Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat einen Ratgeber für Vereine herausgebracht. Mit den zehn wichtigsten Hinweisen zur Datenschutzgrundverordnung (DSGVO) möchte die Datenschutzaufsicht Vereinsvorständen wichtige Tipps im Umgang mit der DSGVO geben.
Die Hinweise im Überblick
- Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Ein Beispiel finden sie hier.
- Erheben, speichern und verarbeiten Sie personenbezogene Daten nur, wenn Sie eine Rechtsgrundlage hierfür haben. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage dienen. Für einen Newsletterversand u.ä. braucht es eine Einwilligung.
- Mitglieder müssen über die Datenverarbeitungsvorgänge informiert werden. Insbesondere ist darüber zu informieren, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage über welchen Zeitraum verarbeitet werden.
- Erheben, speichern und verarbeiten Sie nur die personenbezogenen Daten, die für den jeweiligen Zweck erforderlich sind und speichern Sie diese auch nur so lange, wie sie für die Erfüllung des Zwecks erforderlich sind (Achtung: Gesetzliche Aufbewahrungsfristen beachten).
- Stellen Sie organisatorisch und technisch sicher, dass nur diejenigen Personen personenbezogene Daten einsehen und verarbeiten können, die dies auch rechtlich dürfen bzw. müssen.
- Betroffene haben verschiedene Betroffenenrechte wie z. B. das Auskunftsrecht oder das Recht auf Datenlöschung. Stellen Sie sicher, dass Sie diesen Rechten zeitnah nachkommen können.
- Prüfen Sie, ob Sie einen Vertrag zur Auftragsverarbeitung benötigen. Ein Muster finden Sie hier.
- Prüfen Sie, ob Sie eine Datenschutzfolgenabschätzung durchführen müssen. Diese ist immer dann durchzuführen, wenn ein hohes Risiko bei der Datenverarbeitung im Verein besteht.
- Sind zehn oder mehr Personen mit der automatischen Verarbeitung personenbezogener Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden.
- Dokumentieren Sie wie sie Daten verarbeiten und wie Sie Ihren Pflichten nachkommen.
6. Juni 2018 @ 11:30
Ich stimme dem Kommentar des Theaterkritikers vom 25. Mai voll und ganz zu. Ist meiner Meinung nach noch nicht deftig genug formuliert. Aber man muss ja vorsichtig sein. Haben unsere Homepage auch abgeschaltet. Irgendwann landen wir wieder in der Steinzeit.
Die Mitglieder interessiert dieser Scheissdreck jedenfalls überhaupt nicht.
4. Juni 2018 @ 23:29
Naja, so im großen und ganzen ist manches schon nachvollziehbar, aber da hat mancher von den Entscheidern nicht darübver nachgedacht, ob nicht irgendwie mit Kanonen auf Spatzen geschossen wird. Auf jeden Fall verdirbt die ganze Angelegenheit Freude am Ehrenamt, wenn man sich durch einen (wie oben schon mal erwähnt) Dschungel an Verordnungen quälen soll und dabei schon von vornherein das Gefühl hat, mit einem Bein im Gefängnis zu stehen. Ob es an dem ist, oder auch nicht.
28. Mai 2018 @ 9:26
Wir sind ein kleiner Theaterverein. Beim Kartenkauf können unsere Zuschauer den Eintrittspreis überweisen (Daten werden nicht gespeichert). Allerdings werden die Karten dann in Umschlägen an der Abendkasse hinterlegt und es ist der Vor- und Nachname bei Namen wie „Thomas Müller“ auch noch der Wohnort auf den Umschlägen vermerkt, muss hier etwas beachtet werden?
5. Juni 2018 @ 1:02
Ich bin kein Anwalt, habe mich aber sehr lange mit dem Thema auseinandergesetzt.
Soweit ich weiß, gilt die DSGVO noch nicht bei handschriftlichen Notizen.
„Sachlicher Anwendungsbereich dieser neuen Richtlinie ist gemäß Art. 2 (1) DSGVO die ganze oder teilweise automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Daher sollten Sie in Ihrem Fall hier von der Verordnung ausgenommen sein, jedoch sollte meines Erachtens nach, sofern es möglich ist, jedem Kunden die Fairness gegenüber gebracht werden, ihm zu sagen, sobald irgendwie Daten notiert oder gespeichert werden.
Generell soll mit der neuen Verordnung eine einfache und transparente Aufklärung gegenüber den Kunden geschaffen werden. Ein weiterer Punkt ist die „Datenminimierung“, also wie in Ihrem Fall, sollte nach Möglichkeit immer nur Name, Vorname, und Ort, oder PLZ für Aufträge gespeichert werden.
An diesem Punkt also auch alles richtig gemacht.
Wenn jedoch Namen und Daten von Kunden offen herumliegen, ist es schnell ein ganz anderes Thema.
Wenn der Umschlag, oder andere Daten, also nicht offen herumliegen und der Umschlag mit den Karten, an den Kunden ausgehändigt wird, oder der Umschlag von Ihnen vor Entsorgung geschreddert, sollte die neue Verordnung für Sie vollkommen unproblematisch sein.
Wenn ein Kunde an Sie eine Überweisung tätigt, ist davon auszugehen, dass dieser sich bewusst ist, zumindest seinen Namen an Sie zu übermitteln (geht bei einer Überweisung ja nicht anders). Dies betrifft jegliche Überweisungen in jedem Unternehmen.
Der Überweisungsverkehr unterliegt zudem anderen Bestimmungen und muss seitens der Bank und Ihrer Buchhaltung zu steuerrechtlichen Zwecken gespeichert werden. Stichworte: Umsatzsteuergesetz und Aufbewahrungspflicht.
26. Mai 2018 @ 6:44
Hat Jemand einen Rat, wie eine Datenschutzerklärung (Muster) auf der Webseite eines Heimatvereins aussehen sollte?
28. Mai 2018 @ 8:25
Hallo Herr Frankenbach,
im Internet gibt es die – häufig kostenlose – Möglichkeit sich Datenschutzerklärungen über sogenannte Generatoren zusammenstellen zu lassen. Damit sind Sie sicherlich auf einem guten Weg.
Mit freundlichen Grüßen
Ihre Blogredaktion
25. Mai 2018 @ 17:32
Als ehrenamtlich Tätiger in einem Sportverein fühle ich mich nur noch vor die Klöpse getreten. Wir haben soeben im Vorstand beschlossen, die komplette Homepage abzuschalten. Das was diese Datenschutzverordnung fordert, hat mit gesundem Menschenverstand nichts mehr zu tun. Es wird Zeit, unseren Politiker einmal ordentlich in den … zu treten. Es ist fast nicht mehr auszuhalten in dem freiheitlichsten und demokratischsten Staat der jemals auf deutschem Boden existiert hat (Ironie aus!)
28. Mai 2018 @ 8:40
Den Datenschutz gab es schon immer und zwar auf Grundlage des BDSG.
Außerdem hätten Sie zwei Jahre Zeit sich damit zu beschäftigen. Fragt sich jetzt wer wem in den … treten sollte.
Nichts für ungut, aber Schuld sind nicht immer die anderen.
8. Juni 2018 @ 12:55
Sie haben wahrscheinlich keine Ahnung wovon Sie sprechen. Es geht nicht darum ob man sich darauf vorbereiten soll oder muss. Haben Sie überhaupt einen Schimmer von einer Ahnung wie wenig Geld den meisten Vereinen zu Verfügung steht? Nein wahrscheinlich nicht.
Ob das nun vorher bekannt war oder nicht spielt keine Rolle, es kam wie es kam. Und nun müssen ehrenamtliche Mitwirker in einem Verein diese zusätzlichen Arbeiten verrichten und sollten da Fehler passieren auch noch persönlich Haften. Ich bezweifle dass Sie darüber nachdenken was Sie da schreiben.
25. Mai 2018 @ 17:04
Ich bin Vorsitzender eines Vereines und Kassier in einem anderen Verein. Nach dem Urteil von Kulmbach und nun dieser DSGVO bin ich nicht mehr bereit, irgendwelche ehrenamtlichen Tätigkeiten auszuüben, nur um mich dabei mit einem Fuß in das Gefängnis zu stellen oder um mein Hab und Gut gebracht zu werden. Das sind Sargnägel für diese EU!
24. Mai 2018 @ 6:54
Guten Tag,
gibt es schon Vorgaben, wie wir als Verein Fotos von unseren Veranstaltungen auf die Homepage stellen können, ohne Probleme zu bekommen. Bei durchlaufendem Kundenstrom ist das Einholen von Genemigungen völlig unmöglich.
23. Mai 2018 @ 23:05
Was mache ich mit Fotos von unseren Gästen/Zuschauern?
22. Mai 2018 @ 11:59
Hallo,
ich hätte eine grundsätzliche Frage bezüglich Statistiken und Vereinschroniken. Wenn zB Mitgliedsdaten 2 Jahre nach Austritt aus dem Verein gelöscht werden sollen, was passiert dann mit den Statistiken, Ergebnislisten, Vereinsrekorden oder wie sollen dann Vereinschroniken aussehen, wenn darin nicht stehen darf, dass Herr/Frau xy dies und jenes damals gemacht hat?
23. Mai 2018 @ 20:33
Diese Frage beschäftigt mich ebenfalls als Vereinsvorstand seit dem Auftauchen der DSGVO. Wäre super, wenn ein Advocat uns dazu eine rechtssichere Lösung anbieten könnte?! Danke an den Fragenderer und die hoffentlich folgenden Lösung!
26. Mai 2018 @ 23:06
Ich habe auf das Ursprungsposting für diese Frage geantwortet. Ich habe das so verstanden, dass man das Einverständnis des Mitglieds benötigt. Ich bin aber kein Anwalt.
26. Mai 2018 @ 22:54
Sie müssen das Einverständnis der Mitglieder einholen. Für die Vergangenheit ist das u.U. schwierig, für Neumitglieder reicht wohl ein Passus im Mitgliedsantrag, ob der Verein solche Daten (langfristig) speichern darf. Natürlich kann das Mitgleid das jederzeit widerrufen und auch die nachträgliche Löschung verlangen. Alls nicht so einfach.
DSGVO-Spiegel, oder: Was es dazu in der letzten Zeit so alles gegeben hat – Burhoff online Blog
21. Mai 2018 @ 10:25
[…] DSGVO – 10 Tipps für Vereine, […]
21. Mai 2018 @ 9:23
Unter „ein Muster finden sie hier“, finde ich eine weiße Seite.
Das ist ziemlich nutzlos.
Peter Werden
Seniorenverein Scherpenseel 2014 e. V.
senioren.scherpenseel@t-online.de
21. Mai 2018 @ 20:49
Sehr geehrter Herr Werden,
die leere Seite sehen Sie, weil Ihr Browser das Dokument im Hintergrund herunterläd und im Ordner „Downloads“ speichert.
Ich schicke Ihnen das Dokument gleich per Mail.