Datenschutz, Fragen und Antworten

 

Muss vom Verein ein Datenschutzbeauftragter benannt werden? Nein, da weniger als 10 Personen im regelmäßigen Umgang ständig mit personenbezogenen Daten beschäftigt sind. Die mit dem Datenschutz verbundene Arbeit muss vom Vorstand gemacht werden.

Ist eine Datenschutz-Verpflichtung von Beschäftigten durchzuführen? Ja, da die betreffenden Mitarbeiter / Vorstandsmitglieder, die mit personenbezogenen Daten umgehen, sind zu informieren, zu sensibilisieren und zu verpflichten, dass die Verarbeitung personenbezogener Daten nach den Grundsätzen der EU-Datenschutzgrundverordnung (EU-DSGVO) einzuhalten ist.

Bestehen irgendwelche Informations- oder Auskunftspflichten? Ja, insbesondere in der Vereinssatzung sowie auf der Webseite (Internet-Homepage) in der Datenschutzerklärung. Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Ein Verein muss Informationen auf der Homepage und in der Satzung leicht zugänglich bereithalten. Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.

Gibt es Anforderungen zur Datenlöschung? Ja, aber erst nach Ablauf gesetzlicher Aufbewahrungspflichten. Sobald keine gesetzliche Grundlage (z.B. steuerliche Aufbewahrungspflicht) mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen. In der Regel ist dies erst der Fall nach Ausscheiden eines Vereinsmitglieds.

Müssen die Daten besonders gesichert werden? Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Datensicherung, Virenscanner und Benutzerrechte. Soweit private PC’s genutzt werden, ist sicher zu stellen, dass nur berechtigte Personen auf die Daten zugreifen können.

Ist ein Vertrag zur Auftragsverarbeitung erforderlich? Sobald Verantwortliche Dienstleistungen (z.B. externe Buchhaltung) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsbearbeitung erforderlich.

Datenschutzverletzungen. Müssen bestimmte Vorfälle gemeldet werden? Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: die Aufsichtsbehörde (Landesbeauftragter für den Datenschutz) ist bei hohem Risiko durch den Datenverlust darüber in Kenntnis zu setzen, betroffene Personen soweit wie möglich (sofern ihre Anschriften bekannt sind). Das „hohe Risiko“ dürfte auf die wenigsten Vereine des CVNB zutreffen.

Muss eine Datenschutz-Folgeabschätzung gemacht werden? Nein, wenn kein hohes Risiko bei der Datenverarbeitung im Verein besteht.

 

Quelle: Bayerisches Landesamt für Datenschutzaufsicht