Daten­schutz: EU DSGVO

Pra­xis­tipps für Vereine

So set­zen Ver­ei­ne die EU – Daten­schutz­ver­ord­nung um

Sie füh­ren ehren­amt­lich einen Ver­ein? Sie haben nicht viel Zeit? Den­noch gilt auch für Ihren Ver­ein: ab 25. Mai ist die EU – DSGVO anzu­wen­den. Um sich mög­lichst rechts­si­cher und den­noch mit leist­ba­ren Arbeits­schrit­ten in der Daten­schutz­welt zu bewe­gen, hat der BDAT eine Hand­lungs­emp­feh­lung zusammengestellt.

1. Online – Web­site EU-DSGVO-gerecht anpassen
Daten­schutz­be­stim­mun­gen aktualisieren
Ihre Web­site ist das „Fens­ter nach drau­ßen“, durch das die Welt auch hin­ein­schau­en kann. Und fin­di­ge Abmahn­ver­ei­ne oder „Nicht-Wohlgesonne“ sehen ab dem 25. Mai, ob die neue Daten­schutz­ver­ord­nung ange­wen­det wird. Bevor es zur Anzei­ge bei der zustän­di­gen Daten­schutz­be­hör­de kommt: Erstel­len Sie mit dem Admi­nis­tra­tor Ihrer Seite eine EU-DSGVO-gerechte Daten­schutz­er­klä­rung für die Web­site. Jede Web­site ver­wen­det ande­re Tools oder Erfas­sungs­in­stru­men­te, es gibt des­halb keine „all­ge­mei­ne“ Daten­schutz­er­kä­rung, die für alle rich­tig ist.

Eini­ge Hin­wei­se, die die neue Daten­schutz­er­klä­rung – je nach Gestal­tung – ent­hal­ten muss:

  • Cookie-Bestätigungs-Tool für alle nicht not­wen­din­gen Coo­kies (z. B. Mato­mo, Google-Analytics, Goog­le Maps) mit Opt-In-Funktion (Ohne akti­ve Bestä­ti­gung des Nut­zer dür­fen Diens­te mit Coo­kies nicht gela­den werden)
  • Sie nut­zen Social-Media-Plugins (Face­book, Insta­gram etc.)? Nicht ohne Hin­weis in der Datenschutzerklärung!
  • Hin­weis auf den Umgang mit Kon­takt­da­ten aufnehmen
  • Inter­ak­ti­ons­mög­lich­kei­ten auf Web­sites in der Daten­schutz­er­klä­rung Ihrer Web­site festhalten
  • Ein­bin­den von Youtube-Videos ohne vor­he­ri­ge Bestä­ti­gung des Nut­zer sind nicht erlaubt. Wir emp­feh­len hier ein Bestä­ti­gungs­tool (z.B. von Borlabs) zu verwenden

 

Eine Mus­ter­vor­la­ge gibt es hier (die ent­spre­chend ange­passt wer­den muss):
www.datenschutz.org/datenschutzerklaerung-muster.pdf

Zum Erstel­len Ihrer ange­pass­ten Daten­schutz­er­klä­rung kön­nen Sie kos­ten­lo­se Gene­ra­to­ren im Inter­net zur Hilfe zie­hen, in der Such­ma­schi­ne dafür „EU DSGVO Daten­schutz­er­klä­rung Gene­ra­tor“ ein­ge­ben, zwei Beispiele:
www.datenschutz-generator.de/
www.activemind.de/datenschutz/datenschutzhinweis-generator/

Anmer­kung: Bei „datenschutz-generator“ gilt das kos­ten­lo­se Gene­rie­ren nur für Pri­vat­per­so­nen /Kleinstunternehmen / Ver­ei­ne, deren Brutto-Umsätze im vor­an­ge­gan­ge­nen Kalen­der­jahr nicht höher als 17.500 Euro waren. Wei­te­re Infos dazu ste­hen auf der ver­link­ten Seite.

 SSL-Verschlüsselung
Wich­tig ist zudem, dass die Web­site Ver­schlüs­se­lungs­ver­fah­ren anwen­det (SSL) und falls sie For­mu­la­re ver­wen­det, müs­sen hier aus­führ­li­che Daten­schutz­hin­wei­se ein­ge­baut wer­den oder aber die For­mu­la­re von der Web­site ent­fernt werden.

Coo­kies
Fast alle Web­sei­ten ver­wen­den Coo­kies. Diese sind dazu da, Nut­zer wie­der­zu­er­ken­nen und ihnen das Sur­fen auf einer Web­site zu erleich­tern, etwa dadurch, dass der Nut­zer seine Zugangs­da­ten nicht bei jedem Besuch neu ein­ge­ben muss oder erkannt wird, was der Nut­zer bereits gekauft hat. Beim ers­ten betre­ten der Seite soll­te der Nut­zer einen Mel­dung bekom­men, in wel­cher er bestä­ti­gen muss, wel­che Art von Coo­kies er zulas­sen möch­te. Hier unter­schei­det man vor­al­lem zwi­schen „not­wen­di­gen Coo­kies“ und „Mar­ke­ting Coo­kies“. Als „Not­wen­di­ge Coo­kies“ bezeich­net man Coo­kie, wel­che für die Funk­tio­na­li­tät der Seite unver­zicht­bar sind. Hier­zu zählt z.B. das Cookie-Bestätigtungstool oder der Login in einen geschütz­ten Bereich.
Als „Mar­ke­ting Coo­kies“ wer­den vor­al­lem Goog­le Ana­ly­tics und ande­re Ana­ly­se­tools bezeich­net. Für diese ist eine Akti­vie­rung vom Nut­zer erforderlich.
Wei­te­re Hin­wei­se hierzu:
www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

For­mu­la­re
Alle For­mu­la­re, z. B. Kon­takt­for­mu­la­re, Bestell­for­mu­lar, die online aus­ge­füllt wer­den, benö­ti­gen eine ver­pflich­ten­de Check­box, wo der Benut­zer über den Daten­schutz auf­ge­klärt wird und er die­sen akzep­tie­ren muss.

News­let­ter
Wenn Sie einen News­let­ter ver­sen­den, ach­ten Sie dar­auf, dass die Anmel­dun­gen über ein soge­nann­tes „Double-opt-in“-Verfahren gesen­det wur­den. Alt­be­stän­de ggf. anschrei­ben, löschen und um Neu­an­mel­dung bitten.
Das Anmel­de­for­mu­lar für Ihren News­let­ter darf nur ein Pflicht­feld ent­hal­ten: die E-Mail-Adresse. Recht­li­che Min­dest­vor­ga­ben in News­let­ter E-mails: Impres­sum, Abmel­de­link, Link zur Datenschutzerklärung.

Haben Sie ein Newsletter-Anmeldeformular auf der Web­site, ist es rat­sam unter den But­ton zur Newsletter-Anmeldung einen kur­zen Hin­weis­text zu schrei­ben, der den Nut­zer dar­über auf­klärt, was mit den Daten pas­siert und die Daten­schutz­er­klä­rung verlinkt.

Haben Sie einen Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung mit Ihrem Dienst­leis­ter geschlossen?
Wei­te­re Hin­wei­se gibt es z. B. hier:
www.newsletter2go.de/whitepaper/eu-dsgvo/

Blogs
Zusätz­lich zu den unter „Web­site“ genann­ten Aktua­li­sie­run­gen müs­sen Kom­men­tar­funk­tio­nen einen Daten­schutz­hin­weis berück­sich­ti­gen. Wei­te­re Infos zum Thema hat eine Blog­ge­rin z. B. hier eingestellt:
www.chris-tas-blog.de/dsgvo-betrifft-auch-blogger-datenschutzverordnung/

2. Off­line – Ver­zeich­nis über Ver­ar­bei­tungs­tä­tig­kei­ten anlegen
Die Daten­schutz­ver­ord­nung sieht vor, nur wirk­lich abso­lut not­wen­di­ge Daten zu ver­ar­bei­ten (Prin­zip der Daten­knapp­heit). Jeder Ver­ein muss sich die Frage stel­len: Was wird wo warum gespei­chert u. ver­ar­bei­tet, wer hat Zugriff dar­auf und über­le­gen, ob Spei­che­rung und Zugriff wirk­lich in die­sem Umfang not­wen­dig ist. Aus die­sen Über­le­gun­gen her­aus wird das „Ver­zeich­nis über die Ver­ab­ei­tungs­tä­tig­kei­ten“ erstellt. Ein gut ver­ständ­li­ches Mus­ter stellt z.B.der Baye­ri­sche Daten­schutz­be­auf­trag­te zur Verfügung:
www.lda.bayern.de/de/kleine-unternehmen.html
Auch hier gilt: der Ver­eins muss es nach den indi­vi­du­el­len Gege­ben­hei­ten befüllen

3. Infor­ma­ti­ons­pflich­ten nachkommen
Durch den Bei­tritt eines Mit­glie­des ent­steht eine ver­trags­ähn­li­che Bezie­hung, die den Ver­ein berech­tigt, Daten zu verarbeiten.
Nach §13 u. 14 EU DSGVO ist der Ver­ein aber auf alle Fälle ver­pflich­tet, auch die Ver­eins­mit­glie­der (bis­he­ri­ge unnd neue!) über erho­be­ne Daten zu infor­mie­ren. Dies geschieht in einer Datenschutzinformation/Datenschutzhinweis, die den Mit­glie­dern über­ge­ben oder zuge­sen­det wird.
Ein indi­vi­du­ell noch anzu­pas­sen­des Mus­ter für Ver­ei­ne hat der Lan­des­sport­bund Nordrhein-Westfalen auf sei­ner Seite veröffentlicht:
www.vibss.de/vereinsmanagement/recht/datenschutz/
unter Mus­ter­schrei­ben – Infor­ma­ti­ons­pflich­ten nach Art. 13 u. 14 EU DSGVO

4. Daten sicher auf­be­wah­ren, Ver­pflich­tungs­er­klä­rung und prü­fen: Daten­schutz­be­auf­trag­ter notwendig?
Was selbst­ver­ständ­lich klingt, muss über­prüft wer­den: sind die Daten sicher vor dem Zugriff von außen? Wel­che technisch-organisatorischen Maß­nah­men (kurz: TOM) ergreift der Ver­ein, dass kein unbe­rech­tig­ter Zugriff erfolgt? Pass­word­schutz, geschütz­ter Bereich auf einem PC, in ver­schlos­se­nem Raum? Wie stellt der Ver­ein sicher, dass nicht per­so­nen­be­zo­ge­ne Daten auf einem Stick lan­den und die­ser ver­lo­ren geht? Diese Maß­nah­men soll­ten auch im Ver­zeich­nis Ver­ar­bei­tungs­tä­tig­kei­ten (s. 2.) auf­ge­führt werden.

Wich­tig ist, die Per­so­nen im Ver­ein, die berech­tig­ten Zugriff auf Daten haben, eine Ver­trau­lich­keits­er­klä­rung unter­zeich­nen zu lassen.
Ein sol­ches Mus­ter­schrei­ben zu „Ver­pflich­tung zur Wah­rung der Ver­trau­lich­keit und zur Beach­tung der daten­schutz­recht­li­chen Rege­lun­gen“ fin­det sich auf der Seite des Sport­bun­des NRW.
www.vibss.de/vereinsmanagement/recht/datenschutz/

Daten­schutz­be­auf­trag­ter (DSB): Nicht bei allen Ver­ei­nen wird das der Fall sein, aber, bei man­chen eben schon. Durch die zusätz­li­che natio­na­le „Auf­sat­te­lung“ des Bun­des­da­ten­schutz­ge­set­zes (BDSG) gilt wie im bis­he­ri­gen Gesetz auch ab 25. Mai wei­ter­hin: falls mehr als 9 Per­so­nen regel­mä­ßig Daten ver­ar­bei­ten (d.h. auch dar­auf Zugriff haben!), besteht die gesetz­li­che Pflicht, eine geeig­ne­te, fach­kun­di­ge Per­son als Datenschutzbeauftragte*n intern zu beru­fen oder extern zu beauf­tra­gen. Das gilt nicht nur für Unter­neh­men, son­dern auch für ehren­amt­li­che Ver­ei­ne. „Regel­mä­ßig“ muß dabei nicht täg­lich oder wöchent­lich sein, son­dern kann auch län­ge­re Inter­val­le bedeuten.
Wei­ter­füh­ren­de Hin­wei­se in der Bro­schü­re der Bun­des­da­ten­schutz­be­auf­trag­ten (pdf):
www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.html

5. Ein­wil­li­gung von Per­so­nen zur Daten­spei­che­rung einholen
Ihr Ver­ein hat einen Email- oder Post­ver­tei­ler, um z.B. regel­mä­ßig zu Vor­stel­lun­gen ein­zu­la­den? Falls keine „ver­trags­ähn­li­che Bin­dung“, also eine Mit­glied­schaft im Ver­ein vor­liegt, gilt: auch hier müs­sen Sie doku­men­tie­ren kön­nen, dass Sie die Ein­wil­li­gung der Per­so­nen besit­zen, denen diese per­so­nen­be­zo­ge­nen Daten gehö­ren. Las­sen Sie sich die Ein­wil­li­gung schrift­lich bestä­ti­gen mit einem For­mu­lar, dem Sie ergän­zend Daten­schutz­hin­wei­se bei­le­gen. Wie der BDAT selbst die Per­so­nen in sei­nen Ver­tei­lern infor­miert und ver­sucht, Ein­wil­li­gun­gen ein­zu­ho­len, sehen Sie hier in zwei Entwurfsformularen:
DS_Einverständniserklärung_Informationsvermittlung
DS_BDAT_Datenschutzhinweise_Ausschreibungen Info­ver­mitt­lung

6. Daten löschen – Löschkonzept
Schließ­lich gilt: Alle per­so­nen­be­zo­ge­nen Daten, für die keine ver­trags­ähn­li­che Bin­dung wie Mit­glied­schaft vor­liegt, oder für die Sie von den betrof­fe­nen Per­so­nen keine Ein­wil­li­gung vor­lie­gen haben, müs­sen Sie löschen. Sie haben kein Recht, sie zu ver­ar­bei­ten, zu speichern.
Mittel- und lang­fris­tig muss der Ver­ein ein Lösch­kon­zept anle­gen: wann wer­den Daten gelöscht – wenn Mit­glie­der aus­ge­tre­ten sind? Daten­schutz­grund­sät­ze müs­sen außer­dem in einer Daten­schutz­ord­nung des Ver­eins nie­der­ge­legt werden.
Hier­zu infor­mie­ren wir noch.

Hin­wei­se:
Doku­men­tie­ren Sie Ihre Daten­schutz­ak­ti­vi­tä­ten. Sie sind ver­pflich­tet nach­zu­wei­sen, dass Sie die Daten recht­mä­ßig verarbeiten.
Mus­ter­for­mu­la­re kön­nen die Arbeit erleich­tern. In jedem Fall müs­sen Ver­ei­ne sie aber an ihre eige­nen Gege­ben­hei­ten anpassen.
Bitte beach­ten Sie: Dies ist eine Hand­lungs­emp­feh­lung mit Stand vom 15.05.2018 und stellt keine Rechts­be­ra­tung dar. Der BDAT über­nimmt keine juris­ti­sche Gewähr für die Rich­tig­keit oder Voll­stän­dig­keit der Anga­ben und der Links.
Neue Umset­zungs­aus­le­gun­gen der EU DSGVO könn­te es auch in der Zukunft geben. Bitte infor­mie­ren Sie sich auch bei den Daten­schutz­be­auf­trag­ten Ihres Bundeslandes:
www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
Auch unse­re Mit­glieds­ver­bän­de im BDAT infor­mie­ren auf ihren Web­sites über die neuen Regelungen:
www.bdat.info/der-verband/mitglieder/mitgliedsverbaende/

Stand: 15. Mai 2018 / letze Aktua­li­sie­rung: 25.5.2018

Die­sen Gesamt­text kön­nen Sie hier auch als pdf-Dokument herunterladen:

download pdf  // Praxistipps BDAT EU-DSGVO Vereine