CALM - DATENSCHUTZRICHTLINIEN

1. Erklärung, Geltungsbereich und Zweck

1.1 Erklärung

Der Calm-Vorstand mit Sitz in Robert Owenstraat 21, 3045 PT te Rotterdam, in den Niederlanden, verpflichtet sich, alle relevanten EU-Vorschriften zum Umgang mit personenbezogenen Daten einzuhalten sowie die Rechte und Freiheiten aller Personen zu schützen, deren Daten durch die Vereinigung in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) erhoben werden. Zu diesem Zweck hat Calm ein Personal Information Management System (‘PIMS’) zur Dokumentierung und Verwaltung personenbezogener Daten entwickelt und eingeführt, das kontinuierlich verwendet und verbessert wird.

1.2 Geltungsbereich

Der Geltungsbereich des PIMS berücksichtigt Organisationsstruktur, Managementkompetenzen, gerichtliche Zuständigkeit und geografische Zugehörigkeit. Das PIMS kann in allen Ländern, in denen Calm genutzt wird, oder in einem bestimmten Teil dieser Länder eingesetzt werden.

1.3 Zweck des PIMS

Calm hat das PIMS aus folgenden Gründen entwickelt: um die eigenen Vorschriften zur Verwaltung von personenbezogenen Daten erfüllen zu können; um die Umsetzung der organisationsbezogenen Zielsetzungen und Verpflichtungen zu ermöglichen; um Kontrollverfahren in Übereinstimmung mit den von Calm festgelegten Risikoakzeptanzkriterien einzurichten; um sicherzustellen, dass Calm allen zutreffenden gesetzlichen, behördlichen, vertraglichen und/oder beruflichen Verpflichtungen nachkommt; um die Interessen der betroffenen Einzelpersonen sowie anderer wichtiger Anspruchsberechtigter zu schützen.

1.4 Verpflichtung

Calm verpflichtet sich zur Einhaltung der Datenschutzvorschriften und bewährter Verfahrensweisen. Dies beinhaltet, dass:


  1. personenbezogene Daten nur insofern verarbeitet werden, als dies aus organisatorischen Gründen absolut notwendig und gerechtfertigt ist.
  2. ausschließlich solche personenbezogenen Daten erhoben werden, die für diese Zwecke erforderlich sind, und keine unverhältnismäßige Menge von Daten verarbeitet wird.
  3. alle betroffenen Personen eine klare Auskunft darüber erhalten, wie und von wem ihre persönlichen Daten verwendet werden.
  4. sich die Verarbeitung auf relevante und angemessene personenbezogene Daten beschränkt.
  5. die Verarbeitung von personenbezogenen Daten nach Treu und Glauben und auf rechtmäßige Weise geschieht.
  6. ein Verzeichnis der Kategorien von personenbezogenen Daten geführt wird, die die Vereinigung verarbeitet.
  7. die personenbezogenen Daten stets korrekt und auf dem aktuellen Stand sind.
  8. personenbezogene Daten nur so lange gespeichert werden, wie dies für die Einhaltung von gesetzlichen oder rechtlichen Vorschriften erforderlich oder aus organisatorischen Gründen notwendig und gerechtfertigt ist.
  9. die Rechte der betroffenen Personen in Bezug auf ihre persönlichen Daten gewahrt bleiben, einschließlich des Rechts auf Auskunft.
  10. alle personenbezogenen Daten sicher aufbewahrt werden. Auf die Daten wird von möglichst wenigen Personen und nur dann zugegriffen, wenn dies wirklich erforderlich ist.
  11. personenbezogene Daten nur dann in Nicht-EU-Staaten übermittelt werden, wenn ihr Schutz gewährleistet ist.
  12. die verschiedenen von der Datenschutzgesetzgebung vorgesehenen Ausnahme-regelungen berücksichtigt werden.
  13. ein PIMS entwickelt und eingeführt wird, das die Umsetzung dieser Erklärung ermöglicht.

  14. gegebenenfalls interne und externe Anspruchsberechtigte identifiziert werden, einschließlich des Umfangs ihrer Beteiligung an der Nutzung des PIMS von Calm.
  15. Personen identifiziert werden, die eine besondere Zuständigkeit und Verantwortung für das PIMS besitzen.

1.5 Zweck der Datenerhebung und -speicherung

Calm und deren ehrenamtliche Helfer (s. Definition unten) sammeln und prüfen personenbezogene Daten zu folgenden Zwecken: um es den Assistenzlehrern oder ihren stellvertretenden Helfern zu ermöglichen, die Tauglichkeit eines Kursteilnehmers für die Teilnahme an einem Vipassana-Meditationskurs zu beurteilen; um es dem Zentrumsmanagement zu ermöglichen, die Unterbringung, die Verpflegung und mitunter den Transport des Kursteilnehmers zu organisieren; um sicherzustellen, dass der Kursteilnehmer vor, während und nach seiner Kursteilnahme angemessen betreut und unterstützt werden kann; aus rechtlichen Gründen oder für die Erfüllung des Vertrages, d. h. die Verarbeitung von Daten, die zur Erbringung der vom Kursteilnehmer oder Helfer gewünschten Leistung benötigt werden; zur Erbringung zusätzlicher kursbezogener Leistungen, für die eine Einwilligung erteilt wurde oder ein berechtigtes Interesse der Organisation vorliegt.


Mitteilung


1.6 Die niederländische Datenschutzaufsichts-behörde „Autoriteit Persoonsgegevens” in Den Haag wurde von Calm darüber in Kenntnis gesetzt, dass Calm ein Datenverantwortlicher ist und bestimmte Daten der betroffenen Personen verarbeitet. Calm has identified all the personal data that it processes and this is contained in the Data Inventory Register.


1.7 Eine Kopie der Mitteilung an die Datenschutzaufsichtsbehörde wird vom Datenschutzbeauftragten aufbewahrt. Als maßgeblicher Leitfaden für die Benachrichtigung gilt das DPA Notification Handbook.


1.8 Die Mitteilung an die Datenschutzaufsichtsbehörde wird jährlich erneuert.


1.9 Der Datenschutzbeauftragte ist für die jährliche Überprüfung der in der Mitteilung enthaltenen Informationen vor dem Hintergrund von möglichen Veränderungen der Aktivitäten der Vipassana-Vereinigung e.V. (bei entsprechenden Änderungen im Datenbestandsverzeichnis oder der Überprüfung durch das Management) sowie für die Umsetzung von Anforderungen verantwortlich, die sich aus Datenschutz-Folgenabschätzungen ergeben.

Die Erklärung gilt für alle Mitarbeiter [und interessierte Parteien] von Calm sowie für externe Dienstleister. Jegliche Verletzung der DSGVO oder dieses PIMS wird gemäß dem Disziplinarverfahren von Calm behandelt und kann darüber hinaus den Tatbestand einer Straftat erfüllen. Trifft Letzteres zu, wird der Fall schnellstmöglich an die zuständigen Behörden weitergeleitet.

Von allen Partnern und Dritten, die für die Vereinigung arbeiten und möglicherweise oder tatsächlich Zugang zu personenbezogenen Informationen haben, wird erwartet, dass sie diese Erklärung gelesen und verstanden haben sowie die darin enthaltenen Bestimmungen befolgen. Die Vereinigung gewährt keinem Dritten Zugriff auf von ihr verwaltete personenbezogene Daten, bevor dieser nicht eine Vereinbarung zur Wahrung des Datengeheimnisses unterzeichnet hat, die ihm mindestens genauso strenge Verpflichtungen auferlegt, wie sie für die Vereinigung gelten, und die der Vereinigung das Recht einräumt, die Einhaltung der Vereinbarung zu überprüfen.

2. Hintergrundinformationen zur Datenschutz-Grundverordnung („DSGVO”)

Die Datenschutz-Grundverordnung von 2016 löst die Datenschutzrichtlinie der EU aus dem Jahr 1995 ab und ersetzt die Gesetze der einzelnen Mitgliedsstaaten, die zur Umsetzung der Richtlinie 95/46/EG verabschiedet wurden. Ihr Zweck besteht darin, die Rechte und Freiheiten lebender Personen zu schützen und zu gewährleisten, dass ihre personenbezogenen Daten nicht ohne ihr Wissen und soweit möglich mit ihrer Einwilligung verarbeitet werden.

3. Von der Organisation verwendete Definitionen (aus der DSGVO übernommen)

Räumlicher Anwendungsbereich – Die DSGVO gilt für alle in der Union (EU und EWR) niedergelassenen Verantwortlichen, die im Rahmen der Tätigkeiten dieser Niederlassung die personenbezogenen Daten von betroffenen Personen verarbeiten. Sie gilt außerdem für nicht in der Union niedergelassene Verantwortliche, die personenbezogene Daten verarbeiten, um in der Union wohnhaften betroffenen Personen Waren und Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.

Niederlassung – Bei der Hauptniederlassung des Verantwortlichen in der Union handelt es sich um denjenigen Ort, an dem er die wichtigsten Entscheidungen im Hinblick auf seine Datenverarbeitungsaktivitäten trifft. Die Hauptniederlassung eines Verantwortlichen in der Union ist sein Verwaltungssitz. Wenn ein Verantwortlicher außerhalb der Union niedergelassen ist, muss er für die Region in der er tätig ist, einen Vertreter bestellen, der im Namen des Verantwortlichen handelt und mit der dort zuständigen Aufsichtsbehörde kommuniziert.

Personenbezogene Daten – Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Besondere Kategorien personenbezogener Daten – Personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Verantwortlicher – Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Betroffene Person – Jede lebende Einzelperson, die das Subjekt von im Besitz einer Organisation befindlichen personenbezogenen Daten ist.

Verarbeitung – Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Profiling – Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich der Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten dieser natürlichen Person zu analysieren oder vorherzusagen. Diese Definition geht mit dem Recht der betroffenen Person einher, Widerspruch gegen Profiling einzulegen, sowie dem Recht, über bestehende Profiling-Aktivitäten, durch Profiling gestützte Aktivitäten und die voraussichtlichen persönlichen Auswirkungen von Profiling informiert zu werden.

Verletzung des Schutzes personenbezogener Daten – Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Der Verantwortliche ist dazu verpflichtet, jegliche Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde sowie derjenigen Person zu melden, auf deren personenbezogene Daten oder Privatsphäre die Verletzung negative Auswirkungen hat.

Einwilligung der betroffenen Person – Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Kind – Gemäß der DSGVO gelten alle Personen als Kinder, die das sechzehnte Lebensjahr noch nicht vollendet haben. Die Verarbeitung personenbezogener Daten eines Kindes unter dreizehn Jahren ist nur dann rechtmäßig, wenn der Träger der elterlichen Verantwortung für das Kind seine Einwilligung erteilt hat.

Dritter – Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Dateisystem – Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.


Zusätzliche spezifische Definitionen


Kursteilnehmer – Jede Person, die sich für einen Vipassana-Meditationskurs unter der Leitung eines Assistenzlehrers von S.N. Goenka anmeldet oder daran teilnimmt.

Assistenzlehrer – Jede Person, die von S.N. Goenka oder seinen Stellvertretern dazu berufen wurde, Vipassana-Meditationskurse zu leiten. Dies schließt auch Lehrer mit ein.

Alter Kursteilnehmer – Jede Person, die einen Vipassana-Meditationskurs unter der Leitung von S.N. Goenka oder einem seiner Assistenzlehrer absolviert hat.

Helfer – Ein alter Kursteilnehmer, der bei einem Kurs oder in einem Meditationszentrum hilft.

4. Verantwortlichkeiten gemäß der Datenschutz-Grundverordnung

4.1 Calm ist ein Verantwortlicher nach den Bestimmungen der DSGVO.

4.2 Das Management sowie alle Personen in leitenden oder aufsichtsführendem Positionen in Bezug auf Calm sind für die Entwicklung und Förderung guter Datenverarbeitungsverfahren innerhalb der Vereinigung verantwortlich. Die Verantwortlichkeiten werden in spezifischen Positionsbeschreibungen dargelegt.

4.3 Der Datenschutzbeauftragte und die Mitglieder des Vorstands der Calm Foundation tragen gegenüber dem Aufsichtsrat von Calm die Verantwortung für den Umgang mit personenbezogenen Informationen innerhalb von Calm sowie für die erkennbare Einhaltung der Datenschutzgesetzgebung und guter Verfahrensweisen. Diese Verantwortlichkeit beinhaltet auch:

4.3.1 die Entwicklung und Einführung des PIMS nach den Bestimmungen dieser Erklärung sowie

4.3.2 das Sicherheits- und Risikomanagement in Bezug auf die Einhaltung der Erklärung.

4.4 Es wird davon ausgegangen, dass der Datenschutzbeauftragte und die Mitglieder des Vorstands der Calm Foundation ein geeignetes Maß an Kompetenz und Erfahrung besitzen und ernannt wurden, um die Verantwortung für die tagtägliche Einhaltung dieser Erklärung durch Calm zu übernehmen sowie insbesondere als direkte Verantwortliche für die Einhaltung der DSGVO durch Calm zuständig zu sein, und zwar im selben Maß, wie dies für die Mitglieder des Aufsichtsrats in Bezug auf die Datenverarbeitung in ihrem jeweiligen Verantwortungsbereich der Fall ist.

4.5 Der Datenschutzbeauftragte und seine Stellvertreter vor Ort haben besondere Zuständigkeiten in Bezug auf Vorgänge wie das Zugriffsanfrageverfahren und sind die erste Anlaufstelle für Kursteilnehmer und Helfer bei Fragen zu allen Aspekten der Datenschutz-Compliance.

4.6 Es obliegt der Verantwortung aller Helfer, die mit personenbezogenen Informationen arbeiten, die Datenschutzvorschriften einzuhalten.

4.7 Die Schulungsrichtlinien von Calm enthalten spezifische Anforderungen in Bezug auf das Training und den Kenntnisstand von Inhabern bestimmter Positionen sowie von Helfern, die mit Calm arbeiten.

4.8 Jeder Helfer ist dafür verantwortlich, dass alle personenbezogenen Daten, die er mit Calm erfasst und die seine eigene Person betreffen, korrekt und auf dem aktuellen Stand sind.

5. Risikoabschätzung

Zweck: Um sicherzustellen, dass alle mit der Verarbeitung bestimmter Arten von personenbezogenen Daten verbundenen Risiken bekannt sind und berücksichtigt werden, nutzt Calm ein Verfahren zur Abschätzung des Risikos für Personen, die mit der Verarbeitung von personenbezogenen Daten in Zusammenhang stehen. Risikoabschätzungen werden zudem in Verbindung mit der Datenverarbeitung durch andere Organisationen im Namen von Calm durchgeführt. Calm steuert die bei der Abschätzung identifizierten Risiken, um die Wahrscheinlichkeit einer Nichterfüllung dieser Erklärung zu verringern.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt Calm vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsschritte für den Schutz personenbezogener Daten durch.

Für die Untersuchung mehrerer ähnlicher Verarbeitungsschritte mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Geht aus einer Datenschutz-Folgenabschätzung klar hervor, dass Calm im Begriff ist, eine Verarbeitung personenbezogener Daten zu unternehmen, die den betroffenen Personen möglicherweise Schaden oder Leid zufügen könnte, ist die Entscheidung darüber, ob Calm den Vorgang fortsetzen oder abbrechen soll, zur Prüfung an den Datenschutzbeauftragten weiterzuleiten. Bei schwerwiegenden Bedenken in Bezug auf den möglichen Schaden oder das mögliche Leid oder auf die Menge der betroffenen Daten leitet der Datenschutzbeauftragte die Angelegenheit an den Vorstand oder den Aufsichtsrat der Calm Foundation weiter.

Es werden angemessene Kontrollverfahren ausgewählt und angewandt, um das mit der Verarbeitung personenbezogener Daten verbundene Risiko auf ein im Sinne der von Calm vorgelegten Risikoakzeptanzkriterien und der Bestimmungen der DSGVO vertretbares Maß zu reduzieren.

6. Datenschutzgrundsätze

Jegliche Verarbeitung personenbezogener Daten muss in Übereinstimmung mit den nachfolgenden Grundsätzen aus der Verordnung geschehen. Die internen Richtlinien und Verfahrensweisen von Calm sind darauf ausgerichtet, die Einhaltung dieser Grundsätze zu gewährleisten.

6.1  Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet werden.

Mit der DSGVO tritt das Transparenzgebot in Kraft, nach dem die Vipassana-Vereinigung e.V. transparente und leicht nachvollziehbare Richtlinien in Bezug auf die Verarbeitung personenbezogener Daten sowie die Ausübung der Rechte und Freiheiten durch die jeweils betroffene Person einzuhalten hat. Alle Informationen müssen dem Kursteilnehmer in klaren, einfachen Worten und auf verständliche Weise mitgeteilt werden. Im Detail sind dem Kursteilnehmer mindestens folgende Informationen mitzuteilen:

6.1.1 the identity and the contact details of the controller and, if any, of the controller's representative;

6.1.2   Die Kontaktdaten des Datenschutzbeauftragten.;

6.1.3   Welche personenbezogenen Daten zu welchem Zweck verarbeitet werden sollen sowie die rechtliche Grundlage für die Verarbeitung.

6.1.4   Die Dauer, für die die personenbezogenen Daten gespeichert werden.

6.1.5   Das Bestehen eines Rechts auf Zugriff, Berichtigung oder Löschung der personenbezogenen Daten sowie auf Widerspruch gegen die Verarbeitung.

6.1.6  Welche Kategorien von personenbezogenen Daten betroffen sind.

6.1.7   Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.

6.1.8 Gegebenenfalls die Absicht von Calm, die personenbezogenen Daten an einen Empfänger in einem Drittland zu übermitteln, sowie das Schutzniveau, das für die Daten gewährleistet ist.

6.1.9 Jegliche weiteren Informationen, die für eine faire Verarbeitung erforderlich sind.

6.2   Personenbezogene Daten können nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

Daten, die für bestimmte Zwecke erhoben wurden, dürfen nicht für einen anderen als die in der offiziellen Mitteilung an die Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) aufgeführten Zwecke verwendet werden.

6.3  Personenbezogene Daten müssen angemessen, erheblich sowie auf das notwendige Maß beschränkt sein.

6.3.1 Der Datenschutzbeauftragte ist dafür verantwortlich, dass keine Daten erhoben werden, deren Erhebung für den vorgesehenen Zweck nicht unbedingt erforderlich ist.

6.3.2 Alle Datenerhebungsformulare (ob elektronisch oder in Papierform), einschließlich Datenerhebungsanforderungen in neuen Informationssystemen, müssen vom Datenschutzbeauftragten genehmigt werden.

6.3.3 Der Datenschutzbeauftragte stellt sicher, dass alle Datenerhebungsverfahren einmal im Jahr intern überprüft werden, um zu gewährleisten, dass die erhobenen Daten weiterhin angemessen, erheblich sowie auf das notwendige Maß beschränkt sind.

6.3.4 Wenn Daten erhoben oder übergeben werden, die überflüssig oder nicht ausdrücklich für die von Calm dargelegten Verfahren erforderlich sind, ist der Datenschutzbeauftrage dafür verantwortlich, die sichere Löschung oder Vernichtung dieser Daten gemäß der Löschungsrichtlinie zu gewährleisten.

6.4  Persönliche Daten müssen sachlich richtig und auf dem neuesten Stand sein.

6.4.1 Daten, die über einen längeren Zeitraum hinweg gespeichert werden, müssen überprüft und bei Bedarf aktualisiert werden. Es sollen keine Daten behalten werden, bei denen nicht vernünftigerweise angenommen werden kann, dass sie richtig sind.

6.4.2 Die hiesigen Vereine und Calm tragen die Verantwortung dafür, dass alle Helfer über die Bedeutung der Erhebung und Pflege korrekter Daten unterrichtet sind

6.4.3 Es liegt zudem in der Verantwortung jedes Einzelnen, dass die von Calm über ihn geführten Daten richtig und auf dem neuesten Stand sind. Die Abgabe eines geeigneten Registrierungs-, Anmelde- oder sonstigen Formulars wird als Hinweis darauf betrachtet, dass die darin enthaltenen Daten zum Zeitpunkt der Abgabe richtig sind.

6.4.4 Helfer und Kursteilnehmer sollten Calm über jegliche Veränderung ihrer Umstände benachrichtigen, damit die personenbezogenen Daten entsprechend aktualisiert werden können. Calm trägt die Verantwortung dafür, dass jede Benachrichtigung bezüglich einer Veränderung der Umstände beachtet und die entsprechende Berichtigung vorgenommen wird.

6.4.5 Es obliegt der Verantwortung des Datenschutzbeauftragten, sicherzustellen, dass weitere angemessene Schritte unternommen werden, um die personenbezogenen Daten unter Berücksichtigung der Menge der erhobenen Daten, der Geschwindigkeit, mit der sie sich ändern können, sowie anderer relevanter Faktoren richtig und auf dem neuesten Stand zu halten.

6.4.6 Der Datenschutzbeauftrage überprüft mithilfe des Datenbestandsverzeichnisses mindestens einmal im Jahr alle von Calm geführten personenbezogenen Daten. Dabei identifiziert er diejenigen Daten, die im Zusammenhang mit dem festgelegten Zweck nicht mehr benötigt werden, und veranlasst ihre sichere Löschung bzw. Vernichtung.

6.4.7 Der Datenschutzbeauftragte ist dafür verantwortlich, angemessene Vorkehrungen zu treffen, um im Falle einer Weitergabe unrichtiger und/oder veralteter Daten an Drittparteien diese Parteien darüber zu informieren, dass die Daten unrichtig und/oder veraltet sind und nicht als Grundlage für Entscheidungen bezüglich der betroffenen Personen verwendet werden dürfen. Er ist ferner dafür verantwortlich, diesen Parteien gegebenenfalls eine korrigierte Version der personenbezogenen Informationen zukommen zu lassen.

6.5  Personenbezogene Daten müssen so gespeichert werden, dass die betroffene Person nur so lange identifiziert werden kann, wie es für die Verarbeitung erforderlich ist.

6.5.1 Werden persönliche Daten über den Zeitpunkt ihrer Verarbeitung hinaus gespeichert, werden sie auf ein Minimum reduziert, um die Sicherheit der Identität des Kursteilnehmers im Falle einer Datenschutzverletzung zu gewährleisten.

6.5.2 Personenbezogene Daten werden in Übereinstimmung mit dem Verfahren zur Aufbewahrung von Unterlagen gespeichert. Nach Ablauf der Aufbewahrungsfrist sind sie diesem Verfahren gemäß sicher zu vernichten.

6.5.3  Der Datenschutzbeauftragte muss jegliche Speicherung von Daten, die die Aufbewahrungsfristen überschreitet, ausdrücklich genehmigen sowie sicherstellen, dass eine hinreichende Begründung dafür vorliegt, die den Bestimmungen der Datenschutzgesetze entspricht. Diese Genehmigung ist in schriftlicher Form zu erteilen (wobei auch eine E-Mail als ausreichend gilt).

6.6  Personenbezogene Daten müssen in einer Weise verarbeitet werden, die die Sicherheit der personenbezogenen Daten gewährleistet.

6.7  Es müssen geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung der personenbezogenen Daten ergriffen werden.

Diese Kontrollverfahren wurden aufgrund der identifizierten Risiken für personenbezogene Daten sowie des möglichen Schadens oder Leids für die betroffenen Personen ausgewählt.

Die Einhaltung dieses Grundsatzes durch Calm wird durch dessen Information Security Management System (ISMS) gewährleistet, das unter Berücksichtigung der Bestimmungen von ISO/IEC 27001:2013 entwickelt wurde. Es werden Überprüfungen der Sicherheitskontrollen durchgeführt

6.8  Personenbezogene Daten dürfen nur dann in ein Land oder Gebiet außerhalb der Europäischen Union übermittelt werden, wenn dieses Land oder Gebiet ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten gewährleistet.

Die Übermittlung personenbezogener Daten in Länder außerhalb der EU ist nur dann zulässig, wenn mindestens eine der nachfolgend aufgeführten Garantien oder Ausnahmen zutrifft.

6.8.1   Garantien

Eine Prüfung der Angemessenheit durch den Verantwortlichen unter Berücksichtigung folgender Faktoren:

  •        Art der zu übermittelnden Daten,
  •   Herkunfts- und Zielland oder -gebiet der Daten,
  •   Art und Dauer der Datennutzung,
  •   Rechtsvorschriften und Verfahrensweisen im Land des Datenempfängers, einschließlich anwendbarer Richtlinien und internationaler Verpflichtungen und

6.8.2   Verbindliche interne Vorschriften

Calm übernimmt alle genehmigten verbindlichen internen Datenschutzvorschriften für die Übermittlung von Daten in Länder außerhalb der EU und/oder weitere Regelungen wie die des Privacy Shield für die Datenübermittlung in die Vereinigten Staaten.

6.8.3   Standarddatenschutzklauseln

Calm kann genehmigte Standardklauseln für die Übermittlung von Daten in Länder außerhalb der EU übernehmen. Wenn Calm die von der Datenschutzaufsichtsbehörde genehmigten Standardklauseln übernimmt, wird die Angemessenheit automatisch anerkannt.

6.8.4   Ausnahmen

Falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien einschließlich verbindlicher interner Datenschutzvorschriften bestehen, ist eine Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

  •   Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
  •   Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.
  •   Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich.
  •   Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.
  •   Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  •    Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
  •    Die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Eine Liste von Ländern, die den Angemessenheitsvorschriften der Kommission entsprechen, wird im Amtsblatt der Europäischen Union veröffentlicht.

 

6.9  Rechenschaftspflicht

Die DSGVO führt das Prinzip der Rechenschaftspflicht ein, demzufolge der Verantwortliche nicht nur für die Einhaltung der Vorschriften der DSGVO verantwortlich ist, sondern die Einhaltung auch für jeden Verarbeitungsschritt nachweisen können muss.

Im Besonderen sind Verantwortliche dazu verpflichtet, die erforderliche Dokumentation aller Verarbeitungsschritte aufzubewahren, angemessene Sicherheitsgarantien zu geben, Datenschutz-Folgenabschätzungen durchzuführen, die Vorschriften zu vorherigen Benachrichtigungen und Genehmigungen der Aufsichtsbehörden einzuhalten sowie einen Datenschutzbeauftragten zu benennen. Der niederländische Datenschutzbeauftragte wird als zentraler Datenschutzbeauftragter für die Calm-Organisation benannt.

7. Rechte der betroffenen Personen

Im Hinblick auf die Datenverarbeitung sowie die über sie erhobenen Daten haben die betroffenen Personen ein Recht darauf:

7.1 die Art der über sie erhobenen Daten sowie die Personen, denen gegenüber sie offengelegt worden sind, abzufragen.

7.2 einer Verarbeitung, die mit einiger Wahrscheinlichkeit Schaden oder Leid herbeiführen kann, zu widersprechen.

7.3 einer Verarbeitung zum Zwecke der Direktwerbung zu widersprechen.

7.4 sich über die Mechanismen von automatischen Entscheidungsprozessen informieren zu lassen, die erhebliche Auswirkungen auf sie haben.

7.5 dass wichtige Entscheidungen, die erhebliche Auswirkungen auf sie haben, nicht allein durch automatische Prozesse getroffen werden.

7.6 auf Schadenersatz zu klagen, wenn ihnen durch einen Verstoß gegen die DSGVO ein Schaden entsteht.

7.7 Maßnahmen zu ergreifen, um unrichtige Daten zu korrigieren, zurückzuhalten oder zu löschen. Dies beinhaltet auch das Recht auf Vergessenwerden und auf Vernichtung der Daten.

7.8 bei der zuständigen Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) eine Beurteilung zu beantragen, ob irgendeine Vorschrift der DSGVO missachtet worden ist.

7.9 ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln.

7.10 jedem automatischen Profiling, das ohne ihre Einwilligung durchgeführt wird, zu widersprechen.

Die betroffenen Personen können Zugriff auf ihre Daten verlangen. Aus dem Zugriffsanfrageverfahren geht auch hervor, wie Calm gewährleisten, dass ihre Reaktion auf die Zugriffsanfrage den Vorschriften der Verordnung entspricht.

Beschwerden

Betroffene Personen, die sich bei Calm darüber beschweren möchten, wie ihre personenbezogenen Informationen verarbeitet wurden, können ihre Beschwerde direkt beim Datenschutzbeauftragten einlegen. Betroffene Personen können sich auch direkt bei der zuständigen Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) beschweren.

Wenn sich betroffene Personen über den Umgang mit ihrer Beschwerde beschweren oder eine Entscheidung über eine Beschwerde anfechten möchten, können sie eine weitere Beschwerde beim Datenschutzbeauftragten einlegen. Dieses Recht sollte Teil des Beschwerdeverfahrens sein und den Kursteilnehmern und Helfern mitgeteilt werden.

8. Einwilligung

Unter „Einwilligung“ versteht Calm jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Daten einverstanden ist. Die Einwilligung der betroffenen Person kann jederzeit widerrufen werden.

Ferner versteht Calm unter „Einwilligung“, dass die betroffene Person vollständig über die beabsichtigte Verarbeitung aufgeklärt worden ist und ihr Einverständnis in der dafür erforderlichen geistigen Verfassung und ohne Druck bekundet hat. Jede Einwilligung, die unter Zwang oder aufgrund von irreführenden Informationen abgegeben wurde, stellt keine gültige Grundlage für die Datenverarbeitung dar. Es muss eine aktive Kommunikation zwischen den Parteien stattfinden, die als Beweis für die aktive Einwilligung dient. Aus der Nichtbeantwortung einer Mitteilung kann keine Einwilligung abgeleitet werden. Für sensible Daten muss die ausdrückliche und schriftliche Einwilligung der betroffenen Personen eingeholt werden, sofern keine alternative zulässige Grundlage für die Verarbeitung vorhanden ist.

In den meisten Fällen wird die Einwilligung in die Verarbeitung personenbezogener und sensibler Daten von Calm routinemäßig mithilfe standardisierter Einwilligungserklärungen eingeholt, etwa bei der Anmeldung eines Kursteilnehmers zu einem Kurs oder eines Helfers zum Service. Für die Bereitstellung von Online-Diensten für Kinder durch Calm muss die Zustimmung der Eltern oder Erziehungsberechtigten eingeholt werden. Dies gilt für Kinder, die das sechzehnte Lebensjahr noch nicht vollendet haben (sofern der Mitgliedsstaat nicht ein niedrigeres Mindestalter zulässt, das jedoch nicht unter dreizehn Jahren liegen darf).

9. Datensicherheit

Alle Helfer sind dafür verantwortlich, dass alle ihnen anvertrauten personenbezogenen Daten, sei es innerhalb oder außerhalb von Calm, auf sichere Weise aufbewahrt und unter keinen Umständen an eine Drittpartei weitergegeben werden, solange diese von Calm nicht ausdrücklich zum Empfang der betreffenden Daten autorisiert worden ist und eine Geheimhaltungsvereinbarung unterzeichnet hat. Personenbezogene Daten sind wie folgt aufzubewahren:

  • in einem abschließbaren Raum mit kontrolliertem Zugang; und/oder
  • in einem verschlossenen Schubfach oder Aktenschrank; und/oder
  • im Falle von digitalen Daten, mit passwortgeschütztem Zugriff in Übereinstimmung mit den internen Bestimmungen der Zugriffskontrollrichtlinie; und/oder
  • durch Speicherung auf verschlüsselten (Wechsel-)Datenträgern in, soweit möglich, anonymisierter und pseudonymisierter Form.

Es ist darauf zu achten, dass Computerbildschirme und -terminals nur von autorisierten Helfern eingesehen werden können.

Physische Unterlagen dürfen nicht an Orten liegen gelassen werden, an denen unbefugte Personen darauf zugreifen können, und sie dürfen nicht ohne ausdrückliche Genehmigung vom Arbeitsplatz entfernt werden. Sobald handschriftlich erstellte Unterlagen nicht mehr für die tägliche Betreuung der betroffenen Personen benötigt werden, sind sie aus der sicheren Aufbewahrung zu entfernen.

Personenbezogene Daten dürfen nur in Übereinstimmung mit der Datenaufbewahrungsrichtlinie gelöscht oder vernichtet werden. Physische Unterlagen, deren Aufbewahrungsfrist überschritten ist, müssen geschreddert und als vertraulicher Abfall entsorgt werden. Festplatten und nicht mehr benötigte Rechner sind zu entfernen und vor der Entsorgung unverzüglich zu zerstören.

Bei der Verarbeitung personenbezogener Daten an einem anderen Ort besteht ein größeres Risiko, dass die Daten verloren gehen oder gestohlen oder beschädigt werden. Die betreffenden Helfer müssen dafür ausdrücklich autorisiert werden, mit dem Verfahren für Datenschutzverletzungen vertraut sein und dieses bei Bedarf anwenden.

10. Datenzugriffsrechte

Jede betroffene Person hat das Recht, auf alle personenbezogenen Daten (zu ihrer Person) zuzugreifen, die in Calm in elektronischer Form gespeichert sind oder in Papierform in einem entsprechenden Aktenablagesystem aufbewahrt werden. Dies umfasst auch das Recht, vertrauliche personenbezogene Aufzeichnungen, die in Calm eingepflegt wurden, sowie von Drittorganisationen zu dieser Person übermittelte Daten einzusehen.

11. Offenlegung von Daten

Calm stellt sicher, dass keine personenbezogenen Daten an unbefugte Dritte weitergegeben werden. Dazu gehören auch Familienangehörige, Freunde, Behörden und unter bestimmten Umständen die Polizei. Alle Helfer müssen Vorsicht walten lassen, wenn sie um die Offenlegung der Daten einer anderen Person gegenüber Dritten gebeten werden, und sind entsprechend zu schulen, damit sie mit jedem derartigen Risiko auf effektive Weise umzugehen lernen. Es ist stets abzuwägen, ob die Offenlegung der Daten für die Durchführung der Kurse relevant und erforderlich ist.

Die DSGVO lässt die Offenlegung ohne Einwilligung zu, sofern die Daten zu einem oder mehreren der folgenden Zwecke angefordert werden:

  • Aufrechterhaltung der nationalen Sicherheit.
  • Verhinderung oder Aufdeckung von Straftaten sowie die Festnahme oder Verfolgung von Straftätern.
  • Veranlagung oder Erhebung von Steuern.
  • Erfüllung der regulatorischen Vorschriften (einschließlich Gesundheit, Sicherheit und Wohlbefinden von arbeitenden Personen).
  • Verhinderung der ernsthaften Schädigung von Dritten.
  • Schutz der lebenswichtigen Interessen jedes Einzelnen (in lebensbedrohlichen Situationen).

Alle Datenanfragen zu einem dieser Zwecke müssen ausreichend dokumentiert werden und jede entsprechende Offenlegung ist vom Datenschutzbeauftragten ausdrücklich zu genehmigen.

12. Aufbewahrung und Entsorgung von Daten

Personenbezogene Daten dürfen nicht länger aufbewahrt oder gespeichert werden, als sie benötigt werden. Sobald ein Helfer keinen Service mehr gibt oder ein Kursteilnehmer sich nicht mehr für Kurse anmeldet, ist es mitunter nicht mehr erforderlich, alle Daten zu behalten, die über ihn vorliegen. Manche Daten werden über längere Zeiträume hinweg behalten als andere. Die Datenaufbewahrungs- und Datenentsorgungsverfahren von Calm finden in allen Fällen Anwendung, in denen Calm verwendet wird.

Entsorgung von Aufzeichnungen

Personenbezogene Daten sind so zu entsorgen, dass die Rechte und Freiheiten der betroffenen Personen gewahrt bleiben (z. B. durch Schreddern, Entsorgung als vertraulicher Abfall, sichere Löschung von elektronischen Datenträgern) und dass die Richtlinien für sichere Entsorgung eingehalten werden.

13. Verfahren für Datenschutzverletzungen

Calm hat ein integriertes Verfahren für Datenschutzverletzungen. Jegliche Verletzung ist der Datenschutzkontaktperson oder dem Datenschutzbeauftragen gemäß der genehmigten Datenschutzerklärung zu melden.

14. Inkrafttreten

Diese Datenschutzerklärung gilt ab dem 26. Mai 2018. Calm behält sich das Recht vor, die Erklärung anzupassen und/oder zu erneuern. Alle Nutzer von Calm sind an die Erklärung gebunden. Dies gilt auch für den Vorstand und den Aufsichtsrat von Calm, die Calm-Vereinigung, die Vipassana-Vereinigungen und Helfer, die Calm nutzen, sowie alle Drittländer und -Parteien, soweit ihre Verpflichtungen in der vorliegenden Erklärung erwähnt werden.

15. Mitteilung

Der Inhalt dieser Erklärung wird außerdem allen Kursteilnehmern und Helfern, die sich für Kurse anmelden, in verständlicher und vollständiger Weise mitgeteilt. Die Erklärung kann von jedem Calm-Nutzer auf Anfrage eingesehen werden und ist auch über die Website zugänglich.