Zum Inhalt

Marginal-Spalte (weiterführende Informationen zum Thema)

Ansprechpartner

  • Isabell Friess
    Tel.: 0228 / 6845 - 3459

Hauptnavigation

Ein Webangebot der:

Europäischer Landwirtschaftsfonds
für die Entwicklung des
ländlichen Raums:
Hier investiert Europa in die
ländlichen Gebiete.

 

Inhalt

Umgang mit Daten nach der DSGVO

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) einheitlich für die gesamte Europäische Union. Sie stärkt das Recht der Menschen auf Schutz ihrer personenbezogenen Daten.

Datenschutz in Vereinen

Das neue Gesetz bringt nicht nur für Unternehmen und Behörden Änderungen mit sich. Auch Lokale Aktionsgruppen (LAGs) in LEADER-Regionen, die zum Beispiel in der Form des Vereins organisiert sind, erheben und speichern Daten und müssen deshalb das Datenschutzrecht kennen. Denn Verstöße können zu kostenintensiven Unterlassungs- oder Schadensersatzansprüchen und hohen Geldbußen führen. Eine Verarbeitung von Daten meint dabei nicht nur die mit dem PC, sondern jeden Umgang mit personenbezogenen Daten – auch papierbezogen.

Daten werden zum Beispiel verarbeitet, wenn sie

  • Adressen und Kontodaten der Mitglieder speichern
  • einen Newsletter verschicken
  • eine Adressliste von Interessenten haben, die sie zu Veranstaltungen einladen
  • auf der Website Personen genannt sind, die im Verein aktiv sind usw.

Vor allem Vereine und Organisationen, die sich bisher noch zu wenig mit dem Thema Datenschutzrecht beschäftigt haben, sollten nun aktiv werden.

Im Folgenden finden Sie grundlegende Informationen zum Umgang mit Daten, hilfreiche Links und Ansprechpartner. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei geht es um alle Informationen, die sich direkt oder indirekt auf einen Menschen beziehen, zum Beispiel:

  • Name und Identifikationsmerkmale (etwa Geburtsdatum, Namenszusätze, Ausweisnummer)
  • Kontaktdaten (etwa Postanschrift, E-Mail-Adresse, Telefonnummer)
  • körperliche Merkmale (etwa Größe, Gewicht, Haarfarbe)
  • Verbindungen und Beziehungen (etwa Freundschaftsbeziehungen, Arbeitgeber)
  • weitere Daten (etwa Standortdaten, Nutzungsdaten, Bankverbindungen)

Wann dürfen Sie als Verein Daten verarbeiten?

Verarbeiten ist nach der DSGVO ein umfassender Begriff für den Umgang mit personenbezogenen Daten. Darunter verstanden wird Erheben, Erfassen, Organisieren und Ordnen, Speichern und Ändern (Emailadresse korrigieren), Auslesen, Abfragen und Verwenden, die Offenlegung durch Übermitteln (zum Beispiel durch Weitergabe, durch Aushang an einem öffentlichen Schwarzen Brett oder einfach nur dadurch, dass jemand Unbefugtes "reinschauen" kann), Verbreiten oder Verknüpfen mit anderen Informationen sowie Löschen und Vernichten.

  • Im Datenschutzrecht gilt: Man darf Daten nur erheben, speichern oder weitergeben, wenn die ausdrückliche freiwillige Einwilligung der betroffenen Person dafür vorliegt oder man sich auf eine Rechtsgrundlage berufen kann, die erlaubt oder sogar anordnet, mit den Daten umzugehen.
  • Wann ist die Verarbeitung rechtmäßig:
    Möglichkeit 1: Es liegt eine Einwilligung vor (beste Variante im Sinne des Datenschutzes)
    Möglichkeit 2: Die personenbezogenen Daten sind für die Erfüllung eines Vertrages notwendig.
    Möglichkeit 3: Personenbezogene Daten dürfen verarbeitet werden, wenn die Verantwortlichen hierbei ihre berechtigten Interessen verfolgen und die Interessen der Betroffenen nicht überwiegen (Interessenabwägung) Zum Beispiel muss ein Kunde bei einem Online-Kauf davon ausgehen, dass seine Daten für die Marktforschung genutzt werden.
  • Die entsprechende Abfrage zur Einwilligung muss leicht verständlich und zugänglich sein.
  • Der Zweck muss vor der Verarbeitung festgelegt und der betroffenen Person genannt werden.
  • Damit eine Einwilligung wirksam ist, müssen bestimmte Punkte erfüllt sein – Informationen dazu finden Sie in Paragraph 7 der DSGVO.

  • Wichtig für die Akteure der Leader-Regionen: Rechtmäßig erhobene, personenbezogene Daten (Einwilligung, Vertrag oder Interessenabwägung) dürfen verarbeitet werden, um den festgelegten Zweck zu erfüllen. Beispielsweise darf ein Autoverkäufer die Daten eines Autokäufers für sich daran anschließende Maßnahmen der Kundenbindung weiter nutzen, also etwa um über Aktionen wie TÜV-Termine oder Wartungsangebote zu informieren. Weitergeben darf er die Daten jedoch nicht.

Welche Daten dürfen Sie verarbeiten?

Grundsätzlich sollten Sie nur die Daten abfragen, die zwingend für den jeweiligen Zweck erforderlich sind, also zum Beispiel für den Versand eines Newsletters nur die Email-Adresse (Prinzip der Datenminimierung). Bestimmte personenbezogene Daten dürfen grundsätzlich nicht abgefragt werden (zum Beispiel ethnische Herkunft, religiöse Überzeugung, sexuelle Orientierung).

Welche Informationspflichten sind zu beachten?

  • Schon bei der Erhebung von Daten (zum Beispiel, wenn neue Mitglieder aufgenommen werden), muss darüber informiert werden, welche Daten aufgenommen werden, zu welchem Zweck und über welche Dauer.
  • Es muss klar ersichtlich sein, ob und an wen die Daten weitergegeben werden.
  • Außerdem muss der Kontakt des Verantwortlichen und – falls vorhanden – des Datenschutzbeauftragen genannt werden.
  • Jeder hat das Recht darauf, darüber informiert zu werden, welche Daten von ihm gespeichert sind. Außerdem kann man verlangen, dass die Daten berichtigt oder gelöscht werden. Auch darüber muss der Verein informieren und sich bestätigen lassen, dass er darüber informiert hat.
  • Es gelten weitere Informationspflichten, die in Artikel 13 und Artikel 14 der DSGVO beschrieben sind.
  • Weitere Informationen zu den Rechten gibt es auch auf der Seite der Bundesbeauftragen für Datenschutz.

Wie ist mit Daten umzugehen?

Die erhobenen Daten müssen sicher geschützt werden, so dass nur berechtigte Personen darauf Zugriff haben. Dafür sind entsprechende organisatorische und technische Maßnahmen durchzuführen,  zum Beispiel die Aufbewahrung an einem sicheren Ort oder die Verschlüsselung des PCs mit einem Passwort. Welche Maßnahmen das konkret sind, hängt laut DSGVO von Faktoren ab wie der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung, aber auch der Wahrscheinlichkeit und der Schwere des Risikos für die Rechte der betroffenen Personen. Die Daten dürfen nur so lange gespeichert werden, wie es notwendig ist, um den Zweck der Erhebung zu erfüllen. Danach müssen sie schnellstmöglich gelöscht werden. Allerdings müssen auch gesetzliche Aufbewahrungspflichten beachtet werden, etwa bei Buchungsbelegen oder Papieren mit steuerlicher Bedeutung.

Erste Schritte

  • Der Verein sollte eine Bestandsaufnahme machen, um zu  ermitteln: welche Daten werden erhoben? Für alle Daten ist dann zu prüfen, ob sie überhaupt erhoben werden dürfen. Um das Löschen nicht mehr benötigter Daten zu garantieren, ist es sinnvoll, Löschfristen festzulegen. Muster für ein Verarbeitungsverzeichnis für Vereine (PDF, 349 KB) des Bayrischen Landesamtes für Datenschutzaufsicht
  • Dokumentieren Sie, wie Sie Daten verarbeiten und wie Sie Ihren Pflichten nachkommen.
  • Formulare müssen angepasst werden, z.B. Mitgliedsanträge und die Satzung (siehe oben "Informationspflichten") aber auch die Website. Dort muss eine Datenschutzerklärung eingefügt werden, die (wie das Impressum) von allen Seiten erreichbar ist.
  • Gegebenenfalls muss ein Datenschutzbeauftragter bestellt werden. Dies ist nach § 38 des Bundesdatenschutzgesetzes vorgegeben, wenn mindestens zehn Personen ständig mit der Verarbeitung von Daten beschäftigt sind. Empfohlen ist, dass sich zumindest eine Person in das Thema Datenschutz einarbeitet und als Ansprechperson dient.

Weiterführende Links - allgemein

Weiterführende Links - für Vereine

Buchtipp

  • Toller Leitfaden zur schnellen Übersicht: Bayerisches Landesamt für Datenschutzaufsicht (Hrsg.) (2017): Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine, München. Im Buchhandel erhältlich, 5,50 Euro

Hauptnavigation

Service-Navigation

###ETRACKER###