Vereinsvertreter fragen mich in letzter Zeit sehr oft nach den Auswirkungen der neuen Datenschutzgrundverordnung auf ihre Arbeit und welche Pflichten sich daraus ergeben. Da ich kein Jurist bin, gebe ich hier nur meinen Kenntnisstand und einige Links weiter.
Mit dem Thema Datenschutz beschäftige ich mich schon seit einigen Jahren und besonders intensiv seit einigen Monaten. Die EU-DSGVO tritt nach zweijährigem Vorlauf am 25.5.2018 in Kraft. Ganz neu sind die Vorgaben der Datenschutzgrundverordnung nicht, vieles davon muss in Deutschland schon seit Jahren beachtet werden. Die wichtigste Neuerung ist, dass ausländische Unternehmen, die ihre Dienstleistungen auch in Deutschland erbringen und anbieten, sich nun auch an diese Verordnung halten müssen. Dabei hat die EU sicherlich an die großen Datensammler Google, Amazon, Facebook/WhatsApp und Co. gedacht, die teilweise Datenpannen mit Millionen von Kundendaten hatten.
Die wichtigste Anlaufstelle sind die Datenschutzbeauftragten der Länder. Diese haben für die Umsetzung der EU-DSGVO mehrere Informationen erstellt.
Die Webseite des Hessischen Datenschutzbeauftragten:
https://datenschutz.hessen.de
Wichtige Hinweise und Muster:
https://datenschutz.hessen.de/infothek/hinweise-und-muster-ds-gvo
Kurzpapiere der DSK (Konferenz der Datenschutzbeauftragten des Bundes und der Länder)
https://datenschutz.hessen.de/infothek/kurzpapiere-der-dsk
https://www.lda.bayern.de/media/info_bw_verein.pdf
https://www.lda.bayern.de/media/muster_1_verein.pdf
Was gibt es zu tun?
Einen Überblick gibt der Fragenkatalog zur Vorbereitung auf die DSGVO
Verzeichnis der Verarbeitungstätigkeiten
Im ersten Schritt sollte man klären, wer wo welche personenbezogenen Daten vorliegen hat und ein Verzeichnis der Verarbeitungstätigkeiten erstellen:
Hierfür wird ein Musterformular zur Verfügung gestellt:
Ein ausgefülltes Musterformular des Bay. LDA:
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
Auftragsverarbeitung
Im zweiten Schritt ist zu klären, ob Daten an Dritte zur Verarbeitung weitergegeben werden oder ob Dritte darauf Zugriff haben könnten (z.B. Webseiten-Hoster oder ein Dienstleister bei der Wartung von Software/Hardware). Mit diesen ist dann ein Vertrag zu schließen. Es ist eine wichtige Änderung des neuen Rechts, dass nun auch der Datenverarbeiter (Auftragnehmer) in die Pflicht genommen wird und für den Schutz der anvertrauten Daten genauso verpflichtet ist, wie der Auftraggeber.
In diesem Musterformular erfasst man die Auftragsverarbeiter:
Mit dieser Formulierungshilfe erstellt man sich den Vertrag zur Auftragsverarbeitung:
Impressum und Datenschutz-Informationen für die Webseite
Betreiber einer Webseite sollten dringend ihr Impressum und prüfen und genaue Informationen zu erhobenen und verarbeiteten Daten geben. Hierbei ist jeder Dienst zu beachten, der Zugriffsdaten der Webseitenbesucher erfasst (Google Analytics, Piwik/Matomo-Analytics, Facebook Like-Button, Newsletter-Dienstleister etc.).
An dieser Stelle würde ich normalerweise den Impressums- und Datenschutz-Generator von e-recht24.de empfehlen, den ich seit Jahren selbst verwende, aber diese sind schon seit gut einer Woche (Stand: 25.5.2018) mit Wartungsarbeiten beschäftigt und nur die kostenpflichtige Premium-Version ist verfügbar. Ob es Absicht ist… ?!?
Daher hier eine Alternative:
https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html
Vereine mit Facebook-Auftritt brauchen ggf. hierfür auch ein Impressum.
Rechte der Mitglieder
Jedes Mitglied hat das Recht, zu erfahren, welche Daten von ihm gespeichert werden und hat auch ein Widerrufsrecht. Diese Information kann und sollte man auf der Beitrittserklärung unterbringen. Da dies jedoch für bestehende Mitglieder nicht mehr änderbar ist, empfiehlt sich nach meinem Kenntnisstand die Aufnahme in die Satzung. Eine ordnungsgemäß durchgeführte Satzungsänderung informiert alle bestehenden Mitglieder über die Datenspeicherung und das Widerrufsrecht.
Wie bereits erwähnt haben Mitglieder ein Recht auf Informationen über die gespeicherten Daten und deren Verwendung. Der Verein muss innerhalb von 30 Tagen dieser Auskunftspflicht nachkommen und die Informationen dem Mitglied zur Verfügung stellen:
Aufnahme in die Vereinssatzung
Informationen zu den erhobenen Daten, deren Verarbeitung und das Widerrufsrecht sollten in die Satzung aufgenommen werden. Wer seine Satzung in den letzten Jahren mit einem Fachanwalt ausgesetzt hat, hat dies möglicherweise bereits berücksichtigt.
Braucht der Verein einen Datenschutzbeauftragten?
Ich würde diese Frage mit „ja“ beantworten, denn zumindest sollte man jemanden benennen, der sich im Verein mit dem Datenschutz beschäftigt, das Verzeichnis der Verarbeitungstätigkeiten erstellt und pflegt und ggf. Verträge für die Datenverarbeitung macht. Wenn mehr als 9 Personen mit der Datenverarbeitung beschäftigt sind, muss zudem ein Datenschutzbeauftragter bei der Aufsichtsbehörde gemeldet werden. Bitte hier den entsprechenden Gesetzestext aufmerksam lesen.
Fazit
Man hat eine Menge zu tun, wenn es um den Datenschutz geht. Wer sich mit diesem Thema in den vergangenen Jahren noch nicht beschäftigt hat, sollte dringend damit beginnen. Wichtig ist, im Verein oder im Umfeld jemanden zu finden, der sich mit diesem Thema ausreichend beschäftigt oder bereits Fachkenntnis besitzt. Aus meiner Sicht sollte es eine Person aus dem IT-Umfeld sein, da es viele technische Aspekte gibt. Eine Person mit rechtlichem Hintergrund ist sicherlich auch eine Hilfe.
Leider sind viele Teile der Verordnung nicht eindeutig und auch die Fachanwälte geben zu einigen Themen keine definitiven Aussagen und wollen auf erste Urteile warten, um mehr Klarheit zu erlangen. Den ein oder anderen wird dies sicherlich beunruhigen. Wichtig ist meiner Meinung nach, sich so schnell wie möglich mit dem Thema Datenschutz zu befassen und die Punkte nach und nach abzuarbeiten, frei nach dem Motto: besser spät als nie und besser etwas als nichts.
Update
Da ich mit weiterhin sehr umfangreich mit dem Thema beschäftige, wird diese Beitrag öfter angepasst werden:
12.05.2018: Datenschutz im Verein nach der Datenschutzgrundverordnung
11.05.2018: Ausgefülltes Muster der Verarbeitungstätigkeiten hinzugefügt