Datenschutz

Datenschutz im Verein? Kein Thema? Sollte es aber.

 

Für den Umgang mit personenbezogenen Daten gelten ab 25. Mai 2018 neue Regeln, denn dann tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie gilt nicht nur für Unternehmen und Behörden, sondern auch für gemeinnützige Organisationen wie Vereine, die personenbezogene Daten erfassen und nutzen. Das neue Recht stärkt vor allem eines: das Kontrollrecht des Einzelnen über die Verwendung seiner persönlichen Daten – und zwar EU-weit nach den gleichen Regeln.

 

Vereine müssen dann deutlich darauf hinweisen, dass sie Daten erfassen, die grundsätzliche Zustimmung zur Nutzung einholen und diese auch später noch nachweisen können. Personen können Auskunft darüber verlangen, ob ein Verein personenbezogene Daten über sie vorliegen hat, und verlangen, diese Daten zu löschen. Gemeinnützige Organisationen müssen künftig also strenger kontrollieren, wo personenbezogene Daten gespeichert werden, durch wen und wofür sie genutzt werden. Die neuen Regelungen enthalten im Vergleich zum Bundesdatenschutzgesetz (BDSG) deutlich verschärfte Strafandrohungen und steigern damit das Haftungsrisiko für Vereinsvorstände. Die erforderlichen Änderungen sollten daher zeitnah umgesetzt werden.

 

Was bedeutet das für Ihren Verein?

Prozesse, die personenbezogene Daten betreffen (Mitglieder, Veranstaltungsteilnehmer, Spender, Förderer, Dienstleister, Mitarbeiter, etc.) müssen insgesamt geprüft, dokumentiert und geschützt werden. Künftig müssen Sie jederzeit in der Lage sein nachzuweisen, dass Ihr Verein datenschutzkonform agiert.

 

Warum?

Das alte Datenschutzrecht stammt aus einer Zeit, in der es keine Online-Datenverarbeitung gab. Smart Phones, Google, Facebook, Twitter, Instagram und Co haben inzwischen zu einem sehr offenen, globalen Datenverkehr geführt. Die neue DSGVO soll den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sicherstellen. Beim Datenschutz geht es um das Recht jedes Einzelnen auf informationelle Selbstbestimmung und der Schutz vor Beeinträchtigung des Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten.

Zukünftig hat jede/r Betroffene das Recht:

• auf Information, was mit den eigenen Daten geschieht
• auf Antrag darüber Auskunft zu erhalten
• auf Berichtigung, Löschung und Einschränkung der Verarbeitung
• auf Datenübertragbarkeit
• auf Widerspruch gegen die Verarbeitung
• keiner automatisierten Entscheidung unterworfen zu werden

 

Was sind personenbezogene Daten?

Unter personenbezogenen Daten versteht man sinngemäß jede Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit gemeint sind sämtliche Informationen, die über den Betroffenen etwas aussagen. Zu den personenbezogenen Daten gehören damit u.a. Adress- und Kontoverbindungsdaten, das Geburtsdatum, Vertrags- und Abrechnungsdaten, Sozial- und Steuerdaten sowie Daten, die Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person zulassen.

 

Das ändert sich

Grundlage für das neue Datenschutzrecht ist die Datenschutzgrundverordnung (DSGVO). Die wesentlichen Änderungen auf einen Blick:

Datenschutz-Management-System
Im Zentrum der DSGVO steht das Recht auf Vergessenwerden durch strengere Informations- und Löschpflichten. Nutzt ein Verein personenbezogene Daten, muss er ein System zur Steuerung und Kontrolle der datenschutzkonformen Verarbeitung einführen. Dazu gehört ein Verfahren, in dem festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechts¬grundlage die Datenverarbeitung und ggf. die Weiterverarbeitung erfolgt. Um Betroffenenrechte zu erfüllen, muss der Verein den Betroffe¬nen bei Erhebung der Daten infor¬mieren (z.B. durch Anpassung der Datenschutzerklärungen) und bei Widerspruch oder Beendigung der Vereinbarung dessen Daten löschen.


Verarbeitungsverzeichnis
Für den Umgang mit personenbezogenen Daten muss elektronisch oder schriftlich ein sogenanntes Verarbeitungsverzeichnis geführt werden. In diesem Verzeichnis sind alle Verarbeitungstätigkeiten nebst Angaben zu den Verantwortlichen zu erfassen. Das heißt, dass sich Vereine einen Überblick über all jene Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden (Mitgliederdatei, Newsletter-Versand, Veranstaltungsanmeldungen, etc.), und dass sie bei jeder einzelnen Verarbeitung prüfen muss, ob es dafür eine Rechtsgrundlage gibt. Grundlage für die Verarbeitung können eine Einwilligung oder die Erforderlichkeit einer Vertragserfüllung sein. Soweit die Verarbeitung aufgrund einer Einwilligung erfolgt, muss der Verein prüfen, ob die Einwilligung den verschärften Anforderungen der DSGVO (z.B. Widerrufsmöglichkeit) standhält.


Auftragsdatenverarbeitung
Nach wie vor bedarf es einer vertraglichen Vereinbarung, wenn Daten im Auftrag eines anderen verarbeitet werden. So etwa, wenn der Verein ein Mailing mit Unterstützung eines Versand-Dienstleisters abwickelt und diesem Adressdaten übermittelt. Nach der DSGVO müssen beide Seiten geeignete technische und organisatorische Maßnahmen festlegen, damit die verarbeiteten Daten entsprechend geschützt werden. Außerdem müssen die Verarbeitungstätigkeiten dokumentiert werden.

 

Checkliste - Das sollten Sie jetzt tun

Checkliste – erste Schritte zur Einhaltung der DSGVO Erledigt Hinweise, Muster
1. Datenschutz zur Chefsache machen    Vorstand ist verantwortlich für die Umsetzung
2. Bestandsaufnahme Datenverarbeitung   Wer verarbeitet personenbezogene Daten in welchen Prozessen?
3. Datenschutzbeauftragten (sofern gesetzlich notwendig) benennen   Datenschutzbeauftragter notwendig?
4. Zuständigkeiten für anstehende Aufgaben verteilen   to-Do-Liste: Wer macht was bis wann?
5. Verzeichnis zur Datenverarbeitung erstellen  
6. Datenschutzerklärung auf Website überprüfen, ggf. anpassen und (wenn notwendig) Kontaktdaten des Datenschutzbeauftragten angeben   Was ist zu tun? - Datenschutzbeauftragter.info
7. Rechtsgrundlage zur Datenerhebung überprüfen - Rechtmäßigkeit   Einwilligung, Vertrag, Interessenswahrung oder Gesetzesgrundlage vorhanden?
8. Einwilligungserklärungen überprüfen und ggf. anpassen  
9. Einwilligung zur Datenverarbeitung von Kindern überprüfen & anpassen   Bedingungen für die Einwilligung eines Kindes
10. Datenschutzvereinbarung mit externen Auftragsverarbeitern prüfen oder neu schließen  
11. Prozess bei Widersprüchen, Datenschutzverletzung festlegen  
12. Technische und organisatorische Maßnahmen zur Datensicherung treffen   Übersicht und Checklisten - Wiki Datenschutz
Wiederkehrende Aufgaben    
Verzeichnis zur Datenverarbeitung jährlich auf Aktualität und Anpassungsbedarf prüfen    
Vorstand, Mitarbeiter*innen im Verein regelmäßig zur Einhaltung des Datenschutzes informieren/schulen    

 

Checkliste drucken

Infoveranstaltungen, Seminare, Webinare

Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 23.01.2018 | Stralsund
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 05.02.2018 | Schwerin
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 06.02.2018 | Torgelow
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 20.02.2018 | Güstrow
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 21.02.2018 | Neubrandenburg
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 09.04.2018 | Rostock
Datenschutz: Sichere Darstellung im Netz | 12.04.2018 | online
Datensichere Kommunikation und Zusammenarbeit | 17.04.2018 | online
Datenschutz: Daten und Spenden | 19.04.2018 | online
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 24.04.2018 | Waren
Datenschutz - Tipps und Tricks zur Umsetzung | 23.05.2018 | Grabow
Neuerungen im Datenschutz – Ist Ihr Verein bereit? | 20.06.2018 | Wismar

Details und Anmeldung

                                                                                                                                                           .

Das sollten Sie jetzt tun

Die Aufgaben im Überblick: Checkliste ausdrucken

Datenschutz - Weiterbildungen

 

Wie mache ich meinen Verein fit im Datenschutz? Wir haben Infoveranstaltungen, Seminare, Webinare im Programm.

Reinschauen und anmelden

Ansprechpartner in MV

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a
19055 Schwerin

Tel: 0385 59494 0
Mail: info[@]datenschutz-mv.de
Web: www.datenschutz-mv.de