Coronavirus

Die aktuelle Version der "Coronavirus-Basisschutzmaßnahmenverordnung" des Landes Hessen gilt seit dem 23. November 2022, zunächst bis zum 07. April 2023. Informationen hierzu, zum Verordnungstext und zu den Auslegungshinweisen unter: https://www.hessen.de/handeln/corona-in-hessen

Weiterführende Informationen zum Thema Corona: https://www.zusammengegencorona.de/“

^{- Stand: 02.12.2022 -}

Ab dem 1. Mai wird es nicht mehr möglich sein, andere Personen über die Corona-Warn-App zu warnen. Impfzertifikate bleiben jedoch in der App gespeichert.

Eine ausführliche und aktuelle FAQ findet sich unter https://www.coronawarn.app/de/faq/

Mitgliederversammlungen stellen die hessischen Sportvereine während der Corona-Pandemie vor eine besondere Herausforderung – insbesondere dann, wenn Beschlüsse gefasst oder Wahlen abgehalten werden müssen. Wir haben die wichtigsten Informationen für unsere Vereine zusammengestellt: 

• In welcher Form Versammlungen derzeit möglich sind, hängt von den jeweils geltenden gesetzlichen Regelungen ab. In unseren rechtlichen Fragen informieren wir, was das für Mitgliederversammlungen bedeutet.
• In unseren Newslettern vom 11.02.2021 und vom 07.10.2021 haben wir zudem folgende Themen aufgegriffen:
  - Verschiebung von Versammlungen
  - Durchführung als Online- oder Hybridversammlung
  - Beschlussfassung in schriftlicher Form ohne MV (erleichtertes Umlaufverfahren)
   
• Hilfreiche Hinweise und Tipps zur Umsetzung einer Online-Mitgliederversammlung haben wir ergänzend dazu zusammengestellt. Dabei geht es etwa um:
  - grundsätzliche Voraussetzungen
  - Video-Tools
  - Abstimmungs-Tools
  - Datenschutz bei Videokonferenzen

Rechtliche Fragen: Im Zusammenhang mit der Corona-Pandemie und deren Auswirkungen haben uns zahlreiche rechtliche Fragen erreicht, die Vereine und sonstige Sportorganisationen betreffen. Dr. Frank Weller, Vizepräsident Vereinsmanagement und Rechtsanwalt, hat die wichtigsten davon beantwortet. Seine Einschätzung können Sie hier nachlesen.

• Musiknutzung und GEMA: Viele Sportvereine und -verbände haben im Verlauf der Corona-Pandemie ihr digitales Angebot deutlich ausgeweitet: Gestreamte Fitnesskurse gehören genauso zum Angebot wie Online-Tutorials zur Laufschule oder Workout-Videos. Doch kann bei solchen Angebote Musik verwenden werden? Was ist dabei zu beachten? Wir haben die wichtigsten Informationen hier zusammengefasst.

Präventionssportkurse: zertifizierte Präventionssportkurse, die mit dem Siegel Deutscher Standard Prävention (ZPP) ausgezeichnet sind (Präsenzkurse), können seit 2020 auf digitalem Weg (Live-Stream) durchgeführt werden.Diese Corona-Sonderregelung wird letztmalig bis zum 31.12.2022 verlängert. Dies ist ausdrücklich eine Sonderregelung und gilt bis auf Widerruf. Details entnehmen Sie bitte diesem Schreiben .

Weitere Fragen zu zertifizierten Präventionsangeboten hat die Zentrale Prüfstelle Prävention ZPP in ihren "FAQ zur verbindlichen Anbieterinformation“  zusammengefasst.

Rückfragen? Sollten sie darüber hinaus weitere Fragen zu einem Präventionsangebot haben, welches über die Service-Plattform SPORT PRO GESUNDHEIT zertifiziert ist, dann wenden sie sich an die Zertifizierungsstelle (Landessportbund Hessen e.V.) 069 6789 423, gesundheitssport@remove-this.lsbh.de.

Die Info-Hotline der Kooperationsgemeinschaft gesetzlicher Krankenkassen zur Zertifizierung von Präventionskurse ist unter Telefon 0201 5 65 82 90 erreichbar.

Videokonferenzen und Onlinemeetings, Webinare und Messenger aus Sicht des Datenschutzes
Zum Schutz vor Infektion durch das Corona-Virus und einer möglichen Erkrankung durch COVID-19 arbeiten auch viele Beschäftigte des organsierten Sports im Home-Office. Für die Kommunikation untereinander, mit den Sportkreisen, den Fachverbänden und den Vereinen wird daher der Einsatz von Online-Diensten für Video-und Onlinekonferenzen, -meetings oder Webinaren sowie Messenger notwendig. Bei deren Nutzung müssen aber auch weiterhin die Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) eingehalten werden.

Mit VPN
Der einfachste Zugang vom Home-Office in das Netzwerk der Arbeitsstelle ist über ein virtuelles privates Netzwerk (VPN). Dabei wird eine gesicherte Verbindung (Kanal) durch das öffentliche Netzwerk des Internets vom heimischen Computer zum Netzwerk des Unternehmens eingerichtet. Dann kann man auf die gewohnten Verzeichnisstrukturen zugreifen und die E-Mail-Kommunikation abwickeln, als säße man am Arbeitsplatz. Auch die Sicherheit der Daten und regelmäßige Backups sind gewährleistet. Die weitere Kommunikation kann dann wie ebenso gewohnt telefonisch erfolgen.

Ohne VPN
Ohne VPN muss man für die Erledigung seiner Aufgaben auf verschiedene Online-Dienste zurückgreifen. Für alle Angebote muss gelten: Gleichwertige EU-Dienste sind Diensten aus Drittländern z.B. der USA vorzuziehen.

Wenn Sie Anbieter aus Drittländern einsetzen, müssen Sie sicherstellen, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO). Die EU-Kommission hat ein angemessenes Datenschutzniveau bereits für einige Länder (Schweiz, Neuseeland, Andorra, Argentinien, die Faröer-Inseln, Guernsey, Japan, Kanada und Israel (z.T.)) festgestellt. Für Unternehmen aus den USA, die über ein Privacy-Shield-Zertifikat verfügen, darf man dies annehmen, bedenklich ist es dennoch.

Dienste mit den datenschutzfreundlichsten Verfahrens-und Einstellungsmöglichkeiten sind auszuwählen, d.h.

• die Übertragungen sollten verschlüsselt erfolgen.
• die geschäftliche Nutzung sollte erlaubt sein (da datenschutzrechtliche Zusicherungen auf Geschäftskunden beschränkt sein können). Unter Umständen bieten auch nur bezahlte Versionen die  erforderlichen Datenschutzfunktionen.
• die Bildschirmübertragung oder Aufzeichnung sollte eine ausdrückliche Zustimmung voraussetzen. Gesprächsverläufe und Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
• es sollten keine Verhaltensprofile der Teilnehmer gebildet werden (Profiling) oder diese Funktion sollte abgeschaltet werden können.

Beteiligung Betriebsrat und Datenschutzbeauftragte
Datenschutzbeauftragte sollten schon bei der Auswahl des passenden Dienstes involviert werden. Dasselbe gilt, soweit vorhanden, für den Betriebsrat, da er dem Einsatz der Dienste am Ende zustimmen muss (§ 87 Abs. 1 Nr. 6 BetrVG). Die Zustimmung ist gesetzlich vorgeschrieben, da Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen, selbst wenn keine Überwachung geplant ist.

Abschluss eines Auftragsverarbeitungsvertrages
Anbieter von Video-und Onlinekonferenzdiensten sind grundsätzlich als Auftragsverarbeiter anzusehen, man muss Auftragsverarbeitungsverträge (AVV) nach Maßgabe des Art. 28 DSGVO abschließen. Die meisten Anbieter bieten derartige Vereinbarungen vorgefertigt auf ihren Internetauftritten an, teilweise findet man diese dort unter dem Stichpunkt SCC (Security Certificate Contract).

Bietet der Anbieter nur eine Plattform an, aber keine Kontrolle über die Daten Ihrer Kommunikationspartner (wie z. B. bei Discord oder Twitch), liegt keine Auftragsverarbeitung vor und es müssen somit auch keine Auftragsverarbeitungsverträge geschlossen werden.

Datenschutzfreundliche Voreinstellungen
Wenn man die Dienste einsetzt, sollte man die Einstellungen möglichst datenschutzfreundlich auswählen (“Datenschutz durch datenschutzfreundliche Voreinstellungen“, Art. 25 Abs. 2 DSGVO). Insbesondere sollte man sich bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing-und Aufzeichnungs-Funktionen immer fragen, ob diese Funktionen gerade wirklich erforderlich sind und diese im Zweifel lieber abschalten.

Datenschutzhinweise
Der Verantwortliche ist dazu verpflichtet die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung personenbezogener Daten im Rahmen der Konferenzen oder Webinare zu informieren (Art. 12, 13 DSGVO).

Da sowohl die Mitarbeiter wie auch fremde Teilnehmer belehrt werden müssen, empfiehlt sich diese Informationen in die reguläre Datenschutzerklärung aufzunehmen. Auf die Datenschutzerklärung kann man dann per Link z. B. auf Login-Seiten oder in Einladungen zu einem Onlinemeeting hinweisen.

Verzeichnis von Verarbeitungstätigkeiten
In das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) sollte im Rahmen der aufgeführtenVerarbeitungsprozesse auch der/die eingesetzte/n Konferenzdienst/e aufgenommen werden. Im Prinzip gehören dieselben Informationen hinein wie in die Datenschutzerklärung.

Datenaustausch

E-Mail-Anhang
Der reine Datei-bzw. Datenaustausch kann zum einen mit Anhängen in einer E-Mail erfolgen. Dies ist aber nur für kleinere Dateien/Datenmengen geeignet, die E-Mail-Server setzen da üblicherweise eine Grenze. Da diese Art der Kommunikation jedoch sehr unsicher ist, sollten vertrauliche Daten unbedingt verschlüsselt werden, alles andere wäre fahrlässig.

Zum Verschlüsseln eignen sich z.B. das Dateipackprogramm 7-Zip, bei dem beim Verpacken/Verkleinern ("Zippen") einer Datei ein Passwort vergeben wird, ohne das sich die Datei nicht wieder entpacken lässt. Allerdings ist bei vielen E-Mail-Anbietern oder -Zugängen das Anhängen von ZIP-Dateien nicht gestattet, da potentiell Schadprogramme mit eingepackt werden können, die vom eingesetzten Anti-Virensystem ohne Passwort nicht überprüft werden können.

Alternativ kann man aus den Daten eine PDF-Datei erzeugen und diese mit einem Passwort absichern. Dann lässt sie sich beim Empfänger zwar öffnen, aber nicht mehr ohne Weiteres weiterverarbeiten.

Sinnvoller wäre die durchgängige Verschlüsselung der E-Mail-Kommunikation bereits in der E-Mail-Software unsichtbar und insbesondere komfortabel für den Anwender, dies bietet zurzeit jedoch keiner der Anbieter.

Cloud-Speicher
Bei großen Dateien oder Datenmengen kann man einen Cloud-Speicher benutzen. Je nach Anbieter bzw. deren Server-Standort (Drittland, USA, siehe oben) sollte der Austausch vertraulicher Daten auch hier auf keinen Fall unverschlüsselt ablaufen. Stehen die Server garantiert in der EU oder sogar in Deutschland, dürfen Daten hier auch unverschlüsselt abgelegt werden. Die kostenlosen Angebote sind teilweise auch beschränkt in der Dateigröße, die übertragen werden darf. Nutzt man den Speicher nur zum Datenaustausch und löscht die Daten danach wieder, dann reichen die kostenfreien Angebote fast immer aus.

Konferenzsysteme
Für die einfache Kommunikation von Person zu Person reicht das Telefon aus, die bekannten Grundsätze zum Datenschutz sind zu beachten: kein Mithören, keine Preisgabe von vertraulichen Daten an Unbekannte usw.

Für Telefonkonferenzen bieten sich entsprechende Dienste an, da damit die Durchführung vereinfacht wird, insbesondere bei größeren Teilnehmergruppen. Reicht eine einfache Sprachübertragung nicht mehr aus, kann man Videokonferenzsysteme einsetzen. Noch weiter gehen Angebote zu Onlinemeetings, bei denen man auch den eigenen Bildschirm mit den übrigen Teilnehmern teilen kann, Dateien austauschen usw.

Webinare
Webinare (Webbasierte Seminare) gehören zur großen Gruppe der Angebote des computerunterstützten Lernes (E-Lernen, E-Learning).

Im Unterschied zur Vorlesung einer Unterrichtseinheit auf Abruf, bei dem die Information nur in einer Richtung übertragen wird, ist ein Webinar interaktiv ausgelegt und ermöglicht beidseitige Kommunikation zwischen Vortragendem und Teilnehmern. Ein Webinar ist „live“ in dem Sinne, dass die Informationen innerhalb eines Programms mit einer festgelegten Start-und Endzeit übermittelt wird. In den meisten Fällen werden die mündlichen Erläuterungen des Vortragenden zu dem am Bildschirm Gezeigten per Audio übertragen. Das funktioniert in der Regel auch umgekehrt, wenn der Teilnehmer eine Sprechgarnitur (Headset) oder ein Mikrofon an seinem Computer angeschlossen hat und der Webinar-Moderator ihm Sprechrechte zugeteilt hat. Weitere, typische Interaktionsmöglichkeiten sind das Herunterladen von Dateien, Fragestellungen via Chat oder die Teilnahme an Umfragen.

Messenger
Die Benutzung von Messengern (von eigentlich "Instant Messaging", d.h. dem Nachrichtensofortversand) ist eine Kommunikationsmethode, bei der sich zwei oder mehr Teilnehmer per Textnachrichten unterhalten. Dabei löst der Absender die Übermittlung aus, so dass die Nachrichten möglichst unmittelbar (und damit englisch „instant“) beim Empfänger ankommen. Damit Nachrichten übertragen werden können, müssen die Teilnehmer mit einem Computerprogramm (Client) über ein Netz wie das Internet direkt oder über einen Server miteinander verbunden sein. In der Regel können Nachrichten auch abgeschickt werden, wenn der Gesprächspartner gerade nicht online ist, die Nachricht wird dann vom Server zwischengespeichert und später an den Empfänger ausgeliefert, wenn dieser wieder erreichbar ist. Viele Messenger unterstützen zusätzlich die Übertragung von Dateien und Audio-und Video-Streams. Benutzer können sich gegenseitig in ihrer Kontaktliste führen und sehen dann an der Präsenzinformation, ob der andere zu einem Gespräch bereit ist.

Datenschutztechnisch sind viele Messenger sehr bedenklich oder dürfen im geschäftlichen Umfeld nicht eingesetzt werden. WhatsApp beispielsweise überträgt bereits bei der Installation auf einem Smartphone ohne Zustimmung des Eigentümers und der Kontakte das komplette Adressbuch auf seine Server in den USA. Der Einsatz ist daher auch in vielen Unternehmen verboten.

Besser machen es da Signal, das aus den Kontaktdaten sogenannte "Hashwerte" berechnet, die dann serverseitig gespeichert werden. Eine Rückführung aus dem Hashwert auf den ursprünglichen Kontakt ist mathematisch unmöglich. Zur Überprüfung eines gemeinsamen Kontakts werden die beiden betreffenden Hashwerte auf Gleichheit getestet.

Der kostenpflichtige Messenger Threema aus der Schweiz speichert ebenso keine Kontaktdaten und fragt vorher, ob er Kontaktdaten auf die Server in der Schweiz übertragen darf.

Sonstiges
Die beste Methode zum Dateiaustausch aus dem und ins Home-Office ist zweifelsfrei eine VPN-Verbindung zum Unternehmensnetz. Als bequeme und praktische Alternative bieten sich Cloud-Speicher an, die in Sachen Datenschutz allerdings vielfach bedenklich sind. Hat man die Möglichkeit eines eigenen Servers und scheut den Aufwand nicht, sind selbstverwaltete Cloud-Speicher wie NextCloud die beste Wahl.

NextCloud bietet neben einem Dateispeicher auch Funktionen für Chats und Webmeetings (NextCloud Talk) und E-Mail, Kontakte und Kalender (NextCloud Groupware).

Andreas Hagendorf, Datenschutzbeauftragter

Stand: 23.04.2020