• Der Verein organisiert das Training und die Kommunikation über eine datenschutzkonforme Handy-App.
  • Name: „Threema Private“ (IOS-App, ANDROID-App)- die Kosten von 2,99€ erstattet der Verein auf Anfrage.
  • dort werden keine Mailadressen und Telefonnummern veröffentlicht, jeder bekommt lediglich eine ID-Nummer.
  • wenn Du die App geladen hast, schicke mir bitte darüber eine kurze Nachricht.
  • ich nehme Dich dann in die Gruppe „Training“ auf, in der Gruppe siehst Du dann „Umfragen“.
  • Auszug aus diversen Artikeln zum Thema
  • Datenschutzgrundverordnung : Mail-Adressen speichern wird teuer
  • Beim Speichern von Daten müssen Unternehmen künftig noch vorsichtiger sein.
  • Satte Strafen, viel Bürokratie und hohe Rechtsunsicherheit.
  • Vielen Unternehmen dämmert gerade, was ihnen der neue Datenschutz bringt
  • Und den Abmahnvereinen winken neue Einnahmen.
  • Wer dabei an Bürokratie denkt, an missverständliche Regeln und abgrundtiefe Fallen, liegt ziemlich genau richtig
  • Aber es gibt keine Möglichkeit, dem zu entfliehen
  • Denn am 25. Mai 2018 tritt diese Verordnung, kurz DSGVO in Kraft, und von dem Augenblick an muss jede Firma, und sei sie noch so klein, beweisen können, dass sie mit personenbezogenen Daten sorgsam umgeht, dass sie keine E-Mail-Adressen und kein Autokennzeichen speichert, ohne dass die zugehörige Person das ausdrücklich erlaubt hat….
  • Selbst eine IP-Adresse, obwohl diese ja eigentlich zu einem Computer führt, könnte zu den personenbezogenen Daten gerechnet werden, warnt Christian Köhn, Bereichsleiter Recht und Steuern der IHK Region Stuttgart: „Die Definition ist sehr weit. Es ist schwer, nicht unter die DSGVO zu fallen.“…. usw.

Datenschutz

DSVGO – Anforderungen an Vereine und Verbände

Hinweise und Anforderungen
Nach langen Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Die neuen Anforderungen haben auch auf Vereine und Verbände zum Teil gravierende Auswirkungen.
Nachfolgend sind kurz die wesentlichen Anforderungen aus der neuen EU-DSGVO aufgeführt, die jeder Verein und Verband für sich intensiv auf Anpassungsmaßnahmen prüfen sollte. Bereits gem. Art. 5 der EU-DSGVO hat der Verein und Verband einen Nachweis (Rechenschaftspflicht) über die Einhaltung der gesetzlichen Anforderungen zu erbringen.

Ziele und Grundsätze
Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO). Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glau- ben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Bußgelder und Sanktionen
Die Landes- und Bundesdatenschutzbeauftragten werden gern als zahnlose Tiger bezeichnet. Unter anderem auch wegen ihren eingeschränkten Sanktionsmöglichkeiten, die sie bei Datenschutzverstößen nach deutschem Recht haben. Die EU-Datenschutz- Grundverordnung aber enthält eigene Vorschriften zu Bußgeld- und  Sanktionsmöglichkeiten. Dieses würde auch bei Vereinen und Verbänden zum Tragen kommen und kann zukünftig bis zu 20 Millionen Euro als Strafe bedeuten.

Beschäftigtendatenschutz
Für Beschäftigte von Vereinen und Verbänden sind spezielle Regelungen in der EU- DSGVO vorhanden, aber auch in der Nutzung der sog. Öffnungsklauseln im BDSG-Neu wird die Verarbeitung von Daten von beschäftigen an hohe Anforderungen gestellt.

Neues zur Videoüberwachung
Für die Videoüberwachung auch bei Vereinen und Verbänden gab es schon nach der deutschen Gesetzgebung hohe Anforderungen. Mit der EU-DSGVO werden die Risiken  für eine nicht korrekt betrieben Videoüberwachung größer. Daher ist dringend die datenschutzkonforme Anwendung von Videoüberwachungen zu prüfen und den neuen Anforderungen anzupassen.

Datenportabilität
Diese Vorgabe ist neu. Mitgliedern oder auch Beschäftigten muss auf Wunsch deren Daten elektronisch in einem einfachen maschinenlesbaren Format zur Verfügung gestellt werden. Damit soll der Wechsel eines Mitarbeiters oder Mitgliedes vereinfacht werden und er beim neuen Arbeitgeber oder Verein können die Stammdaten elektronisch eingespielt werden.

Auftragsdatenverarbeitung
In Deutschland definiert sich die Auftragsdatenverarbeitung als durch einen Auftragnehmer auf Weisung eines Auftraggebers, bei dem die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt. In der Datenschutz-Grundverordnung werden diese nun erstmals europaweit einheitlich geregelt. Für Vereine und Verbände sind hier vor allem die Hoster der Internetauftritte zu berücksichtigen, Dienstleister für IT-Themen, Daten- und Aktenvernichter und z. B. Auslagerung von Diensten wie Seminaranmeldungen.

Websitebetreiber aufgepasst!
Website Betreiber müssen eine Vielzahl an Vorschriften beachten. Regelungen zur Website-Compliance finden sich u.a. in den §§ 11 ff. Telemediengesetz (TMG), insbesondere  in § 13 TMG, der die Pflichten des Diensteanbieters vorgibt. Die Datenschutz- Grundverordnung wird zwangsläufig Auswirkungen auf die aktuellen Anforderungen an Website-Compliance haben. Zwar bleiben viele gesetzliche Pflichten erstmal bestehen, andererseits sollte aber die Datenschutzerklärung mit den Vorgaben der EU-DSGVO abgestimmt werden. Zusätzlich wird hier für Vereine und Verbände die ebenfalls zum Mai 2018 in Kraft tretende ePrivacy-Verordnung der EU zu berücksichtigen sein, die Informati- onspflichten und Einwilligungen in die Nutzung von Cookies auf Webseiten fordert.

Anforderungen an eine Einwilligung
Die Einwilligung in die Verarbeitung seiner personenbezogenen Daten durch den Betroffenen ist seit jeher zentraler Bestandteil des Datenschutzrechts. Aufgrund des Grundrechts der informationellen Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält. Hier müssen Vereine und Verbände eine saubere Umsetzung und Anpassungen sicherstellen, da vor allem die Einwilligung in Nutzung von Fotos in Vereinen immer wieder zu Verstößen und Beschwerden bei den Aufsichtsbehörden führt.

Betrieblicher Datenschutzbeauftragter
Das Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Für Deutschland gilt weiterhin, auch für Vereine und Verbände, dass ein Datenschutzbeauftragter zu benennen ist, wenn mehr als 10 Personen mit der Verarbeitung (Erheben, Speichern, Nutzen, …) personenbezogener Daten betraut sind. Das trifft für die meisten Vereine zu, da nahezu jeder Abteilungsleiter Daten der Mitglieder nutzt und ggf. sogar mit eigenen zusätzlichen Daten anreichert.

Datensicherheit
Mit der DSGVO ändern sich die Vorgaben zur Datensicherheit und somit auch die der technischen und organisatorischen Maßnahmen. Manche Begriffe werden durch die Verordnung noch abstrakter, als sie es bisher gewesen sind, einige Vorgehensweise ähneln der jetzigen Handhabung und wiederum andere Anforderungen, wie der Stand der Technik, Belastbarkeit oder data protection by default, sind neu. Auf Vereine und Verbände kommt daher eine Menge Arbeit zu, die technischen und organisatorischen Maßnahmen zum Schutze der Daten zu erfüllen.

Informationspflichten
Die Datenschutz-Grundverordnung führt für Vereine, Verbände und Verantwortlichen eine Reihe von neuen Informationspflichten ein. Dabei ändert sich im Vergleich zu den bisherigen Vorschriften des Telemedien- und Bundesdatenschutzgesetz einiges an den Anforderungen. Denn der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die Betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, – verarbeitung oder -nutzung, anhand den zur Verfügung gestellten Informationen, zu überprüfen. Daher müssen die Vereine und Verbände bis zum Mai 2018 sicherstellen, dass  alle Beschäftigten, Mitglieder, usw. mit den neuen Informationspflichten versorgt werden.

Datenschutz-Folgenabschätzung
Die Datenschutzfolgenabschätzung ist neu. Hier muss der Verein und Verband belegen, dass bei bestimmten Verarbeitungen, die Risiken und Bedrohungen für die Betroffenen mit entsprechenden Maßnahmen gemindert werden. Diese Prüfung ist regelmäßig zu wiederholen und zu dokumentieren und auf Anforderung der Datenschutzaufsichtsbehörde zur Verfügung zu stellen.

Data Breach Notification
Schon heute müssen Verantwortliche, unter bestimmten Voraussetzungen, Aufsichtsbehörde und Betroffenen eine Data Breach Notification zukommen lassen. Nämlich dann, wenn Unberechtigte vermutlich oder erwiesenermaßen Zugang zu Daten hatten. Die Datenschutz-Grundverordnung wird diese Anforderungen und etwaige Sanktionen noch deutlich verschärfen.
Die Bedeutung der Data Breach Notification und deren Anzahl werden dadurch zwangsäufig steigen. Eine Datenschutzverletzung ist innerhalb von 72 Stunden der Aufsichtsbehörde zu melden. Die EU-DSGVO macht dazu klare Vorgaben. Daher sollte ein Standard- Prozess in Vereinen und Verbänden dazu etabliert werden.

Verzeichnis von Verarbeitungstätigkeiten
Mit der Datenschutz-Grundverordnung muss auch ein Verein oder Verband nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Dies ist nur eine von mehreren, neuen Vorgaben zur Dokumentationspflicht. Bei der Einhaltung aller gesetzlichen Vorgaben wird das Verzeichnis aber eine tragende Rolle spielen. Denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Aufbau eines Datenschutzmanagementsystems
Neben dem angesprochenen Verzeichnis von Verarbeitungstätigkeiten findet sich in der Datenschutz-Grundverordnung eine Vielzahl von Normen, die eine Dokumentierung der getroffenen Datenschutzmaßnahmen fordern. Daneben schafft die DSGVO weitere Prozesse, die etabliert, und Aufgaben die wahrgenommen werden müssen. Bei dieser Vielzahl von Anforderungen kann man schnell mal den Überblick verlieren. Daher bietet sich ein Datenschutzmanagement an, um die Einhaltung aller Vorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren.

Das Recht auf Vergessenwerden
Das Bundesdatenschutzgesetz enthält ein Recht auf Berichtung, Sperrung und Löschung. Dieses Recht auf Löschung wird in der Datenschutz-Grundverordnung um das Recht auf Vergessenwerden erweitert. Daten, deren Zweck erfüllt ist und keine gesetzliche Aufbewahrungspflicht besteht, sind zu Löschen. Die Nicht-Einhaltung dieser Vorgabe kann mit den höchsten Strafgeldern belegt werden.

Besondere Kategorien personenbezogener Daten
Besondere Anforderungen und Sicherheitsmaßnahmen sind zu treffen und zu belegen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden, was oft in Vereinen und Verbänden vorkommt. Darunter fallen Daten der Gesundheit, zur ethnischen Herkunft, zur Religion u. a. Bei dieser Verarbeitung ist auf jeden Fall eine Datenschutzfolgenabschätzung durchzuführen. Solche Daten werden auch in Vereinen und Verbänden an vielen Stellen verarbeitet.

Datenverarbeitung von Kindern und Jugendlichen
Der Kinder- und Jugendschutz nimmt in der EU-Datenschutz-Grundverordnung (DSGVO) eine wichtige Rolle ein. So findet sich in der Verordnung z.B. erstmals eine ausdrückliche gesetzliche Regelung zu Anforderungen an die Rechtmäßigkeit der Einwilligung von Kindern. Hier sind vor allem für Vereine die neuen Anforderungen zu prüfen und rechtzeitig umzusetzen.