Grundsatzerklärung
Special Olympics legt Wert auf Datenschutz und hält die geltenden Datenschutz- und Datensicherheitsgesetze ein. Mitarbeiterinnen und Mitarbeiter, Auftragnehmer und Ehrenamtliche von Special Olympics werden personenbezogene Informationen nur gemäß dieser Richtlinie erheben, nutzen und weitergeben.
Diese Richtlinie regelt die Aktivitäten des Dachverbandes Special Olympics, Inc. („SOI“), der Special Olympics Accredited Programs and Founding Committees („Verbände“) und der Special Olympics Games/Local Organizing Committees („LOCs“), der SO Europe Eurasia Foundation („SOEEF“) und der Special Olympics Asia Pacific, Ltd. („SOAP Ltd.“) (zusammen „Special Olympics“ oder „Special Olympics-Organisationen“). Jeder Special Olympics-Organisation ist es gestattet, zusätzliche Datenschutz- und Datensicherheitsrichtlinien und diesbezügliche Verfahren gemäß dieser Richtlinie sowie den Gesetzen ihres jeweiligen Landes festzulegen.
Die Richtlinie soll weltweit Anwendung finden. Besondere Bestimmungen, die nur für personenbezogene Informationen von betroffenen Personen gelten, die ihren Wohnsitz in der Europäischen Union, dem Europäischen Wirtschaftsraum oder in der Schweiz haben, sind in den untenstehenden Ziffern 13 bis 19 festgelegt.
Fragen? Wenden Sie sich an die Rechtsabteilung von SOI unter legal@specialolympics.org.
1. Erlaubte Nutzungen von personenbezogenen Informationen
„Personenbezogene Informationen“ sind sämtliche Informationen, die die teilnehmenden Personen, Mitarbeiterinnen und Mitarbeiter, Ehrenamtlichen, Fans, Spenderinnen und Spender sowie Besucherinnen und Besucher der Website von Special Olympics identifizieren oder in Verbindung mit anderen Informationen identifizieren können (zusammen die „betroffenen Personen“). Diese Richtlinie regelt die folgenden Kategorien und erlaubte Nutzungen der in diesem Abschnitt beschriebenen personenbezogenen Informationen. Sofern Special Olympics beabsichtigt, personenbezogene Informationen zu einem anderen Zweck zu verarbeiten als dem, für den sie erhoben wurden, wird Special Olympics den betroffenen Personen vor einer solchen Weiterverarbeitung diesen anderen Zweck sowie sämtliche weiteren relevanten Informationen mitteilen.
1.1 Kontaktinformationen werden verwendet, um die betroffenen Personen über die Special Olympics-Aktivitäten und unsere Mission zu informieren und um Spenden für Special Olympics zu bitten. Zu Kontaktinformationen gehören:
- Name
- Anschrift
- Telefonnummer
- E-Mail-Adresse
Daten des Eltern oder des Vormunds, sofern die betroffene Person minderjährig ist oder es sich um einen Erwachsenen mit einem gesetzlichen Vormund handelt
1.2 Anmeldedaten für internationale Veranstaltungen werden genutzt, um die Weltspiele und andere Veranstaltungen zu organisieren und die Sicherheit aller teilnehmenden Personen zu gewährleisten. Zu diesen Daten gehören:
- Name
- Demographische Informationen
- Notfallkontakte
- Reiseinformationen
- Daten des Arztes
- Gesundheitsinformationen in Anmeldeformularen von ehrenamtlichen und Unified Partnern
- Arbeitsplatz oder organisatorische Zugehörigkeiten
- Angaben zum Reisepass
Informationen zum Background-Check
1.3 Nationale und lokale Anmeldedaten werden genutzt, um lokale und nationale Aktivitäten zu organisieren und die Sicherheit aller teilnehmenden Personen zu gewährleisten. Zu diesen Daten gehören:
- Name
- Demographische Informationen
- Notfallkontakte
- Daten des Arztes
- Gesundheitsinformationen in Anmeldeformularen von ehrenamtlichen und Unified Partnern
- Arbeitsplatz oder organisatorische Zugehörigkeiten
- Identifikationsnummer
Informationen zum Background-Check
1.4 Teilnahmedaten werden genutzt, um die Special Olympics-Aktivitäten zu betreiben, für Special Olympics zu werben, Spenden zu erbitten, Sponsoren und Partner von Special Olympics zu erfassen und die Geschichte von Special Olympics zu pflegen. Zu den Teilnahmedaten gehören:
- Name
- Alter
- Geschlecht
- Wettbewerbergebnisse
- Teilnahmehistorie
- Bild- und Videomaterial
Biographische Informationen
1.5 Gesundheits- und Forschungsdaten werden genutzt, um den gesundheitlichen Zustand zu prüfen und zu behandeln, um sicherzustellen, dass die teilnehmenden Personen die gesundheitlichen Teilnahmevoraussetzungen erfüllen und um Entwicklungen und Probleme zu adressieren, die im Zusammenhang mit der Gesundheit und der Inklusion von Menschen mit geistiger Behinderung stehen. Zu Gesundheits- und Forschungsdaten gehören:
- Name
- Daten aus dem Gesundheits-Screening
- Daten aus Befragungen
- Daten aus medizinischen Formularen vor der Teilnahme
Fitnessdaten
1.6 Spendenhistorie wird für die Buchhaltung und die Nachverfolgung von Spenden genutzt sowie dazu, sich bei den Spenderinnen und Spendern für ihre Geschenke zu bedanken. Zur Spendenhistorie gehört:
- Name
- Datumsangaben der Spenden
- Spendenbeträge
Zahlungsmethode
1.7 Durch von Special Olympics bereit gestellte Online-Foren und ähnliche Online-Tools können betroffene Personen Informationen über sich öffentlich offenlegen.
1.8 Mitarbeiterdaten werden zur Ausübung von anstellungsbezogenen Aktivitäten und Mitteilungen genutzt, unter anderem für Aktivitäten in Bezug auf die Arbeitspflichten, Verwaltung der Lohnabrechnung und andere Leistungen, Leistungsbeurteilungen und Personalmaßnahmen. Zu den Mitarbeiterdaten gehören:
- Name
- Kontaktinformationen
- Informationen betreffend Lohn, Leistungen und Steuern
- Bankinformationen
Berufliche Historie und biographische Informationen
1.9 Maßnahmen. Special Olympics kann personenbezogene Informationen auch für den Computerbetrieb, die Qualitätssicherung, das Testen und andere Maßnahmen verwenden, die für die oben genannten Zwecke erforderlich sind.
Special Olympics nutzt personenbezogene Informationen nur, um öffentlich für sich zu werben, Spenden zu erbitten, Sponsoren und Partner von Special Olympics zu erfassen und nur gemäß der schriftlichen Einverständniserklärung der betroffenen Personen.
Sofern Special Olympics beabsichtigt, personenbezogene Informationen weitergehend zu einem anderen Zweck weiter zu verarbeiten als den für den sie erhoben wurden, wird Special Olympics den betroffenen Personen vor einer solchen Weiterverarbeitung diesen anderen Zweck sowie sämtliche weiteren relevanten Informationen mitteilen.
2. Weitergabe von personenbezogenen Informationen
Personenbezogene Informationen dürfen nur gemäß dieser Richtlinie weitergegeben werden.
2.1 Special Olympics-Organisationen. Personenbezogene Informationen können zwischen SOI, den entsprechenden Verbänden, den LOCs, der SOEEF und SOAP Ltd., einschließlich deren betreffenden Beschäftigten und Ehrenamtlichen weitergegeben werden wie dies jeweils zur Ausübung der erlaubten Nutzungen in Bezug auf die betroffene Person erforderlich ist.
2.2 Betroffene Personen. Die personenbezogenen Informationen einer betroffenen Person dürfen nur der betroffene Person selbst oder ihrem bevollmächtigten Vormund oder Vertreter weitergegeben werden.
2.3 Zahlungsabwicklung. Special Olympics nimmt die Dienste Dritter in Anspruch, um Kreditkarten-, Bank-, Zahlungs- und Informationsverarbeitungsdienstleistungen zur Verfügung zu stellen. Diese Dienstleister sind nur befugt, personenbezogene Informationen zu nutzen, soweit dies jeweils erforderlich ist, um die jeweiligen Dienstleistungen in unserem Auftrag auszuführen oder um die gesetzlichen Bestimmungen einzuhalten.
2.4 Auftragnehmer. Zur Unterstützung der eigenen Tätigkeiten arbeitet Special Olympics mit Vertretern und Auftragnehmern zusammen. Special Olympics-Organisationen sollen vertraglich ausreichend dahingehend abgesichert sein, dass Auftragnehmer und Datenverarbeiter mit Zugriff auf personenbezogene Informationen diese Informationen angemessen schützen. Jeder Auftragnehmer oder Datenverarbeiter hat eine Vereinbarung zu unterzeichnen, in der die Bestimmungen gemäß Anlage A aufgeführt sind.
2.5 Medizinischer Notfall. Special Olympics kann personenbezogene Informationen im Notfall an medizinische Fachkräfte weitergeben.
2.6 Dritte Forschungseinrichtungen. Special Olympics kann personenbezogene Informationen vertraulich an wissenschaftliche Einrichtungen wie zum Beispiel Universitäten oder Gesundheitsbehörden weitergeben, die an geistigen Behinderungen und der Relevanz der Special Olympics-Aktivitäten forschen. Diese Art der Weitergabe kann nur mit schriftlicher Zustimmung der betroffenen Person erfolgen. Informationen dürfen nur in aggregierter Form, ohne dass dabei die einzelne betroffene Person identifiziert werden kann, veröffentlicht werden.
2.7 Unterstützung bei Visumsangelegenheiten. Special Olympics kann personenbezogene Informationen an Regierungsbehörden weitergeben, um betroffene Personen bei der Beschaffung von Visa, die für internationale Reisen zu Special Olympics-Veranstaltungen erforderlich sind, zu unterstützen.
2.8 Erforderlichkeit. Special Olympics kann personenbezogene Informationen weitergeben sofern dies jeweils zum Schutz der wesentlichen Interessen der betroffenen Person, der wesentlichen Interessen einer anderen Person, der öffentlichen Sicherheit oder zur Beantwortung von Regierungsanfragen und gemäß den geltenden Gesetzen erforderlich ist.
2.9 Austausch von Spenderlisten. Der Verleih oder der Austausch von Spendernamen und Kontaktinformationen an bzw. mit Organisationen, die nicht zu Special Olympics gehören, ist nur gemäß der Listenverwaltungsrichtlinie und - verfahren von SOI erlaubt und derzeit auf die USA beschränkt.
Sofern Special Olympics beabsichtigt, personenbezogene Informationen zu einem anderen als dem oben beschriebenen Zweck weiterzugeben, wird Special Olympics die betroffene Person vor einer solchen Weitergabe informieren und, sofern erforderlich, die schriftliche Zustimmung der betroffenen Person einholen.
3. Datenschutzregelungen
Im Zuge der Registrierung bei Special Olympics wird Special Olympics die betroffenen Personen über seine Regelungen zum Datenschutz informieren, Informationen auf einer Special Olympics-Website zur Verfügung stellen oder Special Olympics anderweitig personenbezogene Informationen bereit stellen. Sofern gesetzlich erforderlich werden Special Olympics-Websites die Websitebesucherinnen und -besucher über sämtliche auf der Website genutzten Cookies informieren und, sofern erforderlich, deren Zustimmung einholen. Die derzeit geltenden Datenschutzregelungen werden auf der Special Olympics-Website zur Verfügung gestellt.
4. Rechte der betroffenen Personen
Jede betroffene Person (bzw. der berechtigte Vormund oder Vertreter) hat das Recht, Zugriff auf seine/ihre personenbezogenen Daten anzufordern oder diese berichtigen und löschen zu lassen oder die Verarbeitung einzuschränken oder der Verarbeitung zu widersprechen. Jede betroffene Person mit Wohnsitz in der EU hat ein Recht auf Datenübertragbarkeit. Solchen Anfragen wird entsprechend den anwendbaren Gesetzen nachgekommen. [Zum Beispiel werden gemäß Artikel 12 der DSGVO Maßnahmen infolge derartiger Anfragen „unverzüglich und jedenfalls innerhalb eines Monats ab Empfang der Anfrage“ ergriffen.] Jede betroffene Person hat außerdem das Recht, sofern erforderlich, Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Wenn die Zustimmung der betroffenen Person die rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten ist, hat die betroffene Person das Recht, die Zustimmung jederzeit mit Wirkung für die Zukunft zu widerrufen.
5. Grundsätze für die Datenverarbeitung
Für die Verarbeitung personenbezogener Daten bekennt sich Special Olympics zu den folgenden Grundsätzen, es sei denn ergänzende Richtlinien oder anwendbare Gesetze oder Verordnungen schreiben etwas anderes vor.
5.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Die Verarbeitung personenbezogener Daten muss in Bezug auf die betroffene Person rechtmäßig, fair und transparent sein.
5.2 Zweckbindung. Personenbezogene Informationen dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
5.3 Datenminimierung. Personenbezogene Informationen müssen angemessen, relevant und in Bezug auf die Verarbeitungszwecke auf das Notwendigste beschränkt sein.
5.4 Richtigkeit. Personenbezogene Informationen müssen richtig und, falls erforderlich, aktualisiert werden, wie dies jeweils für die Verarbeitungszwecke angemessen ist. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Informationen, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
5.5 Speicherbegrenzung. Personenbezogene Informationen sind in einer Form zu speichern, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie dies für die erlaubten Zwecke erforderlich ist.
5.6 Integrität und Vertraulichkeit. Personenbezogenen Informationen sind derart zu verarbeiten, dass ein angemessenes Schutzniveau der personenbezogenen Informationen gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust oder unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.
5.7 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Technische und organisatorische Maßnahmen sind so zu gestalten, dass die Datenschutzgrundsätze umgesetzt werden können und um sicherzustellen, dass durch entsprechende Voreinstellungen nur personenbezogene Informationen verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind.
6. Schutzmaßnahmen
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen wird Special Olympics geeignete technische und organisatorische Maßnahmen treffen und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Insbesondere wird Special Olympics angemessene Maßnahmen treffen und aufrechterhalten, um personenbezogene Informationen, die weitergegeben, gespeichert oder anderweitig verarbeitet werden, vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Änderung, unberechtigter Offenlegung oder unberechtigtem Zugriff zu schützen. Special Olympics muss auch zeigen können, wie die Datenverarbeitung gemäß den geltenden Gesetzen, einschließlich der DSGVO, genau umgesetzt wird. Die folgenden Maßnahmen sollten jeweils in Einklang mit den oben genannten Grundsätzen berücksichtigt und umgesetzt werden:
6.1 Zugangskontrolle im Büro wie zum Beispiel durch Schloss und Schlüssel, Magnetstreifenkarten und den Aufbau eines Sicherheitssystems für das Gebäude, sodass nur befugte Personen die Räumlichkeiten betreten können;
6.2 Schutzmaßnahmen für Papier einschließlich (i) sichere Verwahrung von schriftlichen oder ausgedruckten personenbezogenen Informationen zum Schutz vor einer Weitergabe an Personen, die mit der Nutzung dieser Informationen in keinem Bezug stehen und (ii) Schreddern, wenn die Nutzung der ausgedruckten Dokumente abgeschlossen ist;
6.3 Digitale Aufbewahrung nur in Datensystemen, die von der Verwaltung jeder Special Olympics-Organisation für die in diesem System gespeicherten personenbezogenen Informationen genehmigt wurden [Jede Special Olympic-Organisation sollte die Sicherheit ihres E-Mail-Systems prüfen, um festzustellen, ob die Übermittlung personenbezogener Informationen per E-Mail mit Blick auf die in diesem Abschnitt beschriebenen Grundsätze gestattet werden sollte.];
6.4 Persönliche Anmeldedaten um auf die personenbezogenen Informationen mit Passwörtern zuzugreifen, die gemäß den Branchenstandards ausreichend lang und aus unterschiedlichen Zeichen zusammensetzen (z.B. Zahlen, Großbuchstaben, Kleinbuchstaben, Sonderzeichen);
6.5 Automatische Sperrung von Computern und Geräten, auf denen sich personenbezogene Informationen befinden, wenn diese eine kurze Zeit nicht genutzt werden;
6.6 Sicherung von unbeaufsichtigten Computern und Geräten durch abgeschlossene Haustüren zuhause oder einem abgeschlossenen Kofferraum bei Reisen mit dem Auto;
6.7 Überwachung, Protokollierung und Prüfung der Computer, Geräte und Systeme, die personenbezogene Informationen enthalten;
6.8 Schutz gegen Malware auf Computersystemen, einschließlich der regelmäßigen und sofortigen Aktualisierung von Antivirus-, Betriebssystem- und Anwendungs-Software zur Aufrechterhaltung aktueller Sicherheitsfunktionen;
6.9 Sofortige Zugangssperre nach der Kündigung einer Mitarbeiterin/eines Mitarbeiters, einer Auftragnehmerin/eines Auftragnehmers oder von Ehrenamtlichen mit Zugang zu personenbezogenen Informationen, einschließlich Rückgabe der Schlüssel für Räumlichkeiten, Rückgabe der Computerausstattung und Sperrung des Zugangs zu Datensystemen durch die Änderung oder Löschung der Anmeldedaten;
6.10 Angemessene Entsorgung der Geräte und Medien, einschließlich Löschen der personenbezogenen Informationen oder sonstigen vertraulichen Informationen vor der Entsorgung oder Wiederverwendung;
6.11 Sperrung und Löschung per Remote-Zugriff auf Computern und Geräten, auf denen personenbezogene Informationen gespeichert sind, zum Schutz der Daten im Verlustfall oder bei Diebstahl;
6.12 Pseudonymisierung und Verschlüsselung zur Begrenzung des Risikos einer unbefugten Weitergabe der personenbezogenen Informationen;
6.13 Backup-Systeme um die Möglichkeit der zeitnahen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Informationen im Falle eines physischen oder technischen Zwischenfalls sicherzustellen;
6.14 Firewalls zum Schutz vor Netzwerkangriffen, die so konfiguriert sind, dass sie die Special Olympics-Richtlinien durchsetzen, wie zum Beispiel das Sperren von verbotenen Websites; und
6.15 Kabellose Netzwerke, die gemäß den Branchenstandards für kabellose Sicherheit konfiguriert sind.
Technische Voraussetzungen für Schutzmaßnahmen sollten zu den Kriterien in Bezug auf die dauerhafte Nutzung und/oder Beschaffung etwaiger neuer Computer-Hardware und -Software gehören.
7. Folgenabschätzung
Sofern anzunehmen ist, dass eine Art der Verarbeitung von personenbezogenen Informationen, insbesondere die Nutzung neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen (unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung) birgt, wird Special Olympics eine Folgenabschätzung hinsichtlich der Verarbeitungstätigkeiten in Bezug auf den Schutz personenbezogener Informationen durchführen. Special Olympics sollte diese Abschätzung vor dem Beginn der geplanten Datenverarbeitung durchführen.
8. Datenschutzbeauftragte/-r
Die/Der CEO von SOI hat eine/n weltweiten Datenschutzbeauftragte/n (Global Data Privacy Coordinator) zu ernennen, die/der im Auftrag für SOI für die Überwachung der laufenden Aktivitäten in Bezug auf die Entwicklung, Umsetzung, Aufrechterhaltung und Einhaltung der Richtlinien und Verfahren zum Datenschutz verantwortlich ist. Ebenso hat die/der CEO oder National Director jeder Special Olympics-Organisation einen jeweils einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte für die jeweilige Organisation zu ernennen, die/der für die Umsetzung des Datenschutzes für diese Organisation verantwortlich ist. Zu den Pflichten von Datenschutz-Koordinatoren und -Koordinatorinnen gehören:
- Beratung und Unterstützung bei der Umsetzung der Datenschutzrichtlinien und -verfahren in Abstimmung mit dem Management und der Rechtsabteilung;
Durchführung von regelmäßigen Risikobewertungen zum Datenschutz und zur Datensicherheit und damit verbundene laufende Kontrollaktivitäten in Bezug auf die Einhaltung in Abstimmung mit den zuständigen Abteilungen der jeweiligen Organisation;
Sicherstellung, dass die Organisation über angemessene Datenschutz- und Vertraulichkeitsrichtlinien, Datenschutzerklärungen sowie Zustimmungsformulare verfügt, die die aktuellen Verfahren und Anforderungen von Special Olympics widerspiegeln;
Sicherstellung eines Angebots von Datenschutz-Schulungen und Orientierungshilfen für Mitarbeiterinnen und Mitarbeiter sowie Ehrenamtliche mit Zugriff auf personenbezogene Informationen;
Untersuchung und Bearbeitung von Vorfällen betreffend den Datenschutz, die Datensicherheit und/oder Verstöße gegen die Richtlinien;
Kooperative Zusammenarbeit mit den zuständigen Abteilungen der jeweiligen Organisation in Bezug auf die Überwachung der Rechte der betroffenen Personen, ihre personenbezogenen Informationen einzusehen, zu ändern und den Zugriff darauf beschränken zu lassen.
Erhaltung des Wissens auf aktuellem Stand in Bezug auf geltende Gesetze und Beobachtung der Fortschritte im Bereich der Datenschutztechnologien für eine angemessene Anpassung und Einhaltung.
- Einbezug professioneller Unterstützung im für die Erfüllung der oben beschriebenen Pflichten erforderlichen Maße.
9. Verletzungen und Sicherheitsvorfälle
9.1 Anzeigepflicht. Mitarbeiterinnen und Mitarbeiter, denen ein Sicherheitsverstoß zur Kenntnis gelangt, welcher zu einer versehentlichen oder unrechtmäßigen Zerstörung, Änderung, unerlaubten Weitergabe oder zu einem unerlaubten Zugriff auf die personenbezogenen Informationen führt, haben diesen Vorfall unverzüglich an ihre/n Vorgesetzte/n oder Datenschutzbeauftragte/n der jeweiligen organisation zu melden. Vorgesetzte, denen von möglichen Verstößen bzw. Sicherheitsvorfällen berichtet wird, müssen dies unverzüglich der/dem Datenschutzbeauftragten melden.
9.2 Reaktion auf Vorfälle. Im Falle einer Kenntnisnahme eines möglichen Sicherheitsverstoßes oder einer möglichen Verletzung dieser Richtlinie oder geltender Datenschutzgesetze, hat die/der Datenschutzbeauftragte auf Grundlage der Umstände gemäß den Richtlinien und Leitfäden für Vorfallsreaktionen von SOI und stets entsprechend den Anweisungen der Rechtsabteilung von SOI angemessen zu reagieren. Diese Reaktion kann wie folgt aussehen, ist aber nicht unbedingt beschränkt auf:
- Benachrichtigung der Geschäftsleitung, sofern angemessen;
- Benachrichtigung der betroffenen Einzelpersonen, Organisationen und/oder Regierungsbeamten wie jeweils in den anwendbaren Regelungen, Gesetze, Vorschriften und Vertragspflichten vorgeschrieben;
- gegebenenfalls Umschulung und/oder Disziplinarmaßnahmen für die verantwortliche Mitarbeiterin oder den verantwortlichen Mitarbeiter, sofern der Vorfall zu einer Verletzung dieser Richtlinie geführt hat; und/oder
- eine nach dem Vorfall vom/von der Datenschutzbeauftragten und der Rechtsabteilung durchgeführte Analyse zur Aufnahme aus dem Vorfall gewonnener Erkenntnisse in die Richtlinien und Leitfäden für Vorfallsreaktionen von SOI, zur Bewertung der Special Olympics-Sicherheitsmaßnahmen und zur Aussprache von Empfehlungen von als angemessen erachteten Änderungen gegenüber dem Management.
10. Datenschutz- und Datensicherheitsschulung
Mitarbeiterinnen und Mitarbeiter sowie Ehrenamtliche erhalten Datenschutz- und Datensicherheitsschulungen bzw. an ihre Positionen und Verantwortlichkeiten angepasste Beratung. Die/der Datenschutzbeauftragte hat bei einer wesentlichen Änderung dieser Richtlinie ein entsprechendes Schulungsangebot dazu zu gewährleisten.
11. Notfallplanung
Special Olympics-Organisationen haben Notfallpläne für die Vorbereitung auf Systemausfälle zu entwickeln und Leitfäden zur Aufrechterhaltung des kritischen Betriebs im Falle eines Systemausfalls vorzubereiten.
12. Regelmäßige Prüfung
Die/Der Datenschutzbeauftragte hat die Datenschutz- und Datensicherheitsregelungen der Organisation regelmäßig zu prüfen. Die Art der Bewertung kann unterschiedlich sein und unter anderem Folgendes beinhalten: Scannen auf Schwachstellen und Behebung, Überprüfung der Firewall, Penetrationstests, Übungen/Tests mit sozialer Manipulation (social engineering), IT-Assetprüfungen, Prüfungen von Richtlinien und Leitfäden auf deren Einhaltung anwendbarer Regulierungen, und/oder Prüfungen der Einhaltung von Richtlinien und Leitfäden.
FÜR PERSONENBEZOGENE INFORMATIONEN BETROFFENER PERSONEN MIT WOHNSITZ IN DER EUROPÄISCHEN UNION, DEM EUROPÄISCHEN WIRTSCHAFTSRAUM UND IN DER SCHWEIZ GELTENDE BESTIMMUNGEN:
13. Anwendungsbereich der besonderen Bestimmungen
Die Bestimmungen in Ziffern 13 bis 19 beziehen sich auf zusätzliche Vorgaben der Datenschutz-Grundverordnung („DSGVO“), sowie der Datenschutz-Grundverordnung des Vereinigten Königreichs („UK-DSGVO“, beide zusammen auch „DSGVO“), da sich diese auf personenbezogene Informationen von betroffenen Personen mit Wohnsitz in der Europäischen Union („EU“) beziehen, sowie auf ähnliche Vorgaben der Gesetze der Schweiz. Zum Wirksamkeitsdatum dieser Richtlinie:
13.1 sind EU-Mitgliedsstaaten: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Republik Zypern, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn; und
13.2 sowie Staaten des EWR: sämtliche EU-Mitgliedsstaaten sowie außerdem Island, Liechtenstein und Norwegen.
14. Definitionen
Für Zwecke der DSGVO tragen in der Richtlinie verwendete Begriffe dieselbe Bedeutung wie in der DSGVO. „Personenbezogene Informationen“, wie in dieser Richtlinie definiert, trägt dieselbe Bedeutung wie „Personenbezogene Daten“ gemäß der Definition in der DSGVO: „Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person („betroffene Person“); als identifizierbar gilt eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Identifikationsnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ DSGVO, Artikel 4, Abs. (1).
15. Verantwortlicher
Für die Zwecke der DSGVO sind die nationalen Verbände von Special Olympics die Verantwortlichen für Daten, die von Personen erhoben werden, die in den jeweiligen Ländern wohnhaft sind. SOI ist ebenfalls Verantwortlicher für an das SOI weitergegebene Informationen. Für Informationen, die für die Weltspiele und andere internationale Veranstaltungen übermittelt werden, sind ebenfalls die jeweiligen LOCs verantwortlich.
16. Aufzeichnung der Datenverarbeitung
Jede Special Olympics-Organisation, die personenbezogene Informationen von betroffenen Personen mit Wohnsitz in der EU, dem EWR oder der Schweiz verarbeitet, führt Aufzeichnungen über diese Datenverarbeitungsaktivitäten.
17. Speicherung Personenbezogener Informationen
Die DSGVO gibt vor, dass personenbezogene Informationen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. DSGVO, Artikel 5, Abs. 1(e). Datenkategorien werden oben in Ziffer 1 beschrieben. Es gelten die folgenden Speicherfristen:
17.1 Kontaktinformationen werden so lange gespeichert, wie die Beziehung zwischen Special Olympics und der betroffenen Person andauert.
17.2 Anmeldedaten für internationale Veranstaltungen werden bis zu sechs Monate nach der Veranstaltung gespeichert. Als Ausnahme gelten Daten, die im Rahmen einer Testveranstaltung in Vorbereitung für ein späteres Ereignis erhoben wurden. Diese werden für bis zu sechs Monate nach der tatsächlichen Veranstaltung gespeichert (d.h. Testdaten für die Anmeldung bei Spielen werden bis zu sechs Monate nach den entsprechenden Weltspielen aufbewahrt).
17.3 Nationale und lokale Anmeldedaten werden bis zu fünf Jahre ab dem Zeitpunkt gespeichert, ab dem die betroffenen Person ihre Teilnahme bei Special Olympics beendet.
17.4 Teilnahmedaten werden so lange gespeichert bis die betroffene Person um eine Löschung ihrer Informationen bittet.
17.5 Gesundheits- und Forschungsdaten werden so lange gespeichert, wie die Beziehung zwischen Special Olympics und der betroffenen Person andauert.
17.6 Die Spendenhistorie wird über einen Zeitraum gespeichert, der im Einklang mit den gesetzlich vorgeschriebenen Speicherfristen für Rechnungsunterlagen ist.
17.7 Mitarbeiterdaten werden über einen Zeitraum gespeichert, der im Einklang mit den gesetzlich vorgeschriebenen Speicherfristen für Personalunterlagen ist.
18. Rechtliche Grundlage für die Verarbeitung personenbezogener Informationen
Special Olympics verarbeitet personenbezogene Informationen ausschließlich zu rechtmäßigen Zwecken. Special Olympics nutzt personenbezogene Informationen jeweils auf der folgenden rechtlichen Grundlage:
18.1 Kontaktinformationen. Unsere rechtliche Grundlage für die Nutzung von Kontaktinformationen ist unser berechtigtes Interesse daran, mit den Mitgliedern der Special Olympics-Bewegung zu kommunizieren oder einen Vertrag zu erfüllen (z.B. die Anmeldung zu einer Veranstaltung oder einem Programm).
18.2 Daten für die Anmeldung zu internationalen Veranstaltungen. Unsere rechtliche Grundlage für die Nutzung von Daten für die Anmeldung zu internationalen Veranstaltungen ist unser berechtigtes Interesse an einem sicheren und effektiven Betrieb der Special Olympics-Veranstaltungen, die zentral für unsere Mission sind, die darin besteht, einen inklusiven Sportwettbewerb und weitere Aktivitäten für Menschen mit geistigen Behinderungen anzubieten oder unser berechtigtes Interesse daran, einen Vertrag zu erfüllen (z.B. die Anmeldung zu einer Veranstaltung oder einem Programm).
18.3 Nationale und lokale Anmeldedaten. Unsere rechtliche Grundlage für die Nutzung von nationalen und lokalen Anmeldedaten ist unser berechtigtes Interesse an einem sicheren und effektiven Betrieb der Special Olympics-Veranstaltungen, die zentral für unsere Mission sind, einen inklusiven Sportwettbewerb und weitere Aktivitäten für Menschen mit geistigen Behinderungen anzubieten oder unser berechtigtes Interesse daran, einen Vertrag zu erfüllen (z.B. die Anmeldung zu einer Veranstaltung oder einem Programm).
18.4 Teilnahmedaten. Unsere rechtliche Grundlage für die Nutzung von Teilnahmedaten ist unser berechtigtes Interesse daran, sportliche und gesundheitliche Aktivitäten und Veranstaltungen auf Weltklasse-Niveau anzubieten oder einen Vertrag zu erfüllen (z.B. die Anmeldung zu einer Veranstaltung oder einem Programm). Unsere rechtliche Grundlage für die Nutzung von personenbezogenen Informationen um öffentlich zu werben, Spenden zu erbitten, oder Sponsoren und Partner von Special Olympics zu erfassen, basiert auf der schriftlichen Einwilligung der betroffenen Personen, die bei der Anmeldung oder in einem separaten Formular übermittelt wird.
18.5 Gesundheits- und Forschungsdaten. Unsere rechtliche Grundlage für die Nutzung von Gesundheits- und Forschungsdaten ist die schriftliche Einwilligung der betroffenen Person im Rahmen einer Anmeldung oder über ein separates Formular, oder die Verarbeitung ist zum Schutz wesentlicher Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
18.6 Spendenhistorie. Unsere rechtliche Grundlage für die Speicherung und Verarbeitung der Spendenhistorie ist unser berechtigtes Interesse daran, für die Spendensammlung erforderliche Informationen, die unsere Mission unterstützen, zu nutzen und aufzubewahren, und unser Interesse an der Einhaltung von Rechnungsstandards bzw. an der für die Einhaltung von für Special Olympics geltenden gesetzlichen Verpflichtungen erforderlichen Verarbeitung.
18.7 Online-Foren. Unsere rechtliche Grundlage für die Erhebung von Informationen in Online-Foren und ähnlichen Online-Plattformen ist unser berechtigtes Interesse daran, im Hinblick auf die Aktivitäten und die Mission von Special Olympics Bewusstsein und Interesse zu schaffen.
18.8 Mitarbeiterdaten. Unsere rechtliche Grundlage für die Verarbeitung von Mitarbeiterdaten ist unser berechtigtes Interesse am Betrieb unserer Organisation oder an der Erfüllung eines Vertrags.
18.9 Reisepassdaten. Unsere rechtliche Grundlage ist Ihre Einwilligung (Art. 6 (1) (a) DSGVO), sofern der Upload freiwillig ist oder andernfalls (a) Ihr wesentliches Interesse (Art. 6 (1) (c) DSGVO), oder (b) die Verarbeitung ist für die Zwecke der berechtigten Interessen erforderlich (Art. 6 (1) (f) (a) DSGVO): Zusätzlich zur Bearbeitung von Visumsangelegenheiten mit den zuständigen Behörden, was an sich ein berechtigtes Interesse darstellt, nutzen wir Scans der Reisepässe unter bestimmten Umständen zu Risikomanagement-Zwecken, beispielsweise wenn ein Athlet oder eine Athletin vermisst wird oder ein Reisepass verloren wurde, bei medizinischen Notfällen oder in anderen Hochrisikosituationen, in der sich die den Scan heraufladende Person befinden könnte.
19. Internationale Datenübermittlung
Special Olympics hat Maßnahmen zur Einhaltung der gesetzlichen Vorgaben für die internationale Datenübermittlung getroffen. Special Olympics übermittelt möglicherweise von betroffenen Personen in EU-Mitgliedsstaaten erhobene Daten in Länder außerhalb der EU, beispielsweise an den Hauptsitz von SOI in den USA oder an ein LOC für Weltspiele, und zwar zu den in dieser Richtlinie beschriebenen Zwecken.
Internationale Datenübertragungen finden ausschließlich statt, sofern zu diesem Zwecke bestimmte Schutzmechanismen ein angemessenes Datenschutzniveau gewährleisten. In der Regel werden die folgenden Schutzmaßnahmen zu diesem Zweck getroffen:
- Angemessenheitsentscheidung der Europäischen Kommission: Empfänger in Andorra, Argentinien, Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und im Vereinigten Königreich (weitere Informationen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- Standardvertragsklauseln: sonstige Empfänger (weitere Informationen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en)
- Ausnahmen gemäß Artikel 49 DSGVO: sonstige Empfänger.
Zusätzliche Informationen zur internationalen Datenübermittlung oder Exemplare dieser Maßnahmen erhalten Sie in Gerichtstraße 51, 13347 Berlin, Telefon: +49 30 6293360-0 oder unter datenschutz@berlin2023.org.
20. Automatisierte Entscheidungsprozesse
Wir treffen keine automatisierten Entscheidungen und nehmen kein Profiling im Sinne des Art. 22 DSGVO vor.
21. Kontaktdaten der deutschen Datenschutzbeauftragten
Die Special Olympics World Games/das LOC in Deutschland haben eine/n Datenschutzbeauftragte/n ernannt, der bzw. die unter der folgenden Mail-Adresse zu erreichen ist: datenschutz@berlin2023.org.
22. Freiwillige oder verpflichtende Angabe von Daten
Sie müssen nur die personenbezogenen Informationen angeben, die für die Erfüllung der beschriebenen Zwecke und die Erfüllung der damit in Zusammenhang stehenden vertraglichen Pflichten erforderlich sind, oder deren Erhebung gesetzlich vorgeschrieben ist. Sollten Sie uns diese Daten nicht zur Verfügung stellen, sind wir in der Regel außerstande, Ihnen die Teilnahme an den Spielen zu ermöglichen.
23. Quellen Ihrer personenbezogenen Informationen
Personenbezogene Informationen werden hauptsächlich im Laufe des Anmeldeprozesses oder der Teilnahme direkt von der betroffenen Person erhoben.
In einigen Fällen werden die personenbezogenen Informationen nicht unmittelbar von der betroffenen Person erhoben. Dies betrifft Daten, die zulässigerweise aus öffentlich zugänglichen Quellen gewonnen werden (z.B. aus dem Internet) oder die rechtmäßig von anderen Special Olympics-Organisationen oder sonstigen Dritten zur Verfügung gestellt wurden.
Anlage A: Vertragsbedingungen für Auftragnehmer und Datenverarbeiter
Jeder Auftragnehmer oder Datenverarbeiter mit Zugriff auf personenbezogene Informationen hat eine Vereinbarung zu unterzeichnen, die Bestimmungen zum Schutz der personenbezogenen Informationen enthält.
Mit Auftragnehmern und Datenverarbeitern, die personenbezogene Informationen von betroffenen Personen mit Wohnsitz in der Europäischen Union, dem Europäischen Wirtschaftsraum oder der Schweiz erhalten oder verarbeiten, muss eine separate, mit Art. 28 DSGVO konforme Vereinbarung über die Verarbeitung von Daten abgeschlossen werden. Eine Vorlage für diese Vereinbarung über die Verarbeitung von Daten kann die Rechtsabteilung von SOI zur Verfügung stellen.
Mit Auftragnehmern und Datenverarbeitern, die keine personenbezogenen Informationen von betroffenen Personen mit Wohnsitz in der Europäischen Union, dem Europäischen Wirtschaftsraum oder der Schweiz erhalten oder verarbeiten, muss eine Vereinbarung die folgenden oder ähnliche Bestimmungen enthalten.
Die hieraus entstehende Vertragsbeziehung erfordert möglicherweise, dass der Auftragnehmer auf einzeln identifizierbare personenbezogene Informationen der teilnehmenden Personen, Mitarbeiterinnen und Mitarbeiter, Ehrenamtlichen, Fans, Spenderinnen und Spender, Besucherinnen und Besucher der Website von Special Olympics sowie von sonstigen mit Special Olympics in Verbindung stehenden Personen zugreift, die von Special Olympics, Inc., den Special Olympics Accredited Programs or Founding Committees, oder den Special Olympics Games/Local Organizing Committees gespeichert wurden („personenbezogene Informationen“). Der Auftragnehmer ist nur in dem für die Erfüllung der hieraus entstehenden Vertragspflichten erforderlichen Maße berechtigt, auf personenbezogene Informationen zuzugreifen sowie diese zu nutzen und weiterzugeben. Im Hinblick auf den Zugriff, die Nutzung und die Weitergabe in Bezug auf personenbezogene Informationen, verpflichtet sich der Auftragnehmer wie folgt:
Der Auftragnehmer nutzt personenbezogene Informationen nur wie hierunter vertraglich oder auf sonstige Weise gesetzlich zulässig bzw. legt sie nur auf diese Weise offen; jegliche weitergehende Art der Nutzung und Offenlegung ist unzulässig.
Der Auftragnehmer nutzt angemessene physische, technische und administrative Schutzmechanismen zum Schutz der personenbezogenen Informationen und Einhaltung der Vorgaben geltender Datenschutz- und Datensicherheitsgesetze.
Der Auftragnehmer meldet Special Olympics jeglichen Sicherheitsvorfall sowie jegliche Nutzung oder Offenlegung, die dieser Vertrag nicht vorsieht.
Der Auftragnehmer kommt allen Anfragen von Special Olympics nach einer Offenlegung, Änderung oder Löschung einzelner Datensätze nach.
Der Auftragnehmer gibt die personenbezogenen Informationen in seinem Besitz nach Wahl von Special Olympics innerhalb von 30 Tagen nach der Vertragsbeendigung zurück oder zerstört diese ohne Papier- oder elektronische Kopien davon aufzubewahren.
Der Auftragnehmer sichert zu und gewährleistet, dass sämtliche seiner Mitarbeiterinnen und Mitarbeiter, Ehrenamtlichen, Unterauftragnehmer und Handelsvertreterinnen und -vertreter, deren Dienste gegebenenfalls für die Erfüllung der hieraus entstehenden Vertragspflichten in Anspruch genommen werden, angemessen über die Datenschutz- und Datensicherheitsbestimmungen dieses Vertrags unterrichtet wurden oder werden und gesetzlich zur vollständigen Einhaltung sämtlicher Bestimmungen dieses Vertrags verpflichtet sind.
Der Auftragnehmer nutzt personenbezogene Informationen erforderlicherweise oder legt diese für die ordnungsgemäße Verwaltung und Administration seines Betriebs offen, bzw. nutzt oder legt diese für die Erfüllung seiner rechtlichen Pflichten offen, sofern die Offenlegung gesetzlich vorgeschrieben ist.
Der Auftragnehmer wird sämtliche Special Olympics-Organisationen gegen Ansprüche Dritter und Durchsetzungsmaßnahmen von Regierungen, die aus einer Nichteinhaltung geltenden Rechts oder der Datenschutz- und Datensicherheitsbestimmungen dieses Vertrags durch den Auftragnehmer hervorgehen, verteidigen, freistellen und schadlos halten.
- Die jeweiligen Rechte und Pflichten gemäß den Datenschutz- und Datensicherheitsbestimmungen dieses Vertrags gelten über die Vertragsbeendigung hinaus.