1

Nächste Termine

05.07.2018 - 
30.08.2018 - 
16.09.2018 - 
03.10.2018 - 
03.11.2018 - 

1

Datenschutzgrundverordnung (EU-DSGVO)

Verbandsjustiziar RA Klaus Grützner: Kurzreferat über die neue EU-Datenschutz-Grundverordnung ( EU-DSVGO )

Die am 25.05.2018 in Kraft tretende Datenschutz-Grundverordnung (EU-DSGVO) wird als direkt geltendes Recht in allen Mitgliedsstaaten der EU das nationale Datenschutzrecht ablösen und zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechtes führen.

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten und der freie Verkehr mit personenbezogenen Daten. Das neue Recht wirkt sich vornehmlich auf alle Bereiche der Unternehmensführung und leider auch auf die Führung und Verwaltung kleinster Vereine bis zu den Großvereinen und Verbänden aus. Neben den grundlegenden Fragen der datenschutzrechtlichen Compliance, d.h des fairen Wettbewerbs bzw. der Regeltreue, des Qualitätsmanagement und der Arbeitnehmerüberwachung sind die IT-Strukturen, ( Netzwerke und die Einbindung privater Endgeräte, mit denen wir täglich arbeiten ), so zu gestalten, dass die genutzten Systeme und Dienste geschützt sind.

In jedem Verein werden unterschiedliche persönliche Daten auf vielfältige Weise erhoben, genutzt und weitergegeben. Dies erfolgt teilweise aufgrund satzungsgemäßer Verpflichtungen eines Vereins, z.B. die Abfrage und Speicherung von Mitglieder- und Kontodaten, teilweise auch, um die Vereinsarbeit zu erleichtern oder aber zur Mitgliederbindung, z.B. auch für die Weitergabe von Daten an einen übergeordneten Verband. All dies verlangt von den Vereinen und Verantwortlichen bereits von sich aus einen verantwortungsvollen und sensiblen Umgang mit diesen Daten.

Nachfolgend schlagwortartig die nach meiner persönlichen Einschätzung vorrangig von unseren Vereinen nach der DSVGO zu beachtende Regelungen:

Verarbeitung personenbezogener Daten

Art. 5 der DSVGO beschreibt überschaubar und einfach formuliert die Grundsätze für die Verarbeitung und Nutzung personenbezogener Daten: Das sind Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht, und das Recht auf Vergessen. Hieraus ergibt sich, dass Daten nur „für festgelegte, eindeutige und legitimierte Zwecke“ verarbeitet werden dürfen und die Verarbeitung „auf das für die Zwecke der Verarbeitung notwendige Maß“ beschränkt sein muss.

Technische und organisatorische Maßnahmen

Nach Art. 24 Abs. 1 DSVGO müssen Vereine dafür Sorge tragen und überprüfen, ob die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, Datensicherheit zu gewährleisten. Bei allen Datenverarbeitungs-vorgängen muss demnach überprüft werden, ob ausreichende Sicherheitsvor-kehrungen getroffen worden sind (Datensicherung, Verschlüsselung).

Informationspflicht

Der Verein ist verpflichtet die Personen, deren Daten Sie verarbeiten, umfangreich zu informieren. In Art. 13 DSVGO befindet sich eine Liste der Informationen, die der betroffenen Person zum Zeitpunkt der Erhebung mitzuteilen sind. Sofern diese Informationen den Personen, von denen Daten erhoben wurden, noch nicht zur Verfügung gestellt wurden, muss dies aktiv durch den Verein vor dem 25.05.2018 erfolgen.

Einwilligungserklärungen

Art. 4 Abs. 11 DSVGO gibt detaillierte Regelungen zu Einwilligungserklärungen der Personen vor, deren personenbezogenen Daten Sie verarbeiten. Insbesondere wird bei der Einwilligung betont, dass dies eine unmissverständlich abgegebene Willensbekundung bzw. eine eindeutig bestätigende Handlung sein muss. Ein bereits angekreuztes Kästchen beispielsweise ist nicht zulässig. Ein besonderes Augenmerk muss zukünftig auch auf die Formulierung der Einwilligung liegen, da diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen muss. Dies bedeutet, dass Sie auch kritisch prüfen müssen, ob die bereits vorliegenden Einwilligungserklärungen noch diesen Anforderungen genügen.

Auftragsverarbeitung

Sofern Ihr Verein die von ihm erhobenen Daten auftragsmäßig von einem Dritten verarbeiten lässt, z.B. die Mitgliederverwaltung im Internet, muss er vertraglich sicherstellen, dass die Verarbeitung durch geeignete technische Maßnahmen im Einklang mit den Anforderungen des DSVGO erfolgt.

Meldepflicht

Nach Art. 33 DSVGO besteht nun auch für Vereine die Pflicht, eine Verletzung des Schutzes personenbezogener Daten möglichst schnell der zuständigen Aufsichtsbehörde (Datenschutzamt) zu melden.

Verfahrenverzeichnis

Neu für wohl alle Vereine ist, – und dies ist ein Punkt der zunächst einmaligen Arbeitsaufwand bedeutet -, die Verpflichtung nach Art. 30 Abs.1 S. 1 DSVGO ein Verzeichnis aller Verarbeitungstätigkeiten, die innerhalb der Vereinsverwaltung liegen, zu führen. Weil die Verarbeitung der Mitgliederdaten nicht nur gelegentlich erfolgt, greift hier die Ausnahmeregelung für Einrichtungen mit mindestens 250 Mitgliedern nicht.

In Zusammenarbeit bzw. Abstimmung mit dem bereits erwähnten Vorstandsmitglied eines Mitgliedvereins habe ich Musterformulare für die Einwilligungserklärung, das Verfahrensverzeichnis als Arbeitshilfen für unsere Mitgliedsvereine zusammenge-stellt, die kurzfristig über die Verbandshomepage heruntergeladen werden können. Leider lässt sich der durch die neue gesetzliche Regelung erforderliche Arbeitsauf-wand, alle Mitglieder aufzufordern, die Datenschutzerklärung unterzeichnet an den Verein am besten mit einem Freikuvert zurückzusenden, nicht vermeiden. Ich empfehle auch wegen der besseren Übersichtlichkeit und Vereinheitlichung ein entsprechendes Anschreiben an alle Vereinsmitglieder. Sollten sich Mitglieder unter Berufung auf das neue Recht weigern, diese Erklärung abzugeben, muss der Verein individuell entscheiden, ob und wie weiter verfährt, ob ggf. Sanktionen gegen dieses Mitglied angezeigt sind. Bei Neuaufnahmen dürfte die Einarbeitung der Daten-schutzerklärung in den Aufnahmeantrag, der in aller Regel die notwendigen Daten des Mitglieds beinhaltet, unproblematisch sein.

Für minderjährige Jugendliche ist die Datenschutzerklärung durch den/die Erziehungsberechtigten abzugeben.

Die Regelung des Datenschutzes in § 21 der vom Verband vorgeschlagenen Mustersatzung dürfte m.E. den Grundsätzen der neuen DSGVO genügen. Eine inzwischen angepasste, weitreichende entsprechend dem Muster könnte/sollte bei anstehenden Satzungsänderungen verwendet werden.

Bag-Limit Dorsch. Was war? Was kommt?

Am 17. Mai 2018 in Voerde

Ihr Einstieg in die faszinierende Welt des Fischen mit der künstlichen Fliege

Angeln und die GroKo

© 2018 Rheinischer Fischereiverband von 1880 e.V.

| Wahnbachtalstraße 13 a | 53721 Siegburg | Tel.: 02241/14735-0 | e-Mail: info@rhfv.de