Hauptmenü

Seiteninhalt

Basics und steigende Anforderungen

Wir bieten Infos und Beratung zu Datenschutz, Vereinsmanagement usw.

Eine altmodische Scheibmaschine

Foto: Florian Klauer auf Unsplash

Es kommt der Tag, da verbinden sich Engagement und Bürokratie. Das muss aber kein schlechter Tag sein.

Schwierige Zeiten erforden gute Informanten: Deshalb bieten wir Informationen und Beratung zu vielen Fragen rund um das Management gemeinnütziger Vereine und Organisationen. Denn die Anforderungen wachsen: Die neue Datenschutz-Grundverordnung der Europäischen Union vom Mai 2018 ist nur ein Beispiel dafür. Das Gemeinnützigkeitsrecht und die Richtlinien und Vorgaben in der Verwendung öffentlicher Mittel stellen mitunter höhere Anforderungen, als man zu Beginn glaubt. Wir können diese Zumutungen nicht verschwinden lassen, außerdem sind sie teilweise (manche sagen: zu allergrößten Teilen) auch nötig und sinnvoll. Aber wir können informieren, Sorgen und Befürchtungen reduzieren und unsere Erfahrungen mitteilen. So lassen sich Überforderung und folgenschwere Fehler vermeiden. Wichtig: Wir leisten ausdrücklich keine Rechtsberatung, denn dies ist den entsprechenden Berufen vorbehalten. 

Datenschutz im Verein organisieren

Maßnahmen, Muster und Links zur Implementierung

Flagge der EU mit Vorhängeschloss in der Mitte des Sternenkreises

Die am 25. Mai 2018 EU-weit in Kraft getretene Datenschutzgrundverordnung sorgt bei vielen für Unsicherheit.

Als nach einer zweijährigen Vorlaufzeit im Mai 2018 die neue Datenschutzgrundverordnung der EU (EU-DSGVO) auch ihre rechtliche Gültigkeit erlangte, war die Aufregung allgemein sehr groß. Insbesondere viele Vereine und kleine Unternehmen hatten Angst, den neuen, strikteren Vorgaben nicht gerecht zu werden und insbesondere die durch Abmahnungen drohenden Geldstrafen nicht stemmen zu können.

Viele Experten, darunter auch der hessische Datenschutzbeauftragte Michal Ronellenfitsch, halten die Angst vor der neuen Gesetzgebung jedoch für unbegründet. Die in der DSGVO aufgeführten Regelungen entsprächen im Wesentlichen der bisherigen Rechtslage in Deutschland. Änderungen gebe es vor allem für Datenverarbeitungsfirmen, so Ronellenfitsch.

Dennoch gibt es ein paar einfache Maßnahmen, mit deren Umsetzung sich das Eine Welt Netz NRW intensiv beschäftigt hat und die jeder Verein ergreifen kann, um sich in Sachen Datenschutz auf den neuesten Stand zu bringen. Denn im Endeffekt sind die neuen Regelungen vor allem ein Fortschritt im Bereich des Betroffenenschutzes und sollten als Chance begriffen werden, das eigene Wirken sowohl vereinsintern, als auch vor allem extern transparenter und integrativer zu gestalten.

Im Folgenden werden einige der Maßnahmen vorgestellt, die wir ergriffen haben und die unserer Meinung nach den Datenschutz auf einfache, aber effektive Weise auf Vereinsebene vorantreiben können.

Verarbeitungsverzeichnis

Was die deutsche Gesetzgebung zuvor in Verfahrensverzeichnis und Verarbeitungsübersicht aufteilte, wird durch die neue DSGVO nun im „Verzeichnis von Verarbeitungstätigkeiten”, kurz: „Verarbeitungsverzeichnis”, zusammengefasst. In diesem Verzeichnis sollen alle analogen und digitalen Verarbeitungstätigkeiten innerhalb eines Vereins erfasst werden. Laut Gesetz ist es zwar offiziell nur unter bestimmten Voraussetzungen verpflichtend ein derartiges Verzeichnis zu führen, allerdings müssen bei einem Verstoß meist unverzüglich alle Verarbeitungstätigkeiten der Aufsicht führenden Behörde offengelegt werden, sodass es den Verantwortlichen eine Menge Arbeit erspart, wenn sich intern von Anfang an auf die Führung des Verarbeitungsverzeichnisses geeinigt wird.

Hier finden Sie das Muster eines Verarbeitungsverzeichnisses, welches speziell auf die Abläufe innerhalb eines Vereins zugeschnitten ist.

Vertragsmanagement der Auftragsverarbeitung

Sobald personenbezogene Daten zur Ausführung diverser Dienstleistung in die Hände externer Auftragsverarbeiter gegeben werden, müssen hierfür gesonderte Verträge aufgesetzt werden. In diesen Verträgen verpflichtet sich der Auftragsverarbeiter zur Verschwiegenheit und zur Unterstützung des Auftraggebers, sollten Betroffene ihre Betroffenenrechte wahrnehmen wollen. Zu vereinstypischen Auftragsverarbeitungen zählen unter anderem Mailings, die durch einen sogenannten Lettershop durchgeführt werden oder die Beratung durch einen IT-Dienstleister.

Hier finden Sie ein Muster für einen Auftragsverarbeitungsvertrag.

Datenschutzerklärung der Mitarbeiter*innen und Ehrenamtlichen

Eine Pflicht, Beschäftigte an das Datengeheimnis zu binden, gibt es nicht. Dennoch ist es sinnvoll, dass alle Mitarbeitenden, egal ob haupt- oder ehrenamtlich tätig, eine sogenannte „Verpflichtung auf Vertraulichkeit” unterschreiben. Laut DSGVO liegt es nämlich in der Pflicht der Verantwortlichen, sicherzustellen, dass alle Beschäftigten vertraulich mit personenbezogenen Daten umgehen. Die Unterzeichnung einer solchen Verpflichtungserklärung schafft also nicht nur ein Bewusstsein unter den Mitarbeitenden für die Brisanz dieses Themas; sie ist gleichzeitig auch eine rechtliche Absicherung für die Verantwortlichen innerhalb des Vereins.

Hier finden Sie ein Muster für eine solche Verpflichtungserklärung.

TOMs

TOM ist die Abkürzung für technische und organisatorische Maßnahmen. Sie werden meistens als TOM Datenschutz in einem Atemzug genannt. Sie bezeichnen technische, das heißt physische, Sicherheitsmaßnahmen (T) und organisatorische Rahmenbedingungen (O) und spielen eine so große Rolle, weil sie es ermöglichen, den Datenschutz im eigenen Verein zu kontrollieren und die ergriffenen Maßnahmen gegebenenfalls nachzuweisen.
Beispiele für Bereiche der TOM Datenschutz, die bereits von vielen Vereinen wie selbstverständlich implementiert sind, sind die TOM der „Zutrittskontrolle” und der „Zugangskontrolle”. Alle unter diesen beiden Bereichen zusammengefassten Maßnahmen zielen darauf ab, unbefugten Personen den Zugriff auf personenbezogene Daten zu verwehren. Die unter „Zutrittskontrolle” zusammengefassten TOMs streben eine verhältnismäßig hohe Sicherung von Gebäuden und Räumlichkeiten ab, durch den Bereich „Zugangskontrolle” hingegen soll der Schutz von Rechnern und Systemen durch bspw. Passwörter sichergestellt werden.

Hier und hier finden Sie Checklisten mit allen wichtigen TOM Datenschutz.

Website

Die Website ist gerade für viele Vereine ein wichtiges Aushängeschild und in Zeiten in denen sich das Internet für viele zur wichtigsten Informationsquelle entwickelt hat, natürlich in besonderer Form von den neuen Vorschriften der DSGVO betroffen. Doch auch hier gilt: Es gibt keinen Grund zur Panik, denn mit ein paar einfachen Maßnahmen, lassen sich die meisten Websites innerhalb von kurzer Zeit den Anforderungen der DSGVO anpassen.
Eine der wichtigsten Maßnahmen ist sicherlich die HTTPs-Verschlüsselung der Vereinswebsite mit SSL/TSL, insbesondere, wenn über diese Website in irgendeiner Form personenbezogene Daten erhoben werden. Nur so wird die Basis für eine DSGVO-konforme Website geschaffen, die auch von allen gängigen Browsern deutlich als sicher markiert wird.

Hier finden Sie eine ausführlich erläuterte Checkliste für eine DSGVO-konforme Website.

Hier können Sie sich ganz einfach online eine Datenschutzerklärung generieren lassen.

Zusammenfassung: Datenschutz im Verein organisieren

Schritt 1: Verantwortlichkeiten festlegen
Die größte Gefahr der DSGVO liegt darin, dass sich keiner für ihre Umsetzung verantwortlich fühlt. Deswegen ist es essentiell, schnell zu handeln und intern Verantwortlichkeiten für den weiteren Prozess der Umsetzung festzulegen. Ist dies geschehen, ist bereits der erste Schritt getan und die nächsten Maßnahmen lassen sich um einiges leichter und koordinierter einleiten.

Schritt 2: „Verzeichnis von Verarbeitungstätigkeiten” anlegen und pflegen

Schritt 3: ggf. Verträge mit Auftragsverarbeitern neu aufsetzen

Schritt 4: Mitarbeitende auf das Datengeheimnis verpflichten

Schritt 5: Sensibilisierung von Mitarbeitenden und Verantwortlichen für das Thema durch regelmäßige Datenschutz-Schulungen
Dieser Schritt ist essentiell, da nur sensibilisierte Beschäftigte DSGVO-konform handeln und Folgen einer Datenschutzpanne bei ihrer Arbeit mitbedenken können. Außerdem ist es für den Verein selbst sehr wichtig, dass die Mitarbeitenden informiert sind, wie sich im Falle eines Verstoßes zu verhalten haben und was zu tun ist, wenn Betroffene ihre Rechte (wie z.B. das Recht auf Löschung oder Auskunft) geltend machen wollen.

Schritt 6: Nachweis der Datensicherheit (TOM)

Schritt 7: Datenschutzbeauftragten festlegen und einbinden
Auch wenn es rechtlich erst ab einer bestimmten Anzahl von Beschäftigten verpflichtend ist einen Datenschutzbeauftragten zu bestimmen, kann es auch für kleinere Vereine durchaus Sinn machen, jemanden zu bestimmen, der die Selbstkontrolle des Vereins in Bezug des Datenschutzes unterstützt. In den meisten Fällen reicht hierbei natürlich die Bestimmung eines internen Datenschutzbeauftragten; regelmäßige externe Hilfe hingegen dürfte für die wenigsten Vereine wirklich von Nöten sein.

Schritt 8: Erstellung einer betrieblichen Datenschutzrichtlinie

Hier finden Sie das Muster einer betrieblichen Datenschutzrichtlinie.

Literatur

ISBN 978-3-406-71662-1: „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine” herausgegeben von C.H.BECK

Weitere Links

Hier finden Sie umfassende Informationen zum Datenschutz im Verein nach der DSGVO.

Hier finden Sie eine etwas kürzer gehaltenen Broschüre zum Thema Datenschutz im Verein.

Hier finden Sie verschiedene Dokumentationsvorlagen.

Hier finden Sie aktuelle Berichterstattungen zum Thema Datenschutz in NRW.

Hier finden Sie einen Blog rund um das Thema Datenschutz inklusive Mustervorlagen und Webinaren.

 

Bei Rückfragen wenden Sie sich jederzeit an

Dietmar Fischer
Tel. 02 51 - 28 46 69 – 15
dietmar.fischer@remove-this.eine-welt-netz-nrw.de

 

 

Eine Welt Netz NRW @ 2018
Bitte benutzen Sie zum Ausdrucken den Druckbutton am Ende jeder Seite.