So setzen Vereine die EU – Datenschutzverordnung um
Sie führen ehrenamtlich einen Verein? Sie haben nicht viel Zeit? Dennoch gilt auch für Ihren Verein: ab 25. Mai ist die EU – DSGVO anzuwenden. Um sich möglichst rechtssicher und dennoch mit leistbaren Arbeitsschritten in der Datenschutzwelt zu bewegen, hat der BDAT eine Handlungsempfehlung zusammengestellt.
1. Online – Website EU-DSGVO-gerecht anpassen
Datenschutzbestimmungen aktualisieren
Ihre Website ist das „Fenster nach draußen“, durch das die Welt auch hineinschauen kann. Und findige Abmahnvereine oder „Nicht-Wohlgesonne“ sehen ab dem 25. Mai, ob die neue Datenschutzverordnung angewendet wird. Bevor es zur Anzeige bei der zuständigen Datenschutzbehörde kommt: Erstellen Sie mit dem Administrator Ihrer Seite eine EU-DSGVO-gerechte Datenschutzerklärung für die Website. Jede Website verwendet andere Tools oder Erfassungsinstrumente, es gibt deshalb keine „allgemeine“ Datenschutzerkärung, die für alle richtig ist.
Einige Hinweise, die die neue Datenschutzerklärung – je nach Gestaltung – enthalten muss:
- Cookie-Bestätigungs-Tool für alle nicht notwendingen Cookies (z. B. Matomo, Google-Analytics, Google Maps) mit Opt-In-Funktion (Ohne aktive Bestätigung des Nutzer dürfen Dienste mit Cookies nicht geladen werden)
- Sie nutzen Social-Media-Plugins (Facebook, Instagram etc.)? Nicht ohne Hinweis in der Datenschutzerklärung!
- Hinweis auf den Umgang mit Kontaktdaten aufnehmen
- Interaktionsmöglichkeiten auf Websites in der Datenschutzerklärung Ihrer Website festhalten
- Einbinden von Youtube-Videos ohne vorherige Bestätigung des Nutzer sind nicht erlaubt. Wir empfehlen hier ein Bestätigungstool (z.B. von Borlabs) zu verwenden
Eine Mustervorlage gibt es hier (die entsprechend angepasst werden muss):
www.datenschutz.org/datenschutzerklaerung-muster.pdf
Zum Erstellen Ihrer angepassten Datenschutzerklärung können Sie kostenlose Generatoren im Internet zur Hilfe ziehen, in der Suchmaschine dafür „EU DSGVO Datenschutzerklärung Generator“ eingeben, zwei Beispiele:
www.datenschutz-generator.de/
www.activemind.de/datenschutz/datenschutzhinweis-generator/
Anmerkung: Bei „datenschutz-generator“ gilt das kostenlose Generieren nur für Privatpersonen /Kleinstunternehmen / Vereine, deren Brutto-Umsätze im vorangegangenen Kalenderjahr nicht höher als 17.500 Euro waren. Weitere Infos dazu stehen auf der verlinkten Seite.
SSL-Verschlüsselung
Wichtig ist zudem, dass die Website Verschlüsselungsverfahren anwendet (SSL) und falls sie Formulare verwendet, müssen hier ausführliche Datenschutzhinweise eingebaut werden oder aber die Formulare von der Website entfernt werden.
Cookies
Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch, dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat. Beim ersten betreten der Seite sollte der Nutzer einen Meldung bekommen, in welcher er bestätigen muss, welche Art von Cookies er zulassen möchte. Hier unterscheidet man vorallem zwischen „notwendigen Cookies“ und „Marketing Cookies“. Als „Notwendige Cookies“ bezeichnet man Cookie, welche für die Funktionalität der Seite unverzichtbar sind. Hierzu zählt z.B. das Cookie-Bestätigtungstool oder der Login in einen geschützten Bereich.
Als „Marketing Cookies“ werden vorallem Google Analytics und andere Analysetools bezeichnet. Für diese ist eine Aktivierung vom Nutzer erforderlich.
Weitere Hinweise hierzu:
www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html
Formulare
Alle Formulare, z. B. Kontaktformulare, Bestellformular, die online ausgefüllt werden, benötigen eine verpflichtende Checkbox, wo der Benutzer über den Datenschutz aufgeklärt wird und er diesen akzeptieren muss.
Newsletter
Wenn Sie einen Newsletter versenden, achten Sie darauf, dass die Anmeldungen über ein sogenanntes „Double-opt-in“-Verfahren gesendet wurden. Altbestände ggf. anschreiben, löschen und um Neuanmeldung bitten.
Das Anmeldeformular für Ihren Newsletter darf nur ein Pflichtfeld enthalten: die E-Mail-Adresse. Rechtliche Mindestvorgaben in Newsletter E-mails: Impressum, Abmeldelink, Link zur Datenschutzerklärung.
Haben Sie ein Newsletter-Anmeldeformular auf der Website, ist es ratsam unter den Button zur Newsletter-Anmeldung einen kurzen Hinweistext zu schreiben, der den Nutzer darüber aufklärt, was mit den Daten passiert und die Datenschutzerklärung verlinkt.
Haben Sie einen Vertrag zur Auftragsdatenverarbeitung mit Ihrem Dienstleister geschlossen?
Weitere Hinweise gibt es z. B. hier:
www.newsletter2go.de/whitepaper/eu-dsgvo/
Blogs
Zusätzlich zu den unter „Website“ genannten Aktualisierungen müssen Kommentarfunktionen einen Datenschutzhinweis berücksichtigen. Weitere Infos zum Thema hat eine Bloggerin z. B. hier eingestellt:
www.chris-tas-blog.de/dsgvo-betrifft-auch-blogger-datenschutzverordnung/
2. Offline – Verzeichnis über Verarbeitungstätigkeiten anlegen
Die Datenschutzverordnung sieht vor, nur wirklich absolut notwendige Daten zu verarbeiten (Prinzip der Datenknappheit). Jeder Verein muss sich die Frage stellen: Was wird wo warum gespeichert u. verarbeitet, wer hat Zugriff darauf und überlegen, ob Speicherung und Zugriff wirklich in diesem Umfang notwendig ist. Aus diesen Überlegungen heraus wird das „Verzeichnis über die Verabeitungstätigkeiten“ erstellt. Ein gut verständliches Muster stellt z.B.der Bayerische Datenschutzbeauftragte zur Verfügung:
www.lda.bayern.de/de/kleine-unternehmen.html
Auch hier gilt: der Vereins muss es nach den individuellen Gegebenheiten befüllen
3. Informationspflichten nachkommen
Durch den Beitritt eines Mitgliedes entsteht eine vertragsähnliche Beziehung, die den Verein berechtigt, Daten zu verarbeiten.
Nach §13 u. 14 EU DSGVO ist der Verein aber auf alle Fälle verpflichtet, auch die Vereinsmitglieder (bisherige unnd neue!) über erhobene Daten zu informieren. Dies geschieht in einer Datenschutzinformation/Datenschutzhinweis, die den Mitgliedern übergeben oder zugesendet wird.
Ein individuell noch anzupassendes Muster für Vereine hat der Landessportbund Nordrhein-Westfalen auf seiner Seite veröffentlicht:
www.vibss.de/vereinsmanagement/recht/datenschutz/
unter Musterschreiben – Informationspflichten nach Art. 13 u. 14 EU DSGVO
4. Daten sicher aufbewahren, Verpflichtungserklärung und prüfen: Datenschutzbeauftragter notwendig?
Was selbstverständlich klingt, muss überprüft werden: sind die Daten sicher vor dem Zugriff von außen? Welche technisch-organisatorischen Maßnahmen (kurz: TOM) ergreift der Verein, dass kein unberechtigter Zugriff erfolgt? Passwordschutz, geschützter Bereich auf einem PC, in verschlossenem Raum? Wie stellt der Verein sicher, dass nicht personenbezogene Daten auf einem Stick landen und dieser verloren geht? Diese Maßnahmen sollten auch im Verzeichnis Verarbeitungstätigkeiten (s. 2.) aufgeführt werden.
Wichtig ist, die Personen im Verein, die berechtigten Zugriff auf Daten haben, eine Vertraulichkeitserklärung unterzeichnen zu lassen.
Ein solches Musterschreiben zu „Verpflichtung zur Wahrung der Vertraulichkeit und zur Beachtung der datenschutzrechtlichen Regelungen“ findet sich auf der Seite des Sportbundes NRW.
www.vibss.de/vereinsmanagement/recht/datenschutz/
Datenschutzbeauftragter (DSB): Nicht bei allen Vereinen wird das der Fall sein, aber, bei manchen eben schon. Durch die zusätzliche nationale „Aufsattelung“ des Bundesdatenschutzgesetzes (BDSG) gilt wie im bisherigen Gesetz auch ab 25. Mai weiterhin: falls mehr als 9 Personen regelmäßig Daten verarbeiten (d.h. auch darauf Zugriff haben!), besteht die gesetzliche Pflicht, eine geeignete, fachkundige Person als Datenschutzbeauftragte*n intern zu berufen oder extern zu beauftragen. Das gilt nicht nur für Unternehmen, sondern auch für ehrenamtliche Vereine. „Regelmäßig“ muß dabei nicht täglich oder wöchentlich sein, sondern kann auch längere Intervalle bedeuten.
Weiterführende Hinweise in der Broschüre der Bundesdatenschutzbeauftragten (pdf):
www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.html
5. Einwilligung von Personen zur Datenspeicherung einholen
Ihr Verein hat einen Email- oder Postverteiler, um z.B. regelmäßig zu Vorstellungen einzuladen? Falls keine „vertragsähnliche Bindung“, also eine Mitgliedschaft im Verein vorliegt, gilt: auch hier müssen Sie dokumentieren können, dass Sie die Einwilligung der Personen besitzen, denen diese personenbezogenen Daten gehören. Lassen Sie sich die Einwilligung schriftlich bestätigen mit einem Formular, dem Sie ergänzend Datenschutzhinweise beilegen. Wie der BDAT selbst die Personen in seinen Verteilern informiert und versucht, Einwilligungen einzuholen, sehen Sie hier in zwei Entwurfsformularen:
DS_Einverständniserklärung_Informationsvermittlung
DS_BDAT_Datenschutzhinweise_Ausschreibungen Infovermittlung
6. Daten löschen – Löschkonzept
Schließlich gilt: Alle personenbezogenen Daten, für die keine vertragsähnliche Bindung wie Mitgliedschaft vorliegt, oder für die Sie von den betroffenen Personen keine Einwilligung vorliegen haben, müssen Sie löschen. Sie haben kein Recht, sie zu verarbeiten, zu speichern.
Mittel- und langfristig muss der Verein ein Löschkonzept anlegen: wann werden Daten gelöscht – wenn Mitglieder ausgetreten sind? Datenschutzgrundsätze müssen außerdem in einer Datenschutzordnung des Vereins niedergelegt werden.
Hierzu informieren wir noch.
Hinweise:
Dokumentieren Sie Ihre Datenschutzaktivitäten. Sie sind verpflichtet nachzuweisen, dass Sie die Daten rechtmäßig verarbeiten.
Musterformulare können die Arbeit erleichtern. In jedem Fall müssen Vereine sie aber an ihre eigenen Gegebenheiten anpassen.
Bitte beachten Sie: Dies ist eine Handlungsempfehlung mit Stand vom 15.05.2018 und stellt keine Rechtsberatung dar. Der BDAT übernimmt keine juristische Gewähr für die Richtigkeit oder Vollständigkeit der Angaben und der Links.
Neue Umsetzungsauslegungen der EU DSGVO könnte es auch in der Zukunft geben. Bitte informieren Sie sich auch bei den Datenschutzbeauftragten Ihres Bundeslandes:
www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
Auch unsere Mitgliedsverbände im BDAT informieren auf ihren Websites über die neuen Regelungen:
www.bdat.info/der-verband/mitglieder/mitgliedsverbaende/
Stand: 15. Mai 2018 / letze Aktualisierung: 25.5.2018
Diesen Gesamttext können Sie hier auch als pdf-Dokument herunterladen:
