Loading

Datenschutz tut nicht weh. die neue Datenschutz-Verordnung für Vereine

Gibt es ein langweiligeres Thema als Datenschutz? Für viele wahrscheinlich nicht. Dennoch reden derzeit alle davon. Schuld daran hat eine neue Datenschutz-Grundverordnung (DSGVO). Diese gilt nicht nur für Unternehmen und öffentliche Institutionen, sondern auch für alle gemeinnützigen Organisationen.

„Verordnung? Das klingt nach Arbeit. Wir haben doch schon genug Arbeit in unserem Verein! Wie sollen wir das alles schaffen? Wir arbeiten doch ehrenamtlich und die meisten können nicht noch mehr leisten“. Kommen Dir diese Worte bekannt vor? Uns auch. Deshalb möchten wir Dir den Einstieg in das Thema „Datenschutz für Vereine“ erleichtern.

1. Ruhe bewahren.

Datenschutz tut nicht weh. Es wurde zwar das Datenschutzrecht umfassend neu gestaltet, aber dieses Recht bringt auch gute Dinge mit sich. Du könntest Dich zum Beispiel mit Deinem Verein gegenüber den Mitgliedern als zeitgemäß und transparent beweisen. Tipp: Informiere die Vereinsmitglieder, sobald Euer Verein die Anforderungen der neuen Datenschutzverordnung umgesetzt hat.

2. Planen.

Die Europäische Datenschutzgrundverordnung und als Teil davon das neue Bundesdatenschutzgesetz tritt am 25.05.2018 in Kraft. Zu diesem Termin sollte Dein Verein bereits alle notwendigen Maßnahmen umgesetzt haben. Das Thema solltest Du auf keinen Fall auf die leichte Schulter nehmen oder auf die lange Bank schieben, denn eine Neuerung der Verordnung ist, dass bei Zuwiderhandeln extrem hohe Strafen drohen. Ihr braucht also schnell eine Strategie. Wer kann welche Aufgaben zu wann übernehmen?

3. Verstehen.

Bei der DSGVO geht es um den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Dadurch ergibt sich für die Mitgliedschaft in einem Verein, dass der Verein bei der Erhebung, Verarbeitung und Nutzung von Daten das Persönlichkeitsrecht seiner Mitglieder angemessen berücksichtigen muss. Darüber hinaus müssen Vereine die DSGVO nicht nur befolgen, sondern auch jederzeit nachweisen können, dass sie sich daran halten.

4. Umsetzen.

Die wichtigsten Fragen lauten: Welche Daten werden von wem erhoben und wie verarbeitet? Wer hat Zugang zu den Daten? Wo und wie werden die Daten gespeichert? Sobald die Daten unter Einsatz einer automatisierten Datenverarbeitung oder herkömmlicher Karteikarten verarbeitet werden, fallen diese in den Anwendungsbereich des Datenschutzgesetzes. Vorsicht: eventuell erhebt Dein Verein nicht nur Daten von Mitgliedern, sondern auch von „externen“ Kursteilnehmern, also Nicht-Mitgliedern.

5. Personenbezogene Daten.

Personenbezogene Daten sind nicht nur die zur Identifizierung einer natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburtsdatum. Es handelt sich darüber hinaus um alle Informationen, die etwas über die persönlichen oder sachlichen Verhältnisse einer bestimmten natürlichen Person aussagen, wie beispielsweise Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E-Mail-Adresse, Anschrift, Eigentumsverhältnisse, persönliche Interessen, Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierung bei einem Wettbewerb, etc.

Mache Dir Gedanken, welche und wie viele Daten Du für Deine Vereinsarbeit wirklich brauchst.

6. Keine Pauschal-Lösung.

Egal ob Sport-, Kultur- oder Umweltschutzverein. Jede Organisation muss personenbezogene Daten verarbeiten, um seine Mitglieder betreuen zu können. Dabei erhebt ein Förderverein andere Daten als ein Rehabilitations-Sportverein, welcher sogar „Gesundheitsdaten“ erheben muss. Es gibt für Vereine also keinen allgemein gültigen Datenschutz-Fahrplan.

7. Orientierung.

Die folgendenen Informationen bieten Dir eine konkrete Hilfestellung zum Thema:

  • personenbezogenen Daten dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie erhoben wurden (Satzung).
  • Mitgliedsformulare und Einwilligungen überprüfen (kommunizieren zu welchem Zweck die Daten erhoben werden).
  • unbedingt vom Mitglied oder „externen“ Teilnehmer unterzeichnen lassen und bei Wunsch diesem eine Kopie aushändigen
  • Alle Prozesse dokumentieren und aktuell halten.
  • Mitarbeiter/innen sensibilisieren und schulen.
  • Verzeichnis der Verarbeitungstätigkeiten anlegen (u.a. Angaben zu Zweck der Verarbeitung, Löschfristen und Empfänger)
  • Zugriffsrechte der Mitarbeiter überprüfen und dokumentieren (wer braucht wirklich Zugang zu allen Daten)
  • Datenschutzerklärung der Website anpassen, Webtracking (falls vorhanden) anpassen.

8. Daten sichern.

Vereine müssen ihre IT grundsätzlich so ausstatten, dass sie die Datenschutzgrundsätze des der DSGVO wirksam umsetzen. Insbesondere gilt hier das Gebot der Datenminimierung. Gemeinnützige Organisationen sollen also nur gerade so viele Daten erheben, wie zur Erfüllung des verfolgten Zwecks erforderlich sind. Daten können auch außerhalb der Vereinsräumlichkeiten gesichert werden, wenn die Datensicherheit dabei gewährleistet wird.

9. Daten löschen.

Ein Verein arbeitet noch nicht datenschutzkonform, wenn er bei der Erhebung, Verarbeitung und Nutzung von Daten das Persönlichkeitsrecht der Mitglieder angemessen berücksichtigt. In jedem Verein sollte zusätzlich ein Löschkonzept für die Daten vorliegen, da diese nicht auf Dauer im Bestand bleiben dürfen. Möchte ein Mitglied Zugang zu seinen Daten haben oder diese bei Euch löschen lassen, müsst Ihr dieser Aufforderung in maximal einem Monat nachkommen.

10. Verstöße melden.

Bei Datenlecks müsst Ihr zukünftig schnell handeln (spätestens 72 Stunden nach Erkennen des Vorfalls) und diesen Vorfall der Datenschutzbehörde melden. Bei hoch sensiblen Daten sind die Betroffenen umgehend direkt zu informieren.

11. Irrtümer vermeiden.

Die Daten Deines Vereins sind nicht automatisch die Daten des Dachverbandes, dem Dein Verein angehört! Erfüllt der Dachverband in Eurem Interesse Aufgaben für den Verein, so muss dieses Auftragsverhältnis mit Hilfe eines Vertrags zu Auftragsdatenverarbeitung geregelt werden.

12. Datenschutzbeauftragter.

In Organisationen ist wie bisher ein Datenschutzbeauftragter erforderlich, wenn mindestens 10 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Datenverarbeitung mit einem hohen Risiko für die Betroffenen verbunden ist. Dazu zählen auch Teilzeitkräfte, Auszubildende oder Praktikanten. Der Datenschutzbeauftragte steht zwischen dem Vereinsvorstand und den Mitgliedern und muss auf heikle datenschutzrechtliche Themen aufmerksam machen. Er haftet nicht persönlich für Vergehen, ist aber in datenschutzrechtlichen Fragen zu konsultieren.

Credits:

www.shutterstock.com

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.