[Update] Umsetzung der DSGVO im Verein, in der NGO, in der Initiative

Wie können Vereine, Initiativen, NGOs die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen?

Auch wenn Vereine, Initiativen und NGOs weder Behörden noch Unternehmen sind, müssen sie – nicht erst seit dem Gültigwerden der DSGVO am 25. Mai 2018 – dennoch dafür Sorgen, dass sie die personenbezogenen Daten ihrer Mitglieder, der Menschen, die sie evtl. betreuen, ihrer Spenderinnen und Spender  datenschutzkonform verarbeiten.

Materialien zur Umsetzung des Datenschutz im Verein
sind unterhalb dieses Textes verlinkt.

Die Anforderungen der DSGVO an den Datenschutz sind – wie bisher die Anforderungen des alten BDSG – auch von allen Vereinen, Initiativen, NGOs und Stiftungen zu beachten. Dabei ist es unerheblich ob diese Institution als gemeinnützig anerkannt ist oder nicht. Das Handout eines von mir im April 2018 gehaltenen Seminars zum Datenschutz im Verein finden Sie hier.

Wesentliche Anforderungen aus der DSGVO:

  • Ausführliche Informationspflichten gegenüber den betroffenen Personen (also den Personen, deren Daten wir verarbeiten, hierzu gehören neben Mitgliedern, und den betreuten Personen auch etwaige eigene Beschäftigte, Ehrenamtliche und Spender*innen), hierzu sollte auch die Datenschutzerklärung auf der Website angepasst werden.
  • Reaktionszeit auf Anfragen und Anträge betroffener Personen: 30 Tage!
  • Nachweis- und Dokumentationspflichten, insbesondere
    • Dokumentation der ausreichenden technischen und organisatorische Maßnahmen zur Datensicherheit (technischer und organisatorischer Datenschutz)
    • Unterweisung der Personen (angestellt, selbständig oder ehrenamtlich tätig), die personenbezogene Daten verarbeiten auf ihre Pflichten zur Umsetzung des Datenschutzes (diese Pflicht ist nicht neu)
    • Führen des Verzeichnis von Verarbeitungstätigkeiten (das ist eine Erweiterung des bisherigen Verfahrensverzeichnis)
    • Dokumentation evtl. eintretender Datenschutzverletzungen (bei Risiko für die betroffenen Personen, ist eine Meldung an die Datenschutz-Aufsichtsbehörde erforderlich, bei hohem Risiko eine Information der betroffenen Personen.
  •  Unter Umständen besteht – wie bisher – die Pflicht zur Benennung einer/eines Datenschutzbeauftragten.

Die meisten Vereine, Initiven und NGOs können sich eine teure externe Beratung genauso wenig leisten, wie eine/n externe/n Datenschutzbeauftragte/n zum normalen Beratungstarif. Inzwischen gibt es viele Materialien, die weiterhelfen (die unabhängig von dem Bundesland, in dem sie heraugegeben wurden deutschlandweit und meist auch EU-weit genutzt werden können):

Am 22.03.2018 hat das Bayerische Landesamt für Datenschutz (BayLDA) „die wesentlichen Anforderungen“ für kleine Unternehmen und Vereine übersichtlich dargestellt. Neben den grundsätzlichen Anforderungen fanden sich dort auch für Vereine, Handwerksbetriebe, eine KFZ-Werkstatt, Arztpraxen, Beherberungsbetriebe, Onlineshopbetreiber, Einzelhändler und WEG-Verwaltungen Musterverzeichnisse der Verarbeitungstätigkeiten (die allerdings nur den Minimalanforderungen des Art. 30 DSGVO entsprechen). [Update 2023-06-14] Seit geraumer Zeit hat das Bay-LDA eine eigene Themenseite für „Datenschutz im Verein“: https://www.lda.bayern.de/de/thema_vereine.html [/Update]. Da sich diese Informationen auf die DSGVO beziehen, können sie selbstverständlich auch von Betrieben und Vereinen außerhalb Bayerns gerne genutzt werden.

Desweiteren können die unterschiedlichen auf den Materialienseiten verlinkten Leitfäden und Broschüren zu den unterschiedlichen Umsetzungsthemen weiterhelfen. Beim Überfahren des Navigationspunkts „Materialen“ werden die unterschiedlichen Unterthemen, zu denen weiterführende Materialien verlinkt sind, sichtbar.

 

 

Der Kurzlink für diese Seite ist: https://ds-exp.de/Verein

Über Werner Hülsmann

Geboren 1961; 1982 - 1988: Informatikstudium mit Schwerpunkt Datenschutzrecht, Abschluß Diplom; 1988 - 1991: SW-Entwickler bei Telenorma; 1992 - 1999: Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 1999 selbständiger Datenschutzberater; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Seit 2010 Beiratsmitglied des FIfF e.V.; von 2015 bis Mai 2022 stellv. Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) e.V., seit Juni 2021 Vorstandsmitglied im gemeinnützigen Verein Computertruhe e.V. In einem Projekt zur Umsetzung der DSGVO auch als Datenschutz-Nerd bezeichnet.
Dieser Beitrag wurde unter DSGVO-Allgemein, Umsetzung, Vortrag abgelegt und mit , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.