Datenschutz im MFC

nach der neuen  Datenschutz-Grundverordnung

Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten auch für unseren Verein. Die meisten der geltenden Vorschriften sind aber nicht neu, sondern ergaben sich schon bisher aus dem BDSG.

Welche Daten schützen wir entsprechend der neuen Verordnung?

 

Personenbezogene Daten: Das sind alle Einzelangaben unserer Mitglieder und evtl. Sponsoren.

Erhoben werden Name und Anschrift, Geburtsdatum, Eintrittsdatum, Bankverbindung u.ä. All das sind personenbezogene Daten. Der Datenschutz bezieht sich auf das Erheben, Verarbeiten, Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten.

Erlaubnis: Die Datenerfassung erfolgt durch die Eintrittserklärung in den Verein. Die Datenerfassung unsere Mitgliederverwaltung ist zur Führung des Vereins erforderlich.  Spendenbescheinigungen mit ihren Daten müssen 10 Jahre aufbewahrt werden.

Zuständigkeit: Zuständig für den Schutz personenbezogener Daten ist der Vorstand.
Da unser Verein weniger als 9 Personen beschäftigt, die mit diesen Daten arbeiten, brauchen wir - so wie die meisten Vereine - keinen Datenschutzbeauftragten.
(gezählt würden ohnehin nur Personen, die diese Funktion ausüben und nicht dem Vorstand angehören). Die Personen, die mit der Datenverarbeitung befasst sind (insbesondere: Vorsitzender, Schriftführer, Kassenführer, Jugendwart), sind zur Wahrung des Datengeheimnis verpflichtet.

Umgang mit Daten: Die Datenschutzbestimmungen können nicht per Satzung eingeschränkt werden.

Das Erheben, Speichern, Ändern oder Übermitteln personenbezogener Daten oder ihre Nutzung ist nur zulässig, wenn dies für die Erfüllung des Vereinszweckes erforderlich ist. Das gilt insbesondere für Anschrift und Bankdaten der Mitglieder. Jedes Mitglied  erklärt sich durch seinen Vereineintritt bzw. Aufrechterhaltung seiner Mitgliedschaft mit den neuen Datenschutzgesetzen vom 25.05.18 einverstanden.

Übermittlung von Daten: Teilweise muss der Verein Daten von Mitgliedern weitergeben:

  • Weitergabe an Verbände: Dies ist regelmäßig zulässig, wenn sie sich schon aus der Vereinstätigkeit ergibt (z.B. Wettkampfmeldungen, Meldung bei Dachverbänden).

  • Veröffentlichung von Daten: Die Veröffentlichung (Mitteilungsblatt, Schwarzes Brett) ist zulässig, wenn sie dem Vereinszweck dient, z.B. bei Flugsportl. Ergebnissen. Nicht zulässig ist regelmäßig die Veröffentlichung der Namen in Fällen mit "ehrenrührigem" Inhalt wie Hausverboten, Vereinsstrafen o.ä.

  • Veröffentlichung im Internet: Daten durch einen Verein im Internet sind  zulässig, wenn sich der Betroffene damit einverstanden erklärt hat.
    Persönliche Nachrichten, wie z.B. Geburtstagen, Jubiläen oder Spenden. Das Mitglied kann dem aber widersprechen.

  • Die Weitergabe zu Werbezwecken (etwa an Sponsoren) darf nur mit Zustimmung des jeweiligen Mitglieds erfolgen.

 

Widerspruchs- und Auskunftsrecht: Grundsätzlich darf der Verein keine personenbezogenen Daten erheben, speichern oder weitergeben, wenn er nicht über eine Einwilligung verfügt oder eine entsprechende Rechtsgrundlage besteht. Diese Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Es können aber in diesem Fall andere Erlaubnistatbestände vorliegen.

Zentraler Punkt des Datenschutzes ist zudem das Recht des Betroffenen auf Auskunft. Er muss darüber informiert werden, in welchem Umfang Daten von ihm gespeichert sind.

Die Mitglieder haben in den folgenden Fällen ein "Recht auf Vergessen" (d.h. die Löschung der Daten):

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

  • Die betroffene Person widerruft ihre Einwilligung.

  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Eine weiteres Recht der Mitglieder besteht in der Benachrichtigungspflicht des Vereins bei der Verletzung datenschutzrechtlicher Verpflichtungen. Diese Verpflichtung besteht nur dann nicht, wenn der Verein im Vorfeld die geeigneten technischen und organisatorischen Maßnahmen ergriffen hat.

Beispiel: Es wurde in die Geschäftsstelle eingebrochen und der Computer mit den Mitgliederdaten wurde gestohlen. Die Benachrichtigungspflicht entfällt, wenn der Computer mit einem Passwort geschützt war und die Daten verschlüsselt waren.

 

Datenübertragbarkeit: Neu ist in der DS-GVO das Recht auf Datenübertragbarkeit (Art. 20). Die betroffene Person hat danach das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verein bereitgestellt hat, in einem lesbaren  Format zu erhalten. Das Recht auf Datenübertragbarkeit beinhaltet, dass diese Daten beispielsweise einem anderen Verein übermittelt werden.

Verzeichnis der Verarbeitungstätigkeiten: Die DS-GVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Das gilt auch für kleinere Vereine, da die Datenverarbeitung nicht nur gelegentlich erfolgt (Art. 30 Abs. 5 DS-GVO). Es muss folgende Punkte umfassen:

  • Name und Anschrift des Vereins

  • Name des Verantwortlichen

  • Ansprechpartner: Vorstandsvorsitzender

  • Verarbeitungstätigkeiten:  "Mitgliederverwaltung"

  • Beschreibung der Kategorien der Mitglieder: z.B. "aktive Mitglieder", "passive Fördermitglieder".  Die Kategorien der Daten ergeben sich aus den Daten selbst (Anschrift, Geburtsdatum, Bankdaten etc.)

  • Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden, z.B. Verbände, Bank, Versicherungsgesellschaften, usf.