Allgemeine Pflichten im Datenschutz im Überblick
Praxisratgeber
Die DSGVO macht prinzipiell keine Unterscheidung zwischen einem Wirtschaftsunternehmen und einem Verein. Die Pflichten im Datenschutz sind sehr umfangreich. Diese sind durch Vereine genauso gewissenhaft umzusetzen, wie durch Unternehmen. Allerdings hält sich der Umfang der zu verarbeitenden Daten in Vereinen in Grenzen. Der vorliegende Beitrag gliedert sich in:
Grundsätzliche Pflichten der DSGVO
Sicherstellung einer rechtmäßigen Verarbeitung
Grundsätzlich darf jede Verarbeitung von Daten nur auf rechtmäßige Weise erfolgen. Voraussetzung für eine rechtmäßige Verarbeitung ist unter anderem, dass die betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat, ein Vertrag oder eine gesetzliche Auflage erfüllt werden muss oder der Verein ein berechtigtes Interesse verfolgt. Daneben gibt es noch weitere Situationen, in denen personenbezogene Daten verarbeitet werden dürfen, wie z.B. zur Wahrung lebenswichtiger Interessen.
Datenschutzhinweise gestalten und zur Verfügung stellen (Informationspflicht)
Sobald der Verein persönliche Daten von Betroffenen (z.B. Mitgliedern, Interessenten, Besuchern) erhebt, müssen die Betroffenen transparent informiert werden. Die Betroffenen haben unter anderem einen Anspruch auf Information über den Zweck und Dauer der Datenverarbeitung sowie eine Auskunft darüber, ob die persönlichen Daten auch an Dritte übermittelt werden. Darüber hinaus sind die Betroffenen über ihre Rechte zu informieren. Näheres zu den Rechten der Betroffenen.
Mehr Informationen über die weiteren Inhalte der Datenschutzhinweise und die Umsetzung der Informationspflicht findet ihr hier.
Gesetzliche Grundlage: Art. 13 und 14 DSGVO
Beantwortung von Betroffenenanfragen
Betroffene Person habe unter anderem folgende Rechte:
- Recht auf Auskunft über die verarbeiteten Daten
- Recht auf Berichtigung der verarbeiteten Daten
- Recht auf Löschung der verarbeiteten Daten
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch gegen die Verarbeitung.
Macht eine betroffene Person Rechte gegenüber dem Verein geltend, muss dieser unverzüglich, spätestens innerhalb eines Monats, handeln und der betroffenen Person Informationen über die ergriffenen Maßnahmen zur Verfügung stellen.
Wie ihr die Betroffenenrechte im Verein zweckmäßig umsetzen könnt, erfahrt ihr hier.
Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
Jeder Verein hat die Pflicht, ein Verzeichnis über seine Verarbeitungstätigkeiten zu führen und im Bedarfsfall der zuständigen Aufsichtsbehörde zu übermitteln.
Erstellung einer Übersicht der technischen und organisatorischen Maßnahmen
Der Verein hat geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten der Betroffenen zu treffen, umzusetzen und den Nachweis darüber zu erbringen. Als Nachweis über die technischen und organisatorischen Maßnahmen bietet sich eine Übersicht über die entsprechenden Maßnahmen an. Diese Übersicht ergänzt das Verzeichnis der Verarbeitungstätigkeiten und muss auf Verlangen der Aufsichtsbehörde vorgelegt werden.
Verschwiegenheitsverpflichtung des ehrenamtlichen Personals
Vor Beginn einer ehrenamtlichen Tätigkeit muss jede Person, die mit personenbezogenen Daten in Kontakt kommt, zur Verschwiegenheit verpflichtet werden. Dies ergibt sich aus der Rechenschaftspflicht, der Verpflichtung zu technischen und organisatorischen Maßnahmen sowie der Einhaltung der Vertraulichkeit aus den Grundsätzen der Datenverarbeitung.
Die Verpflichtungserklärung stellt eine Belehrung zum datenschutzkonformen Umgang mit personenbezogenen Daten dar. Zusätzlich dient diese Verpflichtung zur haftungsrechtlichen Absicherung im Falle eines groben Fehlverhaltens der mit der Verarbeitung beschäftigten Personen.
Welche Personen sollten verpflichtet werden?
Jede Person, die mit personenbezogenen Daten in Kontakt kommt, z.B. Kassenprüfer, Trainer, Abteilungsleiter, sollte eine Verpflichtungserklärung unterzeichnen.
Personen, die personenbezogene Daten verarbeiten, sollten zudem regelmäßig im Umgang mit personenbezogenen Daten geschult werden.
Pflichten, die nur fallweise erfüllt werden müssen
Meldung einer Datenschutzverletzung
Hat im Verein oder bei einem Auftragsverarbeiter des Vereins eine „Datenpanne“ stattgefunden, muss unverzüglich, spätestens innerhalb von 72 Stunden, eine Meldung an die Aufsichtsbehörde erfolgen. Zusätzlich kann es erforderlich sein, alle betroffenen Personen über die Verletzung in Kenntnis zu setzen.
Durchführung und Dokumentation einer Datenschutzfolgenabschätzung
Bei der Verwendung von neuen Technologien oder der Verarbeitung von Analysedaten über das Verhalten oder die Vorlieben der Betroffenen ist vor der geplanten Verarbeitung die Durchführung einer Datenschutz-Folgenabschätzung notwendig. Zusätzlich kann es notwendig sein, die zuständige Aufsichtsbehörde darüber zu informieren und entsprechende geforderte Maßnahmen zu ergreifen.
Benennung eines/einer Datenschutzbeauftragten
In Abhängigkeit der Anzahl der (ehrenamtlichen) Beschäftigten kann es erforderlich sein, dass der Verein eine/n Beauftragten für den Datenschutz benennen und der zuständigen Aufsichtsbehörde melden muss. Vereine, in denen mindestens 20 Personen regelmäßig personenbezogene Daten automatisiert verarbeiten, sind von der Benennungspflicht betroffen.
Mehr Informationen zur Benennungspflicht und zu den Aufgaben eines:r Datenschutzbeauftragten findet ihr hier.
Autorin: Jacqueline Vogel
…oder in verwandten Einträgen
