EU-Datenschutz-Grundverordnung und Vereine
Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der EU und mit ihr das neue Bundesdatenschutzgesetz. In Deutschland galt auch bisher ein sehr strenges Datenschutzrecht, so dass mit der EU-DS-GVO nicht allzuviele Neuerungen verbunden sind. Vielmehr sollte es Anlass sein darüber nachzudenken, wo bereits Schwachstellen vorhanden sind. Grundsätze wie das „Verbot mit Erlaubnisvorbehalt“, Datensparsamkeit und Transparenz sind also nicht neu. Wichtig ist also zu prüfen, ob die Daten, die ein Verein von seinen Mitglieder erhebt überhaupt zur Erfüllung des Vereinszweckes notwendig sind.
Wer ist verantwortlich
Verantwortlich ist stets der Vorstand eines Vereins. Auch in Vereinen, in denen mehrere Abteilungen vorhanden sind, oder gar ein Datenschutzbeauftragter bestellt wurde. Vorstände sind also gut beraten, auf die Einhaltung der Anforderungen zu achten.
Was ändert sich
– Die Höhe der Geldbußen wurde, insbesondere um auch große Konzerne wie Google und Amazon zu verpflichten, angehoben.
– Die Beweislast wurde umgekehrt: Im Verdachtsfall muss der Verein nachweisen die Datenschutzprinzipien eingehalten zu haben.
– Die Informationspflichten und die Betroffenenrechte wurden weiter gestärkt, bis hin zum „Recht auf Vergessenwerden“ also der vollständigen Löschung.
– Bei Datenpannen muss innerhalb 72 Stunden eine Meldung an die Aufsichtsbehörde erfolgen.
Was ist zu tun
(nach: "Datenschutz im Sportverein" VIBSS-Infopapier (Stand Januar 2018))
1. Aufnahme einer Klausel in die Satzung des Vereins
Mit der Aufnahme Datenschutzklausel in der Satzung kann der Verein den Informationspflichten über die Datenverwendung gemäß Artikel 13 der DS-GVO – zumindest teilweise – entsprechen.
2. Erstellen einer Datenschutzordnung
In der Datenschutzordnung kann festgeschrieben werden, welche Daten im Verein durch welche Funktionen erhoben und verarbeitet werden, wer Zugriff auf welche Kategorien von Daten hat und welche technischen Maßnahmen ergriffen werden. Die Regelungen in der Datenschutzordnung können sich eng an den Verfahrensverzeichnissen anlehnen.
3. Verpflichtung der Mitarbeiter/innen auf das Datengeheimnis
Eine wichtige Maßnahme stellt die Verpflichtung der Mitarbeiter/innen und Funktionäre des Vereins auf das Datengeheimnis dar. Die Verpflichtungserklärung sensibilisiert die Mitarbeiter-/innen im Umgang mit den personenbezogenen Daten und gewährleistet die Regressmöglichkeit, wenn Mitarbeiter/innen das Datengeheimnis verletzen.
4. Erstellen oder Überarbeiten von Datenschutzerklärungen
Datenschutzerklärungen haben immer mehr Bedeutung. Beim Besuch von Internetseiten sind sie bereits vertraut. Sie dienen dazu den Informationspflichten gegenüber den Betroffenen bei der Erhebung und Verarbeitung von Daten nach der DS-GVO gerecht zu werden. Nach der Datenschutz-Grundverordnung müssen Verantwortliche Datenschutzhinweise (auf Homepages: Datenschutzerklärungen) bereitstellen. "Verantwortliche" sind u.a. auch Vereine, die als selbständige juristische Personen (z.B. als eingetragener Verein) handeln. Die Erfahrung zeigt, dass es immer wieder Unsicherheiten gibt, was genau in den Datenschutzhinweisen stehen muss und auf was verzichtet werden kann. Um Vereinen die Erstellung zu erleichtern, wurde vom Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg ein Tool entwickelt. Es ist vor allem für kleinere Vereine gedacht. Nach der Eingabe der erforderlichen Informationen sind auf dem Bildschirm die fertigen Hinweise zu sehen. Sie können dann als kopiert und weiter verarbeitet werden. Das Tool finden Sie im Internet unter folgendem [Link].
5. Erstellen oder Überarbeiten von Einwilligungerklärungen
Eine Verarbeitung der Daten ist rechtmäßig, wenn die Einwilligung der betroffenen Person vorliegt. Daher sollte im Rahmen der Neuaufnahme von Mitgliedern, aber auch von allen bestehenden Mitglieder, eine Einwilligung zur Nutzung von Daten angefordert werden. Diese baut auf dem Verarbeitungsverzeichnis auf und legt dar, zu welchem Zwecke welche Daten verarbeitet werden. Wichtig ist hierbei die Freiwilligkeit der Einwilligung zu betonen.
Ein Muster findet sich auf der letzten Seite der Handreichung des LFDI BW.
6. Ergreifen technischer und organisatorischer Maßnahmen
Der Verantwortliche im Verein hat alle technischen und organisatorischen Maßnahmen zu treffen oder zu veranlassen, um ein dem Risiko zum Datenmissbrauch in Einzelfällen angemessenes Schutzniveau zu gewährleisten. Dies reicht von Regelungen der Zugangskontrolle und des Passwortschutzes bis hin zu Anweisungen bezüglich der Löschung von Daten.
7. Erstellen von Verarbeitungsverzeichnissen
Nach Artikel 30 DS-GVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die Pflicht trifft aber nur Verantwortliche ab einer Zahl von 250 Mitarbeiter/innen. Hiervon gibt es jedoch einige komplexe Ausnahmen. Daher ist es sinnvoll als Verein freiwillig ein Verzeichnis der Verarbeitungstätigkeiten anzulegen, um die Datenverarbeitung innerhalb des Vereins transparent zu machen und im Verdachtsfall angemessen reagieren zu können.
8. Ggfs Benennung eines Datenschutzbeauftragten
Die Benennung ist verpflichtend, wenn mindestens 10 Personen ständig in der Datenverarbeitung tätig sind, oder besonders sensible Daten (Gesundheitsdaten, Parteizugehörigkeit, sexuelle Orientierung etc.) verarbeitet werden. Der Datenschutzbeauftragte kontrolliert nicht nur die Einhaltung der datenschutzrechtlichen Bestimmungen, sondern unterstützt und berät den Vorstand im Umgang mit personenbezogenen Daten. Der Vorstand kann nicht zugleich Datenschutzbeauftragter sein.
9. Benachrichtigungspflichten bei Datenschutzpannen
Kommt es zu Verletzungen des Schutzes personenbezogener Daten und ist diese mit einem Risiko für die Rechte und Freiheiten von Betroffenen verbunden, dann hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden die Aufsichtsbehörde und unter Umständen auch die betroffene Person zu benachrichtigen. Diese Melde-bzw. Benachrichtigungspflichten hat der Verein im Rahmen des Datenschutzmanagements zu berücksichtigen
10. Auftragsdatenverarbeitung (ADV) überprüfen
Wenn andere Organisationen oder Unternehmen im Auftrag des Vereins Daten verarbeiten muss ein entsprechender Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Dieser regelt den Umgang mit den Daten und garantiert die Einhaltung der Richtlinien. Eine ADV kann zum beispiel bei der Nutzung Cloud-basierter Mitgliederverwaltung oder einem Newsletter-System vorliegen.
Wer kann unterstützen
Eine wichtige Anlaufstelle ist der Landesbeauftragte für Datenschutz. Hier können Vereine bei konkreten Fragen Antworten erhalten. Eventuell lohnt es sich im beruflichen Umfeld einen Datenschutzbeauftragten zu kontaktieren. Schließlich stehen natürlich auch – fachlich einschlägige – Juristen beratend zur Seite.