschrift abgedruckt:

„Mit meiner Unterschrift unter den Mitgliedschaftsantrag erkläre ich, dass die RLC Konstanz e.V. mir die nach Art. 13 DSGVO erforderlichen Informationen über die Verarbeitung meiner personenbezogenen Daten übermittelt hat. Die vereinsinterne Datenschutzordnung wurde mir per E-Mail zugeschickt. Ich akzeptiere die Verarbeitung personenbezogener Daten durch die RLC entsprechend der vereinsinternen Datenschutzordnung auf Grundlage von Art. 6 Abs. 1 lit. b) Var. 1 DSGVO.“

b)   Informationen gem. Art. 13 DSGVO

Folgende datenschutzrechtliche Unterrichtung wird an alle bisherigen Vereinsmitglieder per Email versendet. Sie wird außerdem jeder Person ausgehändigt, die einen Mitgliedsantrag stellt. Außerdem werden Neumitgliedern die vereinsinterne Datenschutzordnung per E-Mail zugeschickt.

 Informationen zur Verarbeitung personenbezogener Daten gem. Art. 13 DSGVO

1. Verantwortlich für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt durch die Refugee Law Clinic Konstanz e.V. (RLC).

Postanschrift: Universitätsstraße 10, 78462 Konstanz, Deutschland

E-Mail: rlc@uni-konstanz.de

Homepage: www.rlc-konstanz.de

Vorstandsmitglieder: Marie Nocke, Lukas Mitsch, Maria Gruhn, Julian Weber, David Feuchter, Simon Windmiller

2. Zwecke und Rechtsgrundlage der Verarbeitung

Entsprechend der vereinsinternen Datenschutzordnung erhebt die RLC durch den Mitgliedschaftsantrag und weitere freiwillige Angaben durch das Vereinsmitglied potentiell folgende Daten: Vor- und Nachname, Postanschrift, Geburtsdatum, Festnetznummer, Handynummer, Datum des Vereinsbeitritts, Funktion innerhalb des Vereins und die E-Mailadressen.

 

Durch freiwillige Selbstauskunft geben Vereinsmitglieder der im Verein für Finanzen zuständigen Person ggf. ihre Kontonummer bekannt, um vereinsbezogener Aufwendungen per Überweisung erstattet zu bekommen. Besondere Datenkategorien gem. Art. 9 DSGVO werden im Verhältnis zu Vereinsmitgliedern nicht verarbeitet.

Die Datenverarbeitung erfolgt zum Zwecke der vereinsinternen Mitgliederverwaltung und zur Verfolgung des Vereinszwecks der ehrenamtlichen Beratung von Geflüchteten und der Studentenhilfe durch die Vorstandsmitglieder und die wissenschaftlichen Hilfskräfte, die für die RLC tätig sind. Diese können die Daten nutzen, um mit Vereinsmitgliedern regelmäßig Kontakt aufzunehmen (zB Versendung von Einladungen zu Veranstaltungen, Organisation der Beratungstätigkeit). Die E-Mailadresse wir in eine oder mehrere vereinsinterne E-Mail-Listen aufgenommen. Außerdem werden die Kontaktdaten anderen Vereinsmitgliedern übermittelt, wenn dies erforderlich ist, um die vereinsinterne Organisation zu gewährleisten (zB vereinsinterne Willensbildung im E-Mailverteiler, Zusammenarbeit in Projektgruppen des Vereins). Jedes Vereinsmitglied willigt mit seinem Beitritt ein, dass zum Zweck der Information über Vereinstätigkeiten und der Organisation der Beratungstätigkeit sowie der Studentenhilfe die von ihnen zur Verfügung gestellten personenbezogenen Daten verarbeitet werden. Im Verhältnis zwischen der RLC und den Vereinsmitgliedern erfolgt die Verarbeitung personenbezogener Daten zur Erfüllung der sich aus der Satzung ergebenden Pflicht und Aufgabe, den Vereinszweck zu fördern (Art. 6 Abs. 1 lit. b) Var. 1 DSGVO).

3. Empfänger der personenbezogenen Daten

Die genannten personenbezogenen Daten werden von Mitgliedern des Vereinsvorstandes sowie den wissenschaftlichen Hilfskräften verarbeitet. Kontaktdaten wie die Postanschrift, Telefonnummern oder E-Mailadressen können an andere Vereinsmitglieder weitergegeben werden, wenn dies erforderlich ist, um die vereinsinterne Organisation zu gewährleisten.

An Nicht-Vereinsmitglieder erfolgt die Übermittlung von Vor- und Nachnamen sowie Kontaktmöglichkeiten (Postanschrift, Telefonnummern, E-Mailadresse) nur auf Veranlassung der von der Datenverarbeitung betroffenen Person, was insbesondere in folgenden Fällen eintreten kann:

·       Ein Vereinsmitglied erklärt sich zur Bearbeitung bestimmter Mandate bereit und die Koordinierung dieser Beratungstätigkeit macht es erforderlich, dass zwischen dem Mandanten und dem beratenden Vereinsmitglied ein direkter Kontakt besteht. In diesem Fall können die genannten Daten an die zu beratenden Person oder die sie betreuende Person (zB andere Ehrenamtliche oder SozialarbeiterInnen) weitergegeben werden.

·       Ein Vereinsmitglied nimmt an einer Veranstaltung teil, die nicht von Vereinsmitgliedern durchgeführt wird. Zur Anmeldung können die hierfür erforderlichen Daten an die Veranstalter übermittelt werden, wenn das Vereinsmitglied seine Veranstaltungsteilnahme zugesagt hat.

·       Ein Vereinsmitglied erklärt sich bereit, die Kooperation mit einem anderen Akteur zu pflegen (zB Café Mondial) oder für vereinsexterne Personen als Vertreter und Ansprechpartner aufzutreten (zB gegenüber der Gemeinde). In diesem Fall werden personenbezogene Daten zur Kontaktaufnahme an den anderen Akteur bzw. vereinsexterne Personen übermittelt.

·       Ggf. erforderliche Übermittlung der Daten an Versicherungen des Vereins.

 

Auf der Vereinshomepage können Vor- und Nachname von Vorstandsmitgliedern veröffentlicht werden, soweit eine Rechtspflicht besteht, den Namen gesetzlicher Vereinsvertreter zu veröffentlichen. Die Veröffentlichung weiterer Daten, insb. Kontaktdaten ist nicht vorgesehen.

 

4. Speicherdauer

Die Daten werden nach zwei Jahren nach Ablauf des Jahres gelöscht, in dem die Mitgliedschaft der betroffenen Person im Verein erloschen ist.

5. Betroffenenrechte

Dem Vereinsmitglied steht ein Recht auf Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) und Einschränkung der Verarbeitung (Art. 18 DS-GVO) zu. Außerdem besteht ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Dem Vereinsmitglied steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu.“

2.    Datenschutz gegenüber an der Vereinsarbeit interessierten Personen

a)   Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO

Werden auf Veranstaltungen der RLC (Einführungsveranstaltungen, Fallbesprechungen, Fortbildungsveranstaltungen) von an der Vereinsarbeit interessierten Personen personenbezogene Daten erhoben, dann werden ihnen in Textform Vorlagen ausgehändigt, um in die Datenverarbeitung gem. Art. 6 Abs. 1 lit. a) DSGVO einzuwilligen. Melden sich an der Vereinsarbeit interessierte Personen direkt per E-Mail beim Verein, dann wird ihnen die Vorlage für die Einwilligung per E-Mail zugeschickt und sie aufgefordert, dieser per E-Mail ausdrücklich zuzustimmen.

Die Einwilligungserklärung beruht auf folgender Vorlage:

Einwilligung in die Verarbeitung personenbezogener Daten

Mit meiner Unterschrift erkläre ich mich freiwillig damit einverstanden, dass die Refugee Law Clinic Konstanz e.V. (RLC) die von mir freiwillig angegebenen personenbezogenen Daten verarbeitet. Zudem habe ich die datenschutzrechtliche Information gem. Art. 13 Datenschutzgrundverordnung (DSGVO) vor Abgabe dieser Einwilligung übermittelt bekommen und zur Kenntnis genommen. Solange ich nicht Mitglied bei der RLC Konstanz e.V. bin, beruht die Rechtmäßigkeit der Datenverarbeitung auf dieser Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO).

Die RLC ist per E-Mail über rlc@uni-konstanz.de sowie postalisch an Refugee Law Clinic Konstanz e.V., Universitätsstraße 10, 78462 Konstanz erreichbar. Sie wird u.a. vertreten durch Marie Nocke, Lukas Mitsch, Maria Gruhn und Julian Weber.

1. Betroffene Daten, Zweck der Datenverarbeitung und Empfänger

Von der Verarbeitung sind alle Daten betroffen, die ich freiwillig gegenüber der RLC offenlege, wie Vor- und Nachname, E-Mailadresse und alle weiteren, von mir freiwillig erteilten personenbezogenen Daten (zB Postanschrift, Telefonnummern, Beruf).

Ich willige ein, dass bei den im folgenden aufgeführten Vorgängen und zu den genannten Zwecken meine Daten durch die RLC verarbeitet werden (bitte die einzelnen Zeilen durchstreichen, wenn die Einwilligung nur eingeschränkt erfolgen soll):

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um die Kontaktdaten zu sichern

 

 

·       Nutzung der Daten zur Kontaktaufnahme durch Vorstandsmitglieder, für die RLC tätigen wissenschaftlichen Hilfskräfte sowie Vereinsmitgliedern, die für die RLC eine bestimmte Aufgabe wahrnehmen, über die von mir bekannt gegebenen Kommunikationskanäle, um mich über die Vereinsarbeit (zB anstehende Veranstaltungen, Organisation der Beratungstätigkeit) zu informieren

·       Aufnahme meiner E-Mailadresse in eine oder mehrere E-Mail-Verteilerliste der RLC zur vereinsinternen Verwaltung und Organisation

·       Übermittlung meiner Kontaktdaten an Vereinsmitglieder, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder Beratung zu organisieren, bezüglich der ich meine Teilnahme oder meine Mitwirkung gegenüber der RLC zugesagt habe

·       Löschung meiner Daten mit meinem Widerruf dieser Einwilligung oder nach drei Jahren nach Ablauf des Jahres, in dem die Daten erhoben wurden, wenn ich zwischenzeitlich nicht Vereinsmitglied wurde.

2. Meine Rechte

Meine Einwilligung erfolgt freiwillig. Mir ist bewusst, dass ich bei der RLC jederzeit Auskunft über die von mir verarbeiteten personenbezogenen Daten ersuchen kann, dass ich jederzeit die Berichtigung, Löschung oder Sperrung mich betreffender personenbezogener Daten verlangen, ich jederzeit und grundlos der Datenverarbeitung widersprechen sowie meine Einwilligungserklärung mit Wirkung für die Zukunft abändern, einschränken oder vollständig widerrufen kann. Die Rechtmäßigkeit der Datenverarbeitung bis zum Zugang meines Widerrufes bleibt davon unberührt. Erklärungen zur Wahrnehmung dieser Rechte, insbesondere der Widerruf der Einwilligung, kann ich formlos an rlc@uni-konstanz.de oder postalisch an die oben genannte Adresse senden.

 

____________________________________________            

Vor- und Nachname bitte in BLOCKSCHRIFT

 

 

____________________________________________

Ort, Datum,                                         Unterschrift


 

b)   Informationen gem. Art. 13 DSGVO

Bei Veranstaltungen werden an der Vereinsarbeit interessierten Personen datenschutzrechtliche Information gem. Art. 13 DSGVO übermittelt. Erfolgt die Datenerhebung elektronisch, dann wird ihnen auf demselben Weg die Information gem. Art. 13 DSGVO zugesendet.  Die Informationen gem. Art. 13 DSGVO an Personen, die sich für die RLC interessieren, beruht auf folgender Vorlage:

 Informationen zur Verarbeitung personenbezogener Daten gem. Art. 13 DSGVO

1. Verantwortlich für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt durch die Refugee Law Clinic Konstanz e.V. (RLC).

Postanschrift: Universitätsstraße 10, 78462 Konstanz, Deutschland

E-Mail: rlc@uni-konstanz.de

Homepage: www.rlc-konstanz.de

Vorstandsmitglieder: Marie Nocke, Lukas Mitsch, Maria Gruhn, Julian Weber, David Feuchter, Simon Windmiller

2. Zwecke und Rechtsgrundlage der Verarbeitung

Der Verein sucht kontinuierlich neue Mitglieder. Um mit an der Vereinsarbeit interessierten Personen Informationen über die Vereinsarbeit zuzusenden und sie zu Veranstaltungen einladen zu können, ist eine Verarbeitung personenbezogener Daten erforderlich. Die Datenverarbeitung gegenüber Interessierten, die (noch) nicht Vereinsmitglied sind, beruht auf ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO. Von der Datenverarbeitung sind alle Personen betroffen, die ihre Daten freiwillig der RLC offenbaren, um den Verein weiter kennenzulernen und über die Vereinstätigkeit informiert zu werden.

Von der Verarbeitung sind alle Daten betroffen, die freiwillig gegenüber der RLC offengelegt werden, die eine Kontaktaufnahme ermöglichen, wie Vor- und Nachname, E-Mailadresse und alle weiteren, von mir freiwillig erteilten personenbezogenen Daten (zB Postanschrift oder Telefonnummern). Besondere Datenkategorien gem. Art. 9 DSGVO sind nicht betroffen.

Die Verarbeitung der von der interessierten Person offengelegten Daten erfolgt zu folgenden Zwecken:

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um die Kontaktdaten zu sichern

·       Nutzung der Daten zur Kontaktaufnahme durch Vorstandsmitglieder, für die RLC tätigen wissenschaftlichen Hilfskräfte sowie Vereinsmitgliedern, die für die RLC eine bestimmte Aufgabe wahrnehmen, über die von mir bekannt gegebenen Kommunikationskanäle, um mich über die Vereinsarbeit (zB anstehende Veranstaltungen, Organisation der Beratungstätigkeit) zu informieren

·       Aufnahme meiner E-Mailadresse in eine oder mehrere E-Mail-Verteilerliste der RLC zur vereinsinternen Verwaltung und Organisation

·       Übermittlung meiner Kontaktdaten an Vereinsmitglieder, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder Beratung zu organisieren, bezüglich der ich meine Teilnahme oder meine Mitwirkung gegenüber der RLC zugesagt habe

·       Löschung meiner Daten mit meinem Widerruf dieser Einwilligung oder nach drei Jahren nach Ablauf des Jahres, in dem die Daten erhoben wurden, wenn ich zwischenzeitlich nicht Vereinsmitglied wurde.

·       Löschung meiner Daten mit meinem Widerruf dieser Einwilligung oder nach drei Jahren nach Ablauf des Jahres, in dem die Daten erhoben wurden, wenn ich zwischenzeitlich nicht Vereinsmitglied wurde.

3. Empfänger der personenbezogenen Daten

Die genannten personenbezogenen Daten werden von Mitgliedern des Vereinsvorstandes, den wissenschaftlichen Hilfskräften sowie – wenn ich mich zur Teilnahme oder Mitwirkung an einer Veranstaltung des Vereins bereit erklärt habe – auch Vereinsmitglieder, die für die RLC bestimmte Aufgaben wahrnehmen (zB die betreffende Veranstaltung zu organisieren). Andere Vereinsmitglieder sowie Nicht-Vereinsmitglieder haben keinen Zugang zu den Daten.

4. Speicherdauer

Die Daten werden unverzüglich gelöscht, wenn die Einwilligung widerrufen wird. Ansonsten erfolgt die Löschung der Daten nach drei Jahren nach Ablauf des Jahres, in dem die Daten erhoben wurden, wenn die betroffene Person zwischenzeitlich nicht Vereinsmitglied geworden ist.

5. Betroffenenrechte

Es besteht ein Recht auf Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) und Einschränkung der Verarbeitung (Art. 18 DS-GVO). Außerdem besteht ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Dem Vereinsmitglied steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Außerdem kann jederzeit die Einwilligungserklärung widerrufen werden. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bisherigen Datenverarbeitung auf Grundlage der zunächst erteilten Einwilligung nicht berührt.“

3.    Datenschutz gegenüber DolmetscherInnen

a)   Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO und Art. 9 Abs. 2 lit. a) DSGVO

Die Verarbeitung personenbezogener Daten von DolmetscherInnen, die im Rahmen von RLC-Beratungen tätig werden, beruht auf der folgenden Vorlage für eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO und Art. 9 Abs. 2 lit. a DSGVO.

Einwilligung in die Verarbeitung personenbezogener Daten

Mit meiner Unterschrift erkläre ich mich freiwillig damit einverstanden, dass die Refugee Law Clinic Konstanz e.V. (RLC) die von mir freiwillig angegebenen personenbezogenen Daten verarbeitet. Dies bezieht sich ausdrücklich auch auf Daten, die meine ethnische Herkunft sowie meine Sprachkompetenzen betrifft, die gem. Art. 9 Abs. 1 Datenschutzgrundverordnung (DSGVO) als sensible Daten eingeordnet werden können. Zudem habe ich die datenschutzrechtliche Information gem. Art. 13 DSGVO vor Abgabe dieser Einwilligung übermittelt bekommen und zur Kenntnis genommen. Die Rechtmäßigkeit der Datenverarbeitung beruht auf meiner gem. Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO hiermit abgegebenen Einwilligung.

Die RLC ist per E-Mail über rlc@uni-konstanz.de sowie postalisch an Refugee Law Clinic Konstanz e.V., Universitätsstraße 10, 78462 Konstanz erreichbar. Sie wird u.a. vertreten durch Marie Nocke, Lukas Mitsch, Maria Gruhn und Julian Weber.

1. Betroffene Daten, Zweck der Datenverarbeitung und Empfänger

Von der Verarbeitung sind alle Daten betroffen, die ich freiwillig gegenüber der RLC offenlege, wie Vor- und Nachname, Festnetznummer, Handynummer, E-Mailadressen sowie ethnische / geographische Herkunft und Sprachkompetenzen. Die beiden letztgenannten Daten können besondere Datenkategorien gem. Art. 9 Abs. 1 DSGVO darstellen.

Ich willige in die Verarbeitung der von mir offengelegten Daten zu folgenden Zwecken ein (bitte die einzelnen Zeilen durchstreichen, wenn die Einwilligung nur eingeschränkt erfolgen soll):

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um die Kontaktdaten zu sichern

·       Nutzung der Daten zur Kontaktaufnahme durch Vorstandsmitglieder, für die RLC tätigen wissenschaftlichen Hilfskräfte sowie Vereinsmitgliedern, die für die RLC eine Beratung durchführen oder Veranstaltung organisieren, über die von mir bekannt gegebenen Kommunikationskanäle, um mich für Übersetzungen anzufragen und eine darauf bezogene Kooperation zu organisieren

·       Übermittlung meiner Kontaktdaten an weitere Vereinsmitglieder, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder Beratung zu organisieren, bezüglich der ich meine Teilnahme oder meine Mitwirkung (v.a. in Form von Übersetzungen) gegenüber der RLC zugesagt habe

·       Löschung meiner Daten mit meinem Widerruf dieser Einwilligung, mit der Beendigung der Zusammenarbeit mit der RLC oder nach drei Jahren nach Ablauf des Jahres, in dem letztmalig im Rahmen einer Beratung der RLC von mir Übersetzungen erbracht wurden.

2. Meine Rechte

Meine Einwilligung erfolgt freiwillig. Mir ist bewusst, dass ich bei der RLC jederzeit Auskunft über die von mir verarbeiteten personenbezogenen Daten ersuchen kann, dass ich jederzeit die Berichtigung, Löschung oder Sperrung mich betreffender personenbezogener Daten verlangen, ich jederzeit und grundlos der Datenverarbeitung widersprechen sowie meine Einwilligungserklärung mit Wirkung für die Zukunft abändern, einschränken oder vollständig widerrufen kann. Die Rechtmäßigkeit der Datenverarbeitung bis zum Zugang meines Widerrufes bleibt davon unberührt. Erklärungen zur Wahrnehmung dieser Rechte, insbesondere der Widerruf der Einwilligung, kann ich formlos an rlc@uni-konstanz.de oder postalisch an die oben genannte Adresse senden.

 

____________________________________________            

Vor- und Nachname bitte in BLOCKSCHRIFT

 

 

____________________________________________

Ort, Datum,                                         Unterschrift

 

b)   Informationen gem. Art. 13 DSGVO

Wenn sich DolmetscherInnen direkt bei der RLC melden, um Dolmetscherleistungen für die Beratungstätigkeit der RLC anzubieten und hierfür freiwillig personenbezogene Daten übermitteln, dann werden Ihnen folgende Informationen über die Verarbeitung personenbezogener Daten gem. Art. 13 DSGVO übermittelt.

Informationen zur Verarbeitung personenbezogener Daten gem. Art. 13 DSGVO

1. Verantwortlich für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt durch die Refugee Law Clinic Konstanz e.V. (RLC).

Postanschrift: Universitätsstraße 10, 78462 Konstanz, Deutschland

E-Mail: rlc@uni-konstanz.de

Homepage: www.rlc-konstanz.de

Vorstandsmitglieder: Marie Nocke, Lukas Mitsch, Maria Gruhn, Julian Weber, David Feuchter, Simon Windmiller

2. Zwecke und Rechtsgrundlage der Verarbeitung

Zur Durchführung von Beratungen zugunsten von Geflüchteten, die kein oder nicht ausreichend Deutsch sprechen, kooperiert die RLC mit DolmetscherInnen. Um die DolmetscherInnen für eine Beratung anfragen und eine Beratung vorbereiten zu können, bedarf es einer Verarbeitung ihrer personenbezogenen Daten in Form der Speicherung, Nutzung zur Kontaktaufnahme, Übermittlung an Vereinsmitglieder und Löschung. Diese Datenverarbeitung beruht auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO sowie Art. 9 Abs. 2 lit. a) DSGVO. Als Daten werden auf Grundlage einer freiwilligen Selbstauskunft der Vor- und Nachname, Festnetznummer, Handynummer, E-Mailadressen sowie ethnische / geographische Herkunft und Sprachkompetenzen erhoben. Dies beiden letztgenannten Daten können besondere Datenkategorien gem. Art. 9 Abs. 1 DSGVO darstellen, was eine ausdrückliche Einwilligung gem. Art. 9 Abs. 2 lit. a) DSGVO erforderlich macht.

Die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO und Art. 9 Abs. 2 DSGVO bezieht sich auf folgende Datenverarbeitungsvorgänge und Zwecke der Datenverarbeitung:

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um die Kontaktdaten zu sichern

·       Nutzung der Daten zur Kontaktaufnahme durch Vorstandsmitglieder, für die RLC tätigen wissenschaftlichen Hilfskräfte sowie Vereinsmitgliedern, die für die RLC eine Beratung durchführen oder Veranstaltung organisieren, über die von dem/der DolmetscherIn bekannt gegebenen Kommunikationskanäle, um sie für Übersetzungen anzufragen und eine darauf bezogene Kooperation zu organisieren

·       Übermittlung der Kontaktdaten an weitere Vereinsmitglieder, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder Beratungen zu organisieren, bezüglich der die betroffene Person ihre Teilnahme oder Mitwirkung (v.a. in Form von Übersetzungen) gegenüber der RLC zugesagt hat

·       Löschung der Daten mit dem Widerruf der Einwilligungen, mit der Beendigung der Zusammenarbeit mit der RLC oder nach drei Jahren nach Ablauf des Jahres, in dem letztmalig im Rahmen einer Beratung der RLC Übersetzungen erbracht wurden.

 

 3. Empfänger der personenbezogenen Daten

Die genannten personenbezogenen Daten werden von Mitgliedern des Vereinsvorstandes sowie den wissenschaftlichen Hilfskräften verarbeitet. Die Kontaktdaten werden auch Vereinsmitgliedern der RLC zur Verfügung gestellt, wenn dies erforderlich ist, um ihnen die Kontaktaufnahme zu ermöglichen, um eine anstehende Beratung oder Veranstaltung durchführen zu können. Dabei werden nur die Kontaktdaten derjenigen DolmetscherInnen übermittelt, die aufgrund ihrer Sprachkompetenz Übersetzungsleistungen in der anstehenden Beratung erbringen können. Die Kontaktdaten werden auch an weitere Vereinsmitglieder übermittelt, wenn dies erforderlich ist, um eine Veranstaltung des Vereins oder eine Beratung zu organisieren, bezüglich der ich meine Teilnahme oder meine Mitwirkung (v.a. in Form von Übersetzungen) gegenüber der RLC zugesagt habe. An Nicht-Vereinsmitglieder werden die Daten nicht übermittelt.

4. Speicherdauer

Die Daten werden unverzüglich gelöscht, wenn die Einwilligung widerrufen wird oder wenn die Zusammenarbeit zwischen der RLC und der betroffenen Person endet. Ansonsten erfolgt die Löschung der Daten nach drei Jahren nach Ablauf des Jahres, in dem der/die DolmetscherIn letztmalig im Rahmen einer Beratung der RLC tätig wurde.

5. Betroffenenrechte

Es besteht ein Recht auf Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) und Einschränkung der Verarbeitung (Art. 18 DS-GVO). Außerdem besteht ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Dem Vereinsmitglied steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Außerdem kann jederzeit die Einwilligungserklärung widerrufen werden. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bisherigen Datenverarbeitung auf Grundlage der zunächst erteilten Einwilligung nicht berührt.“

4.    Datenschutzrechtlicher gegenüber MandantInnen und Begleitpersonen

a)   Datenschutzhinweis in der Beratungsvereinbarung

In die Beratungsvereinbarung wird unter Gliederungspunkt 4 folgender datenschutzrechtliche Hinweis aufgenommen:

4. Datenschutz

4.1 Zur Wahrnehmung des Beratungsauftrages, insb. zur Erfüllung der sich aus der Beratungsvereinbarung folgenden Pflichten verarbeitet die RLC personenbezogene Daten des Auftraggebers. Die Rechtmäßigkeit dieser Datenverarbeitung beruht auf Art. 6 Abs. 1 lit. b) Var. 1 der Datenschutzgrundverordnung (DSGVO). Mit der Unterschrift erklärt sich der Auftraggeber ausdrücklich damit einverstanden, dass die RLC die Daten zur Erfüllung des Vertrages verarbeitet. Dies betrifft alle Daten, die der Auftraggeber freiwillig der RLC zur Verfügung stellt, um den Auftrag wahrzunehmen. Eine gesonderte Einwilligung in die Datenverarbeitung ist gem. Art. 9 Abs. 2 DSGVO nur insoweit erforderlich, wie sensible Daten gem. Art. 9 Abs. 1 DSGVO verarbeitet werden.

4.2 Die RLC verpflichtet sich dazu, die Daten vertraulich und anonym zu behandeln und ohne ausdrückliche Einwilligung oder Aufforderung durch den Auftraggeber diese nicht an Personen weiterzugeben, die nicht Mitglied der RLC sind oder für andere Zwecke als die Wahrnehmung des Auftrages zu verarbeiten. Die RLC trifft alle verhältnismäßigen und zumutbaren Vorkehrungen gegen Verlust und Zugriffe unbefugter Dritter auf die Daten.

4.3 Der Auftragnehmer nimmt zur Kenntnis, dass kein berufsrechtliches Zeugnisverweigerungsrecht, kein berufsrechtlicher Schutz für Unterlagen und keine Aktenaufbewahrungspflicht besteht. Anwaltsprivilegien wie § 138 StPO (Befreiung von einer Strafanzeige bei schweren Straftaten) und § 97 StPO (Beschlagnahmeverbot für beratungsbezogene Mitteilungen und Unterlagen) finden auf die RLC keine Anwendung.“

b)   Einwilligung gem. Art. 9 Abs. 2 DSGVO

Mit Abschluss des Beratungsvertrages werden den Personen, die sich von der RLC beraten lassen möchte, folgende Vorlage für eine Einwilligung gem. Art. 9 Abs. 2 DSGVO zur Unterschrift ausgehändigt.

Einwilligung in die Verarbeitung personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO

Zwischen der Refugee Law Clinic Konstanz e.V. (RLC) und mir kommt vor der Erbringung von Beratungen ein Beratungsvertrag zustande. Die RLC ist berechtigt, auf mich bezogene Daten (zB Vor- und Nachnamen, Postanschrift, Telefonnummern, E-Mailadressen usw.) zu verarbeiten, die ich der RLC freiwillig mitteile, sodass sie ihren Beratungsauftrag erfüllen kann. Dies ergibt sich aus dem Beratungsvertrag (Ziffer 4) und Art. 6 Abs. 1 lit. b) Var. 1 der Datenschutzgrundverordnung (DSGVO). Für eine derartige Datenverarbeitung benötigt die RLC keine ausdrückliche Einwilligung von mir.

Eine Einwilligung in die Verarbeitung mich betreffender Daten ist allerdings erforderlich, soweit besonders sensible Daten betroffen sind. Die Beratung zu bestimmten asyl- und ausländerrechtlichen Fragen kann durch die RLC teilweise nur dann erbracht werden, wenn ich der RLC über die oben genannten Daten hinaus weitere persönliche und sensible Daten offenlege (zB meine ethnische Herkunft, politische Meinung und weitere unten im einzelnen aufgeführte Daten). Dies geschieht freiwillig und in meinem eigenen Interesse. Die RLC darf diese sensiblen Daten nur verarbeiten, wenn ich darin ausdrücklich einwillige (Art. 9 Abs. 2 DSGVO).

Mit meiner Unterschrift willige ich freiwillig und ausdrücklich ein, dass die RLC die von mir freiwillig mitgeteilten sensiblen Daten gem. Art. 9 Abs. 2 DSGVO bei den unten aufgeführten Verarbeitungsvorgängen und den angegebenen Zwecken verarbeiten darf. Zudem habe ich die datenschutzrechtliche Information gem. Art. 13 DSGVO vor Abgabe dieser Einwilligung übermittelt bekommen und zur Kenntnis genommen.

Die RLC ist per E-Mail über rlc@uni-konstanz.de sowie postalisch an Refugee Law Clinic Konstanz e.V., Universitätsstraße 10, 78462 Konstanz erreichbar. Sie wird u.a. vertreten durch Marie Nocke, Lukas Mitsch, Maria Gruhn und Julian Weber.

1. Betroffene Daten, Zweck der Datenverarbeitung und Empfänger

Die Beurteilung bestimmter asyl- und ausländerrechtlicher Fragen und eine darauf gestützte Beratung macht es in manchen Fällen erforderlich, sensible Daten gem. Art. 9 Abs. 1 DSGVO in das Beratungsprotokoll aufzunehmen. Dabei handelt es sich ausschließlich um freiwillig von mir übermittelte Daten. Im Einzelfall können folgende Datenkategorien betroffen sein: „Rassische“ bzw. ethnische / geographische Herkunft, politische Meinung, Mitgliedschaft in Organisationen (insb. Gewerkschaften, Parteien, NGO), religiöse und weltanschauliche Ansichten und Zugehörigkeit zu Religions- oder Weltanschauungsgemeinschaften, Sexualleben / sexuelle Orientierung, biometrische Daten sowie Gesundheitsdaten (zB ärztliche Befunde und Atteste) sowie alle ähnlich sensible Daten.

 

Die Einwilligung in die Verarbeitung dieser sensiblen Daten bezieht sich auf folgende Datenverarbeitungsvorgänge und Zwecke der Datenverarbeitung:

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um eine Beratung zu diesen Rechtsfragen zu ermöglichen (insb. eine auf die Daten gestützte Recherche zu Sach- und Rechtsfragen und weitere Beratung zu einem zweiten oder weiteren Beratungstermin)

·       Nutzung der Daten zu dem Zweck, die Beratung durchzuführen, wobei Vorstandsmitglieder, für die RLC tätige wissenschaftliche Hilfskräfte sowie Vereinsmitgliedern, die für die RLC die Beratung durchgeführt haben oder die eine zukünftige Beratung in meinem Fall durchführen werden Zugang zu den Daten haben, soweit dies erforderlich ist, um meine Beratung zu fördern

·       Übermittlung der sensiblen Daten an Dritte (zB Anwälte, andere Organisationen, die Flüchtlinge unterstützen), aber nur, wenn ich mich mit der weiteren Unterstützung durch eine andere Organisation oder Person und eine Übermittlung der Daten an diese ausdrücklich einverstanden erklärt habe

·       Löschung meiner Daten mit meinem Widerruf dieser Einwilligung, mit der Beendigung des Vertragsverhältnisses mit der RLC oder nach 3 Jahren nach Ablauf des Jahres, in dem letztmals Kontakt der zu beratenden Person und einem Mitglied der RLC bestand, wenn eine Fortsetzung der Beratung nicht absehbar ist.

2. Meine Rechte

Meine Einwilligung erfolgt freiwillig. Mir ist bewusst, dass ich bei der RLC jederzeit Auskunft über die von mir verarbeiteten personenbezogenen Daten ersuchen kann, dass ich jederzeit die Berichtigung, Löschung oder Sperrung mich betreffender personenbezogener Daten verlangen, ich jederzeit und grundlos der Datenverarbeitung widersprechen sowie meine Einwilligungserklärung mit Wirkung für die Zukunft abändern, einschränken oder vollständig widerrufen kann. Die Rechtmäßigkeit der Datenverarbeitung bis zum Zugang meines Widerrufes bleibt davon unberührt. Erklärungen zur Wahrnehmung dieser Rechte, insbesondere der Widerruf der Einwilligung, kann ich formlos an rlc@uni-konstanz.de oder postalisch an die oben genannte Adresse senden.

 

____________________________________________            

Vor- und Nachname bitte in BLOCKSCHRIFT

 

 

____________________________________________

Ort, Datum,                                         Unterschrift

 


 

c)    Informationen gem. Art 13 DSGVO

Den MandantInnen sowie ihren Begleitpersonen werden folgende datenschutzrechtlichen Informationen ausgehändigt:

Informationen zur Verarbeitung personenbezogener Daten gem. Art. 13 DSGVO

1. Verantwortlich für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt durch die Refugee Law Clinic Konstanz e.V. (RLC).

Postanschrift: Universitätsstraße 10, 78462 Konstanz, Deutschland

E-Mail: rlc@uni-konstanz.de

Homepage: www.rlc-konstanz.de

Vorstandsmitglieder: Marie Nocke, Lukas Mitsch, Maria Gruhn, Julian Weber, David Feuchter, Simon Windmiller

2. Zwecke und Rechtsgrundlage der Verarbeitung

a) Verarbeitung von Daten von MandantInnen

Die ehrenamtliche Beratung von Personen zu asyl- und ausländerrechtlichen Fragen erfordert die Verarbeitung personenbezogener Daten der zu beratenden Personen (MandantInnen).

Die Datenerhebung hat den Zweck, die Person identifizieren zu können, mit der eine Beratungsvereinbarung geschlossen wurde. Die Datenerhebung ist zudem erforderlich, um nach dem Beratungsgespräch Kontakt halten zu können, ggf. weitere Auskünfte zu erteilen oder Termine zu vereinbaren. Des Weiteren bedarf es der Datenerhebung, um Rechtsfragen zu klären, zu denen eine Beratung stattfinden soll. Mit den MandantInnen wird eine Beratungsvereinbarung geschlossen, durch die ein unentgeltliches Auftragsverhältnis begründet wird. Durch diese Vereinbarung verpflichtet sich die RCL zur Beratung. Die Datenverarbeitung ist zur Erfüllung dieser Vereinbarung erforderlich (Art. 6 Abs. 1 lit. b) Var. 1 DSGVO).

Die Beurteilung bestimmter asyl- und ausländerrechtlicher Fragen und eine darauf gestützte Beratung macht es in manchen Fällen erforderlich, sensible Daten gem. Art. 9 Abs. 1 DSGVO in das Beratungsprotokoll aufzunehmen. Dabei handelt es sich ausschließlich um freiwillig von der zu beratenden Person übermittelte Daten. Im Einzelfall können folgende Datenkategorien betroffen sein: „Rassische“ bzw. ethnische / geographische Herkunft, politische Meinung, Mitgliedschaft in Organisationen (insb. Gewerkschaften, Parteien, NGO), religiöse und weltanschauliche Ansichten und Zugehörigkeit zu Religions- oder Weltanschauungsgemeinschaften, Sexualleben / sexuelle Orientierung, biometrische Daten sowie Gesundheitsdaten (zB ärztliche Befunde und Atteste) sowie alle ähnlich sensible Daten.

 

Die Rechtmäßigkeit der Verarbeitung der genannten sensiblen Daten beruht auf einer expliziten Einwilligung der Betroffenen gem. Art. 9 Abs. 2 DSGVO. Die Einwilligung in die Verarbeitung sensibler Daten gem. Art. 9 Abs. 2 DSGVO bezieht sich auf folgende Datenverarbeitungsvorgänge und Zwecke der Datenverarbeitung:

·       Archivierung in Textform übermittelter Daten und elektronische Speicherung elektronisch ermittelter oder erfasster Daten auf einem Computer der RLC, um eine Beratung zu diesen Rechtsfragen zu ermöglichen (insb. eine auf die Daten gestützte Recherche zu Sach- und Rechtsfragen und weitere Beratung zu einem zweiten oder weiteren Beratungstermin)

·       Nutzung der Daten zu dem Zweck, die Beratung durchzuführen, wobei Vorstandsmitglieder, für die RLC tätige wissenschaftliche Hilfskräfte sowie Vereinsmitgliedern, die für die RLC die Beratung durchgeführt haben oder die eine zukünftige Beratung in meinem Fall durchführen werden, Zugang zu den Daten haben, soweit dies erforderlich ist, um die Beratung zu fördern

·       Übermittlung der sensiblen Daten an Dritte (zB Anwälte, andere Organisationen, die Flüchtlinge unterstützen), aber nur, wenn sich die zu beratende Person mit der weiteren Unterstützung durch eine andere Organisation oder Person und eine Übermittlung der Daten an diese ausdrücklich einverstanden erklärt hat

·       Löschung der Daten mit dem Widerruf der Einwilligung, mit der Beendigung der Zusammenarbeit mit der RLC oder nach 3 Jahren nach Ablauf des Jahres, in dem letztmals Kontakt der zu beratenden Person und einem Mitglied der RLC bestand, wenn eine Fortsetzung der Beratung nicht absehbar ist.

b) Verarbeitung von Daten von Begleitpersonen

Die zu beratenden Personen werden teilweise durch Ehrenamtliche oder SozialarbeiterInnen bei der Beratung begleitet. Auch von diesen Personen werden teilweise Daten verarbeitet. Die Begleitpersonen der zu beratenden Personen übermitteln an die RLC-Mitglieder regelmäßig im Rahmen einer freiwilligen Selbstauskunft ihren Vor- und Nachnamen, eine Postanschrift, Festnetz- und Handynummer sowie die Emailadresse. Der Beratungsvertrag wird auch mit Begleitpersonen geschlossen, sodass auch ihnen gegenüber Art. 6 Abs. 1 lit. b) Var. 1 DSGVO als Rechtsgrundlage der Datenverarbeitung greift.

 

3. Empfänger der personenbezogenen Daten

Die genannten personenbezogenen Daten werden durch die Beratungsvereinbarung sowie einem elektronisch verfassten Beratungsprotokoll erhoben und gespeichert. Zugang zu diesen Dokumenten haben nur Mitgliedern des Vereinsvorstandes, wissenschaftlichen Hilfskräften der RLC sowie diejenigen Vereinsmitglieder, die die Beratung durchgeführt haben und fortführen. An Nicht-Vereinsmitglieder, insbesondere Anwälte oder andere Organisationen, die den Geflüchteten unterstützen, werden personenbezogene Daten nur auf ausdrücklichen Wunsch der zu beratenden Person übermittelt.

4. Speicherdauer

Die Daten werden solange gespeichert, wie dies erforderlich ist, um die aus dem Auftragsverhältnis folgende Pflichten zu erfüllen. Die Daten werden gelöscht, wenn der Vertrag beendet wird. Eine Löschung erfolgt auch nach 3 Jahren nach Ablauf des Jahres, in dem letztmals Kontakt der zu beratenden Person und einem Mitglied der RLC bestand, wenn eine Fortsetzung der Beratung nicht absehbar ist.

5. Betroffenenrechte

Es besteht ein Recht auf Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) und Einschränkung der Verarbeitung (Art. 18 DS-GVO). Außerdem besteht ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Dem Vereinsmitglied steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Außerdem kann jederzeit die Einwilligungserklärung widerrufen werden. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bisherigen Datenverarbeitung auf Grundlage der zunächst erteilten Einwilligung nicht berührt.“


5.    Datenschutzhinweis auf der Vereinshomepage

Auf der Homepage der RLC Konstanz erfolgt folgender Datenschutzhinweis:

Datenschutzerklärung

Wir freuen uns sehr über Ihr Interesse an unserem Verein. Datenschutz hat einen besonders hohen Stellenwert für den Vorstand der Refugee Law Clinic Konstanz. Eine Nutzung der Internetseiten der Refugee Law Clinic Konstanz ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Vereins über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.

Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den für die Refugee Law Clinic Konstanz geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchte unser Verein die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.

Die Refugee Law Clinic Konstanz hat als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.

1. Begriffsbestimmungen

Die Datenschutzerklärung der Refugee Law Clinic Konstanz beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für die mit uns in Kontakt tretenden Personen einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:

a)    personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

b)    betroffene Person

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.

c)    Verarbeitung

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

d)    Einschränkung der Verarbeitung

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

e)    Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

f)     Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

g)    Verantwortlicher oder für die Verarbeitung Verantwortlicher

Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

h)    Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

i)      Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

 

j)      Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

k)    Einwilligung

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

2. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist die:

Refugee Law Clinic Konstanz

Universitätsstraße 10

78462 Konstanz

Deutschland

Tel.: 017632986053

E-Mail: rlc@uni-konstanz.de

Website: www.rlc-konstanz.de

3. Erfassung von allgemeinen Daten und Informationen

Die Internetseite der Refugee Law Clinic Konstanz erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können die (1) verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher ein zugreifendes System auf unsere Internetseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Internetseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.


 

Bei der Nutzung dieser allgemeinen Daten und Informationen zieht die Refugee Law Clinic Konstanz keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um (1) die Inhalte unserer Internetseite korrekt auszuliefern, (2) die Inhalte unserer Internetseite für diese zu optimieren, (3) die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik unserer Internetseite zu gewährleisten sowie (4) um Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen. Diese anonym erhobenen Daten und Informationen werden durch die Refugee Law Clinic Konstanz daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Verein zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.

4. Kontaktmöglichkeit über die Internetseite

Die Internetseite der Refugee Law Clinic Konstanz enthält aufgrund von gesetzlichen Vorschriften Angaben, die eine schnelle elektronische Kontaktaufnahme zu unserem Verein sowie eine unmittelbare Kommunikation mit uns ermöglichen, was ebenfalls eine allgemeine Adresse der sogenannten elektronischen Post (E-Mail-Adresse) umfasst. Sofern eine betroffene Person per E-Mail oder über ein Kontaktformular den Kontakt mit dem für die Verarbeitung Verantwortlichen aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert. Solche auf freiwilliger Basis von einer betroffenen Person an den für die Verarbeitung Verantwortlichen übermittelten personenbezogenen Daten werden für Zwecke der Bearbeitung oder der Kontaktaufnahme zur betroffenen Person gespeichert. Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.

5. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

Der für die Verarbeitung Verantwortliche verarbeitet und speichert personenbezogene Daten der betroffenen Person nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen der für die Verarbeitung Verantwortliche unterliegt, vorgesehen wurde.

Entfällt der Speicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

6. Rechte der betroffenen Person

a)    Recht auf Bestätigung

Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden.


 

b)    Recht auf Auskunft

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner hat der Europäische Richtlinien- und Verordnungsgeber der betroffenen Person Auskunft über folgende Informationen zugestanden:

·       die Verarbeitungszwecke

·       die Kategorien personenbezogener Daten, die verarbeitet werden

·       die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen

·       falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

·       das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung

·       das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

·       wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten

·       das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs.1 und 4 DS-GVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ferner steht der betroffenen Person ein Auskunftsrecht darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.

Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden.

c)    Recht auf Berichtigung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden.

d)    Recht auf Löschung (Recht auf Vergessen werden)

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:

·       Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.

·       Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

·       Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.

·       Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

·       Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

·       Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.

Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei der Refugee Law Clinic Konstanz gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden. Der Vertreter der Refugee Law Clinic Konstanz wird veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.

Wurden die personenbezogenen Daten von der Refugee Law Clinic Konstanz öffentlich gemacht und ist unser Verein als Verantwortlicher gemäß Art. 17 Abs. 1 DS-GVO zur Löschung der personenbezogenen Daten verpflichtet, so trifft die Refugee Law Clinic Konstanz unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Der Vertreter der Refugee Law Clinic Konstanz wird im Einzelfall das Notwendige veranlassen.

e)    Recht auf Einschränkung der Verarbeitung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

·       Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.

·       Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.

·       Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

·       Die betroffene Person hat Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei der Refugee Law Clinic Konstanz gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden. Der Vertreter der Refugee Law Clinic Konstanz wird die Einschränkung der Verarbeitung veranlassen.

f)     Recht auf Datenübertragbarkeit

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.

Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an einen Vertreter der Refugee Law Clinic Konstanz wenden.

g)    Recht auf Widerspruch

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DS-GVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Die Refugee Law Clinic Konstanz verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Verarbeitet die Refugee Law Clinic Konstanz personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber der Refugee Law Clinic Konstanz der Verarbeitung für Zwecke der Direktwerbung, so wird die Refugee Law Clinic Konstanz die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei der Refugee Law Clinic Konstanz zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt an jeden Vertreter der Refugee Law Clinic Konstanz oder einen anderen Mitarbeiter wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

h)    Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, trifft die Refugee Law Clinic Konstanz angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden.

i)      Recht auf Widerruf einer datenschutzrechtlichen Einwilligung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.

Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an einen Vertreter des für die Verarbeitung Verantwortlichen wenden.


 

7. Datenschutzbestimmungen zu Einsatz und Verwendung von Facebook

Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten des Unternehmens Facebook integriert. Facebook ist ein soziales Netzwerk.

Ein soziales Netzwerk ist ein im Internet betriebener sozialer Treffpunkt, eine Online-Gemeinschaft, die es den Nutzern in der Regel ermöglicht, untereinander zu kommunizieren und im virtuellen Raum zu interagieren. Ein soziales Netzwerk kann als Plattform zum Austausch von Meinungen und Erfahrungen dienen oder ermöglicht es der Internetgemeinschaft, persönliche oder unternehmensbezogene Informationen bereitzustellen. Facebook ermöglicht den Nutzern des sozialen Netzwerkes unter anderem die Erstellung von privaten Profilen, den Upload von Fotos und eine Vernetzung über Freundschaftsanfragen.

Betreibergesellschaft von Facebook ist die Facebook, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA. Für die Verarbeitung personenbezogener Daten Verantwortlicher ist, wenn eine betroffene Person außerhalb der USA oder Kanada lebt, die Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland.

Durch jeden Aufruf einer der Einzelseiten dieser Internetseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Facebook-Komponente (Facebook-Plug-In) integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Facebook-Komponente veranlasst, eine Darstellung der entsprechenden Facebook-Komponente von Facebook herunterzuladen. Eine Gesamtübersicht über alle Facebook-Plug-Ins kann unter https://developers.facebook.com/docs/plugins/?locale=de_DE abgerufen werden. Im Rahmen dieses technischen Verfahrens erhält Facebook Kenntnis darüber, welche konkrete Unterseite unserer Internetseite durch die betroffene Person besucht wird.

Sofern die betroffene Person gleichzeitig bei Facebook eingeloggt ist, erkennt Facebook mit jedem Aufruf unserer Internetseite durch die betroffene Person und während der gesamten Dauer des jeweiligen Aufenthaltes auf unserer Internetseite, welche konkrete Unterseite unserer Internetseite die betroffene Person besucht. Diese Informationen werden durch die Facebook-Komponente gesammelt und durch Facebook dem jeweiligen Facebook-Account der betroffenen Person zugeordnet. Betätigt die betroffene Person einen der auf unserer Internetseite integrierten Facebook-Buttons, beispielsweise den „Gefällt mir“-Button, oder gibt die betroffene Person einen Kommentar ab, ordnet Facebook diese Information dem persönlichen Facebook-Benutzerkonto der betroffenen Person zu und speichert diese personenbezogenen Daten.

Facebook erhält über die Facebook-Komponente immer dann eine Information darüber, dass die betroffene Person unsere Internetseite besucht hat, wenn die betroffene Person zum Zeitpunkt des Aufrufs unserer Internetseite gleichzeitig bei Facebook eingeloggt ist; dies findet unabhängig davon statt, ob die betroffene Person die Facebook-Komponente anklickt oder nicht. Ist eine derartige Übermittlung dieser Informationen an Facebook von der betroffenen Person nicht gewollt, kann diese die Übermittlung dadurch verhindern, dass sie sich vor einem Aufruf unserer Internetseite aus ihrem Facebook-Account ausloggt.


 

Die von Facebook veröffentlichte Datenrichtlinie, die unter https://de-de.facebook.com/about/privacy/ abrufbar ist, gibt Aufschluss über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Facebook. Ferner wird dort erläutert, welche Einstellungsmöglichkeiten Facebook zum Schutz der Privatsphäre der betroffenen Person bietet. Zudem sind unterschiedliche Applikationen erhältlich, die es ermöglichen, eine Datenübermittlung an Facebook zu unterdrücken. Solche Applikationen können durch die betroffene Person genutzt werden, um eine Datenübermittlung an Facebook zu unterdrücken.

8. Zahlungsart: Datenschutzbestimmungen zu PayPal als Zahlungsart

Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von PayPal integriert. PayPal ist ein Online-Zahlungsdienstleister. Zahlungen werden über sogenannte PayPal-Konten abgewickelt, die virtuelle Privat- oder Geschäftskonten darstellen. Zudem besteht bei PayPal die Möglichkeit, virtuelle Zahlungen über Kreditkarten abzuwickeln, wenn ein Nutzer kein PayPal-Konto unterhält. Ein PayPal-Konto wird über eine E-Mail-Adresse geführt, weshalb es keine klassische Kontonummer gibt. PayPal ermöglicht es, Online-Zahlungen an Dritte auszulösen oder auch Zahlungen zu empfangen. PayPal übernimmt ferner Treuhänderfunktionen und bietet Käuferschutzdienste an.

Die Europäische Betreibergesellschaft von PayPal ist die PayPal (Europe) S.à.r.l. & Cie. S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.

Wählt die betroffene Person während des Spendenvorgangs zugunsten der Refugee Law Clinic Konstanz als Zahlungsmöglichkeit „PayPal“ aus, werden automatisiert Daten der betroffenen Person an PayPal übermittelt. Mit der Auswahl dieser Zahlungsoption willigt die betroffene Person in die zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.

Bei den an PayPal übermittelten personenbezogenen Daten handelt es sich in der Regel um Vorname, Nachname, Adresse, Email-Adresse, IP-Adresse, Telefonnummer, Mobiltelefonnummer oder andere Daten, die zur Zahlungsabwicklung notwendig sind. Zur Abwicklung des Kaufvertrages notwendig sind auch solche personenbezogenen Daten, die im Zusammenhang mit der jeweiligen Bestellung stehen.

Die Übermittlung der Daten bezweckt die Zahlungsabwicklung und die Betrugsprävention. Der für die Verarbeitung Verantwortliche wird PayPal personenbezogene Daten insbesondere dann übermitteln, wenn ein berechtigtes Interesse für die Übermittlung gegeben ist. Die zwischen PayPal und dem für die Verarbeitung Verantwortlichen ausgetauschten personenbezogenen Daten werden von PayPal unter Umständen an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung.

PayPal gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen.

Die betroffene Person hat die Möglichkeit, die Einwilligung zum Umgang mit personenbezogenen Daten jederzeit gegenüber PayPal zu widerrufen. Ein Widerruf wirkt sich nicht auf personenbezogene Daten aus, die zwingend zur (vertragsgemäßen) Zahlungsabwicklung verarbeitet, genutzt oder übermittelt werden müssen. 

Die geltenden Datenschutzbestimmungen von PayPal können unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full abgerufen werden.


 

9. Rechtsgrundlage der Verarbeitung

Art. 6 I lit. a DS-GVO dient unserem Verein als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Vereins oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).

10. Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden

Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes Interesse die Verfolgung unserer Vereinszwecks (vgl. Satzung auf der Homepage).

11. Dauer, für die die personenbezogenen Daten gespeichert werden

Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.


 

12. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Verein mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an einen unserer Vertreter wenden. Unser Vertreter klärt den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.

13. Bestehen einer automatisierten Entscheidungsfindung

Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling.“

 


 

6.    Verzeichnis von Datenverarbeitungstätigkeiten

 

Da die Refugee Law Clinic Konstanz (e.V.) regelmäßig personenbezogene Daten verarbeitet und dabei in Bezug auf die von der RLC beratenden MandantInnen auch Daten gem. Art. 9 Abs. 1 DSGVO verarbeitet werden, wurde gem. Art. 30 Abs. 1, 5 Var. 2 und Var. 3 DSGVO ein Verzeichnis über die im Verein stattfindenden Verarbeitungstätigkeiten erstellt. Ein Datenschutzbeauftragter gem. Art. 37 DSGVO wurde nicht benannt.

Verantwortlicher:                                           Refugee Law Clinic Konstanz e.V.

                                                                       Postanschrift: Universitätsstraße 10, 78462 Konstanz

                                                                       E-Mail-Adresse: rlc@uni-konstanz.de

                                                                       Homepage: http://www.rlc-konstanz.de

VertreterInnen des Verantwortlichen:            Marie Nocke, Lukas Mitsch, Maria Gruhn, Julian Weber, David Feuchter, Simon Windmiller

 

Eine Übermittlung der Daten an ein Drittland oder eine internationale Organisation (Art. 30 I lit. e DSGVO) findet nicht statt und ist nicht geplant.

 


 

 

a)   Verarbeitungstätigkeiten gegenüber Vereinsmitgliedern

Verarbeitungstätigkeit / Zweck der Verarbeitung / Rechtsgrundlage

Betroffene Personen und Datenkategorien

Empfänger (Zugang zu Daten)

Löschung

 

Zweck: Mitgliederverwaltung und Förderung der Vereinszwecke

 

Verarbeitungstätigkeiten:

·       Speicherung vom Mitglied freiwillig übermittelter Daten

·       Nutzung der Daten zur Kontaktaufnahme

·       Nutzung der Daten in vereinsinterner E-Mail-Liste

·       Übermittlung der Daten an Vereinsmitglieder zur Gewährleistung vereinsinterner Willensbildung und Organisation in Projektgruppen

·       Löschung

 

Rechtsgrundlage: Erfüllung der Satzung gem. Art. 6 Abs. 1 lit. b) Var. 1 DSGVO und Mitgliederbeschluss über die Geltung der vereinsinternen Datenschutzordnung

 

 

 

Betroffene: Vereinsmitglieder

 

 

Betroffene Daten:

·       Vor- und Nachname

·       Postanschrift

·       Geburtsdatum

·       Festnetznummer

·       Handynummer

·       Datum des Vereinsbeitritts

·       Vereinsinterne Funktionen

·       E-Mailadressen

·       Ggf. Kontoverbindung zur Erstattung von Auslagen

 

Daten gem. Art. 9 Abs. 1 DSGVO sind nicht betroffen.

 

Vereinsintern:

·       Vereinsvorstand und wissenschaftliche Hilfskräfte haben auf alle Daten (bis auf Kontonummer) Zugriff.

·       Kassenwart hat durch Archivierung der Mitgliedschaftsanträge auf alle Daten Zugriff.

·       Übrigen Vereinsmitglieder haben auf den Name und die E-Mailadresse Zugriff. Übrige Kontaktdaten können ihnen in bestimmten Fällen übermittelt werden.

 

Vereinsextern: nur auf Veranlassung und im gewünschten Umfang durch Vereinsmitglied (zB MandantInnen, externe Veranstalter von Fortbildungsveranstaltungen, Kooperationspartner, Versicherung)

 

 

Zwei Jahren nach Ablauf des Jahres, in dem die Mitgliedschaft im Verein erloschen ist


 

b)   Verarbeitungstätigkeiten gegenüber an der Vereinsarbeit interessierten Personen

Verarbeitungstätigkeit / Zweck der Verarbeitung / Rechtsgrundlage

Betroffene Personen und Datenkategorien

Empfänger (Zugang zu Daten)

Löschung

 

Zweck: Förderung der Vereinszwecke durch Anwerbung neuer Mitglieder

 

 

Verarbeitungstätigkeiten:

·       Speicherung von Daten, die von betroffener Person freiwillig übermittelt wurden

·       Nutzung der Daten zur Kontaktaufnahme

·       Nutzung der Daten in vereinsinterner E-Mail-Liste

·       Übermittlung der Daten an Vereinsmitglieder

·       Löschung

 

Rechtsgrundlage: Einwilligung der Betroffenen gem. Art. 6 Abs. 1 lit. a) DSGVO

 

 

Betroffene: Jede Person, die ihre Daten RLC übermittelt, um sich über Vereinsarbeit informieren zu lassen oder sich in der RLC zu engagieren, ohne zunächst Vereinsmitglied zu sein

 

Betroffene Daten:

·       Vor- und Nachname

·       E-Mailadresse

·       Ggf. Festnetz- und Handynummer

·       ggf. Postanschrift

·       ggf. Beruf

 

Daten gem. Art. 9 Abs. 1 DSGVO sind nicht betroffen.

 

Vereinsintern:

Die Datenverarbeitung erfolgt durch:

·       Vereinsvorstand

·       wissenschaftliche Hilfskräfte und

·       Vereinsmitgliedern, die für die RLC eine bestimmte Aufgabe wahrnehmen und dabei die interessierten Personen einbeziehen möchten (zB Einführungsveranstaltungen) oder die eine Aufgabe wahrnehmen, hinsichtlich der die interessierte Person zugesagt hat, dass sie daran mitwirken möchte

 

Vereinsextern:  Die Daten werden nicht an vereinsexterne Personen übermittelt.

 

·       unverzüglich bei Widerruf der Einwilligung

·       ansonsten nach drei Jahren nach Ablauf des Jahres, in dem die Daten erhoben wurden, wenn die betroffene Person zwischenzeitlich nicht Vereinsmitglied wurde

 


 

c)    Verarbeitungstätigkeiten gegenüber DolmetscherInnen

Verarbeitungstätigkeit / Zweck der Verarbeitung / Rechtsgrundlage

Betroffene Personen und Datenkategorien

Empfänger (Zugang zu Daten)

Löschung

 

Zweck: Förderung des Vereinszwecks durch Einbeziehung von DolmetscherInnen bei der Beratung von Flüchtlingen

 

Verarbeitungstätigkeiten:

·       Speicherung von Daten, die von betroffener Person freiwillig übermittelt wurden

·       Nutzung der Daten zur Kontaktaufnahme

·       Übermittlung der Daten an Vereinsmitglieder

·       Löschung

 

Rechtsgrundlage: Einwilligung der Betroffenen gem. Art. 6 Abs. 1 lit. a DSGVO sowie gem. Art. 9 Abs. 2 DSGVO

 

 

Betroffene: Jede Person, die sich gegenüber der RLC bereit erklärt hat, bei Beratungen zu übersetzen

 

Betroffene Daten:

·       Vor- und Nachname

·       E-Mailadresse

·       Ggf. Festnetz- und Handynummer

·       ggf. Postanschrift

 

Als besondere Datenkategorien gem. Art. 9 Abs. 1 DSGVO werden ggf. die ethnische Herkunft und Sprachkompetenzen der betroffenen Personen verarbeitet.

 

Vereinsintern:

·       Zugang zu den Daten haben der Vereinsvorstand und die wissenschaftlichen Hilfskräfte

·       Vereinsmitglieder, die eine Beratung oder Veranstaltung durchführen, bei der sie eine Übersetzung benötigen, bekommen die Kontaktdaten geeigneter DolmetscherInnen übermittelt.

·       Die Betroffenen werden vom Vereinsvorstand, den Hilfskräften oder der soeben genannten Vereinsmitgliedern kontaktiert.

 

Vereinsextern: Die Daten werden nicht an vereinsexterne Personen übermittelt.

 

·       unverzüglich bei Widerruf der Einwilligung

·       im Fall der Beendigung der Zusammenarbeit mit der RLC

·       ansonsten nach drei Jahren nach Ablauf des Jahres, in dem letztmalig im Rahmen einer Beratung der RLC Übersetzungen erbracht wurden

 


 

d)   Verarbeitungstätigkeiten gegenüber MandantInnen und Begleitpersonen

Verarbeitungstätigkeit / Zweck der Verarbeitung /   Rechtsgrundlage

Betroffene Personen und Datenkategorien

Empfänger (Zugang zu Daten)

Löschung

Zweck: Förderung der Vereinszwecke in Form von Beratungen zugunsten von Flüchtlingen und Kooperation mit Begleitpersonen

 

Verarbeitungstätigkeiten:

·       Speicherung von Daten, die von betroffener Person freiwillig offenbart wurden

·       Nutzung der Daten zur Kontaktaufnahme, zur Beurteilung von Rechtsfragen für weitere Rechtsberatungen

·       Übermittlung der Daten an Vereinsmitglieder

·       Übermittlung der Daten an vereinsexterne Personen auf Wunsch der Betroffenen

·       Löschung

 

Rechtsgrundlage:

·       Erfüllung der Beratungsvereinbarung gem. Art. 6 Abs. 1 lit. b) Var. 1 DSGVO

·       Einwilligung gem. Art. 9 Abs. 2 DSGVO hinsichtlich der Verarbeitung sensibler Daten gem. Art. 9 Abs. 1 DSGVO

Betroffene: Personen, die sich von der RLC freiwillig beraten lassen sowie deren Begleitpersonen

 

Betroffene Daten (die mit Stern gekennzeichneten Daten werden ggf. auch von der Begleitperson erhoben):

·       Vor- und Nachname*

·       Geburtsdatum, Geburtsort

·       Staatsangehörigkeit

·       Familienstand und ggf. Name, Geburtsdaten, Geburtsorte des Ehepartners und etwaiger Kinder

·       Postanschrift im Heimatland und am derzeitigen Wohnsitz/Aufenthaltsort*

·       Festnetz- und Handynummer*

·       E-Mailadresse*

·       Sprachen

·       Beruf

·       Eigentums- und Besitzverhältnisse

·       Persönliche Interessen

Betroffene Daten gem. Art. 9 Abs. 1 DSGVO:

·        „Rassische“ bzw. ethnische sowie geographische Herkunft

·       Politische Meinung

·       Mitgliedschaft in Organisationen (insb. Gewerkschaften, Parteien, NGO)

·       religiöse und weltanschauliche Ansichten und Zugehörigkeit zu Religions- oder Weltanschauungsgemeinschaft

·       Sexualleben / sexuelle Orientierung

·       Biometrische Daten

·       Gesundheitsdaten

Vereinsintern:

Der Vereinsvorstand, wissenschaftliche Hilfskräfte sowie Vereinsmitglieder, die bisher oder zukünftig die Beratung der betroffenen Person durchführt, haben Zugang zu den Daten und können diese zum Zwecke der Beratung verarbeiten.

 

Vereinsextern: An vereinsexterne Personen (zB Anwälte, andere Organisationen zur Unterstützung der Flüchtlinge) werden die Daten nur übermittelt, wenn sich die betroffene Person ausdrücklich damit einverstanden erklärt.

·       unverzüglich bei Widerruf der Einwilligung

·       im Fall der Beendigung des Vertragsverhältnisses mit der RLC

·       ansonsten nach drei Jahren nach Ablauf des Jahres, in dem letztmals Kontakt der zu beratenden Person und einem Mitglied der RLC bestand, wenn eine Fortsetzung der Beratung nicht absehbar ist