Donnerstag, 19.04.2018 | Autor: Ulrich Junginger, Foto: © Fotolia LLC.

Die Datenschutz-Grundverordnung – ihre Auswirkungen für Vereine und Verbände

Foto: © Fotolia LLC.
Worum geht´s in diesem Thema
  • Datenschutz im Verein
Stichworte zu diesem Thema

Schon sehr bald ist es soweit: am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (kurz: DSGVO) in Kraft. Sie gilt einheitlich EU-weit und will die individuelle Sicherheit im Umgang mit personen-bezogenen Daten auf einen einheitlichen Level erhöhen und festigen (Datenschutz).

 

Gleichzeitig verfolgt sie das Ziel, Zugriffsmöglichkeiten Dritter auf vorhandene Datenbestände auf ein Minimum zu reduzieren (Datensicherheit).

 

ACHTUNG

Vereins-/verbandsintern sind die verantwortlichen Stellen (z. B. Vorstand, Geschäftsstelle, Webmaster, …) auf das Datum des In-Kraft-Tretens der DSGVO aufmerksam zu machen und für damit verbundene Anpassungs-notwendigkeiten zu sensibilisieren.

 

Die DSGVO gilt nicht nur für industrielle (Groß-)Unter­nehmen, Gewerbebetriebe und Dienstleistungsunternehmen, sondern für alle, die über den individuellen und privaten Bereich hinaus mit der Erhebung und Nutzung personenbezogener Daten befasst sind, somit insbesondere auch für Vereine und Verbände. Sofern noch nicht geschehen, ist es an der Zeit, sich spätestens jetzt mit den neuen Regelungen vertraut zu machen.

Doch damit keineswegs genug: Vereine und Verbände sind gefordert, erforderliche Umstellungen und Anpassungen vorzunehmen. Sie haben jetzt zu prüfen, an welcher Stelle Anpassungs-, Änderungs- und Erarbeitungsbedarf besteht, damit der Übergang auf die neuen Datenschutzvorschriften reibungslos erfolgen kann.

Dies beginnt bereits damit, dass mit den neuen datenschutzrechtlichen Anforde-rungen u. a. die Pflichten zur Information sowie zur Dokumentation auf die datenverarbeitenden Körperschaften zukommen.

Weiterhin unverändert bedarf die Zulässigkeit der Verarbeitung personenbezogener Daten einer rechtlichen Grundlage: diese ergibt sich entweder aus einer individuell ausdrücklich erklärten Einwilligung der betroffenen Person oder aus einer gesetz-lichen Erlaubnis heraus.

 

HINWEIS

Soweit sich die Erhebung personenbezogener Daten der Mitglieder auf die Notwendigkeit zur Begründung einer Mitgliedschaft oder auf ein „berechtigtes Interesse“ des Vereins/Verbands zur Erfüllung seiner satzungsmäßigen Aufgaben beschränkt, entfällt das Erfordernis ausdrücklich erklärter Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten [vgl. Art. 6 Abs. 1 lit. b) und lit. f) DSGVO].

 

Die vorzunehmende Prüfung setzt sich weiter darin fort, fehlende vereins-/ verbandsinterne Datenschutzregelungen zu schaffen bzw. bereits vorhandene Regelungen den neuen rechtlichen Anforderungen ggf. anzupassen. Derartige Regelungen können sich bspw. aus der Satzung der Körperschaft und/oder deren Aufnahmeantragsformular ergeben.

Neu und wichtig ist die Anforderung, dass die individuelle Ein­verständ-niserklärung mit der ebenfalls zu erklärenden Kennt­nis ihrer jederzeitigen Widerrufsmöglichkeit verbunden sein muss. Diese Erklärung ist dann zwingend erforderlich, wenn die Nutzung der anvertrauten persönlichen Daten den Rahmen der Notwendigkeit zur Begründung der Mitgliedschaft und anschließender ordnungsgemäßer Mitglieder­verwaltung überschreiten soll (z. B. Verwendung in vereins­öffentlichen Publikationen).

Ebenfalls neu und besonders wichtig ist die Pflicht, alle Personen, die im Verein/Verband mit der Verarbeitung personen­bezo­gener Daten befasst sind, auf die dauerhafte Wah­rung des sog. Datengeheimnisses förmlich zu ver-pflichten. Diese Verschwiegenheitspflicht besteht über die Dauer der Tätigkeit bzw. einer Vereinsmitgliedschaft hinaus fort.

 

ACHTUNG

  • Eine individuell erklärte Einwilligung ohne gleichzeitig bestätigte Kenntnis ihres jederzeit möglichen Widerrufs ist datenschutzrechtlich wirkungslos.
  • Mit der Verarbeitung personenbezogener Daten der Mitglieder befasste Personen sind auf das Datengeheimnis förmlich zu verpflichten.

 

In den Prüfungsprozess des Vereins/Verbands gehört weiter die Klärung, ob die Bestellung eines Datenschutzbeauftrag­­­ten erforderlich ist. Sobald die Zahl von zehn Personen erreicht bzw. überschritten ist, die ständig mit der Verarbei­tung von persönlichen Daten im Verein/Verband befasst sind (unab­hängig von einer Arbeitnehmerstellung!), hat die Bestellung eines Datenschutzbeauftragten zwingend zu er­folgen. Ungeachtet dessen kann es sich als durchaus sinnvoll und zweckmäßig erweisen, eine solche Person bereits als Datenschutzbeauftragten einzusetzen, wenn die Mindestzahl von zehn Personen im Verein/Verband noch unterschritten ist. Ein Datenschutzbeauftragter hat sowohl die Einhaltung daten­schutzrechtlicher Bestimmungen im Verein/Verband zu kontrollieren als auch Vorstand und Mitarbeitende im korrekten Umgang mit personenbezogenen Daten zu unterstüt­zen (z. B. durch regelmäßige Schulungen, Weiterbildungen etc., oder durch Verbesserungsvorschläge). Das setzt folglich voraus, dass nur fachlich dafür geeignete Personen für diese Aufgabe einzusetzen sind.

Bestellte Datenschutzbeauftragte sind der Aufsichtsbehörde namentlich zu melden; Aufsichtsbehörde in Deutschland ist der jeweils zuständige Datenschutzbeauftragte des Bundeslan­des, in dem der Verein/Verband seinen Sitz hat.

Schließlich bleiben noch die bereits erwähnten Dokumentationspflichten, die im Verein/Verband allem voran ihre Stelle im sog. Verzeichnis der Verarbeitungs-tätigkeiten ein­nimmt. Dieses Verzeichnis hat bspw. in einfacher tabellari­scher Form zum einen die wichtigsten Eckdaten des Vereins/Verbands aufzulisten, zum anderen die Informationen wieder­zugeben, wer im Verein/Verband welche personenbezoge­nen Daten welcher Personen zu welchem Zweck und auf wel­cher Grundlage verarbeitet.
Im Fall, dass im Verein/Verband eine sog. Auftragsdatenverarbeitung mit externen Dritten stattfindet, bedarf es der Klä­rung, dass hierfür eine Vereinbarung zwischen den Beteilig­ten besteht, die auf die Einhaltung der gesetzlichen Bestim­mungen verpflichtet.

Im Fall einer Datenpanne, also der Verletzung des Schutzes personenbezogener Daten, sind Vereine/Verbände ver­pflichtet, dies unverzüglich nach Kenntnis des „Schadenfalls“, spätestens innerhalb von 72 Stunden, der Aufsichtsbehörde zu melden. Daraus leitet sich als Empfehlung ab, intern einen Pannen-Ablaufplan einschließlich eines „Melde-Musters“ sowie der Bestimmung der hierfür zuständigen Person zu erstellen.

Mit der neuen DSGVO ergeben sich für Vereine/Verbände weitere Aufgaben und Verpflichtungen, über die ganz sicher in Zukunft weiter zu berichten sein wird. Die datenschutzrecht­lichen Neuerungen haben mit Blick auf die Vereins-/Verbandspraxis noch Fragen hervorgerufen, auf deren Antwort man mit Spannung warten darf.

 Vereins-Tipp