Ab dem 25.05.2018 gelten europaweit die Vorschriften und Maßgaben nach der neuen Datenschutz-Grundverordnung (DSGVO). Selbstverständlich gilt die DSGVO nicht nur für kommerzielle Unternehmen, sondern auch für Vereine und Verbände.
Vereine sollten somit anfangen, sich mit den neuen Vorgaben der DSGVO vertraut zu machen sowie notwendige Anpassungen vorzunehmen. Bei Nichtbeachtung oder Verstößen können nach der neuen Rechtslage drastische Bußgeldstrafen drohen.
Viele Grundsätze, die auch aus dem Bundesdatenschutzgesetz (BDSG) bekannt sind und Gültigkeit haben, bleiben auch in der DSGVO erhalten.
Für Vereine besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn in der Regel mehr als neun Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Selbstverständlich besteht auch weiterhin die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen.
Der Datenschutzbeauftragte muss gemäß Art. 37 Abs. 8 DSGVO der jeweiligen zuständigen Aufsichtsbehörde gemeldet werden.
Das frühere Verfahrensverzeichnis findet man in modifizierter Form und unter dem Begriff "Verarbeitungsverzeichnis" in Art. 30 DSGVO wieder. In diesem Verzeichnis müssen alle sämtlichen Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten bestehen, aufgeführt und genau beschrieben werden.
Für Vereine und Verbände ist jetzt die Zeit gekommen, um zu prüfen, an welcher Stelle der Verein noch Anpassungs-, Änderungs- und Erarbeitungsbedarf hat, damit der Übergang auf die neue Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz reibungslos gemeistert werden kann.
Hat der Verein Auftragsverarbeiter, d.h. Unternehmen, die in seinem Auftrag personenbezogene Daten verarbeiten, ist es verpflichtend Verträge der Auftragsdatenverarbeitung den neuen Regelungen der DSGVO anzupassen.
Hinweis:
Jeder Verein sollte zunächst genau hinterfragen, wann, wie und in welchen Bereichen mit personenbezogenen Daten umgegangen wird. Entscheidend ist also, welche Prozesse hängen mit der Erhebung, Verarbeitung, Speicherung und Löschung von personenbezogenen Daten zusammen.
- Bestellung eines Datenschutzbeauftragten
- Erstellung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO)
- Vereinbarungen zur Auftragsdatenverarbeitung mit externen Dritten
- Überarbeitung von Einwilligungserklärungen
Als Hilfestellung dient die Internetseite des "Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit" unter www.tlfdi.de, die Mustervordrucke und weitere wichtige Informationen zum Thema erhält.