Datenschutz-Grundlagen

zur Hauptnavigation springen zur Metanavigation springen zum Inhalt springen

Unterstütze uns!

Wer Solawis gründet, braucht kompetent aufbereitete Information. Die aktuellen Krisen machen den Bedarf an resilienten Ernährungssystemen deutlich – Solawi ist eine gerechte und regionale Lösung.

Deswegen ist unser Wissenspool hier frei verfügbar. Beteilige Dich jetzt, um das Angebot weiter kostenlos zu halten.

Gemeinsam für eine Landwirtschaft mit Zukunft!

Mitglied werden Spenden Engagieren

🤍 Hilf der Solawi-Bewegung zu wachsen! 🤍

Datenschutz-Grundlagen

Im Folgenden findest du Informationen zum Umgang mit personenbezogenen Daten.

Bei Fragen zu u.a. Themen wende Dich bitte an datenschutzsolidarische-landwirtschaft.org

Datenschutz schützt das Persönlichkeitsrecht

Das gesetzlich verankerte Recht zum Datenschutz dient dem Schutz des Persönlichkeitsrechts derjenigen Menschen, auf die sich die Daten beziehen. Diese Menschen nennt das Gesetz „betroffene Personen“. Das können unsere Mitglieder sein, Deine Kolleg:innen – oder auch Du als Mitarbeiter:in.
Das Persönlichkeitsrecht gibt jedem Menschen das Recht, grundsätzlich selbst darüber zu entscheiden, wer was über ihn wissen darf. Beispielsweise darf jedes Vereinsmitglied selbst entscheiden, wer dessen Wohnort erfahren soll, und Du darfst entscheiden, wer Deinen Gesundheitszustand kennen darf. Es ist Deine Entscheidung, ob das geheim bleibt oder ob Du es veröffentlichst.
Ausnahmen, in denen nicht nur der Wille des Betroffenen gilt, brauchen nach dem Gesetz eine Rechtfertigung. Das kann eine Einwilligung der betroffenen Person oder eine gesetzliche Erlaubnis sein – hierzu später mehr.
Als wichtigste Regel solltest Du Dir hier merken, dass Du personenbezogene Daten nie aus eigener Entscheidung heraus weitergeben oder für Dich selbst nutzen darfst, z.B. zur Belustigung oder Befriedigung der Neugier. D.h. Du bist weisungsgebunden und verarbeitest personenbezogene Daten nur aufgrund von Weisung durch deinen Arbeitgeber, also Mitarbeitende des Netzwerk Solidarische Landwirtschaft e.V.

Geltungsbereich

Die DSGVO (Datenschutz Grundverordnung) gilt innerhalb der Europäischen Union. Sie regelt fast alle Datenschutz-relevanten Prozesse, um die es im Folgendem geht. Regelungen für Datenprozesse in Beschäftigungsverhältnissen gelten teilweise nur in Deutschland.

Der Geltungsbereich erstreckt sich nur auf Deine Aktivitäten innerhalb des Netzwerk Solidarische Landwirtschaft e.V.

Das Datenschutzrecht gilt für digitale Daten wie bspw. Veranstaltungsanmeldungen aus einem Online-Formulare aber auch für die Speicherung in Papierform, wie bspw. die Aktenordner mit den Gehaltsmitteilungen von Angestellten. Unsortierte Stapel handschriftlicher Notizen, die später weggeschmissen werden sollen, zählen interessanter Weise nicht dazu, da es sich hier um unorganisierte Daten handelt ...

Begriffsbestimmungen

Die wichtigsten Begriffe des Datenschutzrechts erklärt:

Personenbezogene Daten

(verschoben in's wiki, war doppelt)

Datenschutzniveaus

Personenbezogene Daten sind in folgende Niveaus eingeteilt, die die Gefahr eines möglichen negativen Effekts für die Person im Umgang mit diesen Daten darstellen:

  1. Niveau 1: Kontaktdaten – Auswirkung für Missbrauch ist vergleichsweise niedrig, jedoch trotzdem schützenswert!
  2. Niveau 2: Einkommen, wie ich aussehe, in welchem Haus ich lebe, Hobbys – Auswirkung bei Missbrauch ist größer / spürbarer
  3. Niveau 3: Name, Religion, Herkunft, Sexualleben, Gewerkschaftszugehörigkeit – potentiell große negative Auswirkung bei unsachgemäßer Handhabung oder Missbrauch

Besonders schützenswerte Daten

sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit eines Menschen beziehen und aus denen Informationen über dessen Gesundheitszustand hervorgehen. Des Weiteren zählen buchhalterische Daten zu diesem Bereich.

Beispiele

  • Eine Mitarbeiterin ist erkrankt: In einem Protokoll darf nicht erwähnt werden, dass die Mitarbeiterin an Grippe erkrankt ist. Alternativ: Mitarbeiterin XY ist für Zeitraum XY nicht verfügbar. Die Information, „warum jemand nicht da ist“ darf nur der Personalabteilung zugänglich sein.
  • Kontodaten der Mitglieder

Verarbeitung

ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten

Beispiele

Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung oder Löschung.

Offenlegung

Die Daten einer Person werden willentlich oder versehentlich nicht berechtigten Personen mitgeteilt bzw. sind durch diese einsehbar.

Beispiele

  • Ein Dokument mit personenbezogenen im Café liegen haben: Daten werden für die Umstehenden offengelegt.
  • Versehentlich falscher Adressat beim Versand einer E-Mail

Organisation

Eine juristische Person, Einrichtung, Behörde oder andere Stelle.

Beispiele

Vereine, Stiftungen, Unternehmen, Polizei, Finanzamt.

Drittland

Länder außerhalb der EU.

Rechtliche Verantwortung

Die rechtliche Verantwortung für die Verarbeitung personenbezogener Daten liegt bei den Menschen oder Organisationen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden:

Gesetzliche:r Vertreter:in

Für Handlungen, die im Rahmen von Weisungen durch deine Vorgesetzt:innen ausgeführt werden, ist der:die gesetzliche Vertreter:in des Netzwerk Solidarische Landwirtschaft e.V. verantwortlich. Diese:r vertritt rechtlich das Netzwerk Solidarische Landwirtschaft e.V. nach außen.

Mitarbeiter:innen

sind alle Arbeitnehmer:innen, einschließlich der ehrenamtlichen Mitarbeiter:innen, Freiwillige i.S.D. Jugend- oder des Bundesfreiwilligendienstgesetzes, Praktikant:innen, Bewerber:innen für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist.

Wenn Du als Mitarbeiter:in außerhalb der Weisung Deines:r Vorgesetzte:n Daten für eigene Zwecke verarbeitest, haftest Du eigenständig. D.h. du bist als Mitarbeiter:in auch persönlich verantwortlich für die Verarbeitung personenbezogener Daten. Auch wenn Du der Meinung bist, dass bestimmte personenbezogene Daten niemandem zuzuordnen sind, darfst Du diese deshalb trotzdem nicht bspw. an Dritte weitergeben oder gar veröffentlichen.

Auftragsdatenverarbeiter:innen

Auftragsdatenverarbeiter:innen sind Menschen oder Organisationen, denen Aufgaben übergeben werden, welche originär eigentlich durch das Netzwerk Solidarische Landwirtschaft e.V. übernommen werden müssten. Im Rahmen der Beauftragung werden personenbezogene Daten verarbeitet. Auftragsverarbeiter:innen sind weisungsgebunden, d.h. das Netzwerk Solidarische Landwirtschaft e.V. kann ihnen sagen, wie sie mit den personenbezogenen Daten umzugehen haben.

AV-Verarbeiter sind selbst auch gesetzlich in der Pflicht zum Schutz der Daten, müssen also Verantwortung übernehmen.

Beispiele

  • Ein externes Büro wird mit der Lohnbuchhaltung beauftragt. Dadurch werden die personenbezogenen Daten der Mitarbeiter:innen weitergegeben.
  • Webhosting: Der Hoster verarbeitet z.B. meist die Zugriffsdaten der Besucher:innen der Webseite und stellt die Infrastruktur bereit, über die bspw. E-Mail-Adressen erstellt werden können.

Dritte / Empfänger

sind Menschen oder Organisationen, die personenbezogene Daten des Netzwerk Solidarische Landwirtschaft e.V. in eigener Verantwortung verarbeiten. D.h. sie sind weder als Mitarbeiter:in tätig, noch als Auftragsdatenverarbeiter:in.

Insbesondere die Übertragung von Daten nicht EU Länder ist hier nicht unproblematisch, da diese Länder nicht die gleichen Anforderungen an den Datenschutz haben, wie die EU.

Beispiele

  • Wenn auf der Webseite Youtube-Videos eingebunden werden, gelangt Google (Inhaber von Youtube) an Daten der Webseitenbesucher:innen (bspw. IP-Adressen). Google kann jedoch nicht befohlen werden, wie sie mit diesen Daten umzugehen haben.Das Unternehmen mit Sitz in den USA unterliegt nicht dem europäischen Recht.
  • Bei einer Veranstaltung werden die Daten der Teilnehmer:innen an die Unterkunft weitergegeben
  • Finanzamt
  • Steuerberater

Grundsätzliche Pflichten

Wir haben folgende gesetzlich vorgeschriebene Pflichten im Umgang mit personenbezogenen Daten:

Pseudonymisierung

Pseudonymisierung bedeutet das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Identifizierung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Wenn pseudonymisierte Daten verwendet werden können, muss dies geschehen. Auch wenn durch die Pseudonymisierung für Außenstehende die dahinterliegende Person nicht mehr direkt erkennbar wird, ist es für berechtige Verwalter:innen in der Regel unkompliziert möglich, die dahinterstehende Person zu ermitteln. Daher handelt es sich auch bei pseudonymisierten Daten um personenbezogene Daten, welche ebenfalls geschützt werden müssen.

Beispiele

  • KFZ-Kennzeichen
  • alle Arten von Nummern, hinter denen eine Person steckt: Wohnungsnummer, Kontonummer etc.
  • Ausgedachte Nutzernamen in Online-Foren
  • E-Mailadresse, die nicht den Namen der betroffenen Person enthält: einhorn2000@web.de

Informationspflicht

Personen, deren Daten wir verarbeiten, informieren wir darüber, damit sie ihr Recht auf den Schutz der eigenen personenbezogenen Daten wahrnehmen können. An welcher Stelle und in welchem Umfang diese Information erfolgen muss, hängt vom Erlaubnis-Tatbestand ab. Siehe " Erlaubnis zur Verarbeitung".

Datenminimierung

Die Verarbeitung personenbezogener Daten müssen auf ein notwendiges Maß beschränkt sein. Alle nicht notwendigen Daten dürfen somit nicht verarbeitet werden.

Zweckbindung

Personenbezogene Daten dürfen nur zu dem jeweils bestimmt festgelegten Zweck verwendet werden. Eine Zweckänderung braucht eine eigene Erlaubnis/Rechtsgrundlage. Das bedeutet, dass z. B. Mitgliedsdaten, die bisher nur für die Mitgliederverwaltung verwendet wurden, nicht ohne weiteres für Werbung genutzt werden dürfen. Eine rein vorsorgliche Speicherung von Daten für eventuelle spätere Zwecke ist unzulässig.

Erlaubnis zur Verarbeitung

Wir als Organisation und Du als unser:e Mitarbeiter:in dürfen personenbezogene Daten nur dann verarbeiten, wenn es dafür die Erlaubnis in Form einer Rechtsgrundlage gibt. Die Datenschutzgesetzgebung ist insoweit besonders, da hierbei zunächst grundsätzlich ein Verbot herrscht, personenbezogene Daten zu verarbeiten. Ausnahmen bilden die via Gesetzgebung festgelegten Erlaubnis-Tatbestände. Im normalen Gesetzbereich ist zunächst alles erlaubt und Verbote grenzen dann ein.

Die Erlaubnis zur Verarbeitung muss einerseits das Netzwerk Solidarische Landwirtschaft e.V. als Organisation haben, andererseits aber auch Du persönlich im Rahmen der organisationsinternen Aufgabenverteilung. D.h. du darfst personenbezogenen Daten nur verarbeiten, wenn du hierfür die Weisung Deines:r Vorgesetzten hast.

Es gibt folgende Erlaubnis-Tatbestände, unter denen wir personenbezogene Daten verarbeiten dürfen:

Vertragsbeziehungen

Mit der betroffenen Person wird ein Vertrag geschlossen oder es werden vorvertraglicher Maßnahmen durchgeführt. Die Begriffe "Vertrag" und "vorvertraglichen Maßnahmen" sind nicht zu eng auszulegen und umfassen alle Arten von Vertragsbeziehungen.

Beispiele

  • Veranstaltungsanmeldungen (auch wenn die Veranstaltungen kostenfrei sind)
  • Mitgliedschaft in einem Verein, einer Genossenschaft etc.
  • Beschäftigungsverhältnis (angestellte, aber auch ehrenamtliche Mitarbeiter:innen)
  • Bewerbungen

Die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen darf nur dann erfolgen, wenn diese durch eine Anfrage der betroffenen Person ausgelöst worden ist. Ob die vorvertraglichen Maßnahmen letztlich zu einem erfolgreichen Abschluss geführt haben, ist für die Befugnis der Speicherung unerheblich.
Es dürfen nur diejenigen Daten verarbeitet werden, die für die Vertragszwecke und für die Erfüllung des Vertrags oder für die Durchführung der vorvertraglichen Maßnahmen erforderlich sind. Mit eingeschlossen sind aber auch diejenigen Daten, die für die Erfüllung von Nebenpflichten bzw. Nebenleistungen aus dem Vertrag erforderlich sind.

Informationspflicht

Über die Datenverarbeitung muss nicht an Ort und Stelle informiert werden, dies kann via Datenschutzerklärung geschehen.

Beispiele

  • Mietvertrag: Nebenpflicht ist hier die Regelung der Müllabfuhr
  • Beschäftigungsverhältnisse: Nebenpflicht ist hier die Meldung beim Finanzamt oder den Sozialversicherungsträgern.

Berechtigte Interessen des Verantwortlichen oder Dritter

Berechtigt ist zunächst jedes Interesse, das der Zweckerreichung oder dem Unternehmensmodell des Verantwortlichen dient und vom gesunden Rechtsempfinden gebilligt wird. Die Interessen der betroffenen Person, die den Schutz personenbezogener Daten erfordern, dürfen die berechtigten Interessen nicht überwiegen. Das heißt, der Schutz der Grundrechte, des informationellen Selbstbestimmungsrechts und der Privat-, Intim- und Vertraulichkeitssphäre muss gewährleistet sein. Auch der Schutz des wirtschaftlichen Rufs und der freien Lebensgestaltung gehört dazu. Dies gilt insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.

Es ist also eine Verhältnismäßigkeit der Interessenabwägung anzustellen: Nicht jede theoretisch denkbare Möglichkeit einer Interessenverletzung des Betroffenen führt zur Unzulässigkeit der Datenverarbeitung. Solange bei einer sorgfältigen Abwägung keine konkreten Hinweise erkennbar sind, die auf eine Möglichkeit der Verletzung des Persönlichkeitsrechts des Betroffenen hinweisen, ist die Verarbeitung zulässig. Dies ist jedoch mit Vorsicht zu genießen: Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person nicht mit einer Verarbeitung der eigenen Daten rechnen muss, können die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.

Informationspflicht

Über die Datenverarbeitung muss nicht an Ort und Stelle informiert werden, dies kann via Datenschutzerklärung geschehen.

Beispiele

  • Maßnahmen zur Betrugsbekämpfung
  • Fernzugriff auf Arbeitslaptops
  • Schwarze Liste für gekündigte Mitglieder
  • Eine Veranstaltung soll bzgl. einer Pandemie noch sicherer gemacht werden, als es der Gesetzgeber erfordert
  • Speichern von IP-Adressen, wenn erst dadurch der reibungslose Betrieb einer Webseite gewährleistet ist

Gesetzliche Pflicht

Der Verantwortliche erfüllt eine rechtliche Verpflichtung.

Beispiele

  • Speichern von Rechnungen für bspw. Finanzamt.
  • Speichern von Beschäftigtendaten wie Name, Religion, Abwesenheiten, Urlaub, Zeugnisse etc.

Einwilligung

Die betroffene Person hat freiwillig ihre Einwilligung gegeben. Eine Einwilligung ist immer dann einzuholen, wenn keine der anderen Arten von Erlaubnis-Tatbestände greifen.

Die Einwilligung muss aktiv durch die betroffene Person erfolgen. Du darfst also die Einwilligung nicht annehmen, nur weil die Person der Verarbeitung nicht widerspricht.
Die Einwilligung sollte protokolliert werden, um einen Beweis bei Beschwerden von Betroffenen zu haben.

Informationspflicht

Man muss an Ort und Stelle vor der Datenerhebung über folgendes informieren:

  • den Zweck der Verarbeitung (inkl. deren möglichen Auswirkungen)
  • die verantwortliche Stelle
  • den Umfang der verarbeiteten persönlichen Daten inklusive der Information, ob die Daten an Dritte weitergegeben werden
  • über das Widerrufsrecht der Einwilligung informiert.

Alle weiteren Informationen können via Datenschutzerklärung bereitgestellt werden.

Beispiele

  • Newsletteranmeldung: Auf einer Webseite ist ein Formular vorhanden, über das sich Interessent:innen anmelden können. Das Formular informiert die Webseitenbesucher:innen kurz darüber, für was sie ihre Einwilligung geben (Zweck der Verarbeitung, Löschung, Widerspruch sowie der Verweis auf die Rechte in der Datenschutzerklärung) und was die Auswirkung ist (eine automatische E-Mail pro Monat). Der:die Abonnent:in willigt in die Verarbeitung der eigenen E-Mailadresse ein, indem er:sie das Formular abschickt und sein:ihr Abonnement durch Klick auf einen Link in der Bestätigungsemail abschließt.

  • Kontaktdaten von Dritten: Du möchtest die Kontaktdaten einer Person A einer anderen Person B weiterleiten. Die betroffene Person A muss dafür vorab ihre Einwilligung geben oder gibt die eigenen Daten direkt an Person B.

  • Fotos von Mitarbeiter:innen der Organisation: Du möchtest das Foto einer angestellten Mitarbeiterin für die Webseite verwenden. Wenn die Zustimmung zur Veröffentlichung solcher Daten nicht bereits im Arbeitsvertrag schriftlich festgehalten wurde, musst du explizit die Einwilligung der Mitarbeiterin erfragen.

Rechte der betroffenen Personen

Betroffene Personen haben folgende Rechte:

Berichtigung

wenn Daten unrichtig oder nicht mehr aktuell sind.

Recht auf Auskunft

Einer der wichtigsten Aspekte des Persönlichkeitsrechts ist es, zu wissen, was andere über dich wissen. Wenn eine Organisation Daten über jemanden sammelt, muss sie daher fast immer der betroffene Person auf Anfrage über die Daten Auskunft geben, die die Organisation zu dieser Person erhoben hat. Das Auskunftsrecht ist ein spezielles Recht des Betroffenen: An andere Personen und Stellen dürfen wir normalerweise keine Auskünfte über die Person geben – das wäre eine Übermittlung, für die wir eine Erlaubnis bräuchten.

Beispiel

Jemand aus der Öffentlichkeit fragt an, welche eigenen personenbezogenenen Daten bei uns gespeichert werden. Diese Anfrage muss an die dafür zuständige Person zur Koordination weitergeleitet werden.

Recht auf Sperrung / Einschränkung der Verarbeitung

Als Sperrung wird die Kennzeichnung von personenbezogenen Daten bezeichnet, damit die personenbezogenen Daten nur noch für einen bestimmten Zweck verwendet werden.

Beispiele

  • Das Mitglied eines Vereins und gleichzeitige Empfänger:in des Newsletters sagt dem Verein, dass seine Daten nicht mehr für den Newsletter verwendet werden sollen, es aber Mitglied bleiben will. Seine Mailadresse wird somit nur noch für bspw. gesetzlich verpflichtende Informationen verwendet. Hierbei handelt es sich also nicht um Löschung, da der Datensatz an sich erhalten bleibt.
  • Ein ehemaliges Genossenschaftsmitglied sagt der Genossenschaft, dass die eigenen Daten nicht mehr für ein innerhalb der Genossenschaft laufendes Projekt verwendet werden sollen.

Recht auf Löschung

Betroffene Personen haben das Recht darauf, dass die eigenen Daten gelöscht werden, wenn dadurch kein gesetzliche Pflicht zur Aufbewahrung verletzt wird.

Recht auf Datenübertragbarkeit

Jede Person kann zudem von jeder Organisation eine Kopie der Daten verlangen, die die Organisation über ihn gespeichert hat. Dies bedeutet, dass alles, was Du beispielsweise zu einem Mitglied notierst, auch schriftlich zu diesem Mitglied gelangen kann. Achte deshalb darauf, dass du nur Angaben notierst, für die wir auch eine Erlaubnis zum Speichern haben.

Auf das Recht auf Datenübertragbarkeit ist hinzuweisen, wenn dieses Recht aufgrund von Art und Zweck der Verarbeitung zum Tragen kommen kann.

Beispiel

Die betroffene Person hat bei einem Unternehmen ein Profil und möchte zu einem anderen Anbieter. Sie hat nun das Recht, die Daten einer solchen Form zu bekommen, dass sie zum neuen Anbieter umziehen kann.

Widerrufsrecht

Wenn die Verarbeitung auf einer Einwilligung beruht – oder in bestimmten Fällen bei der Verarbeitung im Rahmen des berechtigten Interesses – darf die betroffene Person jederzeit ohne Angabe von Gründen der Verarbeitung widersprechen. Die bis dato aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Die Möglichkeit eines Widerrufs darf nicht an eine bestimmte Form (E-Mail) gebunden werden.

Beispiel

Jede betroffene Person kann uns jederzeit verbieten, ihre Daten für den Newsletter zu benutzen.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Verein seinen Sitz hat. Verlangt ist die Information über das Bestehen eines Beschwerderechts, nicht die Angabe der Kontaktdaten der Aufsichtsbehörde.

Löschung / Dauer der Speicherung

Personenbezogene Daten müssen gelöscht werden, wenn sie für die Erfüllung der Zwecke, für die sie erhoben worden sind, nicht mehr erforderlich sind und Aufbewahrungsfristen nicht bestehen bzw. abgelaufen sind. Zu den zu löschenden Daten gehören nicht nur die aktiven operativen Verarbeitungsverfahren, sondern auch sekundäre Datenbestände, Kopien, Backup-Daten wie bspw. auch Protokolldaten über die Nutzung von IT-Systemen. Bei vertraglichen Beziehungen ist immer die Verjährung der vertraglichen Ansprüche für die festzulegenden Löschfrist ausschlaggebend.

Beispiele

  • Ein Webinar ist beendet, die teilnehmende Person hat bezahlt.
  • Ein Mitglied tritt aus einem Verein aus.
  • Ein:e Newsletterabonnent:in trägt sich aus dem Newsletter aus.

Die Vernichtung/Löschung ist durch geeignete Nachweise, Vernichtungsbestätigungen bzw. Protokolle zu dokumentieren. Die Nachweise sind wie Geschäftsunterlagen (sechs Jahre) aufzubewahren.

Wenn die gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfrist abgelaufen ist, kann noch ein Aufbewahrungsinteresse bestehen, das eine weitere Speicherung der Daten rechtfertigt. Der:die Verantwortliche hat dann zu prüfen, ob derartige Gründe für eine weitere Speicherung der Daten bestehen. Wenn Gründe für eine weitere Speicherung der Daten bestehen, ist eine getrennte Speicherung der Daten oder eine Kennzeichnung und Einschränkung der Verarbeitung notwendig.

Beispiel

Die Daten sind noch für die Durchführung eines Rechtsstreits erforderlich.

Folgen von Verstößen

Verstöße gegen das Datenschutzrecht können für das Netzwerk Solidarische Landwirtschaft e.V. wie auch für dich persönlich rechtliche Folgen haben. Fast alle Verstöße gegen das Datenschutzrecht können mit einer Geldbuße bestraft werden. Zudem sind bestimmte Verstöße gegen das Datenschutzrecht Straftaten, die mit Gefängnis bestraft werden können. Jede betroffene Person kann zudem Schadensersatz für eine unzulässige Verarbeitung ihrer Daten verlangen, und zwar einschließlich Schmerzensgeld für die Persönlichkeitsrechtsverletzung.

Beispiele

  • Die Festplatte eines:r Mitarbeiter:in mit personenbezogenen Daten wird verkauft, anstatt sie zu zerstören oder vorab sicher zu löschen.

  • Du gibst ohne eine entsprechende Anweisung personenbezogene Daten weiter oder nutzt sie für deine eigenen Zwecke.

Frage daher lieber einmal zu viel als zu wenig. :)