Hilfen zum Datenschutz

Text "DSGVO". Darüber ein Schloss. Außenrum Sterne in einem Kreis.Bild vergrößern

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Auch Vereine sind von den Änderungen des neuen Gesetzes betroffen. Die neuen Richtlinien müssen von allen, die personenbezogene Daten verarbeiten umgesetzt werden.

Im nachfolgenden sind wichtige Punkte, die sich aus der neuen DS-GVO ergeben kompakt aufgeführt. Die Angaben dienen als Überblick und ersetzen keine Rechtsberatung. Bitte beachten Sie die weiteren Orientierungshilfen in der rechten Spalte.

Verzeichnis über Verarbeitungstätigkeiten (Art. 30 DS-GVO)

Jeder Verantwortliche eines Vereins (Vorstandsmitglied für die Datenverarbeitung) hat ein Verzeichnis über Verarbeitungstätigkeiten zu führen und bei Änderungen zu aktualisieren, es sei denn, der Verein verarbeitet Daten beispielsweise nur gelegentlich.

Datenschutzbeauftragter (Art. 37 I DS-GVO)

Ein Datenschutzbeauftragter ist beispielsweise erforderlich, wenn zehn oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten in einem Verein beschäftigt sind.

Informations- und Auskunftspflichten (Art. 13 DS-GVO)

Jeder Verein hat umfassend darüber zu informieren, wie die personenbezogenen Daten ihrer Mitglieder verarbeitet werden und diesen zum Zeitpunkt der Erhebung (z.B. im Mitgliedsantrag) sämtliche Informationspflichten des Art. 13 DS-GVO mitzuteilen. Alle betroffenen Mitglieder haben jederzeit das Recht auf Auskunft über die Verarbeitung sowie auf Widerruf und Löschung ihrer Daten zu erhalten.

Rechtsgrundlagen der Datenverarbeitung (Art. 6 Abs. DS-GVO)

Vereine dürfen Daten ohne die Einwilligung der Betroffenen erheben, wenn für diese Vorgänge eine Rechtsgrundlage besteht. Dies ist grundsätzlich der Fall, wenn die Daten ausschließlich zur Erfüllung des Vereinszweckes oder der Mitgliedsverwaltung dienen. Eine rechtliche Grundlage kann auch eine Einwilligungserklärung sein. Diese ist erforderlich, wenn keine der anderen rechtlichen Grundlagen des Art. 6 DS-GVO vorliegt. Sie ist insbesondere notwendig, wenn die Daten nicht ausschließlich zur Erfüllung des Vereinszwecks oder der Mitgliederverwaltung dienen. Dies ist etwa der Fall bei Bild- und Tonaufnahmen von Vereinsversammlungen. Hier bedarf es einer ausdrücklichen Einwilligungserklärung nach vorheriger Information, in was genau eingewilligt werden soll und zu welchen Zwecken die Daten dann verarbeitet werden. Die Nutzung und Verarbeitung von Betroffenendaten ohne rechtliche Grundlage oder deren Einwilligung führt zu einem Datenschutzverstoß.

Datenschutz-Verpflichtungserklärung

Personen in den Vereinen, die Daten erheben bzw. verarbeiten müssen eine Verpflichtungserklärung zum gesetzeskonformen Umgang mit den Daten unterzeichnen.

Sicherheit der Datenverarbeitung im Verein (Art. 32 DS-GVO)

Verantwortliche haben für die technische und organisatorische Sicherheit der Datenverarbeitung in ihrem Verein zu sorgen. Hierzu zählen z.B. der Umgang mit Passwörtern, Backups, Virenscanner, Beschränkung von Benutzerrechten etc. Es ist sicherzustellen, dass Unbefugte auf die Mitgliedsdaten nicht zugreifen können.

Aufbewahrungsfristen und Löschung

Die DS-GVO gibt keine spezifischen Fristen zur Speicherung und Löschung von Daten vor. Dennoch dürfen Daten nur solange verwaltet werden, solange die Einwilligung des Betroffenen vorliegt, diese zur Erfüllung des Vereinszwecks erforderlich sind und bis zur Beendigung einer Vereinsmitgliedschaft. Bei Vereinsauflösung sind alle Daten zu löschen, die nicht mehr benötigt werden.

Meldung bei der Verletzung von Datenschutzbestimmungen

Bei Verletzungen von datenschutzrechtlichen Bestimmungen (Datenverlust oder Weitergabe an Dritte, Datendiebstahl etc.), ist dies umgehend dem Landesdatenschutzbeauftragten Baden-Württemberg zu melden. Die Meldung muss mindestens folgende Informationen enthalten:

  • Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen  personenbezogenen Datensätze;
  • Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Auftragsverarbeitung bei Weitergabe von Daten an Dritte

Sollten Dritte Daten im Auftrag verarbeiten (z.B. bei Soft- oder Hardware-Wartungsverträgen mit Kenntnis von personenbezogenen Daten) ist zumindest ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.