Allgemeine Pflichten im Datenschutz im Überblick

Praxisratgeber

Logo Datenschutz im Ehrenamt

Die DSGVO macht prinzipiell keine Unterscheidung zwischen einem Wirtschaftsunternehmen und einem Verein. Die Pflichten im Datenschutz sind sehr umfangreich. Diese sind durch Vereine genauso gewissenhaft umzusetzen, wie durch Unternehmen. Allerdings hält sich der Umfang der zu verarbeitenden Daten in Vereinen in Grenzen. Der vorliegende Beitrag gliedert sich in:

Grundsätzliche Pflichten der DSGVO

Sicherstellung einer rechtmäßigen Verarbeitung

Grundsätzlich darf jede Verarbeitung von Daten nur auf rechtmäßige Weise erfolgen. Voraussetzung für eine rechtmäßige Verarbeitung ist unter anderem, dass die betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat, ein Vertrag oder eine gesetzliche Auflage erfüllt werden muss oder der Verein ein berechtigtes Interesse verfolgt. Daneben gibt es noch weitere Situationen, in denen personenbezogene Daten verarbeitet werden dürfen, wie z.B. zur Wahrung lebenswichtiger Interessen.

Einen Überblick über die Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten finden Sie hier.

Datenschutzhinweise gestalten und zur Verfügung stellen (Informationspflicht)

Sobald der Verein persönliche Daten von Betroffenen (z.B. Mitgliedern, Interessenten, Besuchern) erhebt, müssen die Betroffenen transparent informiert werden. Die Betroffenen haben unter anderem einen Anspruch auf Information über den Zweck und Dauer der Datenverarbeitung sowie eine Auskunft darüber, ob die persönlichen Daten auch an Dritte übermittelt werden. Darüber hinaus sind die Betroffenen über ihre Rechte zu informieren. Näheres zu den Rechten der Betroffenen.

Mehr Informationen über die weiteren Inhalte der Datenschutzhinweise und die Umsetzung der Informationspflicht finden Sie hier.

Gesetzliche Grundlage: Art. 13 und 14 DSGVO

Beantwortung von Betroffenenanfragen

Betroffene Person habe unter anderem folgende Rechte:

  • Recht auf Auskunft über die verarbeiteten Daten
  • Recht auf Berichtigung der verarbeiteten Daten
  • Recht auf Löschung der verarbeiteten Daten
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen die Verarbeitung.

Macht eine betroffene Person Rechte gegenüber dem Verein geltend, muss dieser unverzüglich, spätestens innerhalb eines Monats, handeln und der betroffenen Person Informationen über die ergriffenen Maßnahmen zur Verfügung stellen.

Wie Sie die Betroffenenrechte im Verein zweckmäßig umsetzen können, erfahren Sie hier.

Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten

Jeder Verein hat die Pflicht, ein Verzeichnis über seine Verarbeitungstätigkeiten zu führen und im Bedarfsfall der zuständigen Aufsichtsbehörde zu übermitteln.

Wie Sie in derartiges Verzeichnis aufbauen können und welche inhaltlichen Angaben dazu notwendig sind erfahren Sie hier.

Erstellung einer Übersicht der technischen und organisatorischen Maßnahmen

Der Verein hat geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten der Betroffenen zu treffen, umzusetzen und den Nachweis darüber zu erbringen. Als Nachweis über die technischen und organisatorischen Maßnahmen bietet sich eine Übersicht über die entsprechenden Maßnahmen an. Diese Übersicht ergänzt das Verzeichnis der Verarbeitungstätigkeiten und muss auf Verlangen der Aufsichtsbehörde vorgelegt werden.

Verschwiegenheitsverpflichtung des ehrenamtlichen Personals

Vor Beginn einer ehrenamtlichen Tätigkeit muss jede Person, die mit personenbezogenen Daten in Kontakt kommt, zur Verschwiegenheit verpflichtet werden. Dies ergibt sich aus der Rechenschaftspflicht, der Verpflichtung zu technischen und organisatorischen Maßnahmen sowie der Einhaltung der Vertraulichkeit aus den Grundsätzen der Datenverarbeitung.

Die Verpflichtungserklärung stellt eine Belehrung zum datenschutzkonformen Umgang mit personenbezogenen Daten dar. Zusätzlich dient diese Verpflichtung zur haftungsrechtlichen Absicherung im Falle eines groben Fehlverhaltens der mit der Verarbeitung beschäftigten Personen.

Welche Personen sollten verpflichtet werden?
Jede Person, die mit personenbezogenen Daten in Kontakt kommt, z.B. Kassenprüfer, Trainer, Abteilungsleiter, sollte eine Verpflichtungserklärung unterzeichnen.
Personen, die personenbezogene Daten verarbeiten, sollten zudem regelmäßig im Umgang mit personenbezogenen Daten geschult werden.

Pflichten, die nur fallweise erfüllt werden müssen

Meldung einer Datenschutzverletzung

Hat im Verein oder bei einem Auftragsverarbeiter des Vereins eine „Datenpanne“ stattgefunden, muss unverzüglich, spätestens innerhalb von 72 Stunden, eine Meldung an die Aufsichtsbehörde erfolgen. Zusätzlich kann es erforderlich sein, alle betroffenen Personen über die Verletzung in Kenntnis zu setzen.

Durchführung und Dokumentation einer Datenschutzfolgenabschätzung

Bei der Verwendung von neuen Technologien oder der Verarbeitung von Analysedaten über das Verhalten oder die Vorlieben der Betroffenen ist vor der geplanten Verarbeitung die Durchführung einer Datenschutz-Folgenabschätzung notwendig. Zusätzlich kann es notwendig sein, die zuständige Aufsichtsbehörde darüber zu informieren und entsprechende geforderte Maßnahmen zu ergreifen.

Benennung eines/einer Datenschutzbeauftragten

In Abhängigkeit der Anzahl der (ehrenamtlichen) Beschäftigten kann es erforderlich sein, dass der Verein eine/n Beauftragten für den Datenschutz benennen und der zuständigen Aufsichtsbehörde melden muss. Vereine, in denen mindestens 20 Personen regelmäßig personenbezogene Daten automatisiert verarbeiten, sind von der Benennungspflicht betroffen.

Mehr Informationen zur Benennungspflicht und zu den Aufgaben eines:r Datenschutzbeauftragten finden Sie hier.

Autorin: Jacqueline Vogel

…oder in verwandten Einträgen

Prev
Next