Die Datenschutzgrundverordnung (DSGVO) ist in der Zusammenfassung die Neuregelung der Datenschutzgesetze durch die EU. Sie trat am 24.05.2016 in Kraft und wird seit dem 25.5.2018 unmittelbar durchgesetzt. Zuvor waren diese Gesetze EU-weit uneinheitlich gewesen, und die DSGVO wurde geschaffen, um sie zu vereinheitlichen und zu verbessern.
Datenschutz ist für Vereine ein wichtiges Thema, weil der Umgang mit Mitgliederdaten zum einen nicht vermieden werden kann und zum anderen in der Regel ein Interesse daran besteht, die gespeicherten personenbezogenen Daten der Mitglieder angemessen zu schützen. Wo personenbezogene Daten verwendet werden, müssen Regeln beachtet werden. Dabei ist die Datenschutz-Grundverordnung als gemeinnütziger Verein ebenso zu befolgen wie als Unternehmen: Die Vorschriften gelten allgemein, Sondervorschriften für den Verein gibt es nicht.
Im folgenden bekommt Ihr eine Art „Checkliste“ in die Hand, die Ihr nach und nach abarbeiten könnt, um den Datenschutz in Eurem Verein zu gewährleisten. Die als Quelle genannte Seite lege ich Euch dabei für weitere Informationen ausdrücklich ans Herz.
Rechtshinweis
Dies ist ein Leitfaden zur Umsetzung der DSGVO im Verein. Dieser wurde nach bestem Wissen und Gewissen erstellt und dient lediglich der Erstinformation über die DSGVO und BDSG und erhebt daher keinen Anspruch auf Vollständigkeit. Dieser Leitfaden enthält keine Dokumente. Darüber hinaus stellt dieser Leitfaden und die darin enthaltenen Informationen in keiner Weise eine Rechtsberatung dar und kann diese auch nicht ersetzen. Der Autor des jeweiligen Inhaltes übernimmt keine Haftung für die Richtigkeit und Vollständigkeit der Ausführungen. Weiterhin übernimmt der Autor keine Haftung für sonstige Schäden wegen Auslassung oder Fehlern.
Organigramm
Habt Ihr im Verein ein Organigramm?
Erläuterung:
Um sich einen ersten Überblick zu verschaffen, zeigt die Erfahrung, dass ein Organigramm unumgänglich ist, damit die Struktur des Vereines klar erkennbar ist.
Dies beinhaltet auch alle Spielgemeinschaften (SG) oder auch Fördervereine (egal ob nur wirtschaftlich oder nicht)
Datenschutzhandbuch
Habt Ihr ein Datenschutzhandbuch für Euren Verein angelegt?
Erläuterung:
Das Datenschutzhandbuch legt die Struktur und die Prozesse des Datenschutzmanagements dar, die ein Verein umsetzt. Ganz entscheidend erfüllt das Datenschutzhandbuch mit den beigefügten Anlagen die in der DSGVO geforderten Dokumentations- und Nachweispflichten. Sie stellt eine entscheidende Säule der gesetzlichen Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO dar.
Selbstverständlich können Sie auch eines von Ihnen ausgewählten Software oder SaaS Lösung bedienen. Dies ist jedoch nicht mein Ansatz zur Umsetzung der DSGVO.
Zuständigkeiten
Habt Ihr festgelegt, wer in Eurem Verein für die Umsetzung der einzelnen Datenschutzaufgaben zuständig ist?
Erläuterung:
In Eurem Verein muss festgelegt sein, wer für welchen Bereich des Datenschutzes zuständig ist. z.B. verantwortlich für EDV, Mitgliederdaten, Personalakten, Internetseite etc.
Die jeweilige Verantwortung muss klar, nachvollziehbar und lückenlos festgelegt werden. Die mit einzelnen Datenschutzaufgaben beauftragten Mitarbeiter müssen über die notwendigen Fähigkeiten, Kompetenzen und Ressourcen verfügen, die zur Erfüllung der Aufgaben erforderlich sind. Als Hauptvorstand/Präsidium bleiben Sie weiterhin für die Umsetzung verantwortlich.
Die Erfahrung hat leider gezeigt, dass in kleineren Vereinen diese Aufgaben der Hauptvorstand übernimmt. Dies stellt ganz klar einen Interessenkonflikt dar und sollte schnellstmöglich geändert werden. In größeren Vereinen häufig die Geschäftsstelle. Die Zuständigkeiten in Eurem Verein sind in einer Auflistung zu dokumentieren.
Datenschutzbeauftragte/r
Benötigt Ihr aufgrund der Personenanzahl in Eurem Verein einen Datenschutzbeauftragten (DSB)?
Erläuterung:
Die Bestellung eines Datenschutzbeauftragten für Vereine ist verpflichtend, wenn mindestens zwanzig Personen regelmäßig mit der Datenverarbeitung beschäftigt werden. Zur Ermittlung der Personenzahl muss eine aktuelle Übersicht der mit der Datenverarbeitung in Eurem Verein befassten Personen vorgehalten werden.
Habt Ihr einen Datenschutzbeauftragten schriftlich für Euren Verein bestellt?
Erläuterung:
Die Bestellung eines Datenschutzbeauftragten für Vereine muss schriftlich erfolgen, wenn mindestens zwanzig Personen regelmäßig mit der Datenverarbeitung beschäftigt werden.
Unabhängig davon ist die Bestellung eines Datenschutzbeauftragten erforderlich, wenn der Verein eine Datenschutz-Folgenabschätzung erfolgt oder aus Gründen der Datenorganisation der Vereinsführung eine Bestellung freiwillig vornehmen will.
Meldung DSB
Habt Ihr den Datenschutzbeauftragten in Eurem Verein den Funktionsträgern und der zuständigen Datenschutzbehörde bekannt gegeben?
Nach der Bestellung des Datenschutzbeauftragten müsst Ihr dessen Namen und Kontaktdaten (Anschrift, Telefon, E-Mail-Adresse) der für Euch zuständigen Datenschutzbehörde melden. Die Datenschutzbehörden werden hierfür automatisierte Anmeldeverfahren über ihre Internetpräsenzen anbieten. Informiert Euch sich dafür auf der Internetseite der für Euch zuständigen Landesdatenschutzbehörde. Zusätzlich müsset Ihr ihn z.B. auf der Internetseite und in einer Mitgliederinformation Eurem Verein bekannt geben.
Einwilligung für die Veröffentlichung von Mitgliederdaten
Habt Ihr die notwendigen Einwilligungen zur Datenverarbeitung?
Erläuterung:
In jedem Verein werden Daten von Mitgliedern, Mitarbeitern und Kontaktpersonen der Vertragspartner (z.B. Abrechnungsinstitut, EDV-Wartung) verwendet. Für den Umgang mit diesen Daten benötigen Ihr eine Rechtfertigung.
Bei Mitgliederdaten ergibt sich die Erlaubnis bereits in Teilen u.a. aus dem Vereinseintritt bzw. aus den verschiedenen gesetzlichen Verpflichtungen u.a. zur Dokumentation und Abrechnung. Daher benötigt Ihr für die Verwendung dieser Daten (k)eine ausdrückliche Einwilligung Eurer Mitglieder. Dies muss in einer Vereinssatzung oder Datenschutzordnung hervorgehen. Bezüglich der Daten Eurer Mitarbeiter und der Kontaktdaten Ihrer Vertragspartner folgt die Erlaubnis zur Verwendung der Daten ebenfalls aus dem jeweils zugrundeliegenden Vertrag bzw. Vertragsverhältnis, sodass eine Einwilligung eventuell nicht erforderlich ist. Jedoch ist diese Vertragszustimmung auch immer Zweckgebunden.
Zeigt Ihr auf der Internetseite Eures Vereines oder z.B. im Flyer, Vereinszeitschrift Fotos Eurer Mitglieder?
Veröffentlichungen von Mitarbeitern
Habt Ihr eine Einwilligungserklärung Eurer Mitarbeiter eingeholt um Fotos und Namen auf der Internetseite oder Flyer etc. zu verwenden?
Erläuterung:
Wenn Ihr mit Mitarbeitern werbt, indem Ihr diese auf Eurer Vereinswebseite oder dem Flyer mit Foto zeigen, müsst Ihr eine freiwillige Einwilligung Eurer Mitarbeiter einholen, in der über Zweck, Art (z.B. Foto mit Namen und Funktion) und Umfang (z.B. im Internet) der Veröffentlichung informiert wird.
Verarbeitungsverzeichnis
Habt Ihr für die Datenverarbeitungsprozesse in Eurem Verein ein Verarbeitungsverzeichnis nach der DSGVO?
Erläuterung:
Ihr müsst ein Verarbeitungsverzeichnis für sämtliche in Eurem Verein vorgesehenen Datenverarbeitungsvorgänge dokumentieren. Dies gilt für die Verarbeitung der Daten über Eure Mitglieder, Arbeitnehmer wie auch der sonstigen Personen. Dazu gehören z.B. Erfassung von Stammdaten Eurer Mitglieder, Führen von Ehrungen der Mitglieder, Gehaltszahlungen etc.
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) kann unterschiedlich geführt werden. Ob Word oder Excel oder auch wie schon erwähnt in einer ausgewählten Software oder SaaS Lösung.
Die Vielfalt besteht darin, das Ihr z.B. für jede Tätigkeit ein eigenes Dokument erstellen oder die Tätigkeiten in einem Dokument einfließen lasst.
Folgenabschätzung
Habt Ihr eine Risikobeurteilung Eurer einzelnen Datenverarbeitungsvorgänge dokumentiert (Folgenabschätzung)?
Erläuterung:
Der Verein ist verpflichtet die Risiken jedes einzelnen Datenverarbeitungsvorgangs zu ermitteln und zu dokumentieren (siehe Risikobeurteilung (Checkliste). Können die geplanten Datenverarbeitungen zu hohen Risiken für die Rechte und Freiheiten der Mitglieder führen, muss eine Datenschutz-Folgenabschätzung vorgenommen werden.
Eine grundsätzliche Verpflichtung zur Datenschutz-Folgenabschätzung besteht für Vereine nicht. Eine Ausnahme kommt dann in Betracht, wenn die Datenverarbeitung des Vereines erheblich von der üblichen Struktur bzw. vom üblichen Umfang einem Verein abweicht.
Im Falle einer erforderlichen Datenschutz-Folgenabschätzung muss ein Datenschutzbeauftragter für den Verein bestellt werden.
Auftragsverarbeitung/ AV-Vertrag
Übermittelt Ihr personenbezogene Daten Eures Vereins an externe Stellen oder Unternehmen im Sinne einer Auftragsdatenverarbeitung?
Erläuterung:
Werden personenbezogene Daten Eures Vereines an externe Stellen und Unternehmen übermittelt, kann es sich um eine Auftragsdatenverarbeitung handeln. Ob es sich um eine Auftragsdatenverarbeitung handelt, kann nach folgenden Kriterien bewertet werden:
- Die externe Stelle hat keine Befugnis über die überlassenen Daten zu verfügen
- Die externe Stelle nutzt nur die von Euch überlassenen Daten
- Der externen Stelle ist die Verwendung der überlassenen Daten über den Überlassungszweck hinaus verboten
- Die externe Stelle hat mit dem von der Datenüberlassung betroffenen Mitglieder bzw. mit dem Mitarbeiter keine vertragliche Beziehung
- Gegenüber dem von der Datenüberlassung betroffenen Mitglied bzw. mit dem Mitarbeiter seid Ihr nach wie vor für die Datensicherheit verantwortlich
Beispiele für den Verein:
- Mitgliederdaten gehen von einem Verein in eine Spielgemeinschaft (SG)
- Mitgliederdaten werden an einen Dachverband übermittelt (Zwecks Spielberechtigung / Wettkampfanmeldung)
- Mitglieder- oder Personaldaten an Aktenvernichter
- Mitglieder- oder Personaldaten an Steuerberatung
- Personaldaten an Lohn- und Gehaltsbuchhaltung
- Zugriff auf Mitglieder- oder Personaldaten durch EDV-Wartung
- Zugriff auf Mitglieder- oder Personaldaten durch Software-Support
In einem solchen Fall müsst Ihr den Schutz zugunsten der pbDaten Eures Vereines durch den Abschluss von Auftragsdatenverarbeitungsverträgen (AV-Vertrag) mit den externen Stellen und Unternehmen absichern.
Überprüft, ob die Vereinbarungen zur Auftragsdatenverarbeitung, die Ihr mit externen Stellen (z.B. Abrechnungsinstitute, Dachverbände, EDV-Wartung, Lohnbuchhalten etc.) abgeschlossen habt, der DSGVO entsprechen bzw., wenn Ihr noch keine solche Vereinbarungen getroffen habt, solltet Ihr dieses Vereinbarungen zur Auftragsdatenverarbeitung erstmals abschließen.
Interne Schulung
Werden die Abteilungsvorstände, Funktionsträger, Trainer, Übungsleiter, Helfer und Angestellte des Vereines im Zusammenhang mit dem Datenschutz ausreichend geschult (Schulung)?
Erläuterung:
Die mit der Datenverarbeitung im Verein befassten Funktionsträger müssen bezüglich der Organisationsanweisung sowie der Umsetzung des Datenschutzes geschult werden. Sofern ein Datenschutzbeauftragter bestellt und die Fachkunde erworben hat, kann dieser die Schulung im Verein intern vornehmen. Zusätzlich sind alle Funktionsträger/innen über die wesentlichen Grundlagen der Verfahrensanweisung zum Datenschutz zu informieren. Die Durchführung von Schulungen muss in regelmäßigen Abständen wiederholt und im Schulungsplan dokumentiert werden.
Verpflichtungserklärung
Habt Ihr Verpflichtungserklärungen Eurer Funktionsträger eingeholt?
Erläuterung:
Alle mit der Datenverarbeitung von personenbezogenen Daten befassten Funktionsträger und Mitarbeiter müssen über das Datengeheimnis und seine rechtliche Bedeutung informiert und darauf verpflichtet werden. Wegen des besonderen Charakters der Mitgliederdaten ist es dringend zu empfehlen, die bestehenden Verpflichtungserklärungen aufgrund der geänderten Rechtslage zu erneuern bzw. erstmals einzuholen. Die Verpflichtungserklärungen sind von Euren Funktionsträgern und Mitarbeitern zu unterschreiben und zur Personalakte zu nehmen.
Informationsanspruch
Stellt Ihr die geforderten Informationen zum Datenschutz in Form von Datenschutzerklärungen den von der Datenverarbeitung betroffenen Personen zur Verfügung?
Erläuterung:
Sämtliche betroffene Personen haben einen Anspruch auf allgemeine Information zur Datenverarbeitung des Vereines. Diese Information muss vor dem Beginn der Datenverarbeitung erfolgen. Habt Ihr eine Internetseite für Euren Verein, müsst Ihr auf der Internetseite ebenfalls über den Datenschutz informieren. Arbeitnehmern ist als Anlage zum Arbeitsvertrag ebenfalls eine entsprechende Information für Personal auszuhändigen.
Meldepflichten
Ist Euch bekannt, was Ihr bei einer Datenpanne beachten müsst?
Erläuterung:
Wird der Schutz personenbezogener Daten in Eurem Verein verletzt (z.B. Datenverlust durch Cyberkriminalität, Diebstahl etc.), seid Ihr zur Meldung der Datenpanne in Form einer internetbasierten Mitteilung an die für Euch zuständige Datenschutzbehörde verpflichtet. Außerdem müssen die von der Datenpanne betroffenen Mitglieder, Angestellten oder sonstigen Personen von Euch informiert werden. Dafür ist eine Verfahrensanweisung zum Vorgehen bei Datenschutzverstößen vorzuhalten.
Die Datenschutzbehörden stellen auf ihren jeweiligen Internetseiten hierfür Meldeformulare zur Verfügung. Wendet Euch dafür an Eure zuständige Datenschutzbehörde.
Anfrage durch Datenschutzbehörde
Ist in Eurem Verein geregelt, wie auf Anfragen der zuständigen Datenschutzbehörde reagiert wird?
Erläuterung:
Für die Reaktion Eures Vereines auf Anfragen der zuständigen Datenschutzbehörde müssen die Zuständigkeiten und der Ablauf in einem Verfahren festgelegt werden.
Datenorganisation
Habt Ihr die Datenorganisation in Eurem Verein ausreichend überprüft und geeignete Maßnahmen für die Datensicherheit getroffen?
Erläuterung:
Die Datenschutzregelungen verlangen für die Datenverarbeitung von personenbezogenen Daten Sicherheitsvorkehrungen im Rahmen einer Datenorganisation, um die Rechte und Freiheiten der betroffenen Personen sicherzustellen. Bei den Schutzvorkehrungen muss der aktuelle Stand der Technik beachtet werden. Datenschutz bedeutet dabei die ständige Anpassung an veränderte Risiken durch die Datenverarbeitung und Möglichkeiten der Datensicherung.
Ihr müsst für die mit der Datenverarbeitung befassten Personen Eures Vereines eine Verfahrensanweisung vorhalten. Des Weiteren müsst Ihr die Betroffenenrechte sicherstellen.
Dazu gehört auch, dass ein IT-Sicherheitsmanagement bei Verwendung von EDV-Programmen zur Datenverwaltung berücksichtigt werden muss. Bei Nutzung einer vereinseigenen EDV müssen ebenfalls Maßnahmen der Datenschutzorganisation ergriffen werden. Diese sind z.B. in einem IT-Sicherheitshandbuch gemeinsam mit Ihrer EDV-Beratung zu erstellen. Nehmt für die Erstellung des IT-Sicherheitshandbuchs mit Eurem EDV-Support Kontakt auf und nehmt das Handbuch in Euer eigenes Datenschutzhandbuch auf.
Auch solltet Ihr regelmäßig Eure Datenorganisation überprüfen und dies in einem Auditprotokoll dokumentieren.
TOM´s
Habt Ihr Eure im Rahmen des Datenschutzes und Datensicherheit getroffenen Maßnahmen protokolliert?
Erläuterung:
Für sämtliche im Rahmen des Datenschutzes getroffene technische und organisatorischen Maßnahmen sind unter den Namen TOM zu führen. Nutzt bitte das Nachweisdokument als Inhaltsverzeichnis Eures Datenschutzordners.
Nachweise
Habt Ihr Eure im Rahmen des Datenschutzes getroffenen Maßnahmen protokolliert?
Erläuterung:
Für sämtliche im Rahmen des Datenschutzes getroffene Maßnahmen ist ein Nachweis zu führen.
Quelle & Weitere Informationen
Quelle, sowie weitere Informationen und Hilfsmittel findest Du unter folgendem Link: https://verein-dsgvo.de/
Wie hat Dir der Artikel gefallen?
(Du hast noch keine Bewertung abgegeben)
Bisher gibt es 5,00 von 5 Punkten, basierend auf 1 abgegebenen Bewertungen.
Loading...
Bei der Arbeit an diesem Artikel wurde eine Menge Kaffee verbraucht. Wenn Dir mein Blog gefällt, kannst Du den Kleinstadtheld gerne mit einem Kaffee unterstützen. Dies funktioniert ganz schnell, sicher & unkompliziert über Paypal (per Option: "An Freunde senden"). Einfach mit dem Schieberegler aussuchen, wie viele Kaffee Du spenden möchtest und dann auf den Einkaufswagen klicken. Du wirst dann direkt zu Paypal weitergeleitet.
Ich danke Dir!
