Aktuelle Nachricht

EU-DSGVO – Pra­xis­tipps für Ver­ei­ne

//16. Mai 2018

So set­zen Ver­ei­ne die EU – Daten­schutz­ver­ord­nung um

Sie füh­ren ehren­amt­li­ch einen Ver­ein? Sie haben nicht viel Zeit? Den­no­ch gilt auch für Ihren Ver­ein: ab 25. Mai ist die EU – DSGVO anzu­wen­den. Um sich mög­lichst rechts­si­cher und den­no­ch mit leist­ba­ren Arbeits­schrit­ten in der Daten­schutz­welt zu bewe­gen, hat der BDAT eine Hand­lungs­emp­feh­lung zusam­men­ge­stellt.

1. Online – Web­site EU-DSGVO-gerecht anpas­sen

Daten­schutz­be­stim­mun­gen aktua­li­sie­ren
Ihre Web­site ist das „Fens­ter nach drau­ßen“, durch das die Welt auch hin­ein­schau­en kann. Und fin­di­ge Abmahn­ver­ei­ne oder „Nicht-Wohlgesonne“ sehen ab dem 25. Mai, ob die neue Daten­schutz­ver­ord­nung ange­wen­det wird. Bevor es zur Anzei­ge bei der zustän­di­gen Daten­schutz­be­hör­de kommt: Erstel­len Sie mit dem Admi­nis­tra­tor Ihrer Seite eine EU-DSGVO-gerechte Daten­schutz­er­klä­rung für die Web­site. Jede Web­site ver­wen­det ande­re Tools oder Erfas­sungs­in­stru­men­te, es gibt des­halb keine „all­ge­mei­ne“ Daten­schutz­er­kä­rung, die für alle rich­tig ist.
Eini­ge Hin­wei­se, die die neue Daten­schutz­er­klä­rung – je nach Gestal­tung – ent­hal­ten muss:

• Hin­weis auf Analyse- und Sta­tis­tik­an­wen­dun­gen (z. B. Piwik oder Google-Analytics) mit optio­na­lem Opt-Out (Anklick­mög­lich­keit, dass der Besu­cher nicht erfasst wer­den möch­te)
• Sie nut­zen Social-Media-Plugins (Face­book, Ins­ta­gram etc.)? Nicht ohne Hin­weis in der Daten­schutz­er­klä­rung!
• Hin­weis auf den Umgang mit Kon­takt­da­ten auf­neh­men
• Inter­ak­ti­ons­mög­lich­kei­ten auf Web­sites in der Daten­schutz­er­klä­rung Ihrer Web­site fest­hal­ten

Eine Mus­ter­vor­la­ge gibt es hier (die ent­spre­chend ange­passt wer­den muss):
https://www.datenschutz.org/datenschutzerklaerung-muster.pdf

Zum Erstel­len Ihrer ange­pass­ten Daten­schutz­er­klä­rung kön­nen Sie kos­ten­lo­se Gene­ra­to­ren im Inter­net zur Hilfe zie­hen, in der Such­ma­schine dafür „EU DSGVO Daten­schutz­er­klä­rung Gene­ra­tor“ ein­ge­ben, zwei Bei­spie­le:
https://datenschutz-generator.de/
https://www.activemind.de/datenschutz/datenschutzhinweis-generator/

Anmer­kung: Bei „datenschutz-generator“ gilt das kos­ten­lo­se Gene­rie­ren nur für Pri­vat­per­so­nen /Kleinstunternehmen / Ver­ei­ne, deren Brutto-Umsätze im vor­an­ge­gan­ge­nen Kalen­der­jahr nicht höher als 17.500 Euro waren. Wei­te­re Infos dazu ste­hen auf der ver­link­ten Seite.

 SSL-Verschlüsselung
Wich­tig ist zudem, dass die Web­site Ver­schlüs­se­lungs­ver­fah­ren anwen­det (SSL) und falls sie For­mu­la­re ver­wen­det, müs­sen hier aus­führ­li­che Daten­schutz­hin­wei­se ein­ge­baut wer­den oder aber die For­mu­la­re von der Web­site ent­fernt wer­den.

Coo­kies
Fast alle Web­sei­ten ver­wen­den Coo­kies. Diese sind dazu da, Nut­zer wie­der­zu­er­ken­nen und ihnen das Sur­fen auf einer Web­site zu erleich­tern, etwa dadurch, dass der Nut­zer seine Zugangs­da­ten nicht bei jedem Besu­ch neu ein­ge­ben muss oder erkannt wird, was der Nut­zer bereits gekauft hat. Sie soll­ten den Nut­zer beim ers­ten Sei­ten­auf­ruf über das Ver­wen­den von Coo­kies und sein Wider­spruchs­recht (Coo­kie Ban­ner) infor­mie­ren.
Wei­te­re Hin­wei­se hier­zu:
https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

For­mu­la­re
Alle For­mu­la­re, z. B. Kon­takt­for­mu­la­rE, Bestell­for­mu­lar, die online aus­ge­füllt wer­den, benö­ti­gen eine ver­pflich­ten­de Check­box, wo der Benut­zer über den Daten­schutz auf­ge­klärt wird und er die­sen akzep­tie­ren muss.

News­let­ter
Wenn Sie einen News­let­ter ver­sen­den, ach­ten Sie dar­auf, dass die Anmel­dun­gen über ein soge­nann­tes „Double-opt-in“-Verfahren gesen­det wur­den. Alt­be­stän­de ggf. anschrei­ben, löschen und um Neu­an­mel­dung bit­ten.
Das Anmel­de­for­mu­lar für Ihren News­let­ter darf nur ein Pflicht­feld ent­hal­ten: die E-Mail-Adresse. Recht­li­che Min­dest­vor­ga­ben in News­let­ter E-mails: Impres­sum, Abmel­de­link, Link zur Daten­schutz­er­klä­rung.

Haben Sie ein Newsletter-Anmeldeformular auf der Web­site, ist es rat­sam unter den But­ton zur Newsletter-Anmeldung einen kur­zen Hin­weistext zu schrei­ben, der den Nut­zer dar­über auf­klärt, was mit den Daten pas­siert und die Daten­schutz­er­klä­rung ver­linkt.

Haben Sie einen Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung mit Ihrem Dienst­leis­ter geschlos­sen?
Wei­te­re Hin­wei­se gibt es z. B. hier:
https://www.newsletter2go.de/whitepaper/eu-dsgvo/

Blogs
Zusätz­li­ch zu den unter „Web­site“ genann­ten Aktua­li­sie­run­gen müs­sen Kom­men­tar­funk­tio­nen einen Daten­schutz­hin­weis berück­sich­ti­gen. Wei­te­re Infos zum Thema hat eine Blog­ge­rin z. B. hier ein­ge­stellt:
https://chris-tas-blog.de/dsgvo-betrifft-auch-blogger-datenschutzverordnung/

2. Off­line – Ver­zeich­nis über Ver­ar­bei­tungs­tä­tig­kei­ten anle­gen

Die Daten­schutz­ver­ord­nung sieht vor, nur wirk­li­ch abso­lut not­wen­di­ge Daten zu ver­ar­bei­ten (Prin­zip der Daten­knapp­heit). Jeder Ver­ein muss sich die Frage stel­len: Was wird wo warum gespei­chert u. ver­ar­bei­tet, wer hat Zugriff dar­auf und über­le­gen, ob Spei­che­rung und Zugriff wirk­li­ch in die­sem Umfang not­wen­dig ist. Aus die­sen Über­le­gun­gen her­aus wird das „Ver­zeich­nis über die Ver­abei­tungs­tä­tig­kei­ten“ erstellt. Ein gut ver­ständ­li­ches Mus­ter stellt z.B.der Baye­ri­sche Daten­schutz­be­auf­trag­te zur Ver­fü­gung:
https://www.lda.bayern.de/de/kleine-unternehmen.html
Auch hier gilt: der Ver­eins muss es nach den indi­vi­du­el­len Gege­ben­hei­ten befül­len

3. Infor­ma­ti­ons­pflich­ten nach­kom­men

Durch den Bei­tritt eines Mit­glie­des ent­steht eine ver­trags­ähn­li­che Bezie­hung, die den Ver­ein berech­tigt, Daten zu ver­ar­bei­ten.
Nach §13 u. 14 EU DSGVO ist der Ver­ein aber auf alle Fälle ver­pflich­tet, auch die Ver­eins­mit­glie­der (bis­he­ri­ge unnd neue!) über erho­be­ne Daten zu infor­mie­ren. Dies geschieht in einer Datenschutzinformation/Datenschutzhinweis, die den Mit­glie­dern über­ge­ben oder zuge­sen­det wird.
Ein indi­vi­du­ell noch anzu­pas­sen­des Mus­ter für Ver­ei­ne hat der Lan­des­sport­bund Nordrhein-Westfalen auf sei­ner Seite ver­öf­fent­licht:
http://www.vibss.de/vereinsmanagement/recht/datenschutz/
unter Mus­ter­schrei­ben – Infor­ma­ti­ons­pflich­ten nach Art. 13 u. 14 EU DSGVO

4. Daten sicher auf­be­wah­ren, Ver­pflich­tungs­er­klä­rung und prü­fen: Daten­schutz­be­auf­trag­ter not­wen­dig?

Was selbst­ver­ständ­li­ch klingt, muss über­prüft wer­den: sind die Daten sicher vor dem Zugriff von außen? Wel­che technisch-organisatorischen Maß­nah­men (kurz: TOM) ergreift der Ver­ein, dass kein unbe­rech­tig­ter Zugriff erfolgt? Pass­word­schutz, geschütz­ter Bereich auf einem PC, in ver­schlos­se­nem Raum? Wie stellt der Ver­ein sicher, dass nicht per­so­nen­be­zo­ge­ne Daten auf einem Stick lan­den und die­ser ver­lo­ren geht? Diese Maß­nah­men soll­ten auch im Ver­zeich­nis Ver­ar­bei­tungs­tä­tig­kei­ten (s. 2.) auf­ge­führt wer­den.

Wich­tig ist, die Per­so­nen im Ver­ein, die berech­tig­ten Zugriff auf Daten haben, eine Ver­trau­lich­keits­er­klä­rung unter­zeich­nen zu las­sen.
Ein sol­ches Mus­ter­schrei­ben zu „Ver­pflich­tung zur Wah­rung der Ver­trau­lich­keit und zur Beach­tung der daten­schutz­recht­li­chen Rege­lun­gen“ fin­det sich auf der Seite des Sport­bun­des NRW.
http://www.vibss.de/vereinsmanagement/recht/datenschutz/

Daten­schutz­be­auf­trag­ter (DSB): Nicht bei allen Ver­ei­nen wird das der Fall sein, aber, bei man­chen eben schon. Durch die zusätz­li­che natio­na­le „Auf­sat­te­lung“ des Bun­des­da­ten­schutz­ge­set­zes (BDSG) gilt wie im bis­he­ri­gen Gesetz auch ab 25. Mai wei­ter­hin: falls mehr als 9 Per­so­nen regel­mä­ßig Daten ver­ar­bei­ten (d.h. auch dar­auf Zugriff haben!), besteht die gesetz­li­che Pflicht, eine geeig­ne­te, fach­kun­di­ge Per­son als Datenschutzbeauftragte*n intern zu beru­fen oder extern zu beauf­tra­gen. Das gilt nicht nur für Unter­neh­men, son­dern auch für ehren­amt­li­che Ver­ei­ne. „Regel­mä­ßig“ muß dabei nicht täg­li­ch oder wöchent­li­ch sein, son­dern kann auch län­ge­re Inter­val­le bedeu­ten.
Wei­ter­füh­ren­de Hin­wei­se in der Bro­schü­re der Bun­des­da­ten­schutz­be­auf­trag­ten (pdf):
https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.html

5. Ein­wil­li­gung von Per­so­nen zur Daten­spei­che­rung ein­ho­len
Ihr Ver­ein hat einen Email- oder Post­ver­tei­ler, um z.B. regel­mä­ßig zu Vor­stel­lun­gen ein­zu­la­den? Falls keine „ver­trags­ähn­li­che Bin­dung“, also eine Mit­glied­schaft im Ver­ein vor­liegt, gilt: auch hier müs­sen Sie doku­men­tie­ren kön­nen, dass Sie die Ein­wil­li­gung der Per­so­nen besit­zen, denen diese per­so­nen­be­zo­ge­nen Daten gehö­ren. Las­sen Sie sich die Ein­wil­li­gung schrift­li­ch bestä­ti­gen mit einem For­mu­lar, dem Sie ergän­zend Daten­schutz­hin­wei­se bei­le­gen. Wie der BDAT selbst die Per­so­nen in sei­nen Ver­tei­lern infor­miert und ver­sucht, Ein­wil­li­gun­gen ein­zu­ho­len, sehen Sie hier in zwei Ent­wurfs­for­mu­la­ren:
DS_Einverständniserklärung_Informationsvermittlung
DS_BDAT_Datenschutzhinweise_Ausschreibungen Info­ver­mitt­lung

6. Daten löschen – Lösch­kon­zept
Schließ­li­ch gilt: Alle per­so­nen­be­zo­ge­nen Daten, für die keine ver­trags­ähn­li­che Bin­dung wie Mit­glied­schaft vor­liegt, oder für die Sie von den betrof­fe­nen Per­so­nen keine Ein­wil­li­gung vor­lie­gen haben, müs­sen Sie löschen. Sie haben kein Recht, sie zu ver­ar­bei­ten, zu spei­chern.
Mittel- und lang­fris­tig muss der Ver­ein ein Lösch­kon­zept anle­gen: wann wer­den Daten gelöscht – wenn Mit­glie­der aus­ge­tre­ten sind? Daten­schutz­grund­sät­ze müs­sen außer­dem in einer Daten­schutz­ord­nung des Ver­eins nie­der­ge­legt wer­den.
Hier­zu infor­mie­ren wir noch.

Hin­wei­se:
Doku­men­tie­ren Sie Ihre Daten­schutz­ak­ti­vi­tä­ten. Sie sind ver­pflich­tet nach­zu­wei­sen, dass Sie die Daten recht­mä­ßig ver­ar­bei­ten.
Mus­ter­for­mu­la­re kön­nen die Arbeit erleich­tern. In jedem Fall müs­sen Ver­ei­ne sie aber an ihre eige­nen Gege­ben­hei­ten anpas­sen.
Bitte beach­ten Sie: Dies ist eine Hand­lungs­emp­feh­lung mit Stand vom 15.05.2018 und stellt keine Rechts­be­ra­tung dar. Der BDAT über­nimmt keine juris­ti­sche Gewähr für die Rich­tig­keit oder Voll­stän­dig­keit der Anga­ben und der Links.
Neue Umset­zungs­aus­le­gun­gen der EU DSGVO könn­te es auch in der Zukunft geben. Bitte infor­mie­ren Sie sich auch bei den Daten­schutz­be­auf­trag­ten Ihres Bun­des­lan­des:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
Auch unse­re Mit­glieds­ver­bän­de im BDAT infor­mie­ren auf ihren Web­sites über die neuen Rege­lun­gen:
https://bdat.info/der-verband/mitglieder/mitgliedsverbaende/

Stand: 15. Mai 2018 / letze Aktua­li­sie­rung: 25.5.2018

Die­sen Gesamt­text kön­nen Sie hier auch als pdf-Dokument her­un­ter­la­den:

down­load pdf // Praxistipps BDAT EU-DSGVO Vereine