Datenschutz im Verein? Kein Thema? Sollte es aber.
Für den Umgang mit personenbezogenen Daten gelten ab 25. Mai 2018 neue Regeln, denn dann tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie gilt nicht nur für Unternehmen und Behörden, sondern auch für gemeinnützige Organisationen wie Vereine, die personenbezogene Daten erfassen und nutzen. Das neue Recht stärkt vor allem eines: das Kontrollrecht des Einzelnen über die Verwendung seiner persönlichen Daten – und zwar EU-weit nach den gleichen Regeln.
Vereine müssen dann deutlich darauf hinweisen, dass sie Daten erfassen, die grundsätzliche Zustimmung zur Nutzung einholen und diese auch später noch nachweisen können. Personen können Auskunft darüber verlangen, ob ein Verein personenbezogene Daten über sie vorliegen hat, und verlangen, diese Daten zu löschen. Gemeinnützige Organisationen müssen künftig also strenger kontrollieren, wo personenbezogene Daten gespeichert werden, durch wen und wofür sie genutzt werden. Die neuen Regelungen enthalten im Vergleich zum Bundesdatenschutzgesetz (BDSG) deutlich verschärfte Strafandrohungen und steigern damit das Haftungsrisiko für Vereinsvorstände. Die erforderlichen Änderungen sollten daher zeitnah umgesetzt werden.
Was bedeutet das für Ihren Verein?
Prozesse, die personenbezogene Daten betreffen (Mitglieder, Veranstaltungsteilnehmer, Spender, Förderer, Dienstleister, Mitarbeiter, etc.) müssen insgesamt geprüft, dokumentiert und geschützt werden. Künftig müssen Sie jederzeit in der Lage sein nachzuweisen, dass Ihr Verein datenschutzkonform agiert.
Warum?
Das alte Datenschutzrecht stammt aus einer Zeit, in der es keine Online-Datenverarbeitung gab. Smart Phones, Google, Facebook, Twitter, Instagram und Co haben inzwischen zu einem sehr offenen, globalen Datenverkehr geführt. Die neue DSGVO soll den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sicherstellen. Beim Datenschutz geht es um das Recht jedes Einzelnen auf informationelle Selbstbestimmung und der Schutz vor Beeinträchtigung des Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten.
Zukünftig hat jede/r Betroffene das Recht:
• auf Information, was mit den eigenen Daten geschieht
• auf Antrag darüber Auskunft zu erhalten
• auf Berichtigung, Löschung und Einschränkung der Verarbeitung
• auf Datenübertragbarkeit
• auf Widerspruch gegen die Verarbeitung
• keiner automatisierten Entscheidung unterworfen zu werden
Was sind personenbezogene Daten?
Unter personenbezogenen Daten versteht man sinngemäß jede Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit gemeint sind sämtliche Informationen, die über den Betroffenen etwas aussagen. Zu den personenbezogenen Daten gehören damit u.a. Adress- und Kontoverbindungsdaten, das Geburtsdatum, Vertrags- und Abrechnungsdaten, Sozial- und Steuerdaten sowie Daten, die Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person zulassen.
Das ändert sich
Grundlage für das neue Datenschutzrecht ist die Datenschutzgrundverordnung (DSGVO). Die wesentlichen Änderungen auf einen Blick:
Datenschutz-Management-System
Im Zentrum der DSGVO steht das Recht auf Vergessenwerden durch strengere Informations- und Löschpflichten. Nutzt ein Verein personenbezogene Daten, muss er ein System zur Steuerung und Kontrolle der datenschutzkonformen Verarbeitung einführen. Dazu gehört ein Verfahren, in dem festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechts¬grundlage die Datenverarbeitung und ggf. die Weiterverarbeitung erfolgt. Um Betroffenenrechte zu erfüllen, muss der Verein den Betroffe¬nen bei Erhebung der Daten infor¬mieren (z.B. durch Anpassung der Datenschutzerklärungen) und bei Widerspruch oder Beendigung der Vereinbarung dessen Daten löschen.
Verarbeitungsverzeichnis
Für den Umgang mit personenbezogenen Daten muss elektronisch oder schriftlich ein sogenanntes Verarbeitungsverzeichnis geführt werden. In diesem Verzeichnis sind alle Verarbeitungstätigkeiten nebst Angaben zu den Verantwortlichen zu erfassen. Das heißt, dass sich Vereine einen Überblick über all jene Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden (Mitgliederdatei, Newsletter-Versand, Veranstaltungsanmeldungen, etc.), und dass sie bei jeder einzelnen Verarbeitung prüfen muss, ob es dafür eine Rechtsgrundlage gibt. Grundlage für die Verarbeitung können eine Einwilligung oder die Erforderlichkeit einer Vertragserfüllung sein. Soweit die Verarbeitung aufgrund einer Einwilligung erfolgt, muss der Verein prüfen, ob die Einwilligung den verschärften Anforderungen der DSGVO (z.B. Widerrufsmöglichkeit) standhält.
Auftragsdatenverarbeitung
Nach wie vor bedarf es einer vertraglichen Vereinbarung, wenn Daten im Auftrag eines anderen verarbeitet werden. So etwa, wenn der Verein ein Mailing mit Unterstützung eines Versand-Dienstleisters abwickelt und diesem Adressdaten übermittelt. Nach der DSGVO müssen beide Seiten geeignete technische und organisatorische Maßnahmen festlegen, damit die verarbeiteten Daten entsprechend geschützt werden. Außerdem müssen die Verarbeitungstätigkeiten dokumentiert werden.
Checkliste – Das sollten Sie jetzt tun
Checkliste – erste Schritte zur Einhaltung der DSGVO |
Erledigt |
Hinweise, Muster |
1. Datenschutz zur Chefsache machen |
|
Vorstand ist verantwortlich für die Umsetzung |
2. Bestandsaufnahme Datenverarbeitung
Personaldaten: Sylvia Hartmann, Beatrix Hertle Daten in freinet: alle MA |
|
Wer verarbeitet personenbezogene Daten in welchen Prozessen? |
3. Datenschutzbeauftragten (sofern gesetzlich notwendig) benennen |
|
Datenschutzbeauftragter notwendig? |
4. Zuständigkeiten für anstehende Aufgaben verteilen |
|
to-Do-Liste: Wer macht was bis wann? |
5. Verzeichnis zur Datenverarbeitung erstellen |
|
|
6. Datenschutzerklärung auf Website überprüfen, ggf. anpassen und (wenn notwendig) Kontaktdaten des Datenschutzbeauftragten angeben |
|
Was ist zu tun? – Datenschutzbeauftragter.info |
7. Rechtsgrundlage zur Datenerhebung überprüfen – Rechtmäßigkeit |
|
Einwilligung, Vertrag, Interessenswahrung oder Gesetzesgrundlage vorhanden? |
8. Einwilligungserklärungen überprüfen und ggf. anpassen |
|
|
9. Einwilligung zur Datenverarbeitung von Kindern überprüfen & anpassen |
|
Bedingungen für die Einwilligung eines Kindes |
10. Datenschutzvereinbarung mit externen Auftragsverarbeitern prüfen oder neu schließen |
|
|
11. Prozess bei Widersprüchen, Datenschutzverletzung festlegen |
|
|
12. Technische und organisatorische Maßnahmen zur Datensicherung treffen |
|
Übersicht und Checklisten – Wiki Datenschutz |
Wiederkehrende Aufgaben |
|
|
Verzeichnis zur Datenverarbeitung jährlich auf Aktualität und Anpassungsbedarf prüfen |
|
|
Vorstand, Mitarbeiter*innen im Verein regelmäßig zur Einhaltung des Datenschutzes informieren/schulen |