CHECKLISTE ZUM DATENSCHUTZ IM VEREIN

• DSGVO-Checkliste für Vereine

DSGVO-Checkliste für Vereine

• Rechtsgrundlage zur Verarbeitung von Mitgliederdaten

Personenbezogene Daten dürfen nur dann erhoben, gespeichert und verarbeitet werden, wenn es eine gesetzliche Grundlage gibt, die aus der DSGVO bzw. ergibt oder eine Einwilligung des Mitglieds vorliegt. Davon abweichende Regelungen zum Datenschutz in der Satzung haben keine Wirkung.

• Speicherung von personenbezogenen Daten

Prinzipiell sollten nur Daten erhoben, gespeichert und verarbeitet werden, die auch für den jeweiligen Zweck erforderlich sind. Gespeichert werden die Daten nur so lange, wie sie auch benötigt werden – unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen.

• Datensicherheit

Der Verein hat alle praktischen Sicherheitsmaßnahmen ergriffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.

• Datenschutzbeauftragter im Verein

Sind mehr als 20 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist der Verein gesetzlich verpflichtet einen Datenschutzbeauftragten zu bestellen.

• Verzeichnis über Verarbeitungstätigkeiten

Hier sollte unter anderem aufgeführt sein, wer für welchen Verarbeitungsbereich zuständig ist und Zugang zu welchen Daten hat. Auch der Zweck der Datenverarbeitung muss jeweils aufgeführt werden (siehe Art. 30 DSGVO). Dabei gilt es sicherzustellen, dass nur diejenigen einen Zugang zu den Daten haben, die ihn auch zu Verarbeitungszwecken benötigen.

• Information der Mitglieder zur Datenverarbeitung

Vereine informieren neue Mitglieder am besten schon bei der Aufnahme schriftlich über die Datenverarbeitung im Verein. Langjährige Mitglieder können über ein gesondertes Schreiben über Änderungen in Kenntnis gesetzt werden. Die Information durch den Verein muss zwar nicht von den jeweiligen Mitgliedern unterschrieben werden, kann aber als rechtliche Absicherung des Vereins dienen.

• Verpflichtung der datenbezogenen Arbeit nach DSGVO

Ein jeder, der im Verein mit personenbezogenen Daten arbeitet, hat sich an die Richtlinien der Datenschutzgrundverordnung zu halten und ist entsprechend vorher darüber aufzuklären. Die Verpflichtung muss vom Vereinsmitglied unterzeichnet werden.

• Auftragsverarbeitungsverträge mit Drittdienstleistern

Nutzt der Verein z.B. eine Cloud-Lösung, so werden die Daten von Drittanbietern weiterverarbeitet. In den Dienstleistervertrag sollten deshalb Regelungen zu Datenschutz aufgenommen werden. Der Verein sollte zudem die Datenschutzmaßnahmen des Auftragsverarbeiters kontrollieren.

• Benachrichtigungspflicht des Vereins

Bei einer Gefährdung der Datensicherheit muss gemäß Art. 34 DSGVO das Mitglied benachrichtigt werden, wenn eine Gefahr für die Persönlichkeitsrechte besteht. In diesem Fall muss der Verein innerhalb von 72h auch die Aufsichtsbehörde benachrichtigen. Der Verein muss entsprechende Prozesse einrichten, um Probleme in der Datensicherheit sofort zu erkennen.

• Risiko der Datenverarbeitung

Wie hoch ist das Risiko der Datenverarbeitung im Verein? Dies gilt es ebenfalls zu prüfen und falls notwendig, entsprechend eine Datenschutz-Folgeabschätzung durchzuführen.