Nicht nur Unternehmen, Behörden und Institutionen sind verpflichtet, die Regelungen der Datenschutz-Grundverordnung (DS-GVO) und des neuen Bundesdatenschutzgesetzes bis zum 25. Mai 2018 umgesetzt zu haben, sondern auch alle Vereine, einschließlich der gemeinnützigen, nicht eingetragenen oder nicht rechtsfähigen Vereine. Angefangen vom Mitgliedsantrag über Einladungen zu Veranstaltungen oder Mitgliederversammlungen bis hin zum Internetauftritt eines Vereins – im Vereinsleben gibt es viele Szenarien, in denen personenbezogene Daten, wie Name, Anschrift, E-Mail-Adresse, Geburtsdatum oder Geschlecht verarbeitet werden.
DSGVO – 10 Tipps für Vereine
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat einen Ratgeber für Vereine herausgebracht. Mit den zehn wichtigsten Hinweisen zur Datenschutzgrundverordnung (DSGVO) möchte die Datenschutzaufsicht Vereinsvorständen wichtige Tipps im Umgang mit der DSGVO geben.
Die Hinweise im Überblick
- Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Ein Beispiel finden sie hier.
- Erheben, speichern und verarbeiten Sie personenbezogene Daten nur, wenn Sie eine Rechtsgrundlage hierfür haben. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage dienen. Für einen Newsletterversand u.ä. braucht es eine Einwilligung.
- Mitglieder müssen über die Datenverarbeitungsvorgänge informiert werden. Insbesondere ist darüber zu informieren, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage über welchen Zeitraum verarbeitet werden.
- Erheben, speichern und verarbeiten Sie nur die personenbezogenen Daten, die für den jeweiligen Zweck erforderlich sind und speichern Sie diese auch nur so lange, wie sie für die Erfüllung des Zwecks erforderlich sind (Achtung: Gesetzliche Aufbewahrungsfristen beachten).
- Stellen Sie organisatorisch und technisch sicher, dass nur diejenigen Personen personenbezogene Daten einsehen und verarbeiten können, die dies auch rechtlich dürfen bzw. müssen.
- Betroffene haben verschiedene Betroffenenrechte wie z. B. das Auskunftsrecht oder das Recht auf Datenlöschung. Stellen Sie sicher, dass Sie diesen Rechten zeitnah nachkommen können.
- Prüfen Sie, ob Sie einen Vertrag zur Auftragsverarbeitung benötigen. Ein Muster finden Sie hier.
- Prüfen Sie, ob Sie eine Datenschutzfolgenabschätzung durchführen müssen. Diese ist immer dann durchzuführen, wenn ein hohes Risiko bei der Datenverarbeitung im Verein besteht.
- Sind zehn oder mehr Personen mit der automatischen Verarbeitung personenbezogener Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden.
- Dokumentieren Sie wie sie Daten verarbeiten und wie Sie Ihren Pflichten nachkommen.