4. Datenschutzbeauftragter Sobald der Verein oder die Stiftung mehr als zehn Personen beschäftigt, die sich ständig (regelmäßig) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder der Verein / die Stiftung Verarbeitungen vornimmt, die einer Datenschutzfolgeabschätzung gem. 35 DSGVO unterliegen (z. umfangreiche Verarbeitung von Gesundheitsdaten, Videoüberwachung etc. ) muss ein Datenschutzbeauftragter benannt werden. Die Benennung ist auch notwendig, wenn die Kerntätigkeit des Verantwortlichen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Es ist dabei nicht relevant, ob die Personen beim Verein beschäftigt oder ehrenamtlich tätig sind. Der Datenschutzbeauftragte muss sachkundig sein. Das Verarbeitungsverzeichnis | Vereinswiki. Dabei genügt es, dass der zu ernennende Beauftragte eine drei- bis fünftätige Schulung besucht und sich weiter um Datenschutz fortbildet. Eine Haftung nach außen bei Datenschutzverstößen kommt für den Datenschutzbeauftragten nicht in Betracht, lediglich vereinsintern kann es gegebenenfalls zu Ansprüchen des Vereins gegen den Datenschutzbeauftragten kommen.
Auf diesen Formularen fragt der Verein beispielsweise nach Nationalität oder nach dem Beruf des neuen Mitglieds. Hier muss sich der Verein die Frage stellen, ob und wofür er diese Angaben überhaupt benötigt. Fällt ihm kein guter Grund dafür ein, dann ist dies ein Indiz für einen Verstoß gegen den Grundsatz der Datenminimierung, der eine überschießende Datenerhebung verbietet. " Nach Art. 30 DSGVO sind Vereine dazu verpflichtet, ein sogenanntes Verarbeitungsverzeichnis (VVT) zu erstellen. Datenschutz verfahrensverzeichnis vereinigte. Dieses VVT bildet die Grundlage, um den in Art. 13 und 14 festgelegten Informationspflichten nachkommen zu können. Dabei gehe es laut Marschall nicht darum, einzelne Verarbeitungen dezidiert zu dokumentieren (z. das Versenden einer E-Mail), sondern viel mehr darum, im Sinne einer Clusterbildung verschiedene Tätigkeiten zu definieren, im Rahmen derer personenbezogene Daten erhoben und verarbeitet werden – etwa im Rahmen der Mitgliederverwaltung, der externen oder internen Lohnabrechnung, dem Betrieb der Website, der Beitragsverwaltung, der Spendenverwaltung oder der Veröffentlichung von Bild- und Videomaterial im Internet.
Es könnte allerdings eine Ausnahme vorliegen, wenn gemäß Artikel 30 (5) persönliche Daten nur gelegentlich verarbeitet werden und weniger als 250 Mitarbeiter beschäftigt sind. Leider kann aber keine konkrete Aussage getroffen werden, was "gelegentlich" im Sinne der DSGVO bedeutet. Es kann also davon ausgegangen werden, dass in den meisten Fällen ein Verfahrensverzeichnis erstellt werden sollte. Weitere Informationen dazu, ab wann ggf. davon ausgegangen werden kann, dass keine Pflicht besteht, erfahren Sie in diesem Artikel, der Ihnen die konkreten Bedingungen für das Aufstellen eines Verzeichnisses von Verarbeitungstätigkeiten zeigt. Datenschutz verfahrensverzeichnis verein in german. Ausnahmen gelten eigentlich nur für Kirchen, religiöse Vereinigung oder Gemeinschaften. Diese können eigene Regeln festsetzen, die aber im Einklang mit dem EU Gesetz gebracht werden müssen. Wer muss ein Verzeichnis von Verarbeitungstätigkeiten aufstellen und wer ist Verantwortlicher? Verantwortlicher für die Einhaltung des Datenschutzes und damit auch Aufstellung des Verfahrensverzeichnisses und Dokumentation der TOM ist der gesetzliche Vertreter des Vereins.
Grundsätzlich können sich Vereinsmitarbeiter im Rahmen mehrtägiger – je nach Komplexität der Verarbeitung auch mehrwöchige – Seminare als Datenschutzbeauftragter fortbilden lassen, gerade für größere Vereine empfiehlt sich aber die Benennung eines externen Datenschutzbeauftragten, der die nötigen juristischen, technischen und betriebswirtschaftlichen Fachkenntnisse mit sich bringt. Doch auch wenn ein Verein im Rahmen der DSGVO und des BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, kann es durchaus sinnvoll sein, einen internen oder externen Experten mit der Aufgabe zu betrauen, wie Marschall erklärt: "Der Verein muss alle Pflichten in der DSGVO umsetzen, beachten und die Einhaltung auch nachweisen können, ob mit oder ohne Datenschutzbeauftragten. " Zurück zur Rubrik: Recht
Früher sprach man von Verarbeitungsverzeichnis, heute heißt es offiziell Verzeichnis von Verarbeitungstätigkeiten. Das ist eine Auflistung, zum Beispiel in Ihrer Tabellenkalkulation, die alle Ihre Datenverarbeitungstätigkeiten umfasst. Diese Liste sollten Sie haben, denn Sie müssen sie haben. Gesetz! Wobei, das stimmt nicht ganz: Sie müssen dieses Verzeichnis lt. DSGVO haben, wenn Sie " nicht nur gelegentlich " Daten verarbeiten. Also im Prinzip immer. Aber die meisten Gesetze gibt es ja nicht ohne Grund. Datenschutz verfahrensverzeichnis verein. Diese Liste verschafft Ihnen selbst jederzeit einen Überblick, was in Ihrem Unternehmen oder in Ihrem Verein alles an Daten verarbeitet wird, was der Zweck ist, wer die Daten bekommt und so weiter. Überhaupt wäre es ja gut, wenn Sie wüssten, was Sie da eigentlich alles so haben, an Datenverarbeitung. Mit dieser Liste sind Sie zwar noch nicht bereit für eine ISO-Zertifizierung, aber es ist ja mal ein Anfang. Und, im Ernst, das ist weniger Aufwand, als Sie denken. Was steht drin? Die DSGVO fordert neben der Angabe, dass Sie der oder die Verantwortliche sind, nur um die 10 weitere Angaben zu jeder Verarbeitung.
30 Abs. 1 DSGVO zu erstellen und deutlich umfangreicher. Demnach müssen die wesentlichen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, wie z. B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger. Jedes Verzeichnis muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO beinhalten. Die Beschreibung sollte so konkret erfolgen, dass die Aufsichtsbehörde sich einen guten Überblick über die angewendeten Maßnahmen zur Informationssicherheit machen kann. Falls vorhanden, kann hier auf ein hierzu im Unternehmen vorhandenes Dokument verwiesen werden. Datenschutzanforderungen für Vereine | datenschutzexperte.de. Zusätzlich zu der Einstufung ist es empfehlenswert, eine Eintrittswahrscheinlichkeit eines Schadens und eine Schadenshöhe der jeweiligen Verarbeitungstätigkeit zu ermitteln. Von diesen Werten leitet sich ab, welche technischen und organisatorischen Maßnahmen überhaupt getroffen werden müssen, um die Daten angemessen zu schützen.
Welche Daten erhoben, gespeichert und verwendet werden dürfen, sollte in der Satzung des Vereins geschrieben stehen. Die Vereinssatzung beschreibt, welchen Zwecken und Zielen der Verein sich verschreibt und gilt demnach sozusagen als Vertragsverhältnis zwischen Mitgliedern und Verein. Alle Personen, die innerhalb des Vereins Zugang zu personenbezogenen Mitgliederdaten haben, sind verpflichtet eine Verschwiegenheitserklärung zu unterzeichnen, um die Vertraulichkeit der sensiblen Daten zu gewährleisten. Zusätzlich ist der Zugang auf diejenigen Daten zu beschränken, die von der Person unmittelbar für die Verarbeitung zu Vereinszwecken benötigt werden. So sollte z. B. der Sportleiter nicht auf die Bankdaten der Mitglieder zugreifen können. Alle Tätigkeiten bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen.