Kann sich mein Verein nicht aus der Datenschutzproblematik heraushalten?
Das BDSG(neu) gilt für die Vereine, die mit personenbezogenen Daten von Mitgliedern und sonstigen Personen umgehen, wenn sie diese Daten
• erheben
• verarbeiten oder
• nutzen
Dabei ist es egal ob die Daten in herkömmlichen Karteikartensystemen oder automatisiert in Excel-Tabellen oder Vereinssoftware abgelegt werden. Die DSGVO macht hier keinen Unterschied.
Alle Vereine ob in das Vereinsregister eingetragen oder nicht – haben beim Umgang mit personenbezogenen Daten die Anforderungen des Bundesdatenschutzgesetzes (BDSG neu) und ab 26.5.2018, auch die der Datenschutzgrundverordnung (DSGVO) zu beachten.
Wer ist eigentlich der Verantwortliche für die Einhaltung des Datenschutzes in unserem Verein?
Diese Frage lässt sich ganz leicht beantworten: Der Vorstand und alle Vorstandsmitglieder
Die Datenschutz-Verantwortung liegt immer beim Vorstand.
Er ist die sogenannte verantwortliche Stelle. Ist im Verein kein Datenschutzbeauftragter bestellt, hat der Vereinsvorstand selbst die Einhaltung der Datenschutzrichtlinien sicherzustellen.
Der Vorstand haftet für Schadensersatzansprüche bei unzulässiger oder unrichtiger
• Erhebung
• Verarbeitung
• Nutzung
der personenbezogenen Daten.
Welche Maßnahmen muss ich minimal in meinem Verein durchsetzen?
Die datenschutzrechtlichen Anforderungen durch die DSGVO und das BDSG neu sind gesetzlich für jeden Verein verpflichtend der personenbezogene Daten „anfasst“, also erhebt, speichert, verarbeitet und nutzt. Es gibt hier kein Wahlrecht ob man es gerne tun will oder nicht. Der Verein ist gesetzlich verpflichtet. Und Sie als Vorstand sind verantwortlich und haften dafür.
DSGVO betont noch stärker die Verantwortlichkeit, die Vereine und Organisationen für den Datenschutz haben. Der Grundsatz der DSGVO besagt: Wer personenbezogene Daten verarbeitet, ist verantwortlich für die Einhaltung aller in der DSGVO aufgeführten Rechtsgrundsätze.
Die Verantwortlichen Stellen (sie als Verein vertreten durch den Vorstand), haben geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass bei der Datenverarbeitung die DSGVO eingehalten wird.
Die Entwicklung, Implementierung und Anwendung eines Datenschutz-Management-System ist unabdingbar.
Konkrete Pflichten und Neuerungen:
- Rechenschafts- und Dokumentationspflichten
- Änderungen gesetzlicher Rechtfertigungen
- Einwilligungen
- Erfüllung von Informationspflichten
- Betroffenenrechte
- Technisch Organisatorischen Maßnahmen (TOM)
- Vertragsmanagement
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutz-Folgenabschätzung
- Meldepflicht von „Datenpannen“
- Die Vereinswebseite muss konform zum Datenschutz gestaltet sein
Braucht mein Verein ein Datenschutz-Management-System?
In der DSGVO gilt hier ganz neu die Beweislastumkehr: Organisationen müssen jetzt aktiv nachweisen können, dass ihre Datenverarbeitungen datenschutzkonform sind (die sog. Rechenschaftspflicht“), Dokumentationspflichten sollen dies sicherstellen. Geeignete technische und organisatorische Maßnahmen müssen den derzeitigen Stand der Technik wiederspiegeln um sicherzustellen, dass bei der Datenverarbeitung die Forderungen der DSGVO eingehalten werden. Die Verarbeitung personenbezogener Daten müssen dokumentiert werden und auf Verlangen den Datenschutzbehörden zur Verfügung gestellt werden können. Die Anwendung eines geeigneten Datenschutz-Management-System ist deshalb unabdingbar.
Die Vorteile eines externen Datenschutzbeauftragten liegen auf der Hand!
Der externe Datenschutzbeauftragte hat zertifiziertes Fachwissen und Kompetenz in Sachen Datenschutz bereits erlangt und diese sind sofort abrufbar.
Die Kosten für Aus-und Weiterbildung eines internen Datenschutzbeauftragten fallen nicht an.
Der externe Datenschutzbeauftragte bekleidet eine neutrale Position im Verein sowohl nach Außen, als auch nach Innen, zu den anderen Mitgliedern und kann so seine Arbeit stets unvoreingenommen durchführen.
Dadurch entsteht nie ein Interessenskonflikt zwischen Abläufen im Verein und der Wahrnehmung seiner Pflichten im Datenschutz.
Ein wichtiger Aspekt ist die Haftung des externen Datenschutzbeauftragten. Diese minimiert das Risiko für den Verein, da die verantwortlichen Stellen im Verein zuerst auf Ihn verweisen können.
