English below
Information sheet on the declaration of commitment
The Federal Data Protection Act (BDSG) regulates the processing of personal data by public and non-public bodies, regardless of the form in which they are stored and whether they are stored in automated or non-automated processes.
Personal data is individual information about personal or factual circumstances of a certain or determinable person.
Data may only be collected if knowledge of it is necessary in order to be able to fulfil the respective concrete and current business purpose completely and within a reasonable time. A collection “on stock” is not permitted. With a few exceptions, data may only be collected directly from the persons concerned.
Personal data may only be stored, modified, transmitted or used for a specific purpose. They are bound to the lawful purpose for which they were collected. Any use must be permitted by law (cf. § 28 BDSG) or must be permissible on the basis of the corresponding consent of the person concerned.
Third parties to whom the data are permissibly transmitted may only use them for the specific purpose for which they were transmitted.
It must be ensured that employees or volunteers have access only to the data and data carriers they need to carry out their tasks.
Data that has become known in the professional or voluntary sector may not be used for private purposes.
Also, the transfer of data to other bodies within the organisation generally requires permission by law (§ 28 BDSG) or the consent of the persons concerned. Blocked data may not be passed on.
Data and data carriers (e.g. lists of members or lists of those seeking advice, files, recordings, CDs and DVDs described) must be stored in such a way that unauthorized persons cannot access them; if necessary, appropriate security measures must be taken.
Used passwords and passports must be kept secret. Regulations on the use of such passwords (length, frequency of change, avoidance of certain types of words, written deposit, etc.) must be observed.
Data carriers or EDP devices that are no longer required must be destroyed, deleted or disposed of in such a way that any unauthorised access to data is excluded. Until they are destroyed, deleted or disposed of, they must be stored in such a way that they are protected against unauthorised access.
The obligation to maintain data secrecy shall continue to apply after termination of membership or voluntary or full-time work for the Association.
Every person concerned has in principle the right to be informed about his or her data, its origin, the recipients to whom the data has been passed on and the purpose of storage (§ 34 BDSG).§ 5 BDSG – Data secrecy
The persons employed in data processing are prohibited from collecting, processing or using personal data without authorisation (data secrecy). Such persons, insofar as they are employed by non-public bodies, must be bound by data secrecy when they start work. The data secrecy shall continue to exist after termination of their employment.
§ Section 43 (2) BDSG – Fines
It is an administrative offence to deliberately or negligently
- unauthorisedly collects or processes personal data which are not generally accessible
- unauthorisedly holds personal data which are not generally accessible for retrieval by means of automated procedures,
- unauthorisedly accesses personal data which are not generally accessible, or obtains them or any other data from automated processing or non-automated files
- complicates the transmission of personal data which are not generally accessible by providing incorrect information,
- contrary to section 16 subsection (4), first sentence, section 28 subsection (5), first sentence, also in conjunction with section 29 subsection (4), first sentence
Declaration of commitment according to § 5 of the Federal Data Protection Act (BDSG) to maintain data secrecynisses
Due to your membership/assignment, we oblige you to maintain data secrecy in accordance with Section 5 BDSG. According to this regulation, you are prohibited from collecting, processing or using personal data without authorisation.
This obligation continues to apply even after termination of your membership/activity.
We would like to point out that violations of data secrecy can be punished with imprisonment or a fine in accordance with Sections 44, 43 (2) BDSG and other criminal provisions. A breach of data secrecy may also constitute a breach of confidentiality obligations under labour law or corresponding obligations under association law.
I have been informed about the obligation to maintain data secrecy and the resulting behaviour. I have taken note of the information sheet on the declaration of commitment (plus texts of §§ 5, 43 para. 2, 44 BDSG).
Merkblatt zur Verpflichtungserklärung
Das Bundesdatenschutzgesetz (BDSG) regelt die Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen, unabhängig davon, in welcher Form sie gespeichert sind und ob es sich um automatisierte oder nicht-automatisierte Verfahren handelt.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.
Daten dürfen nur erhoben werden, wenn ihre Kenntnis notwendig ist, um den jeweiligen konkreten und aktuellen Geschäftszweck vollständig und in angemessener Zeit erfüllen zu können. Eine Erhebung „auf Vorrat“ ist unzulässig. Bis auf wenige Ausnahmen dürfen Daten nur direkt bei Betroffenen erhoben werden.
Personenbezogene Daten dürfen nur zweckgebunden gespeichert, verändert, übermittelt oder genutzt werden. Gebunden sind sie an den rechtmäßigen Zweck, zu dem sie erhoben wurden. Eine Verwendung muss gesetzlich erlaubt (vgl. § 28 BDSG) oder aufgrund einer entsprechenden Einwilligung des Betroffenen zulässig sein.
Dritte, denen die Daten zulässigerweise übermittelt werden, dürfen diese nur für den konkreten Zweck verwenden, für den sie übermittelt wurden.
Es muss gewährleistet sein, dass Beschäftigten oder Ehrenamtlichen nur die Daten und Datenträger zugänglich sind, die sie zur Erledigung ihrer Aufgaben benötigen.
Im beruflichen oder ehrenamtlichen Bereich bekannt gewordene Daten dürfen nicht zu privaten Zwecken verwendet werden.
Auch eine Datenweitergabe an andere Stellen innerhalb der Organisation bedarf grundsätzlich der Zulassung durch das Gesetz (§ 28 BDSG) oder der Einwilligung der Betroffenen. Gesperrte Daten dürfen nicht weitergegeben werden.
Daten und Datenträger (z.B. Mitgliederlisten oder Verzeichnisse von Ratsuchenden, Akten, Aufzeichnungen, beschriebene CDs und DVDs) müssen so aufbewahrt werden, dass Unbefugte keinen Zugriff darauf haben; ggf. müssen entsprechende Sicherungsvorkehrungen eingerichtet werden.
Verwendete Pass- und Kennwörter sind geheim zu halten. Regelungen zum Einsatz solcher Pass- und Kennwörter (Länge, Häufigkeit des Wechsels, Vermeidung bestimmter Wortarten, schriftliche Hinterlegung etc.) sind zu beachten.
Nicht mehr benötigter Datenträger oder EDV-Geräte müssen in einer Weise vernichtet, gelöscht oder entsorgt werden, die jede unbefugte Kenntnisnahme von Daten ausschließt. Bis zu ihrer Vernichtung, Löschung oder Entsorgung müssen sie vor einem unbefugten Zugriff geschützt aufbewahrt werden.
Die Verpflichtung zur Wahrung des Datengeheimnisses besteht auch nach Beendigung der Mitgliedschaft bzw. ehren- oder hauptamtlichen Tätigkeit für den Verband fort.
Jede betroffene Person hat grundsätzlich das Recht auf Auskunft über ihre Daten, deren Herkunft, über Empfänger, an die Daten weitergegeben wurden, sowie über den Zweck der Speicherung (§ 34 BDSG).
§ 5 BDSG – Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nichtöffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 43 Abs. 2 BDSG – Bußgeldvorschriften
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt,
5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht,
5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt,
6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
§ 44 BDSG – Strafvorschriften
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.
Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG) zur Wahrung des Datengeheimnisses
Aufgrund Ihrer Mitgliedschaft/Aufgabenstellung verpflichten wir Sie auf die Wahrung des Datengeheimnisses gem. § 5 BDSG. Es ist Ihnen nach dieser Vorschrift untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen.
Diese Verpflichtung besteht auch nach Beendigung Ihrer Mitgliedschaft/Tätigkeit fort.
Wir weisen darauf hin, dass Verstöße gegen das Datengeheimnis nach §§ 44, 43 Abs. 2 BDSG sowie nach anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden können. In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeitsrechtlicher Schweigepflichten bzw. entsprechender vereins-rechtlicher Obliegenheitspflichten liegen.
Über die Verpflichtung auf das Datengeheimnis und die sich daraus ergebenden Verhaltensweisen wurde ich unterrichtet. Das Merkblatt zur Verpflichtungserklärung (zzgl. Texte der §§ 5, 43 Abs. 2, 44 BDSG) habe ich zur Kenntnis genommen.