Deutscher Chorverband [Logo]

DS-GVO: Überblick über die wichtigsten Punkte

Insbesondere die folgenden Punkte sollten (Chor)Vereine jetzt im Blick haben:

Datenschutzrechtlichen Informations- und Auskunftspflichten nachkommen

Erhebt ein Verein Daten, hat er die Pflicht, die betroffenen Personen umfassend darüber zu informieren, was er mit welchen Daten zu welchem Zweck vorhat und muss sie zudem auf die Betroffenenrechte hinweisen und diese wahren.

Mit einer Datenschutzklausel in der Satzung sowie in der Datenschutzerklärung auf der Website kann diese Auskunft verfügbar gemacht werde.

Konkret müssen Datenschutzhinweise beziehungsweise Datenschutzerklärungen über folgendes informieren: Der Verein muss eine oder einen Verantwortlichen benennen und diese Person auf ihre Aufgaben verpflichten. Er muss die Zwecke der Datenverarbeitung samt deren Rechtsgrundlage darlegen sowie den Empfänger der Daten angeben, sofern sie weitergegeben werden sollen. Außerdem muss informiert werden, wie lange die Daten gespeichert werden sollen – oder was Kriterien für die Löschung sind – und es muss auf folgende Betroffenenrechte hingewiesen werden: auf das Recht auf Auskunft, Berichtigung und Löschung der Daten, darauf, dass die Einwilligung in die Datenverarbeitung jederzeit widerrufen werden kann, und auf das Beschwerderecht bei der Aufsichtsbehörde.

In diesem Sinne sind ggf. auch die datenschutzrechtlichen Einwilligungserklärungen zu überarbeiten.

Sicherheit der Datenverarbeitung im Verein gewährleisten

Wie bisher auch sind technische und organisatorische Maßnahmen zu treffen, um einen dem Risiko angemessenen Schutz für die Datensicherheit zu gewährleisten. Hierzu zählen zum Schutz vor unbefugtem Zugriff, vor unbeabsichtigtem Verlust oder versehentlicher Schädigung im technischen Bereich vor allem verschiedene Maßnahmen zum Passwortschutz, Virenschtzprogramme, Backups etc.

Zudem müssen die mit der Datenverarbeitung betrauten Mitarbeiter oder Mitglieder des Vereins zum vertraulichen und gesetzeskonformen Umgang mit personenbezogenen Daten verpflichtet werden. Hierfür ist eine Datenschutz-Verpflichtungserklärung zu unterzeichnen.

Verzeichnis über die Verarbeitungstätigkeiten überarbeiten oder anlegen

Sämtliche Vorgänge der Datenverarbeitung sollten im sogenannten "Verzeichnis der Verarbeitungstätigkeiten" dokumentiert werden. Es dient zum Nachweis gegenüber der Aufsichtsbehörde, aber es hilft auch, sich eine Übersicht über den Umgang mit Daten im Verein zu verschaffen und kann – in entsprechender Form – direkt dem Nachweis über die Einhaltung weiterer Datenschutzvorschriften (wie beispielsweise dem Auskunftsrecht gegenüber dem Betroffenen) dienen.

Konkret muss das Verzeichnis von Verarbeitungstätigkeiten, egal ob digital oder schriftlich, mindestens Name und Kontaktdaten des oder der Verantwortlichen enthalten, die Zwecke der Datenverarbeitung benennen, die Kategorien betroffener Personen und personenbezogener Daten beschreiben, die Kategorien von Datenempfängern auflisten sowie möglichst die zur Datenlöschung vorgesehenen Fristen benennen. Zusätzlich empfiehlt es sich, die konkreten Verarbeitungstätigkeiten zu beschreiben und die entsprechenden Rechtsgrundlagen hierfür aufzuführen.

Verträge über die Auftragsverarbeitung bei Weitergabe von Daten an Dritte abschließen oder erneuern

Gibt ein Verein erhobene Daten in die Hände von Dritten, die in seinem Auftrag Daten verarbeiten (z.B. webbasierte Mitgliederverwaltungsprogramme oder Anbieter von Online-Datenspeicher, Zeitschriftenzusteller etc.), muss er mit diesen Dienstleistern einen Vertrag abschließen. Der Vertrag zwischen Verein und dem sogenannten Auftragsverarbeiter schreibt das Weisungsrecht des Vereins sowie die Aufgaben des Dienstleisters fest, verpflichtet diesen zu Vertraulichkeit und Sicherheit und legt fest, was nach Abschluss der Auftragsverarbeitung mit den Daten geschehen soll.

Datenschutzbeauftragten bestellen, soweit dies erforderlich ist, beziehungsweise einen für den Datenschutz Zuständigen bestimmen

Sobald mindestens zehn Personen (egal, ob dies angestellte oder freiberufliche MitarbeiterInnen oder ehrenamtlich Angehörige des Vereinsvorstands sind) ständig personenbezogene Daten verarbeiten, muss ein Datenschutzbeauftragten oder eine Datenschutzbeauftragte bestellt werden. Unabhängig davon ist ein Mitglied des Vorstands als im Verein Zuständiger für den Datenschutz zu bestimmen.

Regelungen zum Umgang mit Datenschutzverstößen aufstellen

Sollten es zu einer Verletzung des Schutzes personenbezogener Daten kommen (durch unkontrollierten Verlust, Datendiebstahl, unbefugte Offenlegung o.ä.) müssen Vereine dies – zumeist innerhalb von 72 Stunden – an die im jeweiligen Bundesland zuständige Aufsichtsbehörde melden.

Deutsches Chorzentrum
Der Film
Chorzeit – Das Vokalmagazin
Die Carusos
Deutsches Chorfest
chor.com
Chor@Berlin
Deutsche Chorjugend
Deutscher Jugendkammerchor
Chorshop