- Kontaktieren Sie uns
- +43 (0) 660 14 14 155
Die DSGVO und ihre Auswirkungen auf den schulischen Alltag
26. September 2018
Die europäische Datenschutzgrundverordnung (DSGVO) legt für Vereine die gleichen Maßstäbe an wie für Unternehmen. Wir erklären die wichtigsten Punkte, die Vereine jetzt beachten müssen.
Auch gemeinnützige Vereine sind von dem neuen europäischen Datenschutzgesetz betroffen. Wer Daten über seine Mitglieder speichert, eine Vereins-Homepage betreibt oder das Vereinsleben für die Öffentlichkeit dokumentiert, muss dabei neue Regeln kennen.
Neue Informations- und Auskunftspflichten
Transparenz wird in der DSGVO groß geschrieben. Auf die Vereine kommen deshalb genau wie für die Unternehmen erweiterte Informations- und Auskunftspflichten zu. Das bedeutet: Der Verein muss ganz genau auflisten, welche Daten er speichert und was er damit vorhat. Die Datenverarbeitung ist an die vorher festgelegten Zwecke gebunden. Für alles, was darüber hinaus geht, muss die Einwilligung des Betroffenen eingeholt werden. Das soll verhindern, dass Mitglieder eine "böse Überraschung" erleben, weil ihre Daten für Dinge genutzt wurden, von denen sie nichts wussten.
Sollen die Daten an Dritte weitergegeben werden, zum Beispiel an einen Dachverband, Sponsoren oder eine Versicherung, muss auch das offen gelegt werden. Besondere Regeln gelten, wenn die Daten ins Ausland übermittelt werden.
Vereinssatzung und Datenschutzerklärungen überarbeiten:
Vereine, die eine Homepage betreiben, sollten aufgrund der oben genannten Informationspflichten unbedingt ihre Datenschutzhinweise und das Impressum der Webseite anpassen. Hier gelten die gleichen Vorgaben wie für Blogs und Webseiten. Auf der Webseite ist immer auch der Verantwortlicher und eventuell der Datenschutzbeauftragte zu nennen.
Die Vereinssatzung ist quasi der "Vertrag", den der Verein mit seinen Mitgliedern abschließt. Darin werden unter anderem die Ziele des Vereins festgelegt. Zu Erfüllung dieser Ziele werden bestimmte Daten benötigt, zum Beispiel die Kontaktdaten der Mitglieder. Die Datenverarbeitung hat also ihre Berechtigung.
Der Verein muss sich aber auch darauf festlegen, wie er mit den Daten umgehen will. Dazu gibt er sich eine schriftliche "Datenschutzordnung". Diese kann auch Teil der Vereinssatzung sein und wird von der Mitgliederversammlung beschlossen.
In der Datenschutzordnung wird der ganze Weg der Daten von der Erhebung über die Speicherung und Nutzung bis zur Löschung festgehalten. Mit diesen Regeln, die sich der Verein selbst gibt, konkretisiert er die Grundsätze der DSGVO in seiner eigenen Vereinspraxis. So wissen auch die Mitarbeiter und Mitglieder immer, was zu tun ist.
Verzeichnis für Verarbeitungstätigkeiten anlegen und pflegen
Die DSGVO schreibt vor, dass der Verein jede Datenverarbeitung dokumentiert. Dazu wird eine Tabelle angelegt, in dem alle Verarbeitungstätigkeiten notiert werden. Das Begleichen einer Rechnung gilt ebenso als Datenverarbeitung wie die Veröffentlichung von Fotos auf der Vereinsseite. In dem Verzeichnis werden alle für den Datenschutz relevanten Informationen vermerkt, etwa, mit welcher Begründung die Daten gespeichert werden und für wie lange.
Die Dokumentation bedeutet natürlich einen zusätzlichen Verwaltungsaufwand. Doch im Fall einer Überprüfung, muss der Verein belegen können, dass er alles richtig gemacht hat.
Einwilligung für Fotos und Vereinsberichte einholen
Viele Vereine geben auf ihren Webseiten oder in Gemeindeblättern Einblicke in ihr Vereinsleben. Sie veröffentlichen beispielsweise die Ergebnisse von Wettbewerben oder Fotos von ihren Veranstaltungen im Internet. So etwas muss mit den Mitgliedern vorher abgestimmt sein – und der Verein muss jederzeit nachweisen können, dass er das Einverständnis der Betroffenen hat. Wer auf Nummer sicher gehen will, holt sich eine schriftliche Einverständniserklärung ab.
Natürlich kann der Betroffene seine Einwilligung jederzeit widerrufen. Dann müssen die ihn betreffenden Beiträge gelöscht werden, so will es das "Recht auf Vergessen werden". Der Verein muss seine Mitglieder über dieses Recht aufklären.
Datenschutzbeauftragten ernennen
Diese Person muss mit den Gesetzen und den vereinsinternen Richtlinien vertraut sein und dient als Ansprechpartner für die Behörden und Betroffene. Um Interessenskonflikte zu vermeiden, sollte der Datenschutzbeauftragte nicht Mitglied im Vereinsvorstand sein.
Auch kleine Vereine können verpflichtet sein, einen Datenschutzbeauftragten zu ernennen, wenn sie besonders sensible Daten verarbeiten.
Sicherheitsmaßnahmen ergreifen
Der Verein muss dafür Sorge tragen, dass die Daten sicher aufgehoben sind. Das fängt schon beim Umgang mit Passwörtern an. Regelmäßige Software-Updates und eine moderne EDV-Ausstattung sowie Verschlüsselungstechnologien sollen ebenfalls zur Datensicherheit beitragen. Im Fall einer Datenpanne oder eines Hackerangriffs ist innerhalb von 72 Stunden die zuständige Landesbehörde zu benachrichtigen.
Wer die Dienste externer IT-Dienstleister – zum Beispiel Cloud Services – nutzt, sollte sich deren Datenschutzstandards vertraglich zusichern lassen. Hier greifen die Bestimmungen zur sogenannten "Auftragsdatenverarbeitung".
Wer mit besonders sensiblen Daten hantiert, muss unter Umständen eine Datenschutz-Folgeabschätzung (DSFA) vorlegen, also eine Art Risikobewertung. Der Gedanke dahinter: Wenn solche Informationen unfreiwillig an die Öffentlichkeit gelangen, kann dem Betroffenen großer Schaden entstehen.
Nutzen Sie die Chance und kontaktieren Sie uns..... Wir stehen Ihnen mit Rat und Tat zur Seite.