Wie können Vereine, Initiativen, NGOs die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen?
Auch wenn Vereine, Initiativen und NGOs weder Behörden noch Unternehmen sind, müssen sie – nicht erst seit dem Gültigwerden der DSGVO am 25. Mai 2018 – dennoch dafür Sorgen, dass sie die personenbezogenen Daten ihrer Mitglieder, der Menschen, die sie evtl. betreuen, ihrer Spenderinnen und Spender datenschutzkonform verarbeiten.
Materialien zur Umsetzung des Datenschutz im Verein
sind unterhalb dieses Textes verlinkt.
Die Anforderungen der DSGVO an den Datenschutz sind – wie bisher die Anforderungen des alten BDSG – auch von allen Vereinen, Initiativen, NGOs und Stiftungen zu beachten. Dabei ist es unerheblich ob diese Institution als gemeinnützig anerkannt ist oder nicht. Das Handout eines von mir im April 2018 gehaltenen Seminars zum Datenschutz im Verein finden Sie hier.
Wesentliche Anforderungen aus der DSGVO:
- Ausführliche Informationspflichten gegenüber den betroffenen Personen (also den Personen, deren Daten wir verarbeiten, hierzu gehören neben Mitgliedern, und den betreuten Personen auch etwaige eigene Beschäftigte, Ehrenamtliche und Spender*innen), hierzu sollte auch die Datenschutzerklärung auf der Website angepasst werden.
- Reaktionszeit auf Anfragen und Anträge betroffener Personen: 30 Tage!
- Nachweis- und Dokumentationspflichten, insbesondere
- Dokumentation der ausreichenden technischen und organisatorische Maßnahmen zur Datensicherheit (technischer und organisatorischer Datenschutz)
- Unterweisung der Personen (angestellt, selbständig oder ehrenamtlich tätig), die personenbezogene Daten verarbeiten auf ihre Pflichten zur Umsetzung des Datenschutzes (diese Pflicht ist nicht neu)
- Führen des Verzeichnis von Verarbeitungstätigkeiten (das ist eine Erweiterung des bisherigen Verfahrensverzeichnis)
- Dokumentation evtl. eintretender Datenschutzverletzungen (bei Risiko für die betroffenen Personen, ist eine Meldung an die Datenschutz-Aufsichtsbehörde erforderlich, bei hohem Risiko eine Information der betroffenen Personen.
- Unter Umständen besteht – wie bisher – die Pflicht zur Benennung einer/eines Datenschutzbeauftragten.
Die meisten Vereine, Initiven und NGOs können sich eine teure externe Beratung genauso wenig leisten, wie eine/n externe/n Datenschutzbeauftragte/n zum normalen Beratungstarif. Inzwischen gibt es viele Materialien, die weiterhelfen (die unabhängig von dem Bundesland, in dem sie heraugegeben wurden deutschlandweit und meist auch EU-weit genutzt werden können):
- Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg:
Praxisratgeber „Datenschutz im Verein nach der DS-GVO“ (2. Auflage, Stand 24. Juni 2020) - Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hatte vorher bereits eine OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf herausgegeben (Aktueller Stand ebenfalls 24.06.2020).
- Unabhängiges Datenschutzzentrum Saarland: Website mit Informationen zum Thema Datenschutz im Verein und Link zur einer Broschüre:
https://datenschutz.saarland.de/themen/vereine/datenschutz-im-verein/ - Rheinland-Pfalz hat auch eine Kurzinformation zusammengestellt:
https://www.datenschutz.rlp.de/de/themenfelder-themen/vereine/ - Landesbeauftragter für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen: Neue Orientierungshilfe „Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)“
- Ein Leitfaden „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“ ist vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) im C.H.Beck-Verlag herausgegeben worden. Meine Rezension mit weiteren Infos und Bezugsquellen dieser Broschüre ist hier zu finden.
- Stiftung Datenschutz: Themenseite mit vielen Hilfsmitteln zu „Datenschutz im Ehrenamt„: https://stiftungdatenschutz.org/ehrenamt
Am 22.03.2018 hat das Bayerische Landesamt für Datenschutz (BayLDA) „die wesentlichen Anforderungen“ für kleine Unternehmen und Vereine übersichtlich dargestellt. Neben den grundsätzlichen Anforderungen fanden sich dort auch für Vereine, Handwerksbetriebe, eine KFZ-Werkstatt, Arztpraxen, Beherberungsbetriebe, Onlineshopbetreiber, Einzelhändler und WEG-Verwaltungen Musterverzeichnisse der Verarbeitungstätigkeiten (die allerdings nur den Minimalanforderungen des Art. 30 DSGVO entsprechen). [Update 2023-06-14] Seit geraumer Zeit hat das Bay-LDA eine eigene Themenseite für „Datenschutz im Verein“: https://www.lda.bayern.de/de/thema_vereine.html [/Update]. Da sich diese Informationen auf die DSGVO beziehen, können sie selbstverständlich auch von Betrieben und Vereinen außerhalb Bayerns gerne genutzt werden.
Desweiteren können die unterschiedlichen auf den Materialienseiten verlinkten Leitfäden und Broschüren zu den unterschiedlichen Umsetzungsthemen weiterhelfen. Beim Überfahren des Navigationspunkts „Materialen“ werden die unterschiedlichen Unterthemen, zu denen weiterführende Materialien verlinkt sind, sichtbar.