Schritt nach Schritt zum Ziel
Einleitung
Rechtshinweis:
Dies ist ein Leitfaden zur Umsetzung der DSGVO im Veren. Dieser wurde nach bestem Wissen und Gewissen erstellt und dient lediglich der Erstinformation über die DSGVO und BDSG und erhebt daher keinen Anspruch auf Vollständigkeit. Dieser Leitfaden enthält keine Dokumente. Darüber hinaus stellt dieser Leitfaden und die darin enthaltenen Informationen in keiner Weise eine Rechtsberatung dar und kann diese auch nicht ersetzen. Der Autor des jeweiligen Inhaltes übernimmt keine Haftung für die Richtigkeit und Vollständigkeit der Ausführungen. Weiterhin übernimmt der Autor keine Haftung für sonstige Schäden wegen Auslassung oder Fehlern.
Organigramm
Schritt 1
Haben Sie im Verein ein Organigramm?
Erläuterung:
Um sich einen ersten Überblick zu verschaffen, zeigt die Erfahrung, dass ein Organigramm unumgänglich ist, damit die Struktur des Vereines klar erkennbar ist.
Dies beinhaltet auch alle Spielgemeinschaften (SG) oder auch Fördervereine (egal ob nur wirtschaftlich oder nicht)
Datenschutzhandbuch
Schritt 2
Haben Sie ein Datenschutzhandbuch für Ihren Verein angelegt?
Erläuterung:
Das Datenschutzhandbuch legt die Struktur und die Prozesse des Datenschutzmanagements dar, die ein Verein umsetzt. Ganz entscheidend erfüllt das Datenschutzhandbuch mit den beigefügten Anlagen die in der DSGVO geforderten Dokumentations- und Nachweispflichten. Sie stellt eine entscheidende Säule der gesetzlichen Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO dar.
Selbstverständlich können Sie auch eines von Ihnen ausgewählten Software oder SaaS Lösung bedienen. Dies ist jedoch nicht mein Ansatz zur Umsetzung der DSGVO.
Zuständigkeiten
Schritt 3
Haben Sie festgelegt, wer in Ihrem Verein für die Umsetzung der einzelnen Datenschutzaufgaben zuständig ist?
Erläuterung:
In Ihrem Verein muss festgelegt sein, wer für welchen Bereich des Datenschutzes zuständig ist. z.B. verantwortlich für EDV, Mitgliederdaten, Personalakten, Internetseite etc.
Die jeweilige Verantwortung muss klar, nachvollziehbar und lückenlos festgelegt werden. Die mit einzelnen Datenschutzaufgaben beauftragten Mitarbeiter müssen über die notwendigen Fähigkeiten, Kompetenzen und Ressourcen verfügen, die zur Erfüllung der Aufgaben erforderlich sind. Als Hauptvorstand/Präsidium bleiben Sie weiterhin für die Umsetzung verantwortlich.
Die Erfahrung hat leider gezeigt, dass in kleineren Vereinen diese Aufgaben der Hauptvorstand übernimmt. Dies stellt ganz klar einen Interessenkonflikt dar und sollte schnellstmöglich geändert werden. In größeren Vereinen häufig die Geschäftsstelle. Die Zuständigkeiten in Ihrem Verein sind in einer Auflistung zu dokumentieren.
Datenschutzbeauftragter
Schritt 4
Benötigen Sie aufgrund der Personenanzahl in Ihrem Verein einen Datenschutzbeauftragten (DSB)?
Erläuterung:
Die Bestellung eines Datenschutzbeauftragten für Vereine ist verpflichtend, wenn mindestens zwanzig Personen regelmäßig mit der Datenverarbeitung beschäftigt werden. Zur Ermittlung der Personenzahl muss eine aktuelle Übersicht der mit der Datenverarbeitung in Ihrem Verein befassten Personen vorgehalten werden.
Schritt 5
Haben Sie einen Datenschutzbeauftragten schriftlich für Ihren Verein bestellt?
Erläuterung:
Die Bestellung eines Datenschutzbeauftragten für Vereine muss schriftlich erfolgen, wenn mindestens zwanzig Personen regelmäßig mit der Datenverarbeitung beschäftigt werden.
Unabhängig davon ist die Bestellung eines Datenschutzbeauftragten erforderlich, wenn der Verein eine Datenschutz-Folgenabschätzung erfolgt oder aus Gründen der Datenorganisation der Vereinsführung eine Bestellung freiwillig vornehmen will.
Meldung DSB
Schritt 6
Haben Sie den Datenschutzbeauftragten in Ihrem Verein den Funktionsträgern und der zuständigen Datenschutzbehörde bekannt gegeben?
Nach der Bestellung des Datenschutzbeauftragten müssen Sie dessen Namen und Kontaktdaten (Anschrift, Telefon, E-Mail-Adresse) der für Sie zuständigen Datenschutzbehörde melden. Die Datenschutzbehörden werden hierfür automatisierte Anmeldeverfahren über ihre Internetpräsenzen anbieten. Informieren Sie sich dafür auf der Internetseite der für Sie zuständigen Landesdatenschutzbehörde. Zusätzlich müssen Sie ihn z.B. auf der Internetseite und in einer Mitgliederinformation Ihrem Verein bekannt geben.
Einwilligungen
Schritt 7
Haben Sie die notwendigen Einwilligungen zur Datenverarbeitung?
Erläuterung:
In jedem Verein werden Daten von Mitgliedern, Mitarbeitern und Kontaktpersonen der Vertragspartner (z.B. Abrechnungsinstitut, EDV-Wartung) verwendet. Für den Umgang mit diesen Daten benötigen Sie eine Rechtfertigung.
Bei Mitgliederdaten ergibt sich die Erlaubnis bereits in Teilen u.a. aus dem Vereinseintritt bzw. aus den verschiedenen gesetzlichen Verpflichtungen u.a. zur Dokumentation und Abrechnung. Daher benötigen Sie für die Verwendung dieser Daten (k)eine ausdrückliche Einwilligung Ihrer Mitglieder. Dies muss in einer Vereinssatzung oder Datenschutzordnung hervorgehen. Bezüglich der Daten Ihrer Mitarbeiter und der Kontaktdaten Ihrer Vertragspartner folgt die Erlaubnis zur Verwendung der Daten ebenfalls aus dem jeweils zugrundeliegenden Vertrag bzw. Vertragsverhältnis, sodass eine Einwilligung eventuell nicht erforderlich ist. Jedoch ist diese Vertragszustimmung auch immer Zweckgebunden.
Zeigen Sie auf der Internetseite Ihres Vereines oder z.B. im Flyer, Vereinszeitschrift Fotos Ihrer Mitglieder?
Veröffentlichungen von Mitarbeitern
Schritt 8
Haben Sie eine Einwilligungserklärung Ihrer Mitarbeiter eingeholt um Fotos und Namen auf der Internetseite oder Flyer etc. zu verwenden?
Erläuterung:
Wenn Sie mit Mitarbeitern werben, indem Sie diese auf Ihrer Vereinswebseite oder dem Flyer mit Foto zeigen, müssen Sie eine freiwillige Einwilligung Ihrer Mitarbeiter einholen, in der über Zweck, Art (z.B. Foto mit Namen und Funktion) und Umfang (z.B. im Internet) der Veröffentlichung informiert wird.
Verarbeitungsverzeichnis
Schritt 9
Haben Sie für die Datenverarbeitungsprozesse Ihrem Verein ein Verarbeitungsverzeichnis nach der DSGVO?
Erläuterung:
Sie müssen ein Verarbeitungsverzeichnis für sämtliche in Ihrem Verein vorgesehenen Datenverarbeitungsvorgänge dokumentieren. Dies gilt für die Verarbeitung der Daten über Ihre Mitglieder, Arbeitnehmer wie auch der sonstigen Personen. Dazu gehören z.B. Erfassung von Stammdaten Ihrer Mitglieder, Führen von Ehrungen der Mitglieder, Gehaltszahlungen etc.).
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) kann unterschiedlich geführt werden. Ob Word oder Excel oder auch wie schon erwähnt in einer ausgewählten Software oder SaaS Lösung.
Die Vielfalt besteht darin, das Sie z.B. für jede Tätigkeit ein eigenes Dokument erstellen oder die Tätigkeiten in einem Dokument einfließen lassen.
Folgenabschätzung
Schritt 10
Haben Sie eine Risikobeurteilung Ihrer einzelnen Datenverarbeitungsvorgänge dokumentiert (Folgenabschätzung)?
Erläuterung:
Der Verein ist verpflichtet die Risiken jedes einzelnen Datenverarbeitungsvorgangs zu ermitteln und zu dokumentieren (siehe Risikobeurteilung (Checkliste). Können die geplanten Datenverarbeitungen zu hohen Risiken für die Rechte und Freiheiten der Mitglieder führen, muss eine Datenschutz-Folgenabschätzung vorgenommen werden.
Eine grundsätzliche Verpflichtung zur Datenschutz-Folgenabschätzung besteht für Vereine nicht. Eine Ausnahme kommt dann in Betracht, wenn die Datenverarbeitung des Vereines erheblich von der üblichen Struktur bzw. vom üblichen Umfang einem Verein abweicht.
Im Falle einer erforderlichen Datenschutz-Folgenabschätzung muss ein Datenschutzbeauftragter für den Verein bestellt werden.
Auftragtverarbeitung
Schritt 11
Übermitteln Sie personenbezogene Daten Ihres an externe Stellen oder Unternehmen im Sinne einer Auftragsdatenverarbeitung?
Erläuterung:
Werden personenbezogene Daten Ihres Vereines an externe Stellen und Unternehmen übermittelt, kann es sich um eine Auftragsdatenverarbeitung handeln. Ob es sich um eine Auftragsdatenverarbeitung handelt, kann nach folgenden Kriterien bewertet werden:
- Die externe Stelle hat keine Befugnis über die überlassenen Daten zu verfügen
- Die externe Stelle nutzt nur die von Ihnen überlassenen Daten
- Der externen Stelle ist die Verwendung der überlassenen Daten über den Überlassungszweck hinaus verboten
- Die externe Stelle hat mit dem von der Datenüberlassung betroffenen Mitglieder bzw. mit dem Mitarbeiter keine vertragliche Beziehung
- Gegenüber dem von der Datenüberlassung betroffenen Mitglied bzw. mit dem Mitarbeiter sind Sie nach wie vor für die Datensicherheit verantwortlich
Beispiele für den Verein:
- Mitgliederdaten gehen von einem Verein in eine Spielgemeinschaft (SG)
- Mitgliederdaten werden an einen Dachverband übermittelt (Zwecks Spielberechtigung / Wettkampfanmeldung)
- Mitglieder- oder Personaldaten an Aktenvernichter
- Mitglieder- oder Personaldaten an Steuerberatung
- Personaldaten an Lohn- und Gehaltsbuchhaltung
- Zugriff auf Mitglieder- oder Personaldaten durch EDV-Wartung
- Zugriff auf Mitglieder- oder Personaldaten durch Software-Support
In einem solchen Fall müssen Sie den Schutz zugunsten der pbDaten Ihres Vereines durch den Abschluss von Auftragsdatenverarbeitungsverträgen (AV-Vertrag) mit den externen Stellen und Unternehmen absichern.
Überprüfen Sie, ob die Vereinbarungen zur Auftragsdatenverarbeitung, die Sie mit externen Stellen (z.B. Abrechnungsinstitute, Dachverbände, EDV-Wartung, Lohnbuchhalten etc.) abgeschlossen haben, der DSGVO entsprechen bzw., wenn Sie noch keine solche Vereinbarungen getroffen haben, sollten Sie dieses Vereinbarungen zur Auftragsdatenverarbeitung erstmals abschließen.
Schulung
Schritt 12
Werden die Abteilungsvorstände, Funktionsträger, Trainer, Übungsleiter, Helfer und Angestellte des Vereines im Zusammenhang mit dem Datenschutz ausreichend geschult (Schulung)?
Erläuterung:
Die mit der Datenverarbeitung im Verein befassten Funktionsträger müssen bezüglich der Organisationsanweisung sowie der Umsetzung des Datenschutzes geschult werden. Sofern ein Datenschutzbeauftragter bestellt und die Fachkunde erworben hat, kann dieser die Schulung im Verein intern vornehmen. Zusätzlich sind alle Funktionsträger/innen über die wesentlichen Grundlagen der Verfahrensanweisung zum Datenschutz zu informieren. Die Durchführung von Schulungen muss in regelmäßigen Abständen wiederholt und im Schulungsplan dokumentiert werden.
Wahrung der Vertraulichkeit
Schritt 13
Haben Sie “Wahrung der Vertraulichkeit” Ihrer Funktionsträger eingeholt?
Erläuterung:
Alle mit der Datenverarbeitung von personenbezogenen Daten befassten Funktionsträger und Mitarbeiter müssen über das Datengeheimnis und seine rechtliche Bedeutung informiert und darauf verpflichtet werden. Wegen des besonderen Charakters der Mitgliederdaten ist es dringend zu empfehlen, die bestehenden Verpflichtungserklärungen aufgrund der geänderten Rechtslage zu erneuern bzw. erstmals einzuholen. Die Verpflichtungserklärungen sind von Ihren Funktionsträgern und Mitarbeitern zu unterschreiben und zur Personalakte zu nehmen.
Informationsanspruch
Schritt 14
Stellen Sie die geforderten Informationen zum Datenschutz in Form von Datenschutzerklärungen den von der Datenverarbeitung betroffenen Personen zur Verfügung?
Erläuterung:
Sämtliche betroffene Personen haben einen Anspruch auf allgemeine Information zur Datenverarbeitung des Vereines. Diese Information muss vor dem Beginn der Datenverarbeitung erfolgen. Haben Sie eine Internetseite für Ihren Verein, müssen Sie auf der Internetseite ebenfalls über den Datenschutz informieren. Arbeitnehmern ist als Anlage zum Arbeitsvertrag ebenfalls eine entsprechende Information für Personal auszuhändigen.
Meldepflichten
Schritt 15
Ist Ihnen bekannt, was Sie bei einer Datenpanne beachten müssen?
Erläuterung:
Wird der Schutz personenbezogener Daten in Ihrem Verein verletzt (z.B. Datenverlust durch Cyberkriminalität, Diebstahl etc.), sind Sie zur Meldung der Datenpanne in Form einer internetbasierten Mitteilung an die für Sie zuständige Datenschutzbehörde verpflichtet. Außerdem müssen die von der Datenpanne betroffenen Mitglieder, Angestellten oder sonstigen Personen von Ihnen informiert werden. Dafür ist eine Verfahrensanweisung zum Vorgehen bei Datenschutzverstößen vorzuhalten.
Die Datenschutzbehörden stellen auf ihren jeweiligen Internetseiten hierfür Meldeformulare zur Verfügung. Wenden Sie sich dafür an Ihre zuständige Datenschutzbehörde.
Anfrage durch Datenschutzbehörde
Schritt 16
Ist in Ihrem Verein geregelt, wie auf Anfragen der zuständigen Datenschutzbehörde reagiert wird?
Erläuterung:
Für die Reaktion Ihres Vereines auf Anfragen der zuständigen Datenschutzbehörde müssen die Zuständigkeiten und der Ablauf in einem Verfahren festgelegt werden.
Datenorganisation
Schritt 17
Haben Sie die Datenorganisation in Ihrem Verein ausreichend überprüft und geeignete Maßnahmen für die Datensicherheit getroffen?
Erläuterung:
Die Datenschutzregelungen verlangen für die Datenverarbeitung von personenbezogenen Daten Sicherheitsvorkehrungen im Rahmen einer Datenorganisation, um die Rechte und Freiheiten der betroffenen Personen sicherzustellen. Bei den Schutzvorkehrungen muss der aktuelle Stand der Technik beachtet werden. Datenschutz bedeutet dabei die ständige Anpassung an veränderte Risiken durch die Datenverarbeitung und Möglichkeiten der Datensicherung.
Sie müssen für die mit der Datenverarbeitung befassten Personen Ihres Vereines eine Verfahrensanweisung vorhalten. Des Weiteren müssen Sie die Betroffenenrechte sicherstellen.
Dazu gehört auch, dass ein IT-Sicherheitsmanagement bei Verwendung von EDV-Programmen zur Datenverwaltung berücksichtigt werden muss. Bei Nutzung einer vereinseigenen EDV müssen ebenfalls Maßnahmen der Datenschutzorganisation ergriffen werden. Diese sind z.B. in einem IT-Sicherheitshandbuch gemeinsam mit Ihrer EDV-Beratung zu erstellen. Nehmen Sie für die Erstellung des IT-Sicherheitshandbuchs mit Ihrem EDV-Support Kontakt auf und nehmen Sie das Handbuch in Ihr eigenes Datenschutzhandbuch auf.
Auch sollten Sie regelmäßig Ihre Datenorganisation überprüfen und dies in einem Auditprotokoll dokumentieren.
TOMs
Schritt 18
Haben Sie Ihre im Rahmen des Datenschutzes und Datensicherheit getroffenen Maßnahmen protokolliert?
Erläuterung:
Für sämtliche im Rahmen des Datenschutzes getroffene technische und organisatorischen Maßnahmen sind unter den Namen TOM zu führen. Nutzen Sie bitte das Nachweisdokument als Inhaltsverzeichnis Ihres Datenschutzordners.
Nachweise
Schritt 19
Haben Sie Ihre im Rahmen des Datenschutzes getroffenen Maßnahmen protokolliert?
Erläuterung:
Für sämtliche im Rahmen des Datenschutzes getroffene Maßnahmen ist ein Nachweis zu führen.