Computer & Medien, Freizeit, Informationen, Internet, Joomla!, Webanwendungen, Wordpress
Schreibe einen Kommentar

Datenschutz im Verein (EU-DSGVO)

Vereinsvertreter fragen mich in letzter Zeit sehr oft nach den Auswirkungen der neuen Datenschutzgrundverordnung auf ihre Arbeit und welche Pflichten sich daraus ergeben. Da ich kein Jurist bin, gebe ich hier nur meinen Kenntnisstand und einige Links weiter.

Mit dem Thema Datenschutz beschäftige ich mich schon seit einigen Jahren und besonders intensiv seit einigen Monaten. Die EU-DSGVO tritt nach zweijährigem Vorlauf am 25.5.2018 in Kraft. Ganz neu sind die Vorgaben der Datenschutzgrundverordnung nicht, vieles davon muss in Deutschland schon seit Jahren beachtet werden. Die wichtigste Neuerung ist, dass ausländische Unternehmen, die ihre Dienstleistungen auch in Deutschland erbringen und anbieten, sich nun auch an diese Verordnung halten müssen. Dabei hat die EU sicherlich an die großen Datensammler Google, Amazon, Facebook/WhatsApp und Co. gedacht, die teilweise Datenpannen mit Millionen von Kundendaten hatten.

Die wichtigste Anlaufstelle sind die Datenschutzbeauftragten der Länder. Diese haben für die Umsetzung der EU-DSGVO  mehrere Informationen erstellt.

Die Webseite des Hessischen Datenschutzbeauftragten:
https://datenschutz.hessen.de

Wichtige Hinweise und Muster:
https://datenschutz.hessen.de/infothek/hinweise-und-muster-ds-gvo

Kurzpapiere der DSK (Konferenz der Datenschutzbeauftragten des Bundes und der Länder)
https://datenschutz.hessen.de/infothek/kurzpapiere-der-dsk

Datenschutz im Verein nach der Datenschutzgrundverordnung (DSGVO) vom Landesbeauftragten für Datenschutz in Baden-Württemberg

https://www.lda.bayern.de/media/info_bw_verein.pdf

Anforderungen der Datenschutz-Grundverordnung (DSGVO) an Vereine vom bayLDA
https://www.lda.bayern.de/media/muster_1_verein.pdf

Was gibt es zu tun?

Einen Überblick gibt der Fragenkatalog zur Vorbereitung auf die DSGVO

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Fragen%20zur%20Vorbereitung%20DSGVO.PDF

 

Verzeichnis der Verarbeitungstätigkeiten

Im ersten Schritt sollte man klären, wer wo welche personenbezogenen Daten vorliegen hat und ein Verzeichnis der Verarbeitungstätigkeiten erstellen:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/content-downloads/Hinweise%20zum%20Verzeichnis%20von%20Verarbeitungst%C3%A4tigkeiten_1.pdf

Hierfür wird ein Musterformular zur Verfügung gestellt:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/content-downloads/Muster%20Verarbeitungsverzeichnis%20Verantwortlicher.docx

Ein ausgefülltes Musterformular des Bay. LDA:
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf

 

Auftragsverarbeitung

Im zweiten Schritt ist zu klären, ob Daten an Dritte zur Verarbeitung weitergegeben werden oder ob Dritte darauf Zugriff haben könnten (z.B. Webseiten-Hoster oder ein Dienstleister bei der Wartung von Software/Hardware). Mit diesen ist dann ein Vertrag zu schließen. Es ist eine wichtige Änderung des neuen Rechts, dass nun auch der Datenverarbeiter (Auftragnehmer) in die Pflicht genommen wird und für den Schutz der anvertrauten Daten genauso verpflichtet ist, wie der Auftraggeber.

In diesem Musterformular erfasst man die Auftragsverarbeiter:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/content-downloads/Muster%20Verarbeitungsverzeichnis%20Auftragsverarbeiter.docx

Mit dieser Formulierungshilfe erstellt man sich den Vertrag zur Auftragsverarbeitung:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Formulierungshilfe-Auftragsverarbeitungsvertrag%20nach%20DSGVO_0.pdf

 

Impressum und Datenschutz-Informationen für die Webseite

Betreiber einer Webseite sollten dringend ihr Impressum und prüfen und genaue Informationen zu erhobenen und verarbeiteten Daten geben. Hierbei ist jeder Dienst zu beachten, der Zugriffsdaten der Webseitenbesucher erfasst (Google Analytics, Piwik/Matomo-Analytics, Facebook Like-Button, Newsletter-Dienstleister etc.).

Empfehlenswert hierfür z.B. der Impressums-Generator von eRecht24:

https://www.e-recht24.de/impressum-generator.html

Bei eRecht24 findet man auch einen Generator für die Datenschutzerklärung:

https://www.e-recht24.de/muster-datenschutzerklaerung.html

Anmerkung 27.04.2018: Leider hat der Datenschutz-Generator mittlerweile viele Punkte, u.a. die neuen Vorgaben der DSGVO, die Premium-Kunden vorbehalten sind. Eine Alternative wäre daher:

https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html

Vereine mit Facebook-Auftritt brauchen ggf. hierfür ein spezielles Impressum:

https://www.e-recht24.de/facebook-impressum-generator.html

 

Rechte der Mitglieder

Jedes Mitglied hat das Recht, zu erfahren, welche Daten von ihm gespeichert werden und hat auch ein Widerrufsrecht. Diese Information kann und sollte man auf der Beitrittserklärung unterbringen. Da dies jedoch für bestehende Mitglieder nicht mehr änderbar ist, empfiehlt sich nach meinem Kenntnisstand die Aufnahme in die Satzung. Eine ordnungsgemäß durchgeführte Satzungsänderung informiert alle bestehenden Mitglieder über die Datenspeicherung und das Widerrufsrecht.

Wie bereits erwähnt haben Mitglieder ein Recht auf Informationen über die gespeicherten Daten und deren Verwendung. Der Verein muss innerhalb von 30 Tagen dieser Auskunftspflicht nachkommen und die Informationen dem Mitglied zur Verfügung stellen:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/content-downloads/Kurzpapier%20Nr.6_Auskunftsrecht.pdf

 

Aufnahme in die Vereinssatzung

Informationen zu den erhobenen Daten, deren Verarbeitung und das Widerrufsrecht sollten in die Satzung aufgenommen werden. Wer seine Satzung in den letzten Jahren mit einem Fachanwalt ausgesetzt hat, hat dies möglicherweise bereits berücksichtigt.

 

Braucht der Verein einen Datenschutzbeauftragten?

Ich würde diese Frage mit „ja“ beantworten, denn zumindest sollte man jemanden benennen, der sich im Verein mit dem Datenschutz beschäftigt, das Verzeichnis der Verarbeitungstätigkeiten erstellt und pflegt und ggf. Verträge für die Datenverarbeitung macht. Wenn mehr als 9 Personen mit der Datenverarbeitung beschäftigt sind, muss zudem ein Datenschutzbeauftragter bei der Aufsichtsbehörde gemeldet werden. Bitte hier den entsprechenden Gesetzestext aufmerksam lesen.

 

Fazit

Man hat eine Menge zu tun, wenn es um den Datenschutz geht. Wer sich mit diesem Thema in den vergangenen Jahren noch nicht beschäftigt hat, sollte dringend damit beginnen. Wichtig ist, im Verein oder im Umfeld jemanden zu finden, der sich mit diesem Thema ausreichend beschäftigt oder bereits Fachkenntnis besitzt. Aus meiner Sicht sollte es eine Person aus dem IT-Umfeld sein, da es viele technische Aspekte gibt. Eine Person mit rechtlichem Hintergrund ist sicherlich auch eine Hilfe.

Leider sind viele Teile der Verordnung nicht eindeutig und auch die Fachanwälte geben zu einigen Themen keine definitiven Aussagen und wollen auf erste Urteile warten, um mehr Klarheit zu erlangen. Den ein oder anderen wird dies sicherlich beunruhigen. Wichtig ist meiner Meinung nach, sich so schnell wie möglich mit dem Thema Datenschutz zu befassen und die Punkte nach und nach abzuarbeiten, frei nach dem Motto: besser spät als nie und besser etwas als nichts.

 

Update

Da ich mit weiterhin sehr umfangreich mit dem Thema beschäftige, wird diese Beitrag öfter angepasst werden:

12.05.2018: Datenschutz im Verein nach der Datenschutzgrundverordnung
11.05.2018: Ausgefülltes Muster der Verarbeitungstätigkeiten hinzugefügt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.