DSGVO kamen auch für Vereine zahlreiche Anforderungen hinzu.
- Rechtsgrundlage zur Verarbeitung von Mitgliederdaten
Personenbezogene Daten dürfen nur dann erhoben, gespeichert und verarbeitet werden, wenn es eine gesetzliche Grundlage gibt, die aus der DSGVO bzw. ergibt oder eine Einwilligung des Mitglieds vorliegt. Davon abweichende Regelungen zum Datenschutz in der Satzung haben keine Wirkung.
- Speicherung von personenbezogenen Daten
Prinzipiell sollten nur Daten erhoben, gespeichert und verarbeitet werden, die auch für den jeweiligen Zweck erforderlich sind. Gespeichert werden die Daten nur so lange, wie sie auch benötigt werden – unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen.
- Datensicherheit
Der Verein hat alle praktischen Sicherheitsmaßnahmen ergriffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.
- Datenschutzbeauftragter im Verein
Sind mehr als 20 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist der Verein gesetzlich verpflichtet einen Datenschutzbeauftragten zu bestellen.
- Verzeichnis über Verarbeitungstätigkeiten
Hier sollte unter anderem aufgeführt sein, wer für welchen Verarbeitungsbereich zuständig ist und Zugang zu welchen Daten hat. Auch der Zweck der Datenverarbeitung muss jeweils aufgeführt werden (siehe Art. 30 DSGVO). Dabei gilt es sicherzustellen, dass nur diejenigen einen Zugang zu den Daten haben, die ihn auch zu Verarbeitungszwecken benötigen.
- Information der Mitglieder zur Datenverarbeitung
Vereine informieren neue Mitglieder am besten schon bei der Aufnahme schriftlich über die Datenverarbeitung im Verein. Langjährige Mitglieder können über ein gesondertes Schreiben über Änderungen in Kenntnis gesetzt werden. Die Information durch den Verein muss zwar nicht von den jeweiligen Mitgliedern unterschrieben werden, kann aber als rechtliche Absicherung des Vereins dienen.
- Verpflichtung der datenbezogenen Arbeit nach DSGVO
Ein jeder, der im Verein mit personenbezogenen Daten arbeitet, hat sich an die Richtlinien der Datenschutzgrundverordnung zu halten und ist entsprechend vorher darüber aufzuklären. Die Verpflichtung muss vom Vereinsmitglied unterzeichnet werden.
- Auftragsverarbeitungsverträge mit Drittdienstleistern
Nutzt der Verein z.B. eine Cloud-Lösung, so werden die Daten von Drittanbietern weiterverarbeitet. In den Dienstleistervertrag sollten deshalb Regelungen zu Datenschutz aufgenommen werden. Der Verein sollte zudem die Datenschutzmaßnahmen des Auftragsverarbeiters kontrollieren.
- Benachrichtigungspflicht des Vereins
Bei einer Gefährdung der Datensicherheit muss gemäß Art. 34 DSGVO das Mitglied benachrichtigt werden, wenn eine Gefahr für die Persönlichkeitsrechte besteht. In diesem Fall muss der Verein innerhalb von 72h auch die Aufsichtsbehörde benachrichtigen. Der Verein muss entsprechende Prozesse einrichten, um Probleme in der Datensicherheit sofort zu erkennen.
- Risiko der Datenverarbeitung
Wie hoch ist das Risiko der Datenverarbeitung im Verein? Dies gilt es ebenfalls zu prüfen und falls notwendig, entsprechend eine Datenschutz-Folgeabschätzung durchzuführen.
Datenschutzplan
Nachweis der DSGVO-Umsetzung der Schachfreunde Frankfurt 1921 e.V.
Dokumentation | ||||||
Haben Sie eine Liste mit den Prozessen in Ihrem Verein? | ||||||
Ist für jeden Prozess ein Verfahrensverzeichnis vorhanden? |
Zugang und Arbeitsplätze | ||||||
Eingang: Gibt es eine Zutrittskontrolle (Schlüssel, …)? | ||||||
Sind Bildschirme, Fax und andere Geräte vor dem Einblick Dritter geschützt? | ||||||
Ist festgelegt, wer auf welche Daten zugreifen kann? |
Passwortschutz und -wechsel | ||||||
Ist gesichert, dass nur Berechtigte auf Daten zu- greifen können (Passwortschutz)? | ||||||
Werden die Passwörter regelmäßig ausgetauscht? | ||||||
Wird dieser Austausch kontrolliert? | ||||||
Werden Nutzerwechsel und Zugriffsmöglich- keiten der Mitarbeiter beim Passwortwechsel berücksichtigt? | ||||||
Datensicherheit | ||||||
Sichern Sie Daten regelmäßig (auf Smartphone und Tablet genauso wie auf stationären PC)? | ||||||
Sind die vorhandenen Datenverarbeitungssyste- me bekannt? | ||||||
Sind die Datenverarbeitungssysteme physisch geschützt (z. B. abschließbarer Serverraum)? | ||||||
Gibt es Virenschutzprogramme? | ||||||
Ist eine Absicherung gegen Diebstahl und Ein- bruch vorhanden bzw. vorgesehen? | ||||||
Sind Ihre Mitarbeiter auf das Datengeheimnis auch nach der neuen DSGVO verpflichtet? |
Haben Sie Ihre Mitarbeiter im Umgang mit Daten und dem Datenschutz geschult? Können Sie deren Einhaltung sicherstellen? | ||||||
Löschen Sie nicht mehr benötigte Daten regelmä- ßig innerhalb der Löschfristen? | ||||||
Rechte der Beschäftigten/Mitarbeiter | ||||||
Haben Sie eine schriftliche Einwilligung der Mit- arbeiter in die Verarbeitung personenbezogener Daten? | ||||||
Haben Sie den Mitarbeiter über den Zweck der Datenverarbeitung und über sein Widerrufsrecht nach Art. 7 Abs. 2 und 3 DSGVO aufgeklärt? | ||||||
Sind Arbeitsvertrag und die Einwilligung in Daten- verarbeitungen zwei getrennte Dokumente? | ||||||
Verarbeiten Sie auf der Grundlage einer Einwilli- gung auch besondere Kategorien personenbezogener Daten? Haben Sie im Rahmen einer Einwilligung hierauf gesondert hingewiesen? |
Bewerberverfahren | ||||||
Laufen Bewerbungen einheitlich über ein verschlüsseltes E-Mail-Postfach ein, z. B. bewerbung@verein.de | ||||||
Halten Sie den Bewerberdatenschutz ein? Haben Sie alle erforderlichen Maßnahmen getroffen, um den Schutz der perso- nenbezogenen Daten einheitlich und lückenlos zu gewährleisten? Dokumentieren Sie diesen Prozess? | ||||||
Informieren Sie den Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung (zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums) – z. B. mithilfe einer automatischen Eingangsbestätigung? | ||||||
Nach beendetem Bewerberverfahren sind Unter- lagen/Daten der abgelehnten Bewerber zurück- zuschicken, zu löschen oder zu vernichten. Halten Sie sich an die Fristen (Unterlagen/Daten dürfen mindestens 4 Monate, aber maximal 6 Monate vorgehalten werden; länger darf nur mit Zustim- mung der jeweiligen Person gespeichert werden)? |
Rechte der Mitglieder | ||||||
Ist durch Verfahren sichergestellt, dass die Mitglie- der ihr • Informationsrecht, • Auskunftsrecht, • Berichtigungsrecht und • Widerspruchsrecht ausüben können? | ||||||
Haben Sie für die Datenerhebung, Speicherung und Verarbeitung eine DSGVO-wirksame Einwilligung? | ||||||
Haben Sie Vordrucke für künftige Einwilligungen ab Inkrafttreten der DSGVO vorbereitet? | ||||||
Haben Sie einen Datenschutzbeauftragten bestellt, weil im Verein mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind? | ||||||
Haben Sie alle Auftragsverarbeiter in einem Verar- beitungsverzeichnis erfasst? | ||||||
Haben Sie datenschutzkonforme Verträge mit den Auftragsverarbeitern geschlossen? | ||||||
Haben Sie sich von Ihren Auftragsverarbeitern deren TOM zeigen lassen, mit denen sie Datenschutz und Datensicherheit der ihnen überlassenen Daten gewährleisten? | ||||||
Haben Sie für eine den Löschfristen angepasste Vorgehensweise gesorgt („Löschroutine“), d. h. vorhandene Daten ermittelt? Daten, die definitiv nicht mehr benötigt wer- den, gekennzeichnet? • die Aufbewahrungspflicht der jeweiligen Daten geprüft? | ||||||
Können Sie Verstöße gegen den Datenschutz feststellen bzw. verhindern? | ||||||
Haben Sie ggf. ein Muster für das Meldeverfahren bei Datenschutzverstößen vorbereitet, um einen Verstoß bei der zuständigen Meldebehörde innerhalb von 72 Stunden melden zu können? |
Datenvernichtung | ||||||
Haben Sie ein Konzept (Schutzklassen, Sicherheits- stufen, Datenträger und Vernichtungsmaßnah- men), das den Schutzbedarf Ihrer personenbezo- genen Daten festlegt? | ||||||
Haben Sie die Daten-Vernichtungsmaßnahmen in Ihrem Verein an Schutzklassen und Sicherheits- stufen angepasst, z. B. dass zur Vernichtung von Personaldaten Ihr Aktenvernichter die Sicherheits- stufe 4 besitzt? | ||||||
Haben Sie Verantwortliche für die Datenvernich- tung festgelegt? | ||||||
Haben Sie Ihre Mitarbeiter geschult und Sie auch auf besondere datenschutzrelevante Gefahren in Ihrem Verein aufmerksam gemacht, z. B. dass ver- gessene Dokumente aus dem Fax/Kopierer nicht neben das Gerät gelegt werden dürfen? | ||||||
Haben Sie Regeln für den Umgang mit der Daten- vernichtung bestimmt? | ||||||
Haben Sie festgelegt, wann im Jahr die Daten in Papierform in Ihrem Verein durchgesehen und geordnet werden (welche bleiben, welche werden vernichtet oder in ein sicheres, externes Archiv verlagert)? | ||||||
Haben Sie dafür gesorgt, dass die Vernichtung rechtmäßig erfolgt und dafür TOM in Ihrem Verein umgesetzt? |
Wichtiger Hinweis:
Der Inhalt ist nach bestem Wissen und Kenntnisstand erstellt worden. Der Vorstand prüft den Inhalt regelmäßig und passt ihn gegebenenfalls an. Gleichwohl schließen wir Haftung und Gewähr aus, da die Materie komplex ist und sich ständig wandelt.
Der Vorstand