Anforderungen zum Datenschutz für Vereine und Verbände – ab Mai in Kraft!

Datenschutz

DSVGO – Anforderungen an Vereine und Verbände

Hinweise und Anforderungen
Nach langen Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Die neuen Anforderungen haben auch auf Vereine und Verbände zum Teil gravierende Auswirkungen.
Nachfolgend sind kurz die wesentlichen Anforderungen aus der neuen EU-DSGVO aufgeführt, die jeder Verein und Verband für sich intensiv auf Anpassungsmaßnahmen prüfen sollte. Bereits gem. Art. 5 der EU-DSGVO hat der Verein und Verband einen Nachweis (Rechenschaftspflicht) über die Einhaltung der gesetzlichen Anforderungen zu erbringen.

Ziele und Grundsätze
Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO). Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Bußgelder und Sanktionen
Die Landes- und Bundesdatenschutzbeauftragten werden gern als zahnlose Tiger bezeichnet. Unter anderem auch wegen ihren eingeschränkten Sanktionsmöglichkeiten, die sie bei Datenschutzverstößen nach deutschem Recht haben. Die EU-Datenschutz- Grundverordnung aber enthält eigene Vorschriften zu Bußgeld- und Sanktionsmöglichkeiten. Diese würden auch bei Vereinen und Verbänden zum Tragen kommen und können zukünftig bis zu 20 Millionen Euro als Strafe bedeuten.

Beschäftigtendatenschutz
Für Beschäftigte von Vereinen und Verbänden sind spezielle Regelungen in der EU- DSGVO vorhanden, aber auch in der Nutzung der sog. Öffnungsklauseln im BDSG-Neu werden an die Verarbeitung von Daten von Beschäftigten hohe Anforderungen gestellt.

Neues zur Videoüberwachung
Für die Videoüberwachung, auch bei Vereinen und Verbänden, gab es schon nach der deutschen Gesetzgebung hohe Anforderungen. Mit der EU-DSGVO werden die Risiken für eine nicht korrekt betriebene Videoüberwachung größer. Daher ist dringend die datenschutzkonforme Anwendung von Videoüberwachungen zu prüfen und den neuen Anforderungen anzupassen.

Datenportabilität
Diese Vorgabe ist neu. Mitgliedern oder auch Beschäftigten müssen auf Wunsch deren Daten elektronisch in einem einfachen, maschinenlesbaren Format zur Verfügung gestellt werden. Damit soll der Wechsel eines Mitarbeiters oder Mitgliedes vereinfacht werden, denn beim neuen Arbeitgeber oder Verein können die Stammdaten elektronisch eingespielt werden.

Auftragsdatenverarbeitung
In Deutschland definiert sich die Auftragsdatenverarbeitung durch einen Auftragnehmer auf Weisung eines Auftraggebers, bei dem die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt. In der Datenschutz-Grundverordnung werden diese nun erstmals europaweit einheitlich geregelt. Für Vereine und Verbände sind hier vor allem die Hoster der Internetauftritte zu berücksichtigen, Dienstleister für IT-Themen, Daten- und Aktenvernichter und z. B. Auslagerung von Diensten wie Seminaranmeldungen.

Websitebetreiber aufgepasst!
Websitebetreiber müssen eine Vielzahl an Vorschriften beachten. Regelungen zur Website-Compliance finden sich u.a. in den §§ 11 ff. Telemediengesetz (TMG), insbesondere  in § 13 TMG, der die Pflichten des Diensteanbieters vorgibt. Die Datenschutz- Grundverordnung wird zwangsläufig Auswirkungen auf die aktuellen Anforderungen an Website-Compliance haben. Zwar bleiben viele gesetzliche Pflichten erstmal bestehen, andererseits sollte aber die Datenschutzerklärung mit den Vorgaben der EU-DSGVO abgestimmt werden. Zusätzlich wird hier für Vereine und Verbände die ebenfalls zum Mai 2018 in Kraft tretende ePrivacy-Verordnung der EU zu berücksichtigen sein, die Informationspflichten und Einwilligungen in die Nutzung von Cookies auf Webseiten fordert.

Anforderungen an eine Einwilligung
Die Einwilligung in die Verarbeitung seiner personenbezogenen Daten durch den Betroffenen ist seit jeher zentraler Bestandteil des Datenschutzrechts. Aufgrund des Grundrechts der informationellen Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält. Hier müssen Vereine und Verbände eine saubere Umsetzung und Anpassungen sicherstellen, da vor allem die Einwilligung in Nutzung von Fotos in Vereinen immer wieder zu Verstößen und Beschwerden bei den Aufsichtsbehörden führt.

Betrieblicher Datenschutzbeauftragter
Das Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Für Deutschland gilt weiterhin, auch für Vereine und Verbände, dass ein Datenschutzbeauftragter zu benennen ist, wenn mehr als 9 Personen mit der Verarbeitung (Erheben, Speichern, Nutzen, etc.) personenbezogener Daten betraut sind. Das trifft für die meisten Vereine zu, da nahezu jeder Abteilungsleiter Daten der Mitglieder nutzt und ggf. sogar mit eigenen zusätzlichen Daten anreichert.

Datensicherheit
Mit der DSGVO ändern sich die Vorgaben zur Datensicherheit und somit auch die der technischen und organisatorischen Maßnahmen. Manche Begriffe werden durch die Verordnung noch abstrakter, als sie es bisher gewesen sind, einige Vorgehensweisen ähneln der jetzigen Handhabung und wiederum andere Anforderungen, wie der Stand der Technik, Belastbarkeit oder data protection by default, sind neu. Auf Vereine und Verbände kommt daher eine Menge Arbeit zu, die technischen und organisatorischen Maßnahmen zum Schutze der Daten zu erfüllen.

Informationspflichten
Die Datenschutz-Grundverordnung führt für Vereine, Verbände und Verantwortliche eine Reihe von neuen Informationspflichten ein. Dabei ändert sich im Vergleich zu den bisherigen Vorschriften des Telemedien- und Bundesdatenschutzgesetz einiges an den Anforderungen. Denn der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, – verarbeitung oder -nutzung, anhand der zur Verfügung gestellten Informationen, zu überprüfen. Daher müssen die Vereine und Verbände bis zum Mai 2018 sicherstellen, dass alle Beschäftigten, Mitglieder, usw. mit den neuen Informationspflichten versorgt werden.

Datenschutz-Folgenabschätzung
Die Datenschutzfolgenabschätzung ist neu. Hier muss der Verein und Verband belegen, dass bei bestimmten Verarbeitungen, die Risiken und Bedrohungen für die Betroffenen mit entsprechenden Maßnahmen gemindert werden. Diese Prüfung ist regelmäßig zu wiederholen und zu dokumentieren und auf Anforderung der Datenschutzaufsichtsbehörde zur Verfügung zu stellen.

Data Breach Notification
Schon heute müssen Verantwortliche, unter bestimmten Voraussetzungen, Aufsichtsbehörde und Betroffenen eine Data Breach Notification zukommen lassen. Nämlich dann, wenn Unberechtigte vermutlich oder erwiesenermaßen Zugang zu Daten hatten. Die Datenschutz-Grundverordnung wird diese Anforderungen und etwaige Sanktionen noch deutlich verschärfen.
Die Bedeutung der Data Breach Notification und deren Anzahl werden dadurch zwangsläufig steigen. Eine Datenschutzverletzung ist innerhalb von 72 Stunden der Aufsichtsbehörde zu melden. Die EU-DSGVO macht dazu klare Vorgaben. Daher sollte ein Standard- Prozess in Vereinen und Verbänden dazu etabliert werden.

Verzeichnis von Verarbeitungstätigkeiten
Mit der Datenschutz-Grundverordnung muss auch ein Verein oder Verband nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Dies ist nur eine von mehreren, neuen Vorgaben zur Dokumentationspflicht. Bei der Einhaltung aller gesetzlichen Vorgaben wird das Verzeichnis aber eine tragende Rolle spielen. Denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Aufbau eines Datenschutzmanagementsystems
Neben dem angesprochenen Verzeichnis von Verarbeitungstätigkeiten findet sich in der Datenschutz-Grundverordnung eine Vielzahl von Normen, die eine Dokumentierung der getroffenen Datenschutzmaßnahmen fordern. Daneben schafft die DSGVO weitere Prozesse, die etabliert, und Aufgaben die wahrgenommen werden müssen. Bei dieser Vielzahl von Anforderungen kann man schnell mal den Überblick verlieren. Daher bietet sich ein Datenschutzmanagement an, um die Einhaltung aller Vorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren.

Das Recht auf Vergessenwerden
Das Bundesdatenschutzgesetz enthält ein Recht auf Berichtigung, Sperrung und Löschung. Dieses Recht auf Löschung wird in der Datenschutz-Grundverordnung um das Recht auf Vergessenwerden erweitert. Daten, deren Zweck erfüllt ist und bei denen keine gesetzliche Aufbewahrungspflicht besteht, sind zu Löschen. Die Nicht-Einhaltung dieser Vorgabe kann mit den höchsten Strafgeldern belegt werden.

Besondere Kategorien personenbezogener Daten
Besondere Anforderungen und Sicherheitsmaßnahmen sind zu treffen und zu belegen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden, was oft in Vereinen und Verbänden vorkommt. Darunter fallen Daten der Gesundheit, zur ethnischen Herkunft, zur Religion u. a. Bei dieser Verarbeitung ist auf jeden Fall eine Datenschutzfolgenabschätzung durchzuführen. Solche Daten werden auch in Vereinen und Verbänden an vielen Stellen verarbeitet.

Datenverarbeitung von Kindern und Jugendlichen
Der Kinder- und Jugendschutz nimmt in der EU-Datenschutz-Grundverordnung (DSGVO) eine wichtige Rolle ein. So findet sich in der Verordnung z.B. erstmals eine ausdrückliche gesetzliche Regelung zu Anforderungen an die Rechtmäßigkeit der Einwilligung von Kindern. Hier sind vor allem für Vereine die neuen Anforderungen zu prüfen und rechtzeitig umzusetzen.

Literaturempfehlung:
Erste Hilfe Datenschutz Grundverordnung

Quelle: IBS data protection services and consulting GmbH, Zirkusweg 1, 20359 Hamburg, datenschutz@ibs-schreiber.de, www.ibs-data-protection.de

Nach oben scrollen
Scroll to Top