Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist nach mehrjähriger Übergangsphase zum 25. Mai 2018 in Kraft getreten. Die Bundesvereinigung Deutscher Orchesterverbände e. V. hat zusammengefasst, was für Vereine wichtig ist.
Einleitung Datenschutz
Auf nationaler Ebene wurde unter anderem das Bundesdatenschutzgesetz (BDSG) überarbeitet und angepasst. Aktuell ist die Rechtslage allerdings noch nicht in allen Fällen eindeutig, teilweise haben sich die zuständigen Aufsichtsbehörden (in Deutschland die Datenschutzbeauftragten der Bundesländer) noch nicht abschließend auf einheitliche Auslegungen festgelegt. Es ist also davon auszugehen, dass sich die Umsetzung einiger Regelungen und deren Wirkungsbereich erst später klären wird. An dieser Stelle muss darauf hingewiesen werden, dass dies keine juristische Beratung darstellen und ersetzen kann.
Grundsätzlich sind die Vereine, beziehungsweise deren juristische Vertreter_innen dafür verantwortlich die Einhaltung der EU-DSGVO beziehungsweise des BDSG zu dokumentieren und auf Anfrage nachweisen zu können. Eventuell anfallende Bußgelder können im Falle eines Falles übrigens nicht durch „Abmahnkanzleien“, sondern nur durch die jeweiligen zuständigen Landesdatenschutzbeauftragten verhängt werden.
Nach gründlicher Abwägung der Sachverhalte und Rücksprache mit mehreren Expert_innen rät die Bundesvereinigung Deutscher Orchesterverbände dazu, zunächst einmal folgende Checkliste durchzugehen und die Erledigung zu dokumentieren.
Weitere DSGVO-Themen
Nutzung von WhatsApp und ähnlichen Messengern im Verein
Rechtsbelehrung zur Erstellung und Veröffentlichung von Fotografien und Videos
Impressum
Auf jeden Fall muss das Impressum auf der Homepage und den ggf. existierenden Social-Media-Seiten der aktuellen Gesetzeslage angepasst werden!
Beispiel für einen Online-Generator auf e-recht24.de
Datenschutzerklärung
Wenn auf der Homepage personenbezogene Daten verarbeitet werden, muss dies auch in einer Datenschutzerklärung erläutert werden. Insbesondere bei der Nutzung von Kontaktformularen, Facebook-Buttons oder Analyse-Tools beziehungsweise Cookies muss also entsprechend informiert werden.
Muster für eine Datenschutzerklärung auf e-recht24.de oder der umfangreiche Datenschutz-Generator
Datenschutz-Verpflichtung von Ehren- und Hauptamtlichen
Beschäftigte, die mit personenbezogenen Daten umgehen, sind zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der EU-DSGVO erfolgt. Bei Neuwahlen/Neueinstellungen ist dies mit Aufnahme der Tätigkeit zu dokumentieren.
Satzungsänderungen
Grundsätzlich muss ein Mitglied schon beim Beitritt über die Verarbeitung der personenbezogenen Daten informiert werden und der Nutzung zustimmen. Dies kann entweder über einen entsprechenden Absatz in der Satzung oder zum Beispiel eine separate Datenschutzordnung erfolgen, welche dem Beitrittsformular beiliegt. Bereits bestehende Mitglieder (nur natürliche Personen) sind über die Nutzung beziehungsweise Verarbeitung der Daten zu informieren.
Verzeichnis von Verarbeitungstätigkeiten
Die EU-DSGVO fordert eine Auflistung aller anfallenden Verarbeitungstätigkeiten. Dieses ist zwar eigentlich für Kleinstunternehmen (unter 250 Mitarbeiter_innen) nicht nötig, allerdings muss es dennoch geführt werden, wenn „ständig“ Daten verarbeitet werden. Die Landesdatenschutzbeauftragten von zum Beispiel Bayern und Baden-Württemberg sind sich einig, dass alleine die Mitgliederverwaltung eine ständige Datenverarbeitung bedeutet und Vereine daher ein Verzeichnis führen müssen! Das Verzeichnis ist nur auf Anfrage der Aufsichtsbehörde an diese herauszugeben, nicht an Vereinsmitglieder oder Dritte.
Muster für ein Verzeichnis von Verarbeitungstätigkeiten für Vereine
Datenschutzbeauftragter
Wenn mehr als zehn Personen (hierzu zählen Ehren- und Hauptamtliche) regelmäßig mit der Verarbeitung personenbezogener Daten beschäftig sind, ist ein Datenschutzbeauftragter mit entsprechender Qualifikation zu bestellen. „Regelmäßig“ bedeutet, zum Beispiel die permanente Mitgliederverwaltung – „nicht ständig beschäftigt“ hingegen ist zum Beispiel der/die Tanzleiter_in, welche_r nur mit den Namen der Mitwirkenden umgeht.
Auch wenn kein Datenschutzbeauftragter benannt werden muss, ist dennoch ein Mitglied des Vorstandes als im Verein für den Datenschutz Verantwortlicher zu bestimmen und zu verpflichten. Die Beschreibung des Umfangs der Verantwortung muss (zum Beispiel im Geschäftsverteilungsplan des Vorstandes) niedergelegt sein und der Verpflichtungserklärung entsprechen.
Auftragsdatenverarbeitung
Immer dann, wenn Dritte weisungsabhängig auf personenbezogene Daten zugreifen, liegt eine Auftragsdatenverarbeitung vor. Dies könnte zum Beispiel die Beauftragung einer (Lohn)Buchhaltung oder ein externer Dienstleister für den Newsletter-Versand sein. In diesem Falle muss eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden. Diese kann der Verein beim Auftragsdatenverarbeitenden anfordern. Eine weisungsunabhängige Verarbeitung ist zum Beispiel der Versand von Briefpost – hier wird lediglich der Auftrag zum Transport der Post erteilt, kein Auftrag zur Verarbeitung personenbezogener Daten.
Die „Volkstanzbewegung in ihren regionalen Ausprägungen in Deutschland“ ist eingetragen im bundesweiten