Datenschutz – was (Chor)Vereine wissen sollten

Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DS-GVO), die europaweit alle betrifft, die personenbezogene Daten verarbeiten, sofern sie dies nicht im privaten Rahmen tun.

Auch Vereine sind dabei dem Datenschutz grundsätzlich in gleicher Weise verpflichtet wie Unternehmen.

Inhaltlich schreibt die DS-GVO im Wesentlichen die vorherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter. So wurden mit der DS-GVO neue Transparenzanforderungen eingeführt, wie Stärkung der Rechte auf Information, Zugang und Löschung.

Dies bedeutet auch für Vereine erweiterte Dokumentations- und Nachweispflichten. Für alle, die zuvor im Bereich des Datenschutzes schon gut aufgestellt waren, sollte der Aufwand der Anpassungen jedoch überschaubar sein.

Inwiefern betrifft Datenschutz auch meinen (Chor-)Verein, um welche Daten geht es dabei?

Die DS-GVO regelt die Verarbeitung personenbezogener Daten, das heißt deren Erhebung, Speicherung, Nutzung, Änderung, Übermittlung, Verknüpfung mit anderen Daten und Löschung. In welcher Form man die Daten verarbeitet – digital oder im Aktenordner – ist dabei egal.

Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Das sind zum Beispiel Name, Geburtsdatum, Anschrift, Bankverbindung, Beruf, Religionszugehörigkeit bis hin zu bestimmten Gesundheitsdaten wie etwa Lebensmittelallergien. Auch Fotos, die Menschen abbilden, enthalten personenbezogene Daten.

Wichtigste Grundprinzipien für die Verarbeitung personenbezogener Daten sind generell die Rechtmäßigkeit der Erhebung, Zweckbindung, Datenminimierung, Transparenz sowie der Grundsatz der Speicherbegrenzung, Richtigkeit, Integrität und Vertraulichkeit der Daten.

Was muss nun im Einzelnen geregelt werden, worauf sollten Vereine insbesondere achten?

Einige der wichtigsten Punkte sind im Folgenden kurz aufgelistet.

  •  Datenschutzrechtlichen Informations- und Auskunftspflichten nachkommen:
    •  Datenschutzerklärungen erstellen/überarbeiten
    •  Datenschutzklausel in die Satzung aufnehmen
    • datenschutzrechtliche Einwilligungserklärungen anpassen/erstellen
       
  • Verzeichnis über die Verarbeitungstätigkeiten überarbeiten oder anlegen
     
  •  Sicherheit der Datenverarbeitung im Verein gewährleisten:
    • technische und organisatorische Maßnahmen überprüfen
    •  Datenschutz-Verpflichtungserklärungen unterzeichnen lassen
       
  •  Verträge über die Auftragsverarbeitung bei Weitergabe von Daten an Dritte abschließen oder erneuern
     
  • einen Datenschutzbeauftragten bestellen (nur erforderlich, wenn mindestens zehn Personen ständig personenbezogene Daten verarbeiten) beziehungsweise einen für den Datenschutz Zuständigen bestimmen
     
  • Regelungen zum Umgang mit Datenschutzverstößen aufstellen

Nähere Erläuterungen zu den einzelnen Aspekten finden sich hier online.