Content Portlet (für Detailseite)

Eigene Texte anzeigen (Nur Detailseite)

Autor: Ulrich Junginger | 19.04.2018

Die Datenschutz-Grundverordnung – ihre Auswirkungen für Vereine und Verbände

Schon sehr bald ist es soweit: am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (kurz: DSGVO) in Kraft. Sie gilt einheitlich EU-weit und will die individuelle Sicherheit im Umgang mit personenbezogenen Daten auf einen einheitlichen Level erhöhen und festigen (Datenschutz).
Bild: MEV Verlag GmbH

Gleichzeitig verfolgt sie das Ziel, Zugriffsmöglichkeiten Dritter auf vorhandene Datenbestände auf ein Minimum zu reduzieren (Datensicherheit).

 

ACHTUNG

Vereins-/Verbandsintern sind die verantwortlichen Stellen (z. B. Vorstand, Geschäftsstelle, Webmaster, …) auf das Datum des In-Kraft-Tretens der DSGVO aufmerksam zu machen und für damit verbundene Anpassungsnotwendigkeiten zu sensibilisieren.

                          

Die DSGVO gilt nicht nur für industrielle (Groß-)Unternehmen, Gewerbebetriebe und Dienstleistungsunternehmen, sondern für alle, die über den individuellen und privaten Bereich hinaus mit der Erhebung und Nutzung personenbezogener Daten befasst sind, somit insbesondere auch für Vereine und Verbände. Sofern noch nicht geschehen, ist es an der Zeit, sich spätestens jetzt mit den neuen Regelungen vertraut zu machen.

Doch damit keineswegs genug: Vereine und Verbände sind gefordert, erforderliche Umstellungen und Anpassungen vorzunehmen. Sie haben jetzt zu prüfen, an welcher Stelle Anpassungs-, Änderungs- und Erarbeitungsbedarf besteht, damit der Übergang auf die neuen Datenschutzvorschriften reibungslos erfolgen kann.

Dies beginnt bereits damit, dass mit den neuen datenschutzrechtlichen Anforderungen u. a. die Pflichten zur Information sowie zur Dokumentation auf die datenverarbeitenden Körperschaften zukommen.

Weiterhin unverändert bedarf die Zulässigkeit der Verarbeitung personenbezogener Daten einer rechtlichen Grundlage: diese ergibt sich entweder aus einer individuell ausdrücklich erklärten Einwilligung der betroffenen Person oder aus einer gesetzlichen Erlaubnis heraus.

 

HINWEIS

Soweit sich die Erhebung personenbezogener Daten der Mitglieder auf die Notwendigkeit zur Begründung einer Mitgliedschaft oder auf ein „berechtigtes Interesse“ des Vereins/Verbands zur Erfüllung seiner satzungsmäßigen Aufgaben beschränkt, entfällt das Erfordernis ausdrücklich erklärter Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten [vgl. Art. 6 Abs. 1 lit. b) und lit. f) DSGVO].

                                                         

Die vorzunehmende Prüfung setzt sich weiter darin fort, fehlende vereins-/verbandsinterne Datenschutzregelungen zu schaffen bzw. bereits vorhandene Regelungen den neuen rechtlichen Anforderungen ggf. anzupassen. Derartige Regelungen können sich bspw. aus der Satzung der Körperschaft und/oder deren Aufnahmeantragsformular ergeben.

Neu und wichtig ist die Anforderung, dass die individuelle Einverständniserklärung mit der ebenfalls zu erklärenden Kenntnis ihrer jederzeitigen Widerrufsmöglichkeit verbunden sein muss. Diese Erklärung ist dann zwingend erforderlich, wenn die Nutzung der anvertrauten persönlichen Daten den Rahmen der Notwendigkeit zur Begründung der Mitgliedschaft und anschließender ordnungsgemäßer Mitgliederverwaltung überschreiten soll (z. B. Verwendung in vereinsöffentlichen Publikationen).

Ebenfalls neu und besonders wichtig ist die Pflicht, alle Personen, die im Verein/Verband mit der Verarbeitung personenbezogener Daten befasst sind, auf die dauerhafte Wahrung des sog. Datengeheimnisses förmlich zu verpflichten. Diese Verschwiegenheitspflicht besteht über die Dauer der Tätigkeit bzw. einer Vereinsmitgliedschaft hinaus fort.

 

ACHTUNG

Eine individuell erklärte Einwilligung ohne gleichzeitig bestätigte Kenntnis ihres jederzeit möglichen Widerrufs ist datenschutzrechtlich wirkungslos.

Mit der Verarbeitung personenbezogener Daten der Mitglieder befasste Personen sind auf das Datengeheimnis förmlich zu verpflichten.

                                                       

In den Prüfungsprozess des Vereins/Verbands gehört weiter die Klärung, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Sobald die Zahl von zehn Personen erreicht bzw. überschritten ist, die ständig mit der Verarbeitung von persönlichen Daten im Verein/Verband befasst sind (unabhängig von einer Arbeitnehmerstellung!), hat die Bestellung eines Datenschutzbeauftragten zwingend zu erfolgen. Ungeachtet dessen kann es sich als durchaus sinnvoll und zweckmäßig erweisen, eine solche Person bereits als Datenschutzbeauftragten einzusetzen, wenn die Mindestzahl von zehn Personen im Verein/Verband noch unterschritten ist. Ein Datenschutzbeauftragter hat sowohl die Einhaltung datenschutzrechtlicher Bestimmungen im Verein/Verband zu kontrollieren als auch Vorstand und Mitarbeitende im korrekten Umgang mit personenbezogenen Daten zu unterstützen (z. B. durch regelmäßige Schulungen, Weiterbildungen etc., oder durch Verbesserungsvorschläge). Das setzt folglich voraus, dass nur fachlich dafür geeignete Personen für diese Aufgabe einzusetzen sind.

Bestellte Datenschutzbeauftragte sind der Aufsichtsbehörde namentlich zu melden; Aufsichtsbehörde in Deutschland ist der jeweils zuständige Datenschutzbeauftragte des Bundeslandes, in dem der Verein/Verband seinen Sitz hat.

Schließlich bleiben noch die bereits erwähnten Dokumentationspflichten, die im Verein/Verband allem voran ihre Stelle im sog. <strong>Verzeichnis der Verarbeitungs-tätigkeiten</strong> einnimmt. Dieses Verzeichnis hat bspw. in einfacher tabellarischer Form zum einen die wichtigsten Eckdaten des Vereins/Verbands aufzulisten, zum anderen die Informationen wiederzugeben, wer im Verein/Verband welche personenbezogenen Daten welcher Personen zu welchem Zweck und auf welcher Grundlage verarbeitet.

Im Fall, dass im Verein/Verband eine sog. Auftragsdatenverarbeitung mit externen Dritten stattfindet, bedarf es der Klärung, dass hierfür eine Vereinbarung zwischen den Beteiligten besteht, die auf die Einhaltung der gesetzlichen Bestimmungen verpflichtet.

Im Falle einer Datenpanne, also der Verletzung des Schutzes personenbezogener Daten, sind Vereine/Verbände verpflichtet, dies unverzüglich nach Kenntnis des „Schadenfalls“, spätestens innerhalb von 72 Stunden, der Aufsichtsbehörde zu melden. Daraus leitet sich als Empfehlung ab, intern einen Pannen-Ablaufplan einschließlich eines „Melde-Musters“ sowie der Bestimmung der hierfür zuständigen Person zu erstellen.

Mit der neuen DSGVO ergeben sich für Vereine/Verbände weitere Aufgaben und Verpflichtungen, über die ganz sicher in Zukunft weiter zu berichten sein wird. Die datenschutzrechtlichen Neuerungen haben mit Blick auf die Vereins-/Verbandspraxis noch Fragen hervorgerufen, auf deren Antwort man mit Spannung warten darf.