Checkliste zum Datenschutz im Verein

Mit der DSGVO kamen auch für Vereine zahlreiche neue Anforderungen hinzu. Um nicht den Überblick zu verlieren, haben wir hier eine Checkliste mit den zehn wichtigsten Punkten zusammengestellt, die sich leicht für den Datenschutz im eigenen Verein überprüfen lassen.

  • Rechtsgrundlage zur Verarbeitung von Mitgliederdaten
    Personenbezogene Daten sollten nur dann erhoben, gespeichert und verarbeitet werden, wenn eine Rechtsgrundlage hierfür vorliegt. Eine solche Einwilligung wird am besten über den Mitgliedervertrag eingeholt oder bei Änderungen über ein gesondertes Informationsschreiben. Grundsätzlich ist dies auch immer ein Punkt in der Satzung des Vereins.
  • Speicherung von personenbezogenen Daten
    Prinzipiell sollten nur Daten erhoben, gespeichert und verarbeitet werden, die auch für den jeweiligen Zweck erforderlich sind. Gespeichert werden die Daten nur so lange, wie sie auch benötigt werden – unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen.
  • Datenschutzbeauftragter
    Sind mehr als 10 Leute mit der Verarbeitung personenbezogener Daten beschäftigt, braucht es einen Datenschutzbeauftragten. Ausnahmen bestätigen die Regel und so auch in diesem Fall
    Nach § 4f Abs. 1 Satz 5 BDSG gilt
    „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
  • Verzeichnis über Verarbeitungstätigkeiten
    Hier wird genau aufgeführt, wer für welchen Verarbeitungsbereich zuständig ist, um so immer im Blick zu haben, wer Zugang zu welchen Daten hat. Dabei gilt es sicherzustellen, dass nur diejenigen einen Zugang zu den Daten haben, die ihn auch zu Verarbeitungszwecken benötigen.
  • Information der Mitglieder zur Datenverarbeitung
    Dies geschieht am besten schon bei der Aufnahme im Verein, hier kann ein gesondertes Blatt zur Informierung beigelegt werden. Bei Änderungen können langjährige Mitglieder ebenfalls über ein gesondertes Schreiben informiert werden. Diese muss von den jeweiligen Mitgliedern unterschrieben werden, nur dann gilt sie als rechtliche Absicherung des Vereins.
  • Auftragsverarbeitungsverträge mit Drittdienstleistern
    Nutzt der Verein z.B. eine Cloud-Lösung, so werden die Daten von Drittanbietern weiterverarbeitet. Hierzu sollten ebenfalls Verträge den Umgang mit den Daten sichern.
  • Verpflichtung der datenbezogenen Arbeit nach DSGVO
    Ein jeder, der im Verein mit personenbezogenen Daten arbeitet, hat sich an die Richtlinien der Datenschutzgrundverordnung zu halten und ist entsprechend vorher darüber aufzuklären.
  • Pflichterfüllung
    Pflichten muss innerhalb von 72 Stunden nachgekommen werden. Verlangt ein Mitglied die Löschung der persönlichen Daten, so ist diese innerhalb von 72 Stunden durchzuführen, ansonsten riskiert man eine Meldung bei der Aufsichtsbehörde und dementsprechende Strafen.
  • Risiko der Datenverarbeitung
    Wie hoch ist das Risiko der Datenverarbeitung im Verein? Dies gilt es ebenfalls zu prüfen und falls notwendig, entsprechend eine Datenschutz-Folgeabschätzung durchzuführen.
  • Sicherheit in der personenbezogenen Datenverarbeitung
    Hier gilt es, die Technik stets auf dem neusten Stand zu halten, ausreichend Passwortschutz zu bieten und Benutzerrechte klar auf die Personen einzuschränken, die auch tatsächlich mit den Daten arbeiten müssen.

Und um letztlich auf der sicheren Seite zu sein und stets beratende Hilfe in allen Fragen rund um den Datenschutz im Verein zu erhalten, empfiehlt sich der Vereins-Schutzbrief des DEUTSCHEN EHRENAMTS.