Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat einen Ratgeber für Vereine herausgebracht. Mit den zehn wichtigsten Hinweisen zur Datenschutzgrundverordnung (DSGVO) möchte die Datenschutzaufsicht Vereinsvorständen wichtige Tipps im Umgang mit der DSGVO geben.
Die Hinweise im Überblick
- Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Ein Beispiel finden sie hier.
- Erheben, speichern und verarbeiten Sie personenbezogene Daten nur, wenn Sie eine Rechtsgrundlage hierfür haben. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage dienen. Für einen Newsletterversand u.ä. braucht es eine Einwilligung.
- Mitglieder müssen über die Datenverarbeitungsvorgänge informiert werden. Insbesondere ist darüber zu informieren, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage über welchen Zeitraum verarbeitet werden.
- Erheben, speichern und verarbeiten Sie nur die personenbezogenen Daten, die für den jeweiligen Zweck erforderlich sind und speichern Sie diese auch nur so lange, wie sie für die Erfüllung des Zwecks erforderlich sind (Achtung: Gesetzliche Aufbewahrungsfristen beachten).
- Stellen Sie organisatorisch und technisch sicher, dass nur diejenigen Personen personenbezogene Daten einsehen und verarbeiten können, die dies auch rechtlich dürfen bzw. müssen.
- Betroffene haben verschiedene Betroffenenrechte wie z. B. das Auskunftsrecht oder das Recht auf Datenlöschung. Stellen Sie sicher, dass Sie diesen Rechten zeitnah nachkommen können.
- Prüfen Sie, ob Sie einen Vertrag zur Auftragsverarbeitung benötigen. Ein Muster finden Sie hier.
- Prüfen Sie, ob Sie eine Datenschutzfolgenabschätzung durchführen müssen. Diese ist immer dann durchzuführen, wenn ein hohes Risiko bei der Datenverarbeitung im Verein besteht.
- Sind zehn oder mehr Personen mit der automatischen Verarbeitung personenbezogener Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden.
- Dokumentieren Sie wie sie Daten verarbeiten und wie Sie Ihren Pflichten nachkommen.