Informationen zur Datenschutz-Grundverordnung

Die Broschüre Datenschutz im Verein bietet den Vereinen weitere Unterstützung in der Umsetzung nach der Datenschutz-Grundverordnung. Herausgeberin ist die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW.

TO DO - Checkliste für Vereine

Quelle: Landessportbund NRW https://www.vibss.de 

1. Schritt: Bestandsaufnahme
Klären Sie, welche Daten der Verein auf welchem Wege erhebt und wie erarbeitet!
Wo werden die Daten gespeichert?
Wer hat (vereinsintern) Zugriff auf die Daten?
Wer darf Veränderungen an den Daten vornehmen?
An welche (externen) Organisationen/Personen werden welche Daten weitergegeben?
Wann werden Daten wie gelöscht? 

2. Schritt: Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Vertraulichkeit

Alle Personen im Verein, die Umgang mit personenbezogenen Daten haben (z.B. Vorstandsmitglieder, Abteilungsleiterinnen und -leiter, Geschäftsstellenmitarbeiterinnen und -mitarbeiter, Übungsleiterinnen und Übungsleiter) müssen sich zum vertraulichen Umgang mit diesen Daten verpflichten.

Muster: Verpflichtungserklärung_Vertraulichkeit 

3. Schritt: Merkblätter über die Informationspflichten erstellen
Nach Art. 13 und 14 der DSGVO sind die betroffenen Personen zum Beispiel bei Erhebung der Daten über bestimmte Aspekte zu informieren:
Wer erhebt die Daten?
Für welche Zwecke und auf welcher Rechtsgrundlage werden die Daten erhoben?
An wen werden die Daten weitergegeben?
Welche Rechte hat die betroffene Person?
Wie lange sollen die Daten gespeichert werden?

Wichtig: Hiervon sind alle Vereine – unabhängig von der Größe des Vereins und vom Umfang der Datenverarbeitung – betroffen!  

Muster: Merkblatt für Vereinsmitglieder

4. Schritt: Einwilligungen überprüfen und ggf. überarbeiten

Einwilligungen in die Datenverarbeitung sind nur dann wirksam, wenn die Person bei der Abgabe der Einwilligung auch auf die Möglichkeit des Widerrufs und den Zweck der Datenverwendung hingewiesen wurde. Dies ist bei Alt-Einwilligungen vielfach nicht gegeben. Diese sind dann nachzuholen.

Muster: Einwilligung in die Datenverarbeitung

5. Schritt: Erstellen von Verzeichnissen von Verarbeitungstätigkeiten
Vereine müssen unter Umständen Verzeichnisse der Verarbeitungstätigkeiten erstellen. In den Verzeichnissen werden die einzelnen Aspekte der Datenverarbeitung beschrieben (z.B. Zwecke und Rechtsgrundlagen der Verarbeitung, aber auch die internen und externen Empfänger der Daten und die technischen und organisatorischen Maßnahmen, also wie die Daten vor unberechtigtem Zugriff geschützt werden). Solche Verzeichnisse müssen alle Vereine erstellen, die mindestens 250 Mitarbeiter beschäftigen, besondere Kategorien von Daten wie zum Beispiel Gesundheitsdaten verarbeiten oder sonst ersonenbezogene Daten nicht nur gelegentlich verarbeiten.
Wichtig: Da viele Vereine ständig und damit nicht nur gelegentlich personenbezogene Daten verarbeiten, dürften viele Vereine von dieser Pflicht betroffen sein.  

Muster: Verarbeitungstätigkeiten im Verein

6. Schritt: Prüfen, ob ein Datenschutzbeauftragter zu benennen ist
Nach der DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht. Dies dürfte für die Sportvereine in der Regel nicht zutreffen. Nach dem BDSG (§ 38) ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei sind alle Personen unabhängig von ihrem Status zu berücksichtigen (z.B. ehrenamtlich tätige Vorstandsmitglieder, selbständige Übungsleiter).
Unabhängig von der Anzahl der Personen ist ein Datenschutzbeauftragter zu benennen, wenn eine Datenschutz-Folgeabschätzung durchzuführen ist. Dies ist zum Beispiel der Fall, wenn umfangreich Gesundheitsdaten verarbeitet werden. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden.  

7. Schritt: Vorbereitungen treffen, um auf Rechte reagieren zu können
Die DSGVO sieht zahlreiche Rechte für die betroffenen Personen vor (z.B. Recht auf Auskunft, Löschung, Berichtigung, Einschränkung auf Verarbeitung, Datenübertragbarkeit). Insbesondere auf das Recht auf Auskunft sollten sich die Vereine einstellen und Vorbereitungen treffen. Denn die Vereine haben innerhalb eines Monats nach Eingang eines Antrags der betroffenen Person die Informationen zur Verfügung zu stellen.  

Muster:  Auskunftsverlangen

8. Schritt: Prüfen, ob Verträge mit Auftragsverarbeitern vorhanden sind
Erfolgt eine Verarbeitung der Daten außerhalb des Vereins, kann eine Auftragsverarbeitung vorliegen. Das ist dann der Fall, wenn die Verarbeitung im Interesse und im Auftrag des Vereins erfolgt. Es handelt sich dann nicht um eine Weitergabe an außenstehende Dritte, so dass für die Weitergabe keine gesonderte Rechtsgrundlage erforderlich ist. Voraussetzung ist aber, dass grundsätzlich ein Vertrag zwischen dem Verein und dem Auftragsverarbeiter geschlossen wird, der einen bestimmten Inhalt haben muss. Eine Auftragsverarbeitung wird regelmäßig beim Cloud-Computing angenommen oder aber auch bei Beauftragung von Steuerberatern im Rahmen der Lohnbuchhaltung.

9. Schritt: Erstellen Sie eine Datenschutzordnung für den Verein
Dokumentieren Sie den Datenschutz des Vereins in einer Datenschutzordnung, die durch den Gesamtvorstand des Vereins beschlossen und dann auf der Homepage des Vereins veröffentlicht wird.

Muster: Datenschutzordnung im Sportverein

Das Original finden Sie hier: https://www.vibss.de/fileadmin/Vereinsmanagement/Download/Muster_und_Formulare/2018-04-19_Checkliste_Erste_Hilfe_Koffer_DSGVO.pdf