Datenschutzhandbuch für Vereine: Der umfassende Leitfaden
Der Datenschutz im Verein findet oft keine große Beachtung. Bis ein Vorfall passiert und aus 11 Freunden nur noch 10 übrigbleiben. Datenschutzverletzungen können Vereine hart treffen und das Vertrauensverhältnis nachhaltig schädigen.
Ein Verein sollte zumindest ein Datenschutzhandbuch erstellen, um ein Minimum an Datenschutz zu gewährleisten. Gleichzeitig werden Trainer, Übungsleiter und Funktionsträger für das Thema sensibilisiert. Dies nach dem Motto: „Ich baue mir ein Datenschutzhandbuch“, angelegt an die Vorgaben der DSGVO.
Aus einem strukturierten Datenschutzhandbuch ergeben sich alle weiteren Dokumente, Anweisungen und Informationen. Es bildet die Grundlage für ein funktionierendes Datenschutzmanagementsystem im Verein.
Was ist ein Datenschutzmanagementsystem (DSMS)?
Das Datenschutzhandbuch ist das Datenschutzmanagementsystem (DSMS). Der Gesetzgeber schreibt nicht vor, dass ein DSMS in einer Software vorgehalten werden muss. Viele Vereine können sich eine solche Software gar nicht leisten.
Ein DSMS in Papierform oder digital in Word ist vollkommen datenschutzkonform. Diese Lösung ist ideal für Vereine, kleine Unternehmen, Kleinstunternehmen oder auch Genossenschaften. Für große Unternehmen ist dieses Konzept allerdings nicht geeignet.
Aufbau eines Datenschutzhandbuchs im Verein
Aber wie könnte ein solches Handbuch aussehen und welche Inhalte sollte es beinhalten? Im Folgenden finden Sie eine detaillierte Struktur für Ihr Datenschutzhandbuch.
Deckblatt und Grundinformationen
Datenschutzhandbuch der [VEREINSNAME]
[Name des Vereines]
[Straße, PLZ Ort]
Vertretungsvorstand gemäß § 26 BGB
Vorstandsvorsitzender:
Stellvertreter:
Beisitzer:
Schriftführer:
Kassenführer:
Rechnungsprüfer:
Rechnungsprüfer:
Versionshistorie des Datenschutzhandbuchs
| Datum | Version | Änderung |
| 00 | Verfahren erstellt | |
Inhaltsverzeichnis des Datenschutzhandbuchs
1. INHALT
2. ÜBERBLICK
3. PERSONENBEZOGENE DATEN
4. DATENSCHUTZGRUNDSÄTZE
4.1 Rechtmäßigkeit
4.2 Verarbeitung nach Treu und Glauben
4.3 Transparenz
4.4 Zweckbindung
4.5 Datenminimierung
4.6 Richtigkeit
4.7 Speicherbegrenzung
4.8 Integrität und Vertraulichkeit
4.9 Rechenschaftspflicht
5. DATENSCHUTZMANAGEMENT
6. DATENSCHUTZORGANISATION UND VERANTWORTLICHKEITEN
6.1 Vorstand
6.2 Datenschutzbeauftragter
7. DATENVERARBEITUNG
7.1 Verzeichnis der Verarbeitungstätigkeiten
7.2 Folgenabschätzung
8. SICHERHEITSMAßNAHMEN
9. EHRENAMTLICH TÄTIGE FUNKTIONSTRÄGER IM VEREIN UND MITARBEITER/INNEN
9.1 Verpflichtung auf Vertraulichkeit
10. WAHRUNG DER BETROFFENENRECHTE
11. DATENSCHUTZVERLETZUNGEN
12. DATENVERARBEITUNG IM AUFTRAG
13. DATENSPEICHERUNG UND LÖSCHUNG VON DATEN
14. WEBSITE
15. ANLAGEN
Überblick: Rechtliche Grundlagen der DSGVO
Die wesentlichen rechtlichen Grundlagen zum Datenschutz enthalten die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Seit Geltung der DSGVO müssen Vereine jederzeit die Einhaltung der Datenschutzgrundsätze sicherstellen und nachweisen.
Verstöße gegen diese Pflichten sind bußgeldbewehrt. Bußgelder können bis zu einer Höhe von 20 Mio. EUR verhängt werden. Bei Unternehmen sind bis zu 4% des Gesamtumsatzes möglich.
Der Schutz von personenbezogenen Daten ist für jeden Verein von großer Bedeutung. Datenschutzverstöße würden nicht nur die Funktion des Vereines beeinträchtigen, sondern auch zu schwerem Ansehensverlust führen. Materielle und immaterielle Schäden können die Folge sein.
Ziele des Datenschutzhandbuchs
Das Anliegen dieses Datenschutzhandbuchs ist der Schutz personenbezogener Daten. Es dient dem Interesse des Vereines und der betroffenen Personen. Zu betroffenen Personen zählen Mitglieder, Vertragspartner oder Mitarbeiter.
In diesem Datenschutzhandbuch werden die gesetzlichen Datenschutzgrundsätze beschrieben. Darauf aufbauend werden sämtliche Aspekte des Vereins erläutert. Zum Handbuch gehören auch die unter Punkt 15 aufgeführten Anlagen wie Formulare, Prozesse und Arbeitshilfen.
Das Datenschutzhandbuch legt die Struktur und Prozesse des Datenschutzmanagements dar. Diese werden in der Vereinspraxis gelebt und umgesetzt. Entscheidend erfüllt dieses Handbuch die in der DSGVO geforderten Dokumentations- und Nachweispflichten.
Sensibilisierung von Mitarbeitern und Funktionsträgern
Der Datenschutz steht und fällt mit den Vorstandsmitgliedern und Mitarbeitern. Gesetzliche und interne Regelungen müssen beachtet werden. Dies verlangt ein Bewusstsein für die Tätigkeit und die sich verändernden Rahmenbedingungen.
Um diesen Herausforderungen zu begegnen, richtet sich das Datenschutzhandbuch an alle Funktionsträger. Das Dokument soll für den Datenschutz sensibilisieren und Hilfestellungen geben. Datenschutzrisiken sollen erkannt und abgewehrt werden können.
Das Datenschutzhandbuch dient als Einstieg und Grundlage für Prüfungen, Audits und Qualitätskontrollen. Es bildet die Basis für ein nachhaltiges Datenschutzmanagementsystem im Verein.
Personenbezogene Daten: Definition und Beispiele
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In der Sprache des Datenschutzes spricht man von der „betroffenen Person“. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann.
Die Identifizierung erfolgt insbesondere mittels Zuordnung zu einer Kennung. Dies kann ein Name, eine Kennnummer, Standortdaten oder eine Online-Kennung sein. Auch besondere Merkmale der physischen, physiologischen oder genetischen Identität zählen dazu (Art. 4 Ziff. 1 DSGVO).
Beispiele für personenbezogene Daten
Personenbezogene Daten sind zum Beispiel:
- Allgemeine Personendaten: Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer
- Kennnummern: Sozialversicherungsnummer, Personalausweisnummer, Steuer-ID, Matrikelnummer
- Bankdaten: Kontonummern, Kontostände, Kreditinformationen
- Online-Daten: IP-Adressen, Standortdaten, Cookies
- Physische Merkmale: Geschlecht, Haut- und Haarfarbe, Augenfarbe, Kleidergröße
- Besitzmerkmale: Fahrzeuge, Immobilien, Grundbucheintragungen, KFZ-Kennzeichen
- Kundendaten: Bestellungen, Adressdaten, Kontodaten
- Werturteile: Schul- und Arbeitszeugnisse
Besonders sensible personenbezogene Daten
Besonders sensible personenbezogene Daten unterliegen einem erhöhten Schutz. Dazu gehören Daten über ethnische Herkunft, politische Ansichten und religiöse Überzeugungen. Auch Gewerkschaftszugehörigkeit, Gesundheitsdaten und Daten zur Sexualität zählen dazu.
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz ihrer personenbezogenen Daten. Grundsätze und Vorschriften gewährleisten, dass Grundrechte und Grundfreiheiten gewahrt bleiben.
Die Datenschutzgrundsätze nach DSGVO
Art. 5 Abs. 1 DSGVO legt die Grundsätze der Verarbeitung personenbezogener Daten fest. Ihr Verständnis ist von zentraler Bedeutung für den Datenschutz im Verein. Sie sind für die Verarbeitung von personenbezogenen Daten verbindlich.
Nach Art. 5 Abs. 2 muss der Verein die Einhaltung dieser Grundsätze nachweisen. Die Verletzung dieser Grundsätze ist gem. Art. 83 DSGVO mit Bußgeld bedroht. Daher ist ihre Beachtung essentiell.
Rechtmäßigkeit der Datenverarbeitung
Der Grundsatz der Rechtmäßigkeit besagt: Personenbezogene Daten dürfen nur unter Vorbehalt einer gesetzlichen Erlaubnis oder Einwilligung verarbeitet werden. In Art. 6 und 9 DSGVO sind die Bedingungen für eine rechtmäßige Datenverarbeitung aufgezählt.
Eine Rechtsgrundlage kann ein Vertrag mit der betroffenen Person sein. Auch ein berechtigtes Interesse des Vereines unter Abwägung der Grundrechte ist möglich. Eine Einwilligung der betroffenen Person stellt ebenfalls eine Rechtsgrundlage dar.
Verarbeitung nach Treu und Glauben
Unter diesem Gesichtspunkt sind die Rechte der Betroffenen zu wahren. Die Informationspflichten müssen in verständlicher und nachvollziehbarer Form erfüllt werden. Transparenz und Fairness stehen im Vordergrund.
Transparenz der Datenverarbeitung
Der Grundsatz der Transparenz verlangt umfassende Information. Jeder Betroffene soll wissen, wer welche Daten für welche Zwecke über ihn erhebt, speichert und verarbeitet. Auch die Speicherdauer muss bekannt sein.
Alle Informationen zur Verarbeitung müssen leicht zugänglich und verständlich sein. Sie sind in klarer und einfacher Sprache abzufassen (Art. 12 bis 14 DSGVO). Dies gewährleistet die Nachvollziehbarkeit für alle Betroffenen.
Zweckbindung der Daten
Personenbezogene Daten dürfen nur für eindeutig festgelegte und legitime Zwecke erhoben werden. Eine Weiterverarbeitung, die mit diesen Zwecken nicht vereinbar ist, ist verboten. Die Zweckbindung schützt die Betroffenen vor unerwarteter Datennutzung.
Datenminimierung
Art und Umfang der Daten müssen dem Zweck angemessen sein. Sie müssen erheblich und auf das notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c) DSGVO). Nur wirklich benötigte
Kommentar hinterlassen
Du musst angemeldet sein, um einen Kommentar abzugeben.