| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| vereinsdatenschutz [2019/01/28 18:35] – Martin Neldner | vereinsdatenschutz [2019/04/06 22:46] (aktuell) – [Vereinsdatenschutz] Martin Neldner |
|---|
| **Vereinsdatenschutz** ist der [[Datenschutz]] bei eingetragenen Vereinen (e.V.) als Verantwortlicher Stelle. | ====== Vereinsdatenschutz ====== |
| |
| Auch bei teilweise großer Nähe zu öffentlichen Einrichtungen, z.B. Fördervereinen an Hochschulen, handelt es sich doch um juristische Personen des privaten Rechts. Daher haben die Landesdatenschutzgesetze, wie das [[ThürDSG]] meist((Siehe aber z.B. [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+2&psml=bsthueprod.psml&max=true| § 2 Abs. 2]] [[ThuerDSG]])) nur eingeschränkte Bedeutung. Im Regelfall gilt neben der [[DSGVO]] das [[BDSG]]. | **Vereinsdatenschutz** ist der [[:datenschutz|]] bei eingetragenen Vereinen (e.V.) als [[Verantwortlicher|Verantwortlichem]]. |
| |
| Als juristische Personen des privaten Rechts müssen Vereine bei der [[Verarbeitung]] [[personenbezogene Daten|personenbezogener Daten]] als [[Verantwortliche|Verantwortlicher]] bei Vorliegen der jeweiligen Voraussetzungen die gleichen Regeln befolgen, wie andere, z.B. Unternehmen in der Rechtsform einer GmbH, auch. Das betrifft z.B. die Pflicht gem. [[https://www.gesetze-im-internet.de/bdsg_2018/__38.html|§ 38 Abs. 1]] BDSG ab 10 Beschäftigten, die ständig, automatisierte personenbezogene Daten verarbeiten, einen [[Datenschutzbeauftragter|Datenschutzbeauftragten]] zu bestellen. | Auch bei teilweise großer Nähe zu öffentlichen Einrichtungen, z.B. Fördervereinen an Hochschulen, handelt es sich doch um juristische Personen des privaten Rechts. Daher haben die Landesdatenschutzgesetze, wie das [[:thuerdsg|]] meist((Siehe aber z.B. [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+2&psml=bsthueprod.psml&max=true|§ 2 Abs. 2]] [[:thuerdsg|]])) nur eingeschränkte Bedeutung. Im Regelfall gilt neben der [[:dsgvo|DSGVO]] das [[:bdsg|BDSG]]. |
| |
| ====== Verzeichnis von Verarbeitungstätigkeiten ====== | Als juristische Personen des privaten Rechts müssen Vereine bei der [[:verarbeitung|]] [[:personenbezogene_daten|personenbezogener Daten]] als [[:Verantwortlicher]] die gleichen Regeln befolgen, wie andere, z.B. Unternehmen in der Rechtsform einer GmbH, auch. |
| |
| Vereine werden in aller Regel verpflichtet sein, ein [[VVT]] zu führen. Die Frage ist aber, wie intensiv dieses ausgestaltet sein muss. Die Regeln sind gemäß [[https://dejure.org/gesetze/DSGVO/30.html| Art. 30]] DSGVO grundsätzlich die selben. In der Verwaltungspraxis ist jedoch zu beobachten, dass zumindest das [[LDA Bayern]] ein Muster((Vgl. [[https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf|Muster für Vereine als PDF]].)) zur Verfügung stellt, dass deutlich einfacher gehalten ist, als das allgemeine Formular((Vgl. [[https://www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf|Normales Muster]].)). Eine bearbeitbare Word-Version des Vereinsmusters: {{muster-vvt-vereine_lda-bayern.docx|Muster-VVT für Vereine des LDA Bayern}} | ===== Datenschutzbeauftragter ====== |
| |
| | Auch Vereine haben die Pflicht gem. [[https://www.gesetze-im-internet.de/bdsg_2018/__38.html|§ 38 Abs. 1]] BDSG ab 10 Beschäftigten, die ständig, automatisierte personenbezogene Daten verarbeiten, einen [[:datenschutzbeauftragter|Datenschutzbeauftragten]] zu bestellen. Als Faustregel bedeutet das, dass ab 10 Personen, die regelmäßig an Computern arbeiten, ein Datenschutzbeauftragter zu bestellen ist. |
| | |
| | **Achtung**: Entgegen einem allgemeinen Missverständnis muss auch ein Verein (wie jeder Verantwortliche) die Regeln des Datenschutzes auch dann beachten, wenn kein Datenschutzbeauftragter zu bestellen ist. Das bedeutet, dass der Verstand des Vereins, der als gesetzlicher Vertreter für den Datenschutz verantwortlich ist, nicht verpflichtet ist, sich durch einen Datenschutzbeauftragten unterstützen zu lassen. Die Pflichten sind aber die gleichen. |
| | |
| | ===== Verzeichnis von Verarbeitungstätigkeiten ===== |
| | |
| | Vereine werden in aller Regel verpflichtet sein, ein [[:vvt|VVT]] zu führen. Die Frage ist aber, wie intensiv dieses ausgestaltet sein muss. Die Regeln sind gemäß [[https://dejure.org/gesetze/DSGVO/30.html| Art. 30]] DSGVO grundsätzlich die selben. In der Verwaltungspraxis ist jedoch zu beobachten, dass zumindest das [[:lda_bayern|LDA Bayern]] ein Muster((Vgl. [[https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf|Muster für Vereine als PDF]])) zur Verfügung stellt, dass deutlich einfacher gehalten ist, als das allgemeine Formular((Vgl. [[https://www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf|Normales Muster]])) . Eine bearbeitbare Word-Version des Vereinsmusters: {{:muster-vvt-vereine_lda-bayern.docx|Muster-VVT für Vereine des LDA Bayern}} |
| | |
| | ===== Ehrenamtliche Tätigkeit ===== |
| | |
| | Zur rechtlichen Einordnung ehrenamtlicher Tätigkeit gibt es nur wenige Aussagen. Im Ansatz zutreffend dürfte es sein, wenn die [[Berliner Beauftragte für Datenschutz und Informationsfreiheit]] die Tätigkeit von Ehrenamtlichen dem [[Beschäftigtendatenschutz]] zuordnet, wie es im [[https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf|Jahresbericht 2018]] S. 114f. geschehen ist, wo die ehrenamtliche Tätigkeit unter der Überschrift Beschäftigtendatenschutz steht. Allerdings muss anders als in dem Jahresbericht bedacht werden, dass der Beschäftigtendatenschutz normalerweise von einem professionellen Umfeld ausgeht und zum Gegenstand hat, die Beschäftigten als [[betroffene Person]] vor dem Arbeitgeber als [[Verarbeiter]] zu schützen. Bei den genannten Ausführen geht es dagegen fast ausschließlich um das Verhältnis der Ehrenamtlich tätigen zu Dritten Personen. |
| | |
| | Jedenfalls wird die Tätigkeit von Ehrenamtlichen **nicht** als [[Auftragsverarbeitung]] [[https://dejure.org/gesetze/DSGVO/28.html|Art. 28]] DSGVO oder [[gemeinsame Verantwortliche]] gem. [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26]] DSGVO einzuordnen sein. |
| | |
| | Bei der Tätigkeit von Ehrenamtlichen ist zunächst zu prüfen, ob [[besondere Kategorien personenbezogener Daten]] gem. [[https://dejure.org/gesetze/DSGVO/9.html|Art. 9]] Abs. 1 DSGVO vorliegen. In dem genannten Fall betraf das die Gewerkschaftszugehörigkeit. Das wäre aber beispielsweise bei Gesundheitsdaten ebenso der Fall. |
| | |
| | Wenn dem so ist, soll es **nicht** genügen, dass die Ehrenamtler eine Datenschutzerklärung unterschreiben und belehrt werden. |
| | |
| | Vielmehr werden für die ehrenamtliche Tätigkeit mit den personenbezogenen Daten folgende Anforderungen aufgestellt: |
| | |
| | * klare schriftliche Beschreibung der Rechte und Pflichten sowohl des Verantwortlichen als auch der ehrenamtlich Tätigen, |
| | * genaue Beschreibung welche Daten wie, wo und in welchem Umfang verarbeitet werden dürfen (Verhaltensregeln analog zu Regeln für Tele-Heimarbeit), |
| | * klare Festlegung zu technisch-organisatorischen Maßnahmen, insbesondere bei Gebrauch von privater Hardware bzw. privaten Endgeräten (faktisch analog der Einschränkungen von [[Bring your own device]] im Beschäftigungsverhältnis) und |
| | * jährliches Reporting der Ehrenamtlich Tätigen zu Veränderungen bei ihrer Leistungserbringung. |
| | |
| | Eine vollständige Umsetzung dieser Vorgaben erscheint unrealistisch. Dennoch sollten diese Vorgaben als ein Idealbild Beachtung finden, dem sich schrittweise angenähert wird. |
| | |
| | Gerade eine umfassende Regelung zu privater Hardware wird in aller Regel ebenso unmöglich sein, wie die Ausstattung aller Ehrenamtler mit Hardware des Vereins. Allenfalls wäre hier denkbar, [[virtuelle Maschine|virtuelle Maschinen]] vorzuschreiben. Allerdings setzt das in der Erst-Einrichtung auch nicht unerhebliche IT-Kenntnisse voraus und im laufenden Betrieb eine gute Internetanbindung. |
| | |
| | Zumindest auf allgemeiner Ebene sollten Grundregeln für Datenschutz und IT-Sicherheit festgeschrieben werden.((Ein Beispiel: [[https://verein.nmwp.de/wp-content/uploads/2018/07/IT-Richtlinie_NMWPeV_FINAL.pdf|IT-Richtline / IT-Sicherheitskonzept des NMWP.NRW e.V.]].)) |
| | |
| | ===== Weblinks ===== |
| | |
| | * [[https://www.lda.bayern.de/de/infoblaetter.html|Informationsmaterialien]], [[https://www.lda.bayern.de/de/faq.html|FAQ für Vereine]], insbesondere [[https://www.lda.bayern.de/media/muster_1_verein.pdf|Anforderungen der Datenschutz-Grundverordnung(DS-GVO) an kleine Unternehmen, Vereine, etc.]] bei [[:lda_bayern|LDA Bayern]] |
| | * [[https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf|Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg:Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)]] |
| | * [[https://www.lda.brandenburg.de/cms/detail.php/bb1.c.598328.de|Datenschutz im Verein nach der DS-GVO]] bei [[:lda_brandenburg|]] |
| | * datenschutzbeauftragter-info.de:[[https://www.datenschutzbeauftragter-info.de/dsgvo-hilfe-fuer-vereine-checklisten-praxisratgeber-und-10-punkte-plan/|DSGVO-Hilfe für Vereine: Checklisten, Praxisratgeber und 10-Punkte-Plan]] |
| |
| ====== Weblinks ====== | |
| * [[https://www.lda.bayern.de/de/infoblaetter.html|Informationsmaterialien]], [[https://www.lda.bayern.de/de/faq.html|FAQ für Vereine]] bei [[LDA Bayern]] | |
| * [[https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf|Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg:Datenschutz im Verein | |
| nach der Datenschutzgrundverordnung (DS-GVO)]] | |
| * [[https://www.lda.brandenburg.de/cms/detail.php/bb1.c.598328.de| Datenschutz im Verein nach der DS-GVO]] bei [[LDA Brandenburg]] | |
| |
| {{tag>Artikel}} | {{tag>Artikel}} |
| | |
| | |
| | |
