Ein in Deutschland eingetragener Verein muss die DSGVO Richtlinien einhalten.
Für die Verantwortlichen bedeutet das einiges an Aufwand. Eigentlich will ja mit dem Verein nur eine Möglichkeit für die Mitglieder bieten ein Hobby zusammen durchzuführen.
Tätigkeiten
- Sensibilisierung von Personen mit Zugriff auf Mitgliederdaten
- Erstellung von mindestens einer Datenschutzrichtlinie für die Öffentlichkeit, wie er mit Daten umgeht
- Erstellung von mindestens einer Datenschutzrichtlinie für Personen mit Zugriff auf Mitgliederdaten zu genauen Vorgehen mit Daten
- Prozessbeschreibung, wie mit Daten von ehemaligen Mitgliedern umgegangen wird.
- Prozessbeschreibung, was passiert wenn ein Mitglieder mit Zugriff auf sensible Mitgliederdaten sein Amt aufgibt
- Beschreibung, wer alles Zugriff auf nicht persönliche Kennungen zu sensiblen Mitgliederdaten hat.
- Beschreibung, wie mit Fotos umgegangen wird. Hier muss unterschieden werden, ob Fotos in sozialen Medien wie Facebook oder Instagram hochgeladen werden oder in Systemen in denen der Verein die volle Kontrolle hat.
- Auskunftspflicht, welche Daten gespeichert sind.
Es ist auch nicht damit getan ein paar Dokumente zu schreiben, die die Umsetzung der DSGVO beschreiben. Die Dokumente verschwinden oder der nächste Vorstand weiß nichts davon. Datenschutz ist eine permanente Aufgabe. Deshalb empfehle ich einen Datenschutzbeauftragten, der sich nur um das Thema kümmert.
Der Datenschutzbeauftragte sollte die Dokumente und Prozess mit dem Vorstand erstellen. Er muss auch kontrollieren, das alles eingehalten wird.
Deshalb sollte der Datenschutzbeauftragte auch guten Einblick in den ganzen Verein haben.
Benennungspflicht im Verein
Meldung vom Datenschutzbeauftragte an den Verband, würde ich versuchen zu vermeiden.
Befreiung von Datenaltlasten
Trotz all der Arbeit, die man zunächst hat, bringt dem Verein der Datenschutz auch etwas.
- Endlich weiß man wer, welche Zugänge hat.
- Man kann sich von Daten befreien.
- Gute Prozesse helfen bei der Vereinsarbeit
- Die Übergabe von Nachfolger, wird durch gute Prozesse und Dokumentation vereinfacht.
Umgang mit Personendaten
Personenbezogene Daten sind Informationen, mit denen sich eine natürliche Person identifizieren lässt.
Auskunft
Vollständige und richtige Auskunftserteilung.
Welche meiner personenbezogenen Daten werden verarbeitet?
Berichtigung
Unverzügliche Korrektur unrichtiger Daten.
Beispiel: Falsche Mail-Adresse berichtigen lassen.
Datenportabilität
Anspruch, Daten von einem Verantwortlichen auf einen anderen zu übermitteln.
Beispiel: Wechsel des Mobilfunkanbieters; Mitnahme der Rufnummer.
Widerspruch/Widerruf
Verbot der Nutzung der Daten für den jeweils widerrufenen Zweck.
Beispiel: Abmeldung von einem Newsletter.
Löschung
Löschung nicht (mehr) erforderlicher Daten.
Kein sofortiger Löschungsanspruch, wenn uns eine Pflicht zur Einhaltung gesetzlicher Aufbewahrungsfristen trifft (z.B. Aufbewahrung von Geschäftsunterlagen).
Einschränkung
Anspruch, eingeschränkte Verarbeitung der Daten zu verlangen (in bestimmten Fällen)
Beschwerde
Möglichkeit zu Datenschutzbehörde Kontakt aufzunehmen falls Annahme eines Verstoßes vorliegt.
Grundsätzlich ist das Erheben, Verarbeiten und Nutzen personenbezogener Daten unzulässig!
Es sei denn, wir können uns auf eine Rechtsgrundlage aus Gesetzen stützen, z.B. vertragliche Rechtfertigung (z.B. Darlehensvermittlungsvertrag) und/oder Einwilligung des Betroffenen.
Dabei sind immer die Gesetze (z.B. DSGVO), die Vorgaben in Verträgen mit Dienstleistern zu beachten.