Datenschutz im Verein

Ende Mai 2018 trat die neue EU-Datenschutzverordnung in Kraft. Nicht nur Unternehmen, auch alle anderen Organisationen werden ihren Umgang mit personenbezogenen Daten (Name, Geburtsdatum, Kontaktdaten, Organisationszugehörigkeiten, religiöse, politische oder sexuelle Orientierung, Gesundheitsdaten usw.) modernisieren müssen, um auf der sicheren Seite zu sein. Informieren Sie sich auf unseren Fortbildungen und durch geeignete Literatur über die neuen Anforderungen.

Ja, es ist ein Mehr an Bürokratie - und ja, hier müssen ein Stückweit "die Kleinen" ausbaden, was große Unternehmen wie Facebook mit ihrem Umgang mit Daten uns eingebrockt haben. Aber für die allermeisten Vereine sind die neuen Anforderungen bewältigbar. Vor allem dann, wenn ein Verein nur die Daten seiner Mitglieder sammelt, ist der Aufwand letztlich überschaubar. Das wollen wir mit der folgenden Kurzfassung der wichtigsten neuen Regeln aufzeigen:

Dokumentation

  • Übersicht: Die wichtigste aller Regeln ist, ihren Umgang mit personenbezogenen Daten zu dokumentieren ("Verzeichnis der Verarbeitungstätigkeiten") und dieses Verzeichnis immer aktuell zu halten.

Zuständigkeiten (Wer?)

  • Hauptzuständigkeit: Hauptverantwortlich ist der Vorstand des Vereins. Er ist verpflichtet, sich über die gesetzlichen Anforderungen zu informieren.
  • Praktische Umsetzung: Der Vorstand legt fest, an welche Personen er die praktische Umsetzung der Datenverarbeitung delegiert. Er ist auch dafür verantwortlich, daß diese Personen angemessen geschult werden.
  • Kontrolle: Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen, der Ihren Umgang mit Daten prüft, Sie dazu berät und ggf. Verstöße an die Aufsichtsbehörde meldet.
  • Aufsicht: Für jedes Bundesland ist eine Aufsichtsbehörde für die staatliche Aufsicht zuständig, in Baden-Württemberg der Landesbeauftragte für Datenschutz. Ihr ist der Vereinsvorstand rechenschaftspflichtig.

Umsetzung (Wie?)

  • Information: Informieren Sie die Personen, deren Daten Sie erheben, über Zwecke der Datenverarbeitung und Art der Daten.
  • Erlaubnis: Holen Sie grundsätzlich für alle von Ihnen gesammelten personenbezogenen Daten eine Einwilligung der betreffenden Personen ein.
  • Zweckgebundene Verarbeitung: Verwenden Sie personenbezogene Daten nur für vereinsinterne oder von Einwilligungen erlaubte Zwecke.
  • Zugriff beschränken: Beschränken Sie den internen Zugriff auf personenbezogene Daten. Jede bekommt nur die Daten, die sie zur Erfüllung ihrer Aufgaben auch benötigt.
  • Keine Weitergabe an Dritte: Geben Sie die Daten nicht an Dritte weiter, es sei denn, Sie haben die schriftliche Einwilligung der betroffenen Person oder eine entsprechende Rechtsgrundlage.
  • Absicherung bei Weitergabe: Wenn Sie mit externen Dienstleistern und Partnern zusammenarbeiten (z.B. IT-Unternehmen, Veranstaltungsportale, Kooperationspartner) und Daten an diese übermitteln, beachten Sie die Vorschriften, darüber einen schriftlichen Vertrag abzuschließen.
  • Geschützte Aufbewahrung: Bewahren Sie Papierfassungen der Daten in abgeschlossenen Schränken/ Räumen auf. Schützen Sie digitale Fassungen der Daten mit den üblichen Sicherheitsstandards (Firewall, Virenscanner, paßwortgeschützter Rechner/ Server, evtl. Festplattenverschlüsselung) und halten Sie Ihre IT aktuell.

Es gibt bei jedem der genannten Punkte zahlreiche Details zu beachten. Informieren Sie sich darüber auf unseren Fortbildungen und durch geeignete Literatur.

Kategorie: