privates Informationsportal für Spahnharrenstätte
Datenschutzhinweise
.Ich übernehme keine Haftung für die Richtigkeit und die Vollständigkeit sowie für die Muster!Danke an Georg Sewerin aus Sögel für die Hilfe.
Handlungsempfehlungen für Vereine zur EU-Datenschutzgrundverordnung (EU-DSGVO)
Die EU-Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Union. Sie hat zum Ziel, den Datenschutz in Europa zu vereinheitlichen und somit gleiche Datenschutzstandards für alle Mitgliedsstaaten zu schaffen. Die DSGVO trat am 25. Mai 2018 in Kraft. Sie gibt den gesetzlichen Rahmen für den europäischen Datenschutz bindend vor.
Gleichzeitig hat der deutsche Gesetzgeber mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) ein ergänzendes Gesetzgebungswerk zur EU-DSGVO erlassen. Das BDSG-neu trat ebenfalls am 25. Mai 2018 in Kraft.
Wenngleich viele Regelungen und Vorgaben des neuen Datenschutzrechts auch bereits im alten Datenschutzrecht vorhanden waren, so enthält das neue Recht doch einige wesentliche Verschärfungen, die es erforderlich machen, dass sich auch Vereine mit dem Thema Datenschutz auseinandersetzen müssen.
Zu den wesentlichen Verschärfungen zählen u.a.:
Gleichzeitig hat der deutsche Gesetzgeber mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) ein ergänzendes Gesetzgebungswerk zur EU-DSGVO erlassen. Das BDSG-neu trat ebenfalls am 25. Mai 2018 in Kraft.
Wenngleich viele Regelungen und Vorgaben des neuen Datenschutzrechts auch bereits im alten Datenschutzrecht vorhanden waren, so enthält das neue Recht doch einige wesentliche Verschärfungen, die es erforderlich machen, dass sich auch Vereine mit dem Thema Datenschutz auseinandersetzen müssen.
Zu den wesentlichen Verschärfungen zählen u.a.:
• Stärkere Nutzer- und Verbraucherrechte,
o Auskunftsrechte,
o Recht auf Vergessenwerden (Löschpflichten),
o Recht auf Vergessenwerden (Löschpflichten),
• Höhere Bußgelder bei Datenschutzverstößen.
Nachstehend möchten ich euch eine Handlungsempfehlung geben, welche Maßnahmen im Verein mindestens getroffen werden müssen, um eine datenschutzkonforme Vereinsarbeit sicherzustellen:
1. Aufbau eines sog. Datenschutzmanagements (organisatorische Regelungen zum Datenschutz)
Ein Muster des „Datenschutzmanagements“ steht zum Download zur Verfügung.
Dieses Muster bitte vervollständigen und kurzfristig im Verein durch den Vorstand in Kraft setzen. Auf der nächsten Jahreshauptversammlung ist dieses Datenschutzmanagement den Mitgliedern vorzustellen und zu genehmigen. Für die Folgejahre ist dieses Datenschutzmanagement jährlich zu überprüfen und auf jeder Jahreshauptversammlung vorzustellen und zu genehmigen. Das Datenschutzmanagement wird somit ab sofort fester Tagesordnungspunkt jeder Jahreshauptversammlung.
2. Transparente Information der Vereinsmitglieder und Einholung einer Einwilligungserklärung
a.
Übersendung oder Aushändigung eines Info-Schreibens an aktive Vereinsmitglieder und Einholung einer Datenschutzerklärung (Einwilligungserklärung)
Ein Muster eines Info-Schreibens für aktive Vereinsmitglieder und ein Muster einer Datenschutzerklärung des einzelnen Vereinsmitgliedes ist als Download beigefügt.
Das Info-Schreiben sollten baldmöglichst an die aktiven Mitglieder verteilt und die Datenschutzerklärung von jedem aktiven Vereinsmitglied eingeholt werden. Dem Mitglied ist ein Exemplar der Datenschutzerklärung auszuhändigen.
b.
Übersendung eines Info-Schreibens an Ihre fördernden Mitglieder
Auch das fördernde Mitglied ist darüber zu informieren, welche Daten über ihn gespeichert sind und zu welchem Zweck die Datenerhebung und –speicherung erfolgt.
Dazu sendet dem fördernden Mitglied ein entsprechendes Info-Schreiben zu.
Ein Musteranschreiben für fördernde Vereinsmitglieder steht zum Download zur Verfügung.
Die Einholung einer Einwilligungserklärung ist bei fördernden Mitgliedern nach derzeitiger Einschätzung nicht erforderlich, da i.d.R. ausschließlich Daten verarbeitet werden, die für eine ordnungsgemäße Mitgliederverwaltung und die Beitragserhebung notwendig sind. Hier gilt die Mitgliedschaft als Vertrag. Die Erhebung und Verarbeitung von Daten, die zur Vertragsabwicklung notwendig sind, sind über den Artikel 6 der Datenschutzgrundverordnung legitimiert.
Die Information des fördernden Mitgliedes ist daher ausreichend.
Sollten ihr jedoch darüber hinaus, aus welchem Grund auch immer, weitere Daten des fördernden Mitgliedes erhoben haben, ist selbstverständlich eine „Datenschutzerklärung“ (Einwilligung) analog des aktiven Mitgliedes einzuholen.
3. Führung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT)
Artikel 30 der EU-DSGVO verlangt die Führung eines Verzeichnisses in das alle datenschutzrelevanten Verarbeitungstätigkeiten aufzunehmen sind.
Diese Anforderung ist relativ einfach zu erfüllen. Ein entsprechendes Muster Verzeichnis der Verarbeitungstätigkeiten (VVT) steht zum Download zur Verfügung.
4. Überprüfung der Homepage
Bei den vorstehenden Anforderungen zur Umsetzung der EU-DSGVO handelte es sich um Dokumentationserfordernisse, die zunächst nur internen Charakter haben und nur ggf. auf Anforderung der Datenschutzaufsicht zur Verfügung gestellt werden müssen.
Bei der Homepage des Vereins ist das etwas anderes. Mit den Inhalten der Internetseite tretet ihr in die Öffentlichkeit. Sie bietet daher die größte Angriffsfläche für mögliche teure Abmahnung bei nicht rechtskonformer Ausgestaltung.
Bitte überprüft daher die Inhalte der Internetpräsenz.
5. Grundsätzliches zum Datenschutz
a.
Löschung von Daten
Nicht erst mit der Einführung der EU-DSGVO gilt, dass Daten zu löschen sind, wenn der Zweck zu dem sie erhoben wurden, entfallen ist. Grundsätzlich ist dies immer dann der Fall, wenn das Mitglied ausgetreten ist oder aus sonstigem Grund nicht mehr Mitglied ist (z.B. im Todesfall).
b.
Sicherheit der Daten
Um die personenbezogenen Daten unserer Mitglieder zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Datensicherung und aktuelle Virenscanner. Soweit für die Vereinsverwaltung private PC’s genutzt werden, ist sicher zu stellen, dass nur berechtigte Personen auf die Daten zugreifen können (Passwortschutz).
c.
Besonderheiten beim Umgang mit Daten von Kindern und Jugendlichen
Für die Einwilligung der Nutzung von persönlichen Daten von Kindern und Jugendlichen braucht ihr die Einwilligung der Erziehungsberechtigten.
Nach derzeitiger Rechtsauslegung sind Jugendliche erst ab 16 Jahren zur eigenständigen Abgabe einer Einwilligung berechtigt.
d.
Umgang mit Fotos
Grundsätzlich dürfen Bildnisse nur mit Einwilligung des Abgebildeten veröffentlicht werden (Kunsturhebergesetz – KUG).
Ausnahmen: Bildnisse aus dem Bereich der Zeitgeschichte; Bilder auf denen die Personen nur Beiwerk einer Landschaft sind; Bilder von Versammlungen, Auftritten, Umzügen und ähnlichen Veranstaltungen.
Empfehlung: In der Beitrittserklärung zum Verein einen Passus aufnehmen, in dem sich das Vereinsmitglied mit der Veröffentlichung von Aufnahmen einverstanden erklärt, wie zum Beispiel:
Das Fotos die gefertigt werden anlässlich eines Konzertes oder zur Erstellung von Werbematerial, oder für Presseberichte anlässlich Mitgliederversammlungen oder Ehrungen usw.. Diese Fotos können in der Presse, aber auch auf der Homepage, in der Vereinschronik oder bei Facebook veröffentlicht werden.
Weiter Information "Das Recht am eigenen Bild"
e.
Bestellung eines Datenschutzbeauftragten
Bei weniger als 10 Mitgliedern, die sich regelmäßig mit den Daten der Mitglieder beschäftigen, wird kein Datenschutzbeauftragter benötigt. Die Aufgaben übernimmt in diesen Fällen der Vorstand/Vorsitzende des Vereins.
Empfehlung: Jemanden beauftragen, der für die Verwaltung der Mitgliederdaten der Ansprechpartner ist.
Sinnvollerweise sollte dies das Mitglied sein, das sich auch mit der Mitgliederverwaltung beschäftigt. Der Datenbeauftragte sollte im Verein bekannt sein, damit jeder weiß, an wen er sich zu wenden hat, wenn Veränderungen am Datenbestand erforderlich werden (Adressänderungen, Austritte etc.) oder ein Widerspruch zur Datennutzung eingeht.
Der Beauftragte ist auch den fördernden Mitgliedern bekannt zu machen (über Pkt. 2.b realisiert).
f.
Meldung von Datenschutzverletzungen
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten.
Die Datenschutzaufsicht (Landesbeauftragte für den Datenschutz) ist, bei hohem Risiko für die Betroffenen durch den Datenverlust, in Kenntnis zu setzen. Darüber hinaus sind die Betroffenen Personen ebenfalls zu informieren.
Muster:
Verzeichnis der Verarbeitungstätigkeit (VVT)
Datenschutzmanagement
Datenschutzerklärung einzelner Mitglieder
Anschreiben Mitglieder / Fördermitglieder
* Links (extern, PDF etc.) werden i.d.R. in einem neuen Fenster/Tab geöffnet und sind mit * gekennzeichent!
1. Aufbau eines sog. Datenschutzmanagements (organisatorische Regelungen zum Datenschutz)
Ein Muster des „Datenschutzmanagements“ steht zum Download zur Verfügung.
Dieses Muster bitte vervollständigen und kurzfristig im Verein durch den Vorstand in Kraft setzen. Auf der nächsten Jahreshauptversammlung ist dieses Datenschutzmanagement den Mitgliedern vorzustellen und zu genehmigen. Für die Folgejahre ist dieses Datenschutzmanagement jährlich zu überprüfen und auf jeder Jahreshauptversammlung vorzustellen und zu genehmigen. Das Datenschutzmanagement wird somit ab sofort fester Tagesordnungspunkt jeder Jahreshauptversammlung.
2. Transparente Information der Vereinsmitglieder und Einholung einer Einwilligungserklärung
a.
Übersendung oder Aushändigung eines Info-Schreibens an aktive Vereinsmitglieder und Einholung einer Datenschutzerklärung (Einwilligungserklärung)
Ein Muster eines Info-Schreibens für aktive Vereinsmitglieder und ein Muster einer Datenschutzerklärung des einzelnen Vereinsmitgliedes ist als Download beigefügt.
Das Info-Schreiben sollten baldmöglichst an die aktiven Mitglieder verteilt und die Datenschutzerklärung von jedem aktiven Vereinsmitglied eingeholt werden. Dem Mitglied ist ein Exemplar der Datenschutzerklärung auszuhändigen.
b.
Übersendung eines Info-Schreibens an Ihre fördernden Mitglieder
Auch das fördernde Mitglied ist darüber zu informieren, welche Daten über ihn gespeichert sind und zu welchem Zweck die Datenerhebung und –speicherung erfolgt.
Dazu sendet dem fördernden Mitglied ein entsprechendes Info-Schreiben zu.
Ein Musteranschreiben für fördernde Vereinsmitglieder steht zum Download zur Verfügung.
Die Einholung einer Einwilligungserklärung ist bei fördernden Mitgliedern nach derzeitiger Einschätzung nicht erforderlich, da i.d.R. ausschließlich Daten verarbeitet werden, die für eine ordnungsgemäße Mitgliederverwaltung und die Beitragserhebung notwendig sind. Hier gilt die Mitgliedschaft als Vertrag. Die Erhebung und Verarbeitung von Daten, die zur Vertragsabwicklung notwendig sind, sind über den Artikel 6 der Datenschutzgrundverordnung legitimiert.
Die Information des fördernden Mitgliedes ist daher ausreichend.
Sollten ihr jedoch darüber hinaus, aus welchem Grund auch immer, weitere Daten des fördernden Mitgliedes erhoben haben, ist selbstverständlich eine „Datenschutzerklärung“ (Einwilligung) analog des aktiven Mitgliedes einzuholen.
3. Führung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT)
Artikel 30 der EU-DSGVO verlangt die Führung eines Verzeichnisses in das alle datenschutzrelevanten Verarbeitungstätigkeiten aufzunehmen sind.
Diese Anforderung ist relativ einfach zu erfüllen. Ein entsprechendes Muster Verzeichnis der Verarbeitungstätigkeiten (VVT) steht zum Download zur Verfügung.
4. Überprüfung der Homepage
Bei den vorstehenden Anforderungen zur Umsetzung der EU-DSGVO handelte es sich um Dokumentationserfordernisse, die zunächst nur internen Charakter haben und nur ggf. auf Anforderung der Datenschutzaufsicht zur Verfügung gestellt werden müssen.
Bei der Homepage des Vereins ist das etwas anderes. Mit den Inhalten der Internetseite tretet ihr in die Öffentlichkeit. Sie bietet daher die größte Angriffsfläche für mögliche teure Abmahnung bei nicht rechtskonformer Ausgestaltung.
Bitte überprüft daher die Inhalte der Internetpräsenz.
5. Grundsätzliches zum Datenschutz
a.
Löschung von Daten
Nicht erst mit der Einführung der EU-DSGVO gilt, dass Daten zu löschen sind, wenn der Zweck zu dem sie erhoben wurden, entfallen ist. Grundsätzlich ist dies immer dann der Fall, wenn das Mitglied ausgetreten ist oder aus sonstigem Grund nicht mehr Mitglied ist (z.B. im Todesfall).
b.
Sicherheit der Daten
Um die personenbezogenen Daten unserer Mitglieder zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Datensicherung und aktuelle Virenscanner. Soweit für die Vereinsverwaltung private PC’s genutzt werden, ist sicher zu stellen, dass nur berechtigte Personen auf die Daten zugreifen können (Passwortschutz).
c.
Besonderheiten beim Umgang mit Daten von Kindern und Jugendlichen
Für die Einwilligung der Nutzung von persönlichen Daten von Kindern und Jugendlichen braucht ihr die Einwilligung der Erziehungsberechtigten.
Nach derzeitiger Rechtsauslegung sind Jugendliche erst ab 16 Jahren zur eigenständigen Abgabe einer Einwilligung berechtigt.
d.
Umgang mit Fotos
Grundsätzlich dürfen Bildnisse nur mit Einwilligung des Abgebildeten veröffentlicht werden (Kunsturhebergesetz – KUG).
Ausnahmen: Bildnisse aus dem Bereich der Zeitgeschichte; Bilder auf denen die Personen nur Beiwerk einer Landschaft sind; Bilder von Versammlungen, Auftritten, Umzügen und ähnlichen Veranstaltungen.
Empfehlung: In der Beitrittserklärung zum Verein einen Passus aufnehmen, in dem sich das Vereinsmitglied mit der Veröffentlichung von Aufnahmen einverstanden erklärt, wie zum Beispiel:
Das Fotos die gefertigt werden anlässlich eines Konzertes oder zur Erstellung von Werbematerial, oder für Presseberichte anlässlich Mitgliederversammlungen oder Ehrungen usw.. Diese Fotos können in der Presse, aber auch auf der Homepage, in der Vereinschronik oder bei Facebook veröffentlicht werden.
Weiter Information "Das Recht am eigenen Bild"
e.
Bestellung eines Datenschutzbeauftragten
Bei weniger als 10 Mitgliedern, die sich regelmäßig mit den Daten der Mitglieder beschäftigen, wird kein Datenschutzbeauftragter benötigt. Die Aufgaben übernimmt in diesen Fällen der Vorstand/Vorsitzende des Vereins.
Empfehlung: Jemanden beauftragen, der für die Verwaltung der Mitgliederdaten der Ansprechpartner ist.
Sinnvollerweise sollte dies das Mitglied sein, das sich auch mit der Mitgliederverwaltung beschäftigt. Der Datenbeauftragte sollte im Verein bekannt sein, damit jeder weiß, an wen er sich zu wenden hat, wenn Veränderungen am Datenbestand erforderlich werden (Adressänderungen, Austritte etc.) oder ein Widerspruch zur Datennutzung eingeht.
Der Beauftragte ist auch den fördernden Mitgliedern bekannt zu machen (über Pkt. 2.b realisiert).
f.
Meldung von Datenschutzverletzungen
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten.
Die Datenschutzaufsicht (Landesbeauftragte für den Datenschutz) ist, bei hohem Risiko für die Betroffenen durch den Datenverlust, in Kenntnis zu setzen. Darüber hinaus sind die Betroffenen Personen ebenfalls zu informieren.
Muster:
Verzeichnis der Verarbeitungstätigkeit (VVT)
Datenschutzmanagement
Datenschutzerklärung einzelner Mitglieder
Anschreiben Mitglieder / Fördermitglieder
* Links (extern, PDF etc.) werden i.d.R. in einem neuen Fenster/Tab geöffnet und sind mit * gekennzeichent!