Datenschutz ab 2018
Vorstandsarbeit
EU-Datenschutz-Grundverordnung (DS-GVO) ab 25. Mai 2018 in Kraft
Da diese Unterlagen im Internet öffentlich zugänglich sind werden sie nicht in einem geschützten Bereich unserer Homepage präsentiert, sondern allgemein zugänglich:
Auf der Seite des Deutschen Chorverbandes finden sich unter dem Menüpunkt >Service >Datenschutz Unterlagen, die auch weiterführende Links enthalten und speziell auf Chöre zugeschnitten sind:
Die Links zum Download der einzelnen Musterseiten finden sich am unteren Ende dieser Seite.
Und hier der Text der vom Deutschen Chorverband erstellten Checkliste, was für Vereine, in diesem Fall Chöre, speziell zu beachten ist:
DS-GVO: Überblick über die wichtigsten Punkte
Insbesondere die folgenden Punkte sollten (Chor)Vereine jetzt im Blick haben:
Datenschutzrechtlichen Informations- und Auskunftspflichten nachkommen
Erhebt ein Verein Daten, hat er die Pflicht, die betroffenen Personen umfassend darüber zu informieren, was er mit welchen Daten zu welchem Zweck vorhat und muss sie zudem auf die Betroffenenrechte hinweisen und diese wahren.
Mit einer Datenschutzklausel in der Satzung sowie in der Datenschutzerklärung auf der Website kann diese Auskunft verfügbar gemacht werde.
Konkret müssen Datenschutzhinweise beziehungsweise Datenschutzerklärungen über folgendes informieren: Der Verein muss eine oder einen Verantwortlichen benennen und diese Person auf ihre Aufgaben verpflichten. Er muss die Zwecke der Datenverarbeitung samt deren Rechtsgrundlage darlegen sowie den Empfänger der Daten angeben, sofern sie weitergegeben werden sollen. Außerdem muss informiert werden, wie lange die Daten gespeichert werden sollen – oder was Kriterien für die Löschung sind – und es muss auf folgende Betroffenenrechte hingewiesen werden: auf das Recht auf Auskunft, Berichtigung und Löschung der Daten, darauf, dass die Einwilligung in die Datenverarbeitung jederzeit widerrufen werden kann, und auf das Beschwerderecht bei der Aufsichtsbehörde.
In diesem Sinne sind ggf. auch die datenschutzrechtlichen Einwilligungserklärungen zu überarbeiten.
Sicherheit der Datenverarbeitung im Verein gewährleisten
Wie bisher auch sind technische und organisatorische Maßnahmen zu treffen, um einen dem Risiko angemessenen Schutz für die Datensicherheit zu gewährleisten. Hierzu zählen zum Schutz vor unbefugtem Zugriff, vor unbeabsichtigtem Verlust oder versehentlicher Schädigung im technischen Bereich vor allem verschiedene Maßnahmen zum Passwortschutz, Virenschtzprogramme, Backups etc.
Zudem müssen die mit der Datenverarbeitung betrauten Mitarbeiter oder Mitglieder des Vereins zum vertraulichen und gesetzeskonformen Umgang mit personenbezogenen Daten verpflichtet werden. Hierfür ist eine Datenschutz-Verpflichtungserklärung zu unterzeichnen.
Verzeichnis über die Verarbeitungstätigkeiten überarbeiten oder anlegen
Sämtliche Vorgänge der Datenverarbeitung sollten im sogenannten "Verzeichnis der Verarbeitungstätigkeiten" dokumentiert werden. Es dient zum Nachweis gegenüber der Aufsichtsbehörde, aber es hilft auch, sich eine Übersicht über den Umgang mit Daten im Verein zu verschaffen und kann – in entsprechender Form – direkt dem Nachweis über die Einhaltung weiterer Datenschutzvorschriften (wie beispielsweise dem Auskunftsrecht gegenüber dem Betroffenen) dienen.
Konkret muss das Verzeichnis von Verarbeitungstätigkeiten, egal ob digital oder schriftlich, mindestens Name und Kontaktdaten des oder der Verantwortlichen enthalten, die Zwecke der Datenverarbeitung benennen, die Kategorien betroffener Personen und personenbezogener Daten beschreiben, die Kategorien von Datenempfängern auflisten sowie möglichst die zur Datenlöschung vorgesehenen Fristen benennen. Zusätzlich empfiehlt es sich, die konkreten Verarbeitungstätigkeiten zu beschreiben und die entsprechenden Rechtsgrundlagen hierfür aufzuführen.
Verträge über die Auftragsverarbeitung bei Weitergabe von Daten an Dritte abschließen oder erneuern
Gibt ein Verein erhobene Daten in die Hände von Dritten, die in seinem Auftrag Daten verarbeiten (z.B. webbasierte Mitgliederverwaltungsprogramme oder Anbieter von Online-Datenspeicher, Zeitschriftenzusteller etc.), muss er mit diesen Dienstleistern einen Vertrag abschließen. Der Vertrag zwischen Verein und dem sogenannten Auftragsverarbeiter schreibt das Weisungsrecht des Vereins sowie die Aufgaben des Dienstleisters fest, verpflichtet diesen zu Vertraulichkeit und Sicherheit und legt fest, was nach Abschluss der Auftragsverarbeitung mit den Daten geschehen soll.
Datenschutzbeauftragten bestellen, soweit dies erforderlich ist, beziehungsweise einen für den Datenschutz Zuständigen bestimmen
Sobald mindestens zehn Personen (egal, ob dies angestellte oder freiberufliche MitarbeiterInnen oder ehrenamtlich Angehörige des Vereinsvorstands sind) ständig personenbezogene Daten verarbeiten, muss ein Datenschutzbeauftragten oder eine Datenschutzbeauftragte bestellt werden. Unabhängig davon ist ein Mitglied des Vorstands als im Verein Zuständiger für den Datenschutz zu bestimmen.
Regelungen zum Umgang mit Datenschutzverstößen aufstellen
Sollten es zu einer Verletzung des Schutzes personenbezogener Daten kommen (durch unkontrollierten Verlust, Datendiebstahl, unbefugte Offenlegung o.ä.) müssen Vereine dies – zumeist innerhalb von 72 Stunden – an die im jeweiligen Bundesland zuständige Aufsichtsbehörde melden.
Mustervorlagen zum Download: