Wir laden zum nächsten Vernetzungstreffen am Montag, den 4. Dezember 2023 um…
Datenschutz im Verein
Ende Mai 2018 trat die EU-Datenschutzverordnung in Kraft. Nicht nur Unternehmen, auch alle anderen Organisationen müssen ihren Umgang mit personenbezogenen Daten (Name, Geburtsdatum, Kontaktdaten, Organisationszugehörigkeiten, religiöse, politische oder sexuelle Orientierung, Gesundheitsdaten usw.) hieran ausrichten, um auf der sicheren Seite zu sein. Informieren Sie sich auf unseren Fortbildungen und durch geeignete Literatur (am Ende dieser Seite) über die neuen Anforderungen.
Ja, es ist ein Mehr an Bürokratie, die von der wertvollen Zeit für das Engagement abgeht. Aber für die allermeisten Vereine sind die neuen Anforderungen gut zu bewältigen. Vor allem dann, wenn ein Verein nur die Daten seiner Mitglieder verarbeitet, ist der Aufwand letztlich überschaubar. Das wollen wir mit der folgenden Kurzfassung der wichtigsten neuen Regeln aufzeigen:
Dokumentation
- Übersicht: Sie müssen ihren Umgang mit personenbezogenen Daten zu dokumentieren ("Verzeichnis der Verarbeitungstätigkeiten") und dieses Verzeichnis aktuell halten.
Zuständigkeiten (Wer?)
- Hauptzuständigkeit: Hauptverantwortlich ist der Vorstand des Vereins. Er ist verpflichtet, sich über die gesetzlichen Anforderungen zu informieren und für die Umsetzung zu sorgen.
- Praktische Umsetzung: Der Vorstand legt fest, ob er die Einhaltung von Datenschutzregeln selbst steuert oder dies an eine Person delegiert. Er ist auch dafür verantwortlich, dass alle Personen, die mit personenbezogenen Daten arbeiten, für den korrekten Umgang sensibilisiert werden.
- Kontrolle: Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen, der Ihren Umgang mit Daten prüft und Sie dazu berät.
- Aufsicht: Für jedes Bundesland ist eine Aufsichtsbehörde für die staatliche Aufsicht zuständig, in Baden-Württemberg der Landesbeauftragte für Datenschutz. Ihr ist der Vereinsvorstand rechenschaftspflichtig.
Umsetzung (Wie?)
- Information: Informieren Sie die Personen, deren Daten Sie erheben, über Zwecke der Datenverarbeitung und Art der Daten.
- Erlaubnis: Holen Sie, falls notwendig, eine Einwilligung der betreffenden Personen für von Ihnen gesammelten Daten ein. In einigen Fällen, wie bei der Mitgliederverwaltung, kann auch ein Vertrag mit der betreffenden Person ausreichend sein.
- Zweckgebundene Verarbeitung: Verwenden Sie personenbezogene Daten nur für die Zwecke, die Sie vorab festgelegt und kommuniziert haben.
- Zugriff beschränken: Beschränken Sie den internen Zugriff auf personenbezogene Daten. Jede bekommt nur die Daten, die sie zur Erfüllung ihrer Aufgaben auch benötigt.
- Keine Weitergabe an Dritte: Geben Sie die Daten nicht an Dritte weiter, es sei denn, Sie haben die schriftliche Einwilligung der betroffenen Person oder eine entsprechende Rechtsgrundlage.
- Absicherung bei Weitergabe: Wenn Sie mit externen Dienstleistern und Partnern zusammenarbeiten (z.B. IT-Unternehmen, Veranstaltungsportale, Kooperationspartner, Cloud-Tools) und Daten an diese übermitteln, beachten Sie die Vorschriften, darüber einen schriftlichen Vertrag abzuschließen.
- Geschützte Aufbewahrung: Bewahren Sie Papierfassungen der Daten in abgeschlossenen Schränken/ Räumen auf. Schützen Sie digitale Fassungen der Daten mit den üblichen Sicherheitsstandards (Firewall, Virenscanner, paßwortgeschützter Rechner/ Server, evtl. Festplattenverschlüsselung) und halten Sie Ihre IT aktuell. Weisen Sie Ihre Aktiven entsprechend an, wenn private IT-Ausstattung zum Einsatz kommt.
Es gibt bei jedem der genannten Punkte zahlreiche Details zu beachten. Informieren Sie sich darüber auf unseren Fortbildungen und durch geeignete Literatur:
- Broschüre „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“, erschienen bei C.H.BECK. ISBN 978-3-406-71662-1
- Praxisratgeber „Datenschutz im Verein nach der DS-GVO“ des baden-württembergischen Landesdatenschutzbeauftragten
- Materialien und Arbeitshilfen der Stiftung Datenschutz zum Datenschutz im Ehrenamt