Liebe Modellflieger,
aufgrund einiger Nachfragen haben wir uns entschieden, ergänzend zu den bereits im vergangenen Jahr auf die Homepage des DMFV eingestellten Orientierungshilfen und den zwischenzeitlich durchgeführten Seminaren zur DSGVO, eine kurze Arbeitshilfe für erste Maßnahmen zu erstellen.
Die nachfolgend genannten Arbeitsschritte sollen dabei der einführenden Orientierung für einige erste, notwendige Maßnahmen dienen, können aufgrund der Komplexität und der z.T. unterschiedlichen Situationen vor Ort aber leider nicht abschließend alle Fragen beantworten. Zur weiteren Einarbeitung in das Thema und Ergänzung wird daher auf die Linkliste am Ende des Dokumentes verwiesen. Dort sind einige weitere (kostenlose) Broschüren zum Thema Datenschutz im Verein zu erhalten. Soweit auch diese nicht genügen und Einzelfragen auch nicht in der allgemeinen Rechtsberatung des DMFV geklärt werden können, ist aber die Inanspruchnahme fachlicher Hilfe vor Ort angeraten.
Nachfolgend genannte Schritte können aber der ersten Einarbeitung in das Thema dienen und werden ggf. automatisch zur weiteren Einarbeitung in das Thema führen:
1. (Formlose) Bestandsaufnahme der Datenverarbeitungen im Verein
Als erste Maßnahme empfiehlt es sich, zunächst die Situation im Verein zu analysieren und in einem Arbeitspapier aufzulisten, wo, wie, von wem und in welcher Form Daten im Verein oder im Auftrag des Vereins verarbeitet werden. Dies kann bspw. durch den Vorstand erfolgen, aber auch durch ein hierzu beauftragtes Vereinsmitglied, soweit der Vorstand seine stets bestehende Letztverantwortlichkeit beachtet.
Die Verarbeitung wird i.d.R. in jedem Fall die Daten betreffen, die zur Mitgliederverwaltung und zum Beitragseinzug verarbeitet werden. Darüber hinaus werden insbesondere bspw. etwaige Telefon- und Mailinglisten und die Verarbeitung von Fotos durch den Verein zu erfassen sein.
Soweit Daten in irgendeiner Form an Dritte übermittelt werden, ist auch dies mit besonderem Augenmerk zu erfassen.
Diese Bestandsaufnahme ist dann kritisch zu überprüfen auf Übereinstimmung mit den Grundsätzen der Datenverarbeitung gem. Art. 5 EU-DSGVO, nötigenfalls sind bisherige Arbeitsweisen dem geltenden Recht anzupassen.
2. Verarbeitungsverzeichnis erstellen
Die zuvor erfassten Arbeitsweisen können dann in das sog. Verarbeitungsverzeichnis gem. Art. 30 EU-DSGVO eingearbeitet werden. Dieser Vorschrift sind auch die notwendigen Angaben zu entnehmen.
Die Datenschutzkonferenz der Länder (DSK) hat für Vereine und KMU ein Musterblatt entworfen, das idealerweise genutzt werden sollte. Dieses ist bspw. hier zu finden:
https://www.baden-wuerttemberg.datenschutz.de/wpcontent/uploads/2018/03/dsk_muster_vov_verantwortlicher.pdf
Die Vorlage besteht aus einem allgemeinen Deckblatt mit einigen gleichbleibenden, allgemeinen Angaben und einem fortlaufend nummerierten Verzeichnis der konkreten Verarbeitungsvorgänge.
Im Deckblatt sind als „Verantwortlicher“ der Vereinsname mit Kontaktdaten einzutragen, des Weiteren als „Vertreter des Verantwortlichen“ der Vorstand des Vereins. Einen Datenschutzbeauftragten benötigen Modellflugvereine i.d.R. nicht, auch einen „gemeinsam Verantwortlichen“ gibt es i.d.R. nicht.
Die beiden weiteren Seiten sind für jeden Verarbeitungsvorgang gesondert auszufüllen. I.d.R. ist davon auszugehen, dass die meisten Vereine nicht mehr als 5 – 10 verschiedene Verarbeitungsvorgänge haben.
Hier ist zunächst der jeweils im Vorstand Verantwortliche zu benennen (bspw. der Schriftführer oder Kassierer). Zu benennen sind dann die Zwecke des Verarbeitungsvorgangs (bspw. Mitgliederverwaltung), die betroffenen Kategorien von Personen (bspw. Mitglieder) und die betroffenen Daten (bspw. Name, Adresse, Geburtsdatum, Bankverbindung). Auf der zweiten Seite ist im ersten Feld aufzuführen, wer intern Zugriff auf die Daten hat, im zweiten Feld, ob auch Dritte die Daten übermittelt bekommen.
Soweit Datenübermittlungen an sog. Drittländer stattfinden, also solche außerhalb der EU, ist dies gesondert aufzuführen. Dies kann bspw. relevant sein, wenn Daten an Facebook oder einen Cloud-Dienstleister in den USA übermittelt werden.
Zuletzt ist noch aufzuführen, wann die Daten gelöscht werden, bspw. „2 Jahre nach Beendigung der Mitgliedschaft“.
Einige Beispiele für i.d.R. bei allen Vereinen vorkommende Verarbeitungsvorgänge sind die Mitgliederverwaltung, der Beitragseinzug, der Betrieb der Webseite, Datenverarbeitungen zur Werbung / Präsentation des Vereins (hierunter kann bspw. auch die Anfertigung von Fotos auf Veranstaltungen fallen), sowie Datenverarbeitungen zur Mitgliederinformation (bspw. Mailinglisten, etc.).
Ein weiteres, etwas vereinfachtes Muster mit einigen Beispielverarbeitungsvorgängen ist auf der Homepage des Bayerischen Landesamtes für Datenschutzaufsicht zu finden:
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
3. Datenschutzhinweise nach Art. 13 EU-DSGVO erstellen und in Formulare einarbeiten
Bei erstmaliger Erhebung von Daten müssen Pflichthinweise an die Betroffenen erteilt werden.
Schriftform ist hier zwar nicht vorgeschrieben, die Nachweispflicht liegt aber beim Verein, so dass es sich empfiehlt, wenigstens die Standardformulare des Vereins um schriftliche Hinweise entsprechend zu ergänzen.
Die jeweils mitzuteilenden Informationen können Art. 13 EU-DSGVO entnommen werden. Sie bestehen aus einer einleitenden Nennung des Verantwortlichen und seines Vertreters (wie im Verarbeitungsverzeichnis) und schließen üblicherweise mit dem (gleichbleibenden) Katalog der Betroffenenrechte. Im variablen Mittelteil ist dann zu informieren, welche Daten, zu welchem Zweck und auf welcher Rechtsgrundlage erhoben werden, ob eine Übermittlung an Dritte erfolgt und wann die Daten wieder gelöscht werden.
Da die Informationspflichten auch auf Homepages gelten, können die dort genutzten Datenschutzerklärungen ggf. als Muster genommen werden. Ein weiteres Muster enthält darüber hinaus dieser Praxisratgeber des Landesdatenschutzes Baden-Württemberg (dort ab S. 12):
https://www.baden-wuerttemberg.datenschutz.de/wpcontent/uploads/2018/05/Praxisratgeber-f%C3%BCr-Vereine.pdf
4. Datenschutz Homepage prüfen
In gleichem Maße wie die Offline-Datenverarbeitungen sind die Datenverarbeitungen auf der Homepage zu prüfen. Für die dortige Datenschutzerklärung empfiehlt sich die Nutzung eines im Internet verfügbaren Generators für Datenschutzerklärungen.
Es wird empfohlen, auf Plug-Ins von Drittfirmen, wie Facebook, Twitter, Youtube, Google, etc., soweit als möglich zu verzichten, da die Datenverarbeitung durch diese Firmen vom Verein i.d.R. nicht ausreichend kontrollierbar sind, der Verein aber hierfür im Zweifel verantwortlich ist.
Soweit unmittelbar auf der Homepage personenbezogene Daten verarbeitet werden, bspw. in einem Kontaktformular, ist die Homepage zu verschlüsseln. Die Verarbeitung und Veröffentlichung von Daten von Mitgliedern auf der Homepage bedarf i.d.R. der vorherigen Einwilligung, auch in einem internen Bereich für Mitglieder.
5. Datensicherheit prüfen
Als nächstes sollte geprüft werden, ob die im Verein verarbeiteten Daten sicher verarbeitet werden.
Dies betrifft insbesondere die Frage, ob sichergestellt ist, dass nur Berechtigte auf die Daten zugreifen können, sowohl bei Daten in Papierform, als auch bei elektronisch gespeicherten Daten. Ggf. genutzte Computer sollten entsprechend mit handelsüblicher Sicherheitssoftware gesichert sein.
Daneben ist es wichtig sicherzustellen, dass im Fall einer technischen Panne ggf. verlorene Daten jederzeit wiederhergestellt werden können, bspw. durch regelmäßige Backups.
6. Verzeichnis TOM (=technische und organisatorische Maßnahmen)
Die vorgenannten Ergebnisse sind dann in einem kurzen Verzeichnis schriftlich zu fixieren.
7. Eventuell Datenschutzordnung erstellen / Satzung ändern
Abschließend empfiehlt es sich, die Regeln des Datenschutzes im Grundsatz in die Satzung aufzunehmen und Details ggf. noch in einer Datenschutzordnung zu regeln. Auf diese Weise können auch alle Mitglieder und der Vorstand auf die Einhaltung der Regeln verpflichtet werden.
Rechtsanwalt H. Gerlach
Nützliche Links und Quellen
1. Muster eines vereinfachten Verarbeitungsverzeichnisses:
https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
2. Muster DSK eines Verarbeitungsverzeichnisses für Vereine und KMU:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/dsk_muster_vov_verantwortlicher.pdf
3. Hinweise zum vorgenannten Muster:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/06/dsk_hinweise_vov.pdf
4. Orientierungshilfe „Datenschutz im Verein nach der DS-GVO“
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
5. Praxisratgeber für Vereine:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Praxisratgeber-f%C3%BCr-Vereine.pdf
6. FAQ Veröffentlichung von Fotos speziell für Vereine:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/09/FAQ-Ver%C3%B6ffentlichung-von-Fotos-speziell-f%C3%BCr-Vereine.pdf
7. FAQ Bilder und Verein:
https://www.lda.bayern.de/media/FAQ_Bilder_und_Verein.pdf
8. Checkliste Umsetzung DSGVO:
https://www.lfd.niedersachsen.de/download/128036
