Drücken Sie „Enter“, um den Inhalte zu überspringen
Gdpr Data Protection Privacy - TheDigitalArtist / Pixabay
TheDigitalArtist / Pixabay

Datenschutz im Verein umsetzen

Datenschutzbestimmungen praktisch umsetzen

In vielen Vereinen ist auch nach mehr als drei Jahren nach dem Inkrafttreten der Datenschutzgrundverordnung noch einiges im Argen. Dies hat unterschiedliche Ursachen. Eine dürfte bei den verantwortlichen Vorständ*innen liegen, die den Schutz der Vereinsmitglieder gefährlich naiv vernachlässigen.
(Siehe z. B. „Ausspähen unter Freunden, das geht gar nicht“)
Hier sind die wichtigsten Themen für Vereine leicht verständlich zusammen gefasst.

Quelle: Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein

Einleitung
1. Anwendbare Vorschriften
2. Verantwortlichkeiten und Personenbezug, Ordnungswidrigkeiten
2.1 Datenschutzrechtliche Verantwortung
2.2 Personenbezug
2.3 Anwendung des Ordnungswidrigkeitengesetzes (OWiG)
3. Aufnahme neuer Mitglieder
3.1 Gestaltung von Aufnahmebögen
3.2 Informationspflichten
4. Gestaltung der Vereinssatzung
5. Rechte von Vereinsmitgliedern
5.1 Rechte nach der DSGVO
5.2 Auskunft zu Mitgliederdaten und Einsatz von Treuhändern
6. Einbeziehung von Dienstleistern
7. Verzeichnis Tätigkeiten, Benennung eines Datenschutzbeauftragten
8. Technisch-organisatorische Anforderungen

Einleitung

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit seiner Leiterin, der Landesbeauftragten für Datenschutz, überwacht die Einhaltung datenschutzrechtlicher Vorschriften bei öffentlichen (Behörden) und nichtöffentlichen Stellen (Unternehmen) in Schleswig-Holstein. Außerdem kann das ULD in strittigen Fällen nach dem Informationszugangsgesetz Schleswig-Holstein angerufen werden. Vereine und Verbände unterstützen mit ihrer Arbeit wichtige Aufgaben in der Gesellschaft auf vielfältigen Tätigkeitsgebieten. Oft werden gemeinnützige Zwecke verfolgt, wobei die Tätigkeit darauf gerichtet ist, die Allgemeinheit auf materiellem, geistigem oder sittlichem Gebiet selbstlos zu fördern. Das Ehrenamt nimmt dabei eine wichtige Rolle ein. Viele Mitglieder werden für ihre Vereine unentgeltlich tätig. Die Erfüllung datenschutzrechtlicher Anforderungen wird dabei in der Praxis von manchen Vereinen als schwierig oder bürokratisch angesehen. Im Zusammenhang damit steht oft eine gewisse Verunsicherung. Der erforderliche Verwaltungsaufwand zur Einhaltung der Datenschutzregeln wird sehr hoch eingeschätzt, gerade im Hinblick auf die Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018. Mit der DSGVO haben sich zahlreiche rechtliche Vorgaben allerdings nicht geändert. Kritisch ist es, wenn auf Nachfrage einzelne Vereine etwa nicht erläutern können, welche personenbezogenen Daten von Vereinsmitgliedern und Dritten von wem auf welchen Systemen verarbeitet werden. Andere Vereine wiederum hatten bereits vor der Einführung der DSGVO bestehende Datenschutzregeln eingehalten und somit ab dem 25.05.2018 keinen nennenswerten Aufwand, die Anpassungen an das geänderte Recht vorzunehmen. Das vorliegende Praxisheft soll eine Übersicht darüber geben, welche Datenschutzregeln von Vereinen und Verbänden einzuhalten 4 sind und was im Einzelnen veranlasst werden sollte. Damit verbunden ist die Hoffnung, dass die praktischen Tipps eine effiziente Hilfestellung bieten.

1. Anwendbare Vorschriften

Auch für Vereine (Vereine mit eigener Rechtspersönlichkeit, die im Vereinsregister eingetragen werden, sowie nicht rechtsfähige Vereine) gelten ab dem 25.05.2018 die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung (DSGVO)) und das Bundesdatenschutzgesetz (BDSG) in seiner neuen Fassung (BGBl. I, Nr. 44, vom 05.07.2017). Die Vorschriften gelten ohne Einschränkung. Es ist z. B. nicht von Bedeutung, ob etwa hauptamtliche oder ehrenamtliche Mitarbeiter für den Verein tätig sind, wie viele Mitglieder der Verein hat, ob der Verein in erster Linie eigenwirtschaftlichen Zwecken dient oder ob ausschließlich und unmittelbar gemeinnützige und mildtätige Zwecke verfolgt werden, welche Größe ein etwaiger Kundenstamm hat, ob der Verein eher einen lokalen oder überregionalen Wirkungskreis hat und ob die personenbezogenen Daten des Vereins ganz oder teilweise bei einer übergeordneten Stelle wie einem Bundesverband verarbeitet werden.

2. Verantwortlichkeiten und Personenbezug, Ordnungswidrigkeiten

2.1. Datenschutzrechtliche Verantwortung

Der Verein ist für die Einhaltung sämtlicher datenschutzrechtlicher Vorgaben nach den obigen Vorschriften verantwortlich. „Verantwortlicher“ ist in diesem Kontext die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Die Entscheidung über die Zwecke (z. B. Verarbeitung personenbezogener Daten zur Spendenwerbung, zur Erfüllung steuerrechtlicher Vorgaben, zur Einziehung der Mitgliedsbeiträge, zur Berücksichtigung von Geburtstagen und Jubiläen von Vereinsmitgliedern, zur Abwicklung von Vereinswechseln, zur Veröffentlichung im Webauftritt des Vereins oder in einer Informationsbroschüre) und Mittel (eingesetzte Informationstechnik, Klärung von Fragen des Zugriffs auf personenbezogene Daten sowie ihrer Löschung) wird von den Vereinsorganen für den Verein getroffen. Nicht die Vereinsorgane (z. B. Vorstand, Mitgliederversammlung, Beirat) oder ein etwaig benannter Datenschutzbeauftragter sind „Verantwortliche“ aus Datenschutzsicht, sondern der Verein selbst. Von der Verantwortung aus Datenschutzsicht ist die Haftung, beispielsweise im Fall von Ordnungswidrigkeiten, zu unterscheiden.

2.2 Personenbezug

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Im Verein sind dies vor allem die Angaben zu ehrenamtlichen und hauptamtlichen Mitarbeiter(inne)n und zu Vereinsmitgliedern. Zu den personenbezogenen Daten können z. B. folgende Daten zählen: Nachnamen, Vornamen, E-Mail-Adressen, Telefonnummern, Kontoverbindungsdaten, Anschriften, Fotografien, Angaben aus einem Ausweisdokument, Angaben zum Beruf und zu bestehenden Qualifikationen und Funktionen, Angaben zur Bonität, Kfz-Kennzeichen (Halterinformationen sind durch die einfache Registerauskunft nach § 39 Abs. 1 des Straßenverkehrsgesetzes – StVG ermittelbar), Name eines Schiffs (Angaben zum Eigentümer sind bei den im Schiffsregister eingetragenen Schiffen nach § 8 Abs. 1 der Schiffsregisterordnung ermittelbar), Angaben zu Platzierungen und Leistungen von Sportlern.
Das Datenschutzrecht bezieht sich nicht auf Daten von juristischen Personen (z. B. andere Vereine oder Kapitalgesellschaften). Werden hingegen personenbezogene Daten von natürlichen Personen verarbeitet, beispielsweise Vertretungsberechtigte und Beschäftigte anderer Vereine, sind die Datenschutzanforderungen zu berücksichtigen.

2.3 Anwendung des Ordnungswidrigkeitengesetzes (OWiG)

Werden im Verein die datenschutzrechtlichen Vorgaben verletzt und wird dabei der Tatbestand einer Ordnungswidrigkeit erfüllt, kommt die Verhängung einer Geldbuße in Betracht (vgl. Art. 83 DSGVO). Hat jemand als vertretungsberechtigtes Organ einer juristischen Person (z. B. Vorstand des Vereins nach § 26 BGB) oder als Mitglied eines solchen Organs (vgl. § 30 Abs. 1 Nr. 1 OWiG) oder als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes (vgl. § 30 Abs. 1 Nr. 2 OWiG) eine Ordnungswidrigkeit begangen, wodurch Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden. Das Verhalten der Organe bzw. der Mitglieder der Organe wird dem Verein zugerechnet. Adressat des Bußgeldbescheids ist der Verein. Nach Maßgabe von § 9 Abs. 1 Nr. 1 OWiG kommt daneben eine Haftung des Vorstands des eingetragenen Vereins oder von einzelnen Mitgliedern dieses Vereins in Betracht.

3. Aufnahme neuer Mitglieder

3.1 Gestaltung von Aufnahmebögen

Werden natürliche Personen als Vereinsmitglieder aufgenommen, so erfolgt die Erhebung personenbezogener Daten z. B. über einen Aufnahmebogen oder ein Webformular. Die Erhebung bestimmter Daten ist dabei grundsätzlich rechtmäßig, da dies für die Begründung der Mitgliedschaft erforderlich ist. Hierzu können etwa Kontaktdaten des Mitglieds zwecks Zustellung von Einladungen zu Mitgliederversammlungen oder Kontoverbindungsdaten zur Einziehung von Mitgliedsbeiträgen zählen. Eine entsprechende Erforderlichkeit kann für die Verarbeitung von Kontaktdaten des Mitglieds bestehen, wenn der Verein für dieses eine Versicherung in Bezug auf Haftungsrisiken (etwa für Mitglieder, die als Vorstände tätig sind) schließen möchte. Daten, die nicht erforderlich sind, dürfen nicht zu den Pflichtangaben gehören. Beispielsweise darf der Beruf nicht abgefragt werden, wenn er für die Mitgliedschaft nicht relevant ist. Für die Zusendung von Direktwerbung durch den Verein an seine Mitglieder in Form eines E-Mail-Newsletters ist eine Einwilligung des jeweiligen Mitglieds erforderlich (vgl. § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb – UWG). Die Aufnahme von Fotografien in Vereinsbroschüren, im Webauftritt des Vereins oder ähnlichen Medien bedarf grundsätzlich auch der Einwilligung des Mitglieds. Speziell für Einwilligung müssen vor allem die Anforderungen nach Art. 7 und Art. 13 DSGVO eingehalten werden. Die Versendung von Direktwerbung an die Postadressen der Mitglieder kann einem berechtigten Interesse des Vereins entsprechen (vgl. Erwägungsgrund 47 Satz 7 DSGVO), gerade wenn dies eigene Angebote von Waren oder Dienstleistungen betrifft. Besteht die Intention zur Direktwerbung unter Verwendung der Postadressen bereits bei Aufnahme des Mitglieds, muss nach Art. 21 Abs. 4 DSGVO im Rahmen dieser ersten Kommunikation auf ein Widerspruchsrecht gegen die Verarbeitung der Mitgliederdaten für Zwecke der Direktwerbung hingewiesen werden.
Die Verwendung von E-Mail-Adressen oder Postadressen für den Zweck der Zusendung von regelmäßig erscheinenden Informationsbriefen ohne Werbecharakter kann nach Art. 6 Abs. 1 Buchst. f DSGVO gerechtfertigt sein. Entscheidend ist nach Art. 6 Abs. 1 Buchst. f DSGVO, inwieweit die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen (= Verein) oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (= Vereinsmitglied), die den Schutz personenbezogener Daten erfordern, überwiegen. Dies gilt insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Von Bedeutung sind dabei z. B. ablehnende Äußerungen von Mitgliedern. Bei Kindern kann die Einsichtsfähigkeit fehlen. Eine häufige Zusendung von Informationsbriefen (z. B. wöchentlich) kann von einzelnen Mitgliedern als störend empfunden werden und deren Interessen tangieren. Zur Vornahme einer sicheren Abwägung nach Art. 6 Abs. 1 Buchst. f DSGVO ist zu empfehlen, das Votum des Mitglieds, bei Kindern das Votum des Trägers elterlicher Verantwortung, einzuholen. Für die Gestaltung eines Aufnahmebogens oder eines entsprechenden Webformulars ist zu raten, die einzelnen Verarbeitungszwecke (z. B. Direktwerbung per E-Mail, Direktwerbung per Briefpost, Zusendung von Informationsbriefen ohne Werbecharakter, Veröffentlichung von Fotografien) in jeweils separaten Informationstexten / Einwilligungserklärungen zu formulieren, die vom (künftigen) Mitglied ebenso separat angekreuzt / angeklickt oder unterzeichnet werden müssen. Dem Mitglied muss die Freiheit verbleiben, sich für oder gegen einzelne der beabsichtigten Verarbeitungen zu entscheiden.

3.2 Informationspflichten

Die Erhebung von personenbezogenen Daten bei der beitrittswilligen Person im Rahmen einer Aufnahme als Vereinsmitglied führt dazu, dass der Verein Informationspflichten nach Art. 13 DSGVO erfüllen muss. Die Vorschrift enthält einen Katalog an Informationen, die dem (künftigen) Mitglied im Zeitpunkt der Erhebung vorliegen müssen. Hierzu zählen u. a. Angaben zu den Verarbeitungszwecken, den Empfängern personenbezogener Daten, den Kontaktdaten des Datenschutzbeauftragten des Vereins (soweit eine Benennung erfolgte), den Rechten des Vereinsmitglieds aus datenschutzrechtlicher Sicht (z. B. Recht auf Auskunft) und zu den Speicherfristen für die erhobenen Daten. Es ist zu empfehlen, die entsprechenden Pflichtangaben direkt im Text eines Aufnahmebogens bzw. Webformulars zu berücksichtigen.

4. Gestaltung der Vereinssatzung

Für die Beurteilung, ob eine Verarbeitung personenbezogener Daten durch den Verein rechtmäßig ist, sind vor allem Art. 6 Abs. 1 Buchst. b und f DSGVO von Bedeutung (Buchstabe b: Verarbeitung erforderlich für die Erfüllung eines Vertrags zwischen Verein und Mitglied; Buchstabe f: Verarbeitung zur Wahrung berechtigter Interessen des Vereins oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Vereinsmitglieds, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei dem Vereinsmitglied um ein Kind handelt). Bedingt die Erfüllung von satzungsmäßig fixierten Vereinszwecken die Verarbeitung personenbezogener Daten von Mitgliedern, so können entsprechende Satzungsbestimmungen bei der Prüfung von Art. 6 Abs. 1 Buchst. b und f DSGVO herangezogen werden. Satzungsregelungen zur Darstellung von Übermittlungen personenbezogener Daten an öffentliche Stellen sind grundsätzlich entbehrlich. Beispielsweise gehören dazu Übermittlungen an das Amtsgericht bezüglich Eintragungen im Vereinsregister – etwa die Eintragung von Vorstandsmitgliedern im Register oder die Übersendung einer Mitgliederliste zum Sitzungsprotokoll einer Mitgliederversammlung. Auch eine Übermittlung von personenbezogenen Daten an Finanzbehörden in Bezug auf die Abführung von Lohnsteuer für hauptamtliche Mitarbeiter(innen) im Verein muss nicht in der Satzung geregelt werden.

5. Rechte von Vereinsmitgliedern

5.1 Rechte nach der DSGVO

Zu den Rechten der Vereinsmitglieder (natürliche Personen) zählen:

Information bei der Erhebung von personenbezogenen Daten (Art. 13 und Art. 14 DSGVO),

  • das Auskunftsrecht (Art. 15 DSGVO),
  • das Recht auf Berichtigung (Art. 16 DSGVO),
  • das Recht auf Löschung (Art. 17 DSGVO),
  • das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • die Mitteilungspflicht in Bezug auf die Berichtigung, Löschung oder Einschränkung der Verarbeitung (Art. 19 DSGVO),
  • das Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • das Widerspruchsrecht (Art. 21 DSGVO) und
  • das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO).

Der Verein muss den Vereinsmitgliedern die Ausübung ihrer Rechte nach Art. 12 Abs. 2 Satz 1 DSGVO erleichtern. Hierzu zählt etwa, dass die Vereinsmitglieder auf ihre Rechte mündlich, schriftlich oder elektronisch hingewiesen werden, z. B. im Rahmen der Prozedur einer Aufnahme als Mitglied. Ferner besteht die Verpflichtung des Vereins, im Falle der Geltendmachung eines Rechts innerhalb eines Monats die gestellten Anträge zu bearbeiten. Die Monatsfrist darf unter Berücksichtigung der Komplexität und der Anzahl der Anträge um weitere zwei Monate verlängert werden. In dieser Situation muss der Antragstellende allerdings eine Zwischennachricht innerhalb des ersten Monats nach Antragseingang erhalten. Ergänzend: Verarbeitet der Verein personenbezogene Daten von Nichtmitgliedern, so stehen auch diesen die Rechte nach den Art. 12 ff. DSGVO gegenüber dem Verein zu.

5.2 Auskunft zu Mitgliederdaten und Einsatz von Treuhändern

Vereine sind teilweise mit der Fragestellung befasst, wie mit dem Antrag von Vereinsmitgliedern umzugehen ist, die Kontaktdaten der anderen Mitglieder zu erhalten. Die Mitglieder möchten die Kontaktdaten häufig dazu verwenden, ein Mitgliederbegehren auf den Weg zu bringen, das auch mit Kritik an der bestehenden Vereinsführung im Zusammenhang stehen kann. In der Rechtsprechung wurde als Lösungsansatz hierfür ein gestuftes Verfahren entwickelt: Zunächst soll ein Treuhänder ausgewählt werden, der vorzugsweise Berufsgeheimnisträger ist (§ 203 Abs. 1 Nr. 3 des Strafgesetzbuchs – StGB) oder als Richter an einem deutschen Gericht oder Hochschullehrer an einer deutschen Hochschule tätig ist. Die Kontaktdaten (z. B. eine Mitgliederliste) werden diesem Treuhänder vom Verein überlassen. Weiterhin prüft der Treuhänder den Zweck der Datenerhebung, insbesondere inwieweit die Antrag stellenden Mitglieder die Kontaktdaten zur Versendung von kommerzieller Werbung oder im Sinne einer Abwerbung verwenden wollen oder der Inhalt der beabsichtigten Mitteilung gegen Strafvorschriften verstößt. Gleichzeitig steht der Treuhänder mit sämtlichen Vereinsmitgliedern im Kontakt und muss etwaige Widersprüche gegen die Weiterleitung von Kontaktdaten an die Antrag stellenden Vereinsmitglieder berücksichtigen.
Unabhängig von der obigen Konstellation sind Vereine oft mit der Frage befasst, ob Kontaktdaten zu bestimmten Mitgliedern (z. B. Telefonnummer und Anschrift) an andere Mitglieder herausgegeben werden dürfen. Die anfragenden Mitglieder möchten diese Daten etwa zur Bildung von Fahrgemeinschaften verwenden. Der Verein darf in einem solchen Fall nicht einfach Telefonnummern, Adressen und andere Kontaktdaten herausgeben, wenn das betroffene Vereinsmitglied damit nicht einverstanden ist. Allerdings könnte der Verein auf den Wunsch eines Mitglieds dessen Kontaktdaten weitergeben, damit sich andere Mitglieder bei Bedarf mit ihm in Verbindung setzen können.

6. Einbeziehung von Dienstleistern

Erbringen andere Stellen weisungsgebundene Dienstleistungen in Bezug auf die Verarbeitung personenbezogener Daten des Vereins (z. B. Drucken von Vereinspost für die Mitglieder, Administrieren von Systemen, Bereitstellung von Speicherplatz oder ganzer Anwendungen (z. B. Cloud-Dienste)), so müssen die Regelungen zur Auftragsverarbeitung nach Art. 28 und Art. 29 DSGVO beachtet werden. In diesen Fällen bedarf es eines schriftlichen Vertrags (Art. 28 Abs. 9 DSGVO) zwischen dem Verein als Auftraggeber und dem Dienstleister als Auftragnehmer mit einem verpflichtenden Inhalt (vgl. Art. 28 Abs. 3 DSGVO). Der Auftragnehmer muss zuvor sorgfältig vom Verein ausgewählt werden, d. h. der Auftragnehmer muss die Gewähr dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen nach der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet (Art. 28 Abs. 1 DSGVO). Verantwortlich bleibt aber der Verein, d. h. er muss sicherstellen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben einhält.

7. Verzeichnis von Verarbeitungstätigkeiten und Benennung eines Datenschutzbeauftragten

Vereine müssen wie jede andere nichtöffentliche oder öffentlicheStelle ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO führen. Hierzu ergeben sich keine vereinsspezifischen Besonderheiten. Eine Benennpflicht für Datenschutzbeauftragte gilt für Vereine regelmäßig dann, wenn sie mindestenszehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (vgl. § 38 Abs. 1 BDSG). Dabei ist nicht der Beschäftigungsstatus entscheidend (befristet oder unbefristet, Teilzeit oder Vollzeit – auch Ehrenamtliche zählen mit). Ebenso werden Praktikanten oder Personen, die ihren Bundesfreiwilligendienst oder das freie soziale Jahr ableisten, hinzugezählt. Vorstandsmitglieder zählen auch dazu. Unabhängig von der Personenanzahl können bei Vereinen Benennpflichten nach Art. 37 Abs. 1 DSGVO ausgelöst werden. In Betracht kommt gegebenenfalls Art. 37 Abs. 1 Buchst. c DSGVO für die Fälle, in denen die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonderer Datenkategorien (d. h. mit besonderer Sensibilität, siehe Art. 9 Abs. 1 DSGVO) besteht: Werden etwa Aufgaben im Bereich der Jugendhilfe wahrgenommen, Beratungen und Therapiemaßnahmen durchgeführt und führt der Verein dabei z. B. Beratungsakten mit einer Vielzahl an Gesundheitsdaten(= besondere Datenkategorie) zu einzelnen Personen, so kann eine Benennpflicht entstehen, auch wenn weniger als zehn Personendes Vereins diese personenbezogenen Daten automatisiert verarbeiten.

8. Technisch-organisatorische Anforderungen

Bei jeder Verarbeitung personenbezogener Daten, unabhängig davon, ob dies per Computer oder auf Papier geschieht, müssen Vereine die Informationssicherheit ausreichend gewährleisten. Dies betrifft beispielsweise eine Abschottung der Daten gegenunberechtigte Zugriffe oder die Notwendigkeit eines Backups. Nach Art. 32 Abs. 1 DSGVO muss der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveausicherzustellen. Hier bestehen keine vereinsspezifischen Besonderheiten. Bei einem Datenschutzvorfall – beispielsweise wenn Daten verloren gegangen sind oder sich Unbefugte Zugriff verschaffen konnten – muss der Verein nach Art. 33 DSGVO die Datenschutzaufsichtsbehörde darüber unverzüglich informieren. Entstehen durch den Datenschutzvorfall hohe Risiken für die betroffenen Personen, muss der Verein sie nach Art. 34 DSGVO benachrichtigen. Ferner gelten die Vorgaben nach Art. 25 DSGVO (Datenschutzdurch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). Der Verein muss die Umsetzung der Anforderungen auch von hinzugezogenen Dienstleistern verlangen, die Teile der Verarbeitung im Auftrag übernehmen (siehe Abschnitt 6). Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 sowie Art. 24 DSGVO muss der Verein dokumentieren, welche technischen undorganisatorischen Maßnahmen er ergriffen hat und inwieweit die Risiken damit ausreichend eingedämmt werden.

Kontakt

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
Telefon:+49 431 988-1200
Telefax:+49 431 988-1223
E-Mail: mail@datenschutzzentrum.de
https://www.datenschutzzentrum.de/

Broschüren zu weiteren Themen

  • Datenschutz bei Vereinen
  • Datenschutzbeauftragte
  • Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung
  • Informationspflichten
  • Videoüberwachung
  • Fotos und Webcams

können Sie von unserer Homepage herunterladen unter https://www.datenschutzzentrum.de/praxisreihe/