DATENSCHUTZRICHTLINIEN

1. Erklärung, Geltungsbereich und Zweck

1.1      Erklärung  

Der Vorstand der Vipassana-Vereinigung e.V. mit Sitz im Vipassana-Meditationszentrum „Dhamma Dvara“ an der Adresse Alte Straße 6, 08606 Triebel verpflichtet sich, alle relevanten EU-Vorschriften zum Umgang mit personenbezogenen Daten einzuhalten sowie die Rechte und Freiheiten aller Personen zu schützen, deren Daten durch die Vereinigung in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) erhoben werden.

1.2    Verpflichtung

Die Vipassana-Vereinigung e.V. verpflichtet sich zur Einhaltung der Datenschutzvorschriften und bewährter Verfahrensweisen. Dies beinhaltet, dass:

  •  personenbezogene Daten nur insofern verarbeitet werden, als dies aus organisatorischen Gründen absolut notwendig und gerechtfertigt ist.
  • ausschließlich solche personenbezogenen Daten erhoben werden, die für diese Zwecke erforderlich sind, und keine unverhältnismäßige Menge von Daten verarbeitet wird.
  • alle betroffenen Personen eine klare Auskunft darüber erhalten, wie und von wem ihre persönlichen Daten verwendet werden.
  • sich die Verarbeitung auf relevante und angemessene personenbezogene Daten beschränkt.
  • die Verarbeitung von personenbezogenen Daten nach Treu und Glauben und auf rechtmäßige Weise geschieht.
  • ein Verzeichnis der Kategorien von personenbezogenen Daten geführt wird, die die Vereinigung verarbeitet.
  • die personenbezogenen Daten stets korrekt und auf dem aktuellen Stand sind.
  • personenbezogene Daten nur so lange gespeichert werden, wie dies für die Einhaltung von gesetzlichen oder rechtlichen Vorschriften erforderlich oder aus organisatorischen Gründen notwendig und gerechtfertigt ist.
  • die Rechte der betroffenen Personen in Bezug auf ihre persönlichen Daten gewahrt bleiben, einschließlich des Rechts auf Auskunft.
  • alle personenbezogenen Daten sicher aufbewahrt werden. Auf die Daten wird von möglichst wenigen Personen und nur dann zugegriffen, wenn dies wirklich erforderlich ist.
  • personenbezogene Daten nur dann in Nicht-EU-Staaten übermittelt werden, wenn ihr Schutz gewährleistet ist.
  • die verschiedenen von der Datenschutzgesetzgebung vorgesehenen Ausnahmeregelungen berücksichtigt werden.

1.3 Zweck der Datenerhebung und -speicherung

Die Vipassana-Vereinigung e.V. und ihre ehrenamtlichen Helfer (s. Definition unten) sammeln und prüfen personenbezogene Daten zu folgenden Zwecken:

  • Um es den Assistenzlehrern oder ihren stellvertretenden Helfern zu ermöglichen, die Tauglichkeit eines Schülers für die Teilnahme an einem VipassanaMeditationskurs zu beurteilen.
  • Um es dem Zentrumsmanagement zu ermöglichen, die Unterbringung, die Verpflegung und mitunter den Transport des Schülers zu organisieren.
  • Um sicherzustellen, dass der Schüler vor, während und nach seiner Kursteilnahme angemessen betreut und unterstützt werden kann.
  • Aus rechtlichen Gründen oder für die Erfüllung des Vertrages, d. h. die Verarbeitung von Daten, die zur Erbringung der vom Schüler oder Helfer gewünschten Leistung benötigt werden.
  • Zur Erbringung zusätzlicher kursbezogener Leistungen, für die eine Einwilligung erteilt wurde oder ein berechtigtes Interesse der Organisation vorliegt.
  • Zur Bereitstellung von Newsletter-Diensten oder zur Buchführung (etwa in Bezug auf Spenden).

Sofern die Verarbeitung von personenbezogenen Daten mit der Nutzung der CalmSoftware einhergeht, haben die Datenschutzerklärung von Calm sowie die entsprechenden Anweisungen Vorrang.

Mitteilung

Die europäischen Zentren haben sich für die Nutzung des Calm-Registrierungssystems entschieden. Calm ist die zentrale Plattform zur Abwicklung des allgemeinen Anmeldeverfahrens, der referral and special list, der Anmeldungen für Langzeitkurse sowie für die Nutzung zusätzlicher Softwares. Die niederländische Datenschutzaufsichtsbehörde „Autoriteit Persoonsgegevens” in Den Haag wurde von Calm darüber in Kenntnis gesetzt, dass Calm ein Datenverantwortlicher ist und bestimmte Daten der betroffenen Personen verarbeitet.

Calm hat alle verarbeiteten personenbezogenen Daten identifiziert und im Datenbestandsverzeichnis dokumentiert. Der für diese Vereinigung zuständige Datenschutzbeauftragte wurde von Calm benannt.

1.4 Eine Kopie der Mitteilung an die Datenschutzaufsichtsbehörde wird vom Datenschutzbeauftragten aufbewahrt. Als maßgeblicher Leitfaden für die Benachrichtigung gilt das DPA Notification Handbook.

1.5 Die Mitteilung an die Datenschutzaufsichtsbehörde wird jährlich erneuert.

1.6 Der Datenschutzbeauftragte ist für die jährliche Überprüfung der in der Mitteilung enthaltenen Informationen vor dem Hintergrund von möglichen Veränderungen der Aktivitäten der Vipassana-Vereinigung e.V. (bei entsprechenden Änderungen im Datenbestandsverzeichnis oder der Überprüfung durch das Management) sowie für die Umsetzung von Anforderungen verantwortlich, die sich aus Datenschutz-Folgenabschätzungen ergeben. Die Datenschutzerklärung gilt für alle Helfer und Schüler dieser Vereinigung sowie für alle dritten Parteien und Auftragnehmer.
 
Von allen Partnern und Dritten, die für die Vereinigung arbeiten und möglicherweise oder tatsächlich Zugang zu personenbezogenen Informationen haben, wird erwartet, dass sie diese Erklärung gelesen und verstanden haben sowie die darin enthaltenen Bestimmungen befolgen. Die Vereinigung gewährt keinem Dritten Zugriff auf von ihr verwaltete personenbezogene Daten, bevor dieser nicht eine Vereinbarung zur Wahrung des Datengeheimnisses unterzeichnet hat, die ihm mindestens genauso strenge Verpflichtungen auferlegt, wie sie für die Vereinigung gelten, und die der Vereinigung das Recht einräumt, die Einhaltung der Vereinbarung zu überprüfen.

2.       Hintergrundinformationen zur Datenschutz-Grundverordnung („DSGVO”)

Die Datenschutz-Grundverordnung von 2016 löst die Datenschutzrichtlinie der EU aus dem Jahr 1995 ab und ersetzt die Gesetze der einzelnen Mitgliedsstaaten, die zur Umsetzung der Richtlinie 95/46/EG verabschiedet wurden. Ihr Zweck besteht darin, die Rechte und Freiheiten lebender Personen zu schützen und zu gewährleisten, dass ihre personenbezogenen Daten nicht ohne ihr Wissen und soweit möglich mit ihrer Einwilligung verarbeitet werden.

Von der Organisation verwendete Definitionen (aus der DSGVO übernommen)

Räumlicher Anwendungsbereich: Die DSGVO gilt für alle in der Union (EU und EWR) niedergelassenen Verantwortlichen, die im Rahmen der Tätigkeiten dieser Niederlassung die personenbezogenen Daten von betroffenen Personen verarbeiten. Sie gilt außerdem für nicht in der Union niedergelassene Verantwortliche, die personenbezogene Daten verarbeiten, um in der Union wohnhaften betroffenen Personen Waren und Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.

Niederlassung: Bei der Hauptniederlassung des Verantwortlichen in der Union handelt es sich um denjenigen Ort, an dem er die wichtigsten Entscheidungen im Hinblick auf seine Datenverarbeitungsaktivitäten trifft. Die Hauptniederlassung eines Verantwortlichen in der Union ist sein Verwaltungssitz. Wenn ein Verantwortlicher außerhalb der Union niedergelassen ist, muss er für die Region in der er tätig ist, einen Vertreter bestellen, der im Namen des Verantwortlichen handelt und mit der dort zuständigen Aufsichtsbehörde kommuniziert.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Besondere Kategorien personenbezogener Daten: Personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Verantwortlicher: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Betroffene Person: Jede lebende Einzelperson, die das Subjekt von im Besitz einer Organisation befindlichen personenbezogenen Daten ist.

Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Profiling: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich der Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten dieser natürlichen Person zu analysieren oder vorherzusagen. Diese Definition geht mit dem Recht der betroffenen Person einher, Widerspruch gegen Profiling einzulegen, sowie dem Recht, über bestehende Profiling-Aktivitäten, durch Profiling gestützte Aktivitäten und die voraussichtlichen persönlichen Auswirkungen von Profiling informiert zu werden.

Verletzung des Schutzes personenbezogener Daten: Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Der Verantwortliche ist dazu verpflichtet, jegliche Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde sowie derjenigen Person zu melden, deren personenbezogene Daten oder Privatsphäre durch die Verletzung betroffen sind.

Einwilligung der betroffenen Person: Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Kind: Gemäß der DSGVO gelten alle Personen als Kinder, die das sechzehnte Lebensjahr noch nicht vollendet haben. Die Verarbeitung personenbezogener Daten eines Kindes unter dreizehn Jahren ist nur dann rechtmäßig, wenn der Träger der elterlichen Verantwortung für das Kind seine Einwilligung erteilt hat.

Dritter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Dateisystem: Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Zusätzliche spezifische Definitionen

Schüler: Jede Person, die sich für einen Vipassana-Meditationskurs unter der Leitung eines Assistenzlehrers von S.N. Goenka anmeldet oder daran teilnimmt.
Assistenzlehrer: Jede Person, die von S.N. Goenka oder seinen Stellvertretern dazu berufen wurde, Vipassana-Meditationskurse zu leiten. Dies schließt auch Lehrer mit ein.
Alter Schüler: Jede Person, die einen Vipassana-Meditationskurs unter der Leitung von S.N. Goenka oder einem seiner Assistenzlehrer absolviert hat.
Helfer: Ein alter Schüler, der bei einem Kurs oder in einem Meditationszentrum hilft.

3.        Verantwortlichkeiten gemäß der Datenschutz-Grundverordnung

  1. Calm ist ein Verantwortlicher nach den Bestimmungen der DSGVO.
  2. Die Vipassana-Vereinigung e.V. ist ein gemeinsam Verantwortlicher nach den Bestimmungen der DSGVO.
  3. Die lokale Vipassana-Vereinigung e.V. ist für die Verarbeitung personenbezogener Daten außerhalb von Calm sowie für die Nutzung von Calm, die angemessene Versicherung der Helfer sowie die Zusammenarbeit mit dem Datenschutzbeauftragten und dessen Anlaufstelle (Datenschutzkontaktperson) für die betroffenen Personen verantwortlich.
  4. Der Datenschutzbeauftragte und seine Anlaufstelle vor Ort haben besondere Pflichten in Bezug auf Vorgänge wie das Zugriffsanfrageverfahren und sind wichtigster Ansprechpartner für Schüler und Helfer, die nach einer Auskunft bezüglich der Einhaltung der Datenschutzvorschriften verlangen.
  5. Es obliegt der Verantwortung aller Helfer, die mit personenbezogenen Informationen arbeiten, die Datenschutzvorschriften einzuhalten.
  6. Die Schulungsrichtlinien von Calm enthalten spezifische Anforderungen in Bezug auf das Training und den Kenntnisstand von Inhabern bestimmter Positionen sowie von Helfern, die mit Calm arbeiten.
  7. Jeder Helfer ist dafür verantwortlich, dass alle personenbezogenen Daten, die er mit Calm erfasst und die seine eigene Person betreffen, korrekt und auf dem aktuellen Stand sind.
  8. In Calm werden keine generischen E-Mail-Adressen verwendet. Passwörter dürfen nicht weitergegeben werden. Jeder Nutzer erhält ein eigenes Nutzerkonto.

4.        Risikoabschätzung und Compliance-Prüfungen

Zweck: Um sicherzustellen, dass alle mit der Verarbeitung bestimmter Arten von personenbezogenen Daten verbundenen Risiken bekannt sind und berücksichtigt werden, nutzt Calm ein Verfahren zur Abschätzung des Risikos für Personen, die mit der Verarbeitung von personenbezogenen Daten in Zusammenhang stehen. Risikoabschätzungen werden zudem in Verbindung mit der Datenverarbeitung durch andere Organisationen im Namen von Calm durchgeführt. Calm steuert die bei der Abschätzung identifizierten Risiken, um die Wahrscheinlichkeit einer Nichterfüllung dieser Erklärung zu verringern.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt Calm vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsschritte für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsschritte mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Geht aus einer Datenschutz-Folgenabschätzung klar hervor, dass Calm im Begriff ist, eine Verarbeitung personenbezogener Daten zu unternehmen, die den betroffenen Personen möglicherweise Schaden oder Leid zufügen könnte, ist die Entscheidung darüber, ob Calm den Vorgang fortsetzen oder abbrechen soll, zur Prüfung an den Datenschutzbeauftragten weiterzuleiten. Bei schwerwiegenden Bedenken in Bezug auf den möglichen Schaden oder das mögliche Leid oder auf die Menge der betroffenen Daten leitet der Datenschutzbeauftragte die Angelegenheit an den Vorstand oder den Aufsichtsrat der Calm Foundation weiter.

Es werden angemessene Kontrollverfahren ausgewählt und angewandt, um das mit der Verarbeitung personenbezogener Daten verbundene Risiko auf ein im Sinne der von Calm vorgelegten Risikoakzeptanzkriterien und der Bestimmungen der DSGVO vertretbares Maß zu reduzieren.

5.        Datenschutzgrundsätze

Jegliche Verarbeitung personenbezogener Daten muss in Übereinstimmung mit den nachfolgenden Grundsätzen aus der Verordnung geschehen. Die internen Richtlinien und Verfahrensweisen von Calm sind darauf ausgerichtet, die Einhaltung dieser Grundsätze zu gewährleisten.

5.1      Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet werden.

Mit der DSGVO tritt das Transparenzgebot in Kraft, nach dem die VipassanaVereinigung e.V. transparente und leicht nachvollziehbare Richtlinien in Bezug auf die Verarbeitung personenbezogener Daten sowie die Ausübung der Rechte und Freiheiten durch die jeweils betroffene Person einzuhalten hat. Alle Informationen müssen dem Schüler in klaren, einfachen Worten und auf verständliche Weise mitgeteilt werden. Im Detail sind dem Schüler mindestens folgende Informationen mitzuteilen:

  1. Identität und Kontaktdaten der Calm Foundation, sofern zutreffend, oder der Vipassana-Vereinigung e.V. und gegebenenfalls ihres Stellvertreters.
  2. Die Kontaktdaten des Datenschutzbeauftragten.
  3. Welche personenbezogenen Daten zu welchem Zweck verarbeitet werden sollen sowie die rechtliche Grundlage für die Verarbeitung.
  4. Die Dauer, für die die personenbezogenen Daten gespeichert werden.
  5. Das Bestehen eines Rechts auf Zugriff, Berichtigung oder Löschung der personenbezogenen Daten sowie auf Widerspruch gegen die Verarbeitung.
  6. Welche Kategorien von personenbezogenen Daten betroffen sind.
  7. Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
  8. Gegebenenfalls die Absicht der Vipassana-Vereinigung e.V., die personenbezogenen Daten an einen Empfänger in einem Drittland zu übermitteln, sowie das Schutzniveau, das für die Daten gewährleistet ist.
  9. Jegliche weiteren Informationen, die für eine faire Verarbeitung erforderlich sind.

5.2  Personenbezogene Daten können nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

Daten, die für bestimmte Zwecke erhoben wurden, dürfen nicht für einen anderen als die in der offiziellen Mitteilung an die Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) aufgeführten Zwecke verwendet werden.

5.3      Personenbezogene Daten müssen angemessen, erheblich sowie auf das notwendige Maß beschränkt sein.

Es gilt Folgendes:

  1. Der Datenschutzbeauftragte ist gemeinsam mit der Vipassana-Vereinigung e.V. dafür verantwortlich, dass keine Daten erhoben werden, deren Erhebung für den vorgesehenen Zweck nicht unbedingt erforderlich ist.
  2. Alle Datenerhebungsformulare (ob elektronisch oder in Papierform), einschließlich Datenerhebungsanforderungen in neuen Informationssystemen, müssen vom Datenschutzbeauftragten genehmigt werden.
  3. Der Datenschutzbeauftragte stellt sicher, dass alle Datenerhebungsverfahren einmal im Jahr intern überprüft werden, um zu gewährleisten, dass die erhobenen Daten weiterhin angemessen, erheblich sowie auf das notwendige Maß beschränkt sind.
  4. Wenn Daten erhoben oder übergeben werden, die überflüssig oder nicht ausdrücklich für die von Calm oder der Vipassana-Vereinigung e.V. dargelegten Verfahren erforderlich sind, ist der Datenschutzbeauftrage dafür verantwortlich, die sichere Löschung oder Vernichtung dieser Daten gemäß der Löschungsrichtlinie zu gewährleisten.
  5. Die Datenschutzkontaktperson ist dazu berechtigt, im Namen des Datenschutzbeauftragten zu handeln, solange sie diesen darüber benachrichtigt.

5.4          Persönliche Daten müssen sachlich richtig und auf dem neuesten Stand sein.

Es gilt Folgendes:

  1. Daten, die über einen längeren Zeitraum hinweg gespeichert werden, müssen überprüft und bei Bedarf aktualisiert werden. Es sollen keine Daten behalten werden, bei denen nicht vernünftigerweise angenommen werden kann, dass sie richtig sind.
  2. Die Vipassana-Vereinigung e.V. und Calm tragen die Verantwortung dafür, dass alle Helfer über die Bedeutung der Erhebung und Pflege korrekter Daten unterrichtet sind.
  3. Es liegt zudem in der Verantwortung jedes Einzelnen, dass die von Calm und der Vipassana-Vereinigung e.V. über ihn geführten Daten richtig und auf dem neuesten Stand sind. Die Abgabe eines geeigneten Registrierungs-, Anmelde- oder sonstigen Formulars wird als Hinweis darauf betrachtet, dass die darin enthaltenen Daten zum Zeitpunkt der Abgabe richtig sind.
  4. Helfer und Schüler sollten die Vipassana-Vereinigung e.V. oder Calm über jegliche Veränderung ihrer Umstände benachrichtigen, damit die personenbezogenen Daten entsprechend aktualisiert werden können. Die Vipassana-Vereinigung e.V. trägt gemeinsam mit Calm die Verantwortung dafür, dass jede Benachrichtigung bezüglich einer Veränderung der Umstände beachtet und die entsprechende Berichtigung vorgenommen wird.
  5. Es obliegt der Verantwortung des Datenschutzbeauftragten, sicherzustellen, dass weitere angemessene Schritte unternommen werden, um die personenbezogenen Daten unter Berücksichtigung der Menge der erhobenen Daten, der Geschwindigkeit, mit der sie sich ändern können, sowie anderer relevanter Faktoren richtig und auf dem neuesten Stand zu halten.
  6. Der Datenschutzbeauftrage überprüft mithilfe des Datenbestandsverzeichnisses mindestens einmal im Jahr alle von der Vipassana-Vereinigung e.V. geführten personenbezogenen Daten. Dabei identifiziert er diejenigen Daten, die im Zusammenhang mit dem festgelegten Zweck nicht mehr benötigt werden, und veranlasst ihre sichere Löschung bzw. Vernichtung.
  7. Der Datenschutzbeauftragte ist dafür verantwortlich, angemessene Vorkehrungen zu treffen, um im Falle einer Weitergabe unrichtiger und/oder veralteter Daten an Drittparteien diese Parteien darüber zu informieren, dass die Daten unrichtig und/oder veraltet sind und nicht als Grundlage für Entscheidungen bezüglich der betroffenen Personen verwendet werden dürfen. Er ist ferner dafür verantwortlich, diesen Parteien gegebenenfalls eine korrigierte Version der personenbezogenen Informationen zukommen zu lassen.
  8. Die Datenschutzkontaktperson ist dazu berechtigt, im Namen des Datenschutzbeauftragten zu handeln, solange sie diesen darüber benachrichtigt.

5.5      Identifizierung und Zweckbindung

  1. Werden persönliche Daten über den Zeitpunkt ihrer Verarbeitung hinaus gespeichert, werden sie auf ein Minimum reduziert, um die Sicherheit der Identität des Schülers im Falle einer Datenschutzverletzung zu gewährleisten.
  2. Personenbezogene Daten werden in Übereinstimmung mit dem Verfahren zur Aufbewahrung von Unterlagen gespeichert. Nach Ablauf der Aufbewahrungsfrist sind sie diesem Verfahren gemäß sicher zu vernichten.
  3. Der Datenschutzbeauftragte muss jegliche Speicherung von Daten, die die Aufbewahrungsfristen überschreitet, ausdrücklich genehmigen sowie sicherstellen, dass eine hinreichende Begründung dafür vorliegt, die den Bestimmungen der Datenschutzgesetze entspricht. Diese Genehmigung ist in schriftlicher Form zu erteilen (wobei auch eine E-Mail als ausreichend gilt).

5.6          Personenbezogene Daten müssen in einer Weise verarbeitet werden, die die Sicherheit der personenbezogenen Daten gewährleistet.

  1. Diese Kontrollverfahren wurden aufgrund der identifizierten Risiken für personenbezogene Daten sowie des möglichen Schadens oder Leids für die betroffenen Personen ausgewählt.
  2.  Die Einhaltung dieses Grundsatzes durch Calm wird durch dessen Information Security Management System (ISMS) gewährleistet, das unter Berücksichtigung der Bestimmungen von ISO/IEC 27001:2013 entwickelt wurde. Es werden Überprüfungen der Sicherheitskontrollen durchgeführt.
  3. Sofern die Vipassana-Vereinigung e.V. andere Mittel oder Methoden der Verarbeitung als Calm verwendet, müssen dafür angemessene Garantien sowie die Genehmigung der Datenschutzkontaktperson oder des Datenschutzbeauftragten vorliegen. Dazu zählen auch Tools für Dana, Newsletter usw.

5.8          Übermittlung personenbezogener Daten in Länder außerhalb der EU

  1. Die Übermittlung personenbezogener Daten in Länder außerhalb der EU ist nur dann zulässig, wenn mindestens eine der nachfolgend aufgeführten Garantien oder Ausnahmen zutrifft.
  2. Eine Prüfung der Angemessenheit durch die Vipassana-Vereinigung e.V. unter Berücksichtigung folgender Faktoren: Art der zu übermittelnden Daten, Herkunfts- und Zielland oder -gebiet der Daten, Art und Dauer der Datennutzung, Rechtsvorschriften und Verfahrensweisen im Land des Datenempfängers, einschließlich anwendbarer Richtlinien und internationaler Verpflichtungen.
  3. Verbindliche interne Vorschriften: Calm übernimmt alle genehmigten verbindlichen internen Datenschutzvorschriften für die Übermittlung von Daten in Länder außerhalb der EU und/oder weitere Regelungen wie die des Privacy Shield für die Datenübermittlung in die Vereinigten Staaten. Die VipassanaVereinigung e.V. berücksichtigt die auf die jeweilige Übermittlung anwendbaren verbindlichen internen Vorschriften.
  4. Standarddatenschutzklauseln: Calm kann genehmigte Standardklauseln für die Übermittlung von Daten in Länder außerhalb der EU übernehmen. Wenn Calm die von der Datenschutzaufsichtsbehörde genehmigten Standardklauseln übernimmt, wird die Angemessenheit automatisch anerkannt. Die Vipassana-Vereinigung e.V. wendet alle zutreffenden Klauseln auf die Übermittlung von Daten in Nicht-EULänder an.
  5. Ausnahmen: Falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien einschließlich verbindlicher interner Datenschutzvorschriften bestehen, ist eine Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
    a) Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
    b) Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.
    c) Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich.
    d) Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.
    e) Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
    f) Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
    g) Die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Eine Liste von Ländern, die den Angemessenheitsvorschriften der Kommission entsprechen, wird im Amtsblatt der Europäischen Union veröffentlicht.

5.9          Rechenschaftspflicht

Die DSGVO führt das Prinzip der Rechenschaftspflicht ein, demzufolge der Verantwortliche nicht nur für die Einhaltung der Vorschriften der DSGVO verantwortlich ist, sondern die Einhaltung auch für jeden Verarbeitungsschritt nachweisen können muss.
 
Im Besonderen sind Verantwortliche wie Calm oder die Vipassana-Vereinigung e.V. dazu verpflichtet, die erforderliche Dokumentation aller Verarbeitungsschritte aufzubewahren, angemessene Sicherheitsgarantien zu geben, Datenschutz-Folgenabschätzungen durchzuführen, die Vorschriften zu vorherigen Benachrichtigungen und Genehmigungen der Aufsichtsbehörden einzuhalten sowie einen Datenschutzbeauftragten zu benennen. Das bedeutet, dass jede Vipassana-Vereinigung in der Europäischen Union einen eigenen Datenschutzbeauftragten oder denjenigen von Calm benennen muss. Die Datenschutzkontaktpersonen fungieren als Stellvertreter des Datenschutzbeauftragten. Vereinigungen außerhalb der Union können ebenfalls eine Datenschutzkontaktperson benennen.


 6.        Rechte der Schüler

Im Hinblick auf die Datenverarbeitung sowie die über sie erhobenen Daten haben die Schüler ein Recht darauf:

  1. die Art der über sie erhobenen Daten sowie die Personen, denen gegenüber sie offengelegt worden sind, abzufragen.
  2. einer Verarbeitung, die mit einiger Wahrscheinlichkeit Schaden oder Leid herbeiführen kann, zu widersprechen.
  3. einer Verarbeitung zum Zwecke der Direktwerbung zu widersprechen.
  4. sich über die Mechanismen von automatischen Entscheidungsprozessen informieren zu lassen, die erhebliche Auswirkungen auf sie haben.
  5. dass wichtige Entscheidungen, die erhebliche Auswirkungen auf sie haben, nicht allein durch automatische Prozesse getroffen werden.
  6. auf Schadenersatz zu klagen, wenn ihnen durch einen Verstoß gegen die DSGVO ein Schaden entsteht.
  7. Maßnahmen zu ergreifen, um unrichtige Daten zu korrigieren, zurückzuhalten oder zu löschen. Dies beinhaltet auch das Recht auf Vergessenwerden und auf Vernichtung der Daten.
  8. bei der zuständigen Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) eine Beurteilung zu beantragen, ob irgendeine Vorschrift der DSGVO missachtet worden ist.
  9. bei der zuständigen Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) eine Beurteilung zu beantragen, ob irgendeine Vorschrift der DSGVO missachtet worden ist.
  10.  jedem automatischen Profiling, das ohne ihre Einwilligung durchgeführt wird, zu widersprechen.

Die Schüler können Zugriff auf ihre Daten verlangen. Aus dem Zugriffsanfrageverfahren geht auch hervor, wie Calm und die Vipassana-Vereinigung e.V. gewährleisten, dass ihre Reaktion auf die Zugriffsanfrage den Vorschriften der Verordnung entspricht.

Die Schüler haben zudem das Recht, der Verarbeitung ihrer Daten zu widersprechen. Ein Komitee für Sonderfälle überprüft die RSL-Einträge im Sinne der Verfahren von Calm. Bei Bedarf leitet die Vipassana-Vereinigung e.V. einen Schüler an den Datenschutzbeauftragten weiter, der zur Überprüfung eines Eintrags mit dem Komitee für Sonderfälle in Kontakt treten kann.

Beschwerden:
Betroffene Personen, die sich bei Calm oder der Vipassana-Vereinigung e.V. darüber beschweren möchten, wie ihre personenbezogenen Informationen verarbeitet wurden, können ihre Beschwerde direkt beim Datenschutzbeauftragten einlegen. Betroffene Personen können sich auch direkt bei der zuständigen Datenschutzaufsichtsbehörde (Autoriteit Persoonsgegevens) beschweren. Wenn sich betroffene Personen über den Umgang mit ihrer Beschwerde beschweren oder eine Entscheidung über eine Beschwerde anfechten möchten, können sie eine weitere Beschwerde beim Datenschutzbeauftragten einlegen. Dieses Recht sollte Teil des Beschwerdeverfahrens sein und den Schülern und Helfern mitgeteilt werden.

7.        Einwilligung

Unter „Einwilligung“ versteht die Vipassana-Vereinigung e.V. jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Daten einverstanden ist. Die Einwilligung der betroffenen Person kann jederzeit widerrufen werden.

Ferner versteht die Vipassana-Vereinigung e.V. unter „Einwilligung“, dass die betroffene Person vollständig über die beabsichtigte Verarbeitung aufgeklärt worden ist und ihr Einverständnis in der dafür erforderlichen geistigen Verfassung und ohne Druck bekundet hat. Jede Einwilligung, die unter Zwang oder aufgrund von irreführenden Informationen abgegeben wurde, stellt keine gültige Grundlage für die Datenverarbeitung dar. Es muss eine aktive Kommunikation zwischen den Parteien stattfinden, die als Beweis für die aktive Einwilligung dient. Aus der Nichtbeantwortung einer Mitteilung kann keine Einwilligung abgeleitet werden. Für sensible Daten muss die ausdrückliche und schriftliche Einwilligung der betroffenen Personen eingeholt werden, sofern keine alternative zulässige Grundlage für die Verarbeitung vorhanden ist.

In den meisten Fällen wird die Einwilligung in die Verarbeitung personenbezogener und sensibler Daten von Calm und der Vipassana-Vereinigung e.V. routinemäßig mithilfe standardisierter Einwilligungserklärungen eingeholt, etwa bei der Anmeldung eines Schülers zu einem Kurs oder eines Helfers zum Service. Für die Bereitstellung von Online-Diensten für Kinder durch Calm muss die Zustimmung der Eltern oder Erziehungsberechtigten eingeholt werden. Dies gilt für Kinder, die das sechzehnte Lebensjahr noch nicht vollendet haben (sofern der Mitgliedsstaat nicht ein niedrigeres Mindestalter zulässt, das jedoch nicht unter dreizehn Jahren liegen darf). Dieselben Bestimmungen gelten für die Verwendung der Daten von Kindern durch die VipassanaVereinigung e.V. außerhalb von Calm.

8.        Datensicherheit

Alle Helfer sind dafür verantwortlich, dass alle ihnen anvertrauten personenbezogenen Daten, sei es innerhalb oder außerhalb von Calm, auf sichere Weise aufbewahrt und unter keinen Umständen an eine Drittpartei weitergegeben werden, solange diese von Calm nicht ausdrücklich zum Empfang der betreffenden Daten autorisiert worden ist und eine Geheimhaltungsvereinbarung unterzeichnet hat. Personenbezogene Daten sind wie folgt aufzubewahren:

  • in einem abschließbaren Raum mit kontrolliertem Zugang; und/oder
  • in einem verschlossenen Schubfach oder Aktenschrank; und/oder
  • im Falle von digitalen Daten, mit passwortgeschütztem Zugriff in Übereinstimmung mit den internen Bestimmungen der Zugriffskontrollrichtlinie; und/oder
  • durch Speicherung auf verschlüsselten (Wechsel-)Datenträgern in, soweit möglich, anonymisierter und pseudonymisierter Form.

Es ist darauf zu achten, dass Computerbildschirme und -terminals nur von autorisierten Helfern eingesehen werden können.

Physische Unterlagen dürfen nicht an Orten liegen gelassen werden, an denen unbefugte Personen darauf zugreifen können, und sie dürfen nicht ohne ausdrückliche Genehmigung vom Arbeitsplatz entfernt werden. Sobald handschriftlich erstellte Unterlagen nicht mehr für die tägliche Betreuung der betroffenen Personen benötigt werden, sind sie aus der sicheren Aufbewahrung zu entfernen.

Personenbezogene Daten dürfen nur in Übereinstimmung mit der Datenaufbewahrungsrichtlinie gelöscht oder vernichtet werden. Physische Unterlagen, deren Aufbewahrungsfrist überschritten ist, müssen geschreddert und als vertraulicher Abfall entsorgt werden. Festplatten und nicht mehr benötigte Rechner sind zu entfernen und vor der Entsorgung unverzüglich zu zerstören.

Bei der Verarbeitung personenbezogener Daten an einem anderen Ort besteht ein größeres Risiko, dass die Daten verloren gehen oder gestohlen oder beschädigt werden. Die betreffenden Helfer müssen dafür ausdrücklich autorisiert werden, mit dem Verfahren für Datenschutzverletzungen vertraut sein und dieses bei Bedarf anwenden.

9.        Datenzugriffsrechte

Jede betroffene Person hat das Recht, auf alle personenbezogenen Daten (zu ihrer Person) zuzugreifen, die in Calm in elektronischer Form gespeichert sind oder in Papierform in einem entsprechenden Aktenablagesystem aufbewahrt werden. Dies umfasst auch das Recht, vertrauliche personenbezogene Aufzeichnungen, die in Calm eingepflegt wurden, sowie von Drittorganisationen zu dieser Person übermittelte Daten einzusehen.
 
Jeder Schüler hat zudem das Recht, auf die von der Vipassana-Vereinigung e.V. zu seiner Person gespeicherten Daten zuzugreifen. Dies umfasst auch das Recht, Unterlagen über Freiwilligenarbeit, Dana (sofern zutreffend), Newsletter, Fundsachen, Mitfahrgelegenheiten, Kinderkurse, Beschwerden oder sonstige Daten zu seiner Person, die von der Vereinigung außerhalb von Calm aufbewahrt werden.

10.  Offenlegung von Daten

Die Vipassana-Vereinigung e.V. stellt sicher, dass keine personenbezogenen Daten an unbefugte Dritte weitergegeben werden. Dazu gehören auch Familienangehörige, Freunde, Behörden und unter bestimmten Umständen die Polizei. Alle Helfer müssen Vorsicht walten lassen, wenn sie um die Offenlegung der Daten einer anderen Person gegenüber Dritten gebeten werden, und sind entsprechend zu schulen, damit sie mit jedem derartigen Risiko auf effektive Weise umzugehen lernen. Es ist stets abzuwägen, ob die Offenlegung der Daten für die Durchführung der Kurse relevant und erforderlich ist.

Die DSGVO lässt die Offenlegung ohne Einwilligung zu, sofern die Daten zu einem oder mehreren der folgenden Zwecke angefordert werden:

  • Aufrechterhaltung der nationalen Sicherheit.
  • Verhinderung oder Aufdeckung von Straftaten sowie die Festnahme oder Verfolgung von Straftätern.
  • Veranlagung oder Erhebung von Steuern.
  • Erfüllung der regulatorischen Vorschriften (einschließlich Gesundheit, Sicherheit und Wohlbefinden von arbeitenden Personen).
  • Verhinderung der ernsthaften Schädigung von Dritten.
  • Schutz der lebenswichtigen Interessen jedes Einzelnen (in lebensbedrohlichen Situationen).

Alle Datenanfragen zu einem dieser Zwecke müssen ausreichend dokumentiert werden und jede entsprechende Offenlegung ist vom Datenschutzbeauftragten ausdrücklich zu genehmigen.

11.     Aufbewahrung und Entsorgung von Daten

Personenbezogene Daten dürfen nicht länger aufbewahrt oder gespeichert werden, als sie benötigt werden. Sobald ein Helfer keinen Service mehr gibt oder ein Schüler sich nicht mehr für Kurse anmeldet, ist es mitunter nicht mehr erforderlich, alle Daten zu behalten, die über ihn vorliegen. Manche Daten werden über längere Zeiträume hinweg behalten als andere. Die Datenaufbewahrungs- und Datenentsorgungsverfahren von Calm finden in allen Fällen Anwendung, in denen Calm verwendet wird. Die Aufbewahrungsfrist für physische Anwendungen beträgt zehn Jahre, sofern keine deutlichen Hinweise auf einen möglichen Rechtsstreit vorliegen.

Entsorgung von Aufzeichnungen:
Personenbezogene Daten sind so zu entsorgen, dass die Rechte und Freiheiten der betroffenen Personen gewahrt bleiben (z. B. durch Schreddern, Entsorgung als vertraulicher Abfall, sichere Löschung von elektronischen Datenträgern) und dass die Richtlinien für sichere Entsorgung eingehalten werden.

12.   Verfahren für Datenschutzverletzungen

Die Vipassana-Vereinigung e.V. hat ein integriertes Verfahren für Datenschutzverletzungen. Jegliche Verletzung ist der Datenschutzkontaktperson oder dem Datenschutzbeauftragen gemäß der genehmigten Datenschutzerklärung zu melden.

13.   Inkrafttreten

Diese Datenschutzerklärung gilt ab dem 26. Mai 2018. Die Vipassana-Vereinigung e.V. behält sich das Recht vor, die Erklärung anzupassen und/oder zu erneuern. Alle Helfer in der Vereinigung sind an die Erklärung gebunden. Dies gilt auch für die Treuhänder, Kurzzeit- und Langzeithelfer sowie Assistenzlehrer und gastierende Assistenzlehrer.

14.   Mitteilung

Der Inhalt dieser Erklärung wird außerdem allen Schülern und Helfern, die sich für Kurse anmelden, in verständlicher und vollständiger Weise mitgeteilt. Die Erklärung kann von jedem Schüler und Helfer auf Anfrage eingesehen werden und ist auch über die Website der Vipassana-Vereinigung e.V. zugänglich.

15.  Versicherungen

Die Vipassana-Vereinigung e.V. prüft, ob die für die Helfer abgeschlossenen Versicherungen den Missbrauch von personenbezogenen Daten ausreichend abdecken. Bei Bedarf werden sie entsprechend angepasst.

16. Handbücher

Die Vipassana-Vereinigung e.V. prüft, ob alle einschlägigen Handbücher und Leitfäden die zuständigen Komitees und Lehrer über die Änderungen informieren.