Datenschutzgrundverordnung - Was jetzt zu tun ist
Handlungsanregungen / Vorgehensmuster
zur Umsetzung der DSGVO und den Datenschutzgesetzen des Bundes und der Länder im Verein
Alles ist nicht neu, zwischenzeitlich jedoch bei Verstößen mit höheren Sanktionen belegt. Werden Sie also tätig.
Alle Vereine werden wohl verpflichtet sein, für folgende Punkte Maßnahmen und Vorkehrungen zu entwickeln:
ein Formular zur (1.) Datenverarbeitungstätigkeit (Musterbeispiel und Vorlage zur Bearbeitung)
eine Formular (2.) Verpflichtungserklärung auf das Datengeheimnis
eine (3.) Auftragsdatenverarbeitungsvereinbarung mit externen Dienstleistern, z.B. Steuerberater
eine Anpassung des (4.) Impressums
eine (5.) Datenschutzerklärung
einen Ablaufplan / Anweisung für (6.) interne Datenschutzmaßnahmen
und ggf. einen (7.) Datenschutzbeauftragten zu benennen
(8.) Einwilligungserklärung zur Veröffentlichung von Bildern oder Daten
Nachfolgende Anregungen sind nicht neu erfunden, sondern zusammengestellt aus zahlreichen Veröffentlichungen, die im Internet zugänglich sind. Soweit möglich wurden diese den Anregungen der verschiedensten Datenschutzbeauftragten der Bundesländer entnommen. Soweit nicht öffentlich rechtliche Stellen herangezogen wurden, wird jeweils die Urheberschaft benannt, die bereit ist, ihre Texte unter Benennung der Urheberschaft zur Verfügung zu stellen.
Die oben eingestellten Links finden Sie auch bei den unten ausführlich erläuterten Anlagen.
Packen wir es an.
Zu 1. Datenverarbeitungstätigkeiten.:
Sie dürfte bei allen Vereinen vorliegen.
Die DSGVO unterscheidet zwischen
(teil-)automatisierte Verarbeitung, die vorliegt, wenn der Mensch personenbezogene Daten in eine Maschine eingibt, also einem PC, Laptop, Telefon, Smartphone etc.
Es genügt aber auch schon, wenn eine Maschine ohne menschliche Einwirkung personenbezogene Daten verarbeitet, z. B. durch die dauerhafte Videoüberwachung und nicht automatisierte Verarbeitung. Hierzu gehören manuell, ohne technische Hilfsmittel, erstellte Dateisysteme (z. B. Aktenordner, Papierakten).
Es ist ein Verzeichnis anzulegen, welches folgende Punkte zu enthalten hat:
· Namen und Kontaktdaten des Vereins, des Vorstands (als dessen Vertreter nach außen) sowie, soweit notwendig, eines etwaigen Datenschutzbeauftragten
· eine Auflistung der Zwecke, zu denen personenbezogene Daten verarbeitet werden
· eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten
· die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
· falls personenbezogene Daten an einen Empfänger in ein Drittland übermittelt werden (d. h. außerhalb der EU): Nennung von Empfänger, Drittland und Rechtsgrundlage für die Übermittlung
· die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, wenn möglich
· eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung (gemäß Artikel 32 DSGVO), wenn möglich.
Beigefügtes Muster des Bayerischen Landesamt für Datenschutz (Anlage 1) gibt einen guten Überblick, wie ein solches Verzeichnis aussehen kann. Die Kategorien der Verarbeitungstätigkeiten richten sich nach den tatsächlichen Verarbeitungstätigkeiten im Verein.
In der Anlage 2 wurde ein bearbeitbares Verzeichnis entworfen.
Zu 2. Verpflichtungserklärung auf das Datengeheimnis.:
Diese Erklärung ist als Anlage 3 bearbeitbar beigefügt.
Zu 3. Auftragsdatenverarbeitungsvereinbarung.:
Es gibt unzählige Muster z.B. vom Bayerisches Landesamt für Datenschutzaufsicht,
Regierungspräsidium Darmstadt.
Als bearbeitbare Anlage 4 wurde ein auf der Homepage von Rechtsanwalt Stephan Hansen-Oest, Fachanwalt für IT-Recht, Im Tal 10a, 24939 Flensburg
verwendet.
Zu 4. Impressum:
Die Impressumspflicht ergibt sich aus dem (TMG)
"Telemediengesetz vom 26. Februar 2007. Danach hat das Impressum folgende Informationen zu enthalten:
§ 5 Allgemeine Informationspflichten (Auszug)
(1) Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:
1.
den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben über das Kapital der Gesellschaft gemacht werden, das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen,
2.
Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post,
3.
soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde,
4.
das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das sie eingetragen sind, und die entsprechende Registernummer.
In der Regel werden jedoch weitere Angaben gemacht, wie Hinweise zur Haftung für Inhalte, Haftung für Links, Urheberrecht, Datenschutz.
Über https://www.e-recht24.de/impressum-generator.htm lässt sich relativ einfach ein Impressum erstellen.
Ein Muster für den TSGV Waldstetten ist als Anlage 5 beigefügt.
Ein einfaches, aber ausreichendes Impressum ist als Anlage 6 beigefügt.
Zu 5. Datenschutzerklärung.:
Auch diese lässt sich über die Seite https://www.e-recht24.de einfach selbst erstellen.
Ein Beispiel ist als Anlage 7 beigefügt.
Zu 6. interne Datenschutzmaßnahmen.:
Hier wird eine Checkliste des Deutschen Anwaltsvereins als Anlage 8 beigefügt.
Es dafür zu sorgen, dass keine unberechtigten Personen Zugang zu personenbezogenen Daten haben. Soweit Daten auf privaten Rechnern, Sticks, Festplatten oder Smartphones gespeichert sind, müssen diese durch ein Passwort oder ähnliches geschützt werden.
Daten, die als Anlage zu einer E-Mail verschickt werden, sind so zu sichern, dass sie nur mit einem Passwort geöffnet werden können.
Zu 7. Datenschutzbeauftragten.:
Ob ein solcher in Ihrem Verein notwendig ist, können Sie ermitteln, wenn Sie das Verzeichnis „Verarbeitungstätigkeiten“ sorgfältig ausarbeiten.
Wenn personenbezogene Daten regelmäßig durch zehn oder mehr Mitarbeiter oder Mitglieder mithilfe von Computern oder der IT verarbeitet werden, muss zwingend ein Datenschutzbeauftragter bestellt werden. Eine Verarbeitung von personenbezogenen Daten findet typischerweise in den Bereichen Mitgliederverwaltung, Buchhaltung, Gruppenleiter statt.
Auch in vielen anderen Bereichen sind Datenverarbeitungen denkbar. So gilt etwa das bloße Abrufen von personenbezogenen Daten (z.B. durch Trainer, Übungsleiter, Abteilungsleiter, Geburtstagsbeauftragten usw.) ebenfalls als Verarbeitung (z. B. die Benutzung der Mitgliederdatenbank).
Nicht als Datenschutzbeauftragte bestellt werden dürfen insbesondere Vorstände, besondere Vertreter, Beiratsmitglieder, Geschäftsführer, Revisoren, Kassenwart und -prüfer.
Zu 8. Einwilligungserklärung zur Veröffentlichung von Bildern oder Daten.:
Als Vorschlag für die entsprechenden Erklärungen werden Anlage 9 (Bilder) und Anlage 10 (Sonstige Daten) beigefügt.
9. Anpassung der Satzung.:
Es ist ratsam, in der Satzung Regelungen zum Datenschutz aufzunehmen, insbesondere eine Ermächtigungsgrundlage für den Vorstand oder Beirat, eine Datenschutzordnung verfassen und abändern zu dürfen.
Als Anregung wird Anlage 11 beigefügt.