Datenschutz in
Mitgliederorganisationen wie Verbänden und Kammern
Mit der Datenschutz-Grundverordnung (EU-DSGVO oder DSGVO) erhielt die Europäische Union mit Stichtag zum 25.05.2018 ein einheitliches Datenschutzgesetz. Sie gilt nicht nur für Unternehmen und Institutionen, sondern auch für Mitgliederorganisationen wie Verbänden und Vereinen. Welche Änderungen bringt die DSGVO konkret für Mitgliederorganisationen? Gibt es Möglichkeiten, den Datenschutz effektiv in den Alltag eines Verbands zu integrieren? Wir geben Ihnen Tipps zur Implementierung der EU-DSGVO in Ihren Verband.
Datenschutz ist in Europa nicht neu
Schon vor der DSGVO regelte die europäische Datenschutz-Richtlinie europaweit den Datenschutz. Jedoch haben zahlreiche Mitgliedsstaaten deren Inhalte nie wirklich umgesetzt. Ein einheitliches Schutzniveau suchte man in Europa vergeblich. Genau dies war das Ziel der EU, als mit der DSGVO ein Mindeststandard für den Datenschutz entstand.
Im Vorteil sind jene Organisationen, die bereits vor der DSGVO datenschutzkonform gearbeitet haben. Hier sind insbesondere Anpassungen der Transparenzregelungen notwendig, etwa um die Informationspflichten gemäß Art. 13 und 14 DSGVO anzuwenden. Die DSGVO hält jedoch auch Neuerungen bereit, Beispiele sind die Datenschutz-Folgeabschätzung oder das Verzeichnis für Verarbeitungstätigkeiten.
Technisch-organisatorisches Maßnahmenkonzept
Für den Datenschutz in Mitgliederorganisationen sind technisch-organisatorische Maßnahmen (TOMs) zu ergreifen, die dem Schutz personenbezogener Daten dienen. Idealerweise kennt auch die Software, die Sie im Verband nutzen, solche TOMs. Hierzu gehören etwa:
- Zugriffsmanagement: Mitarbeiter können nur auf jene Daten zugreifen, die sie für ihre Arbeit benötigen.
- Verfügbarkeitsmanagement: Alle Maßnahmen, die bei der Datensicherung zum Schutz der Daten ergriffen werden.
- Kommunikationsmanagement: Beispielsweise beim Versenden von E-Mails wird Verschlüsselung eingesetzt.
Maßnahmenkonzepte dieser Art erstellen Sie am besten zusammen mit Ihrer IT-Abteilung oder Ihrem IT-Dienstleister. Dokumentieren Sie Ihr Maßnahmenkonzept und machen Sie es sich zur Regel, die Maßnahmen technischer Natur regelmäßig zu überprüfen. Die DSGVO trägt dem Umstand Rechnung, dass sich technische Schutzmaßnahmen weiterentwickeln.
Löschkonzepte und Transparenzpflichten
Mit Art. 17 DSGVO werden Verbände verpflichtet, die Betroffenenrechte zu wahren. Mithilfe eines Löschkonzepts können Verbände Maßnahmen beschreiben, wann welche Daten gelöscht wurden. So lässt sich beispielsweise festlegen, dass die Mitgliederdaten nach Ausscheiden des Mitglieds zu löschen sind, jedoch müssen die Rechnungsdaten entsprechend der Aufbewahrungsfristen archiviert werden. Somit sind die Daten dem Archiv zu überführen, wobei das Archiv einer anderen Löschklasse entspricht. Wieder ist eine enge Zusammenarbeit mit der IT empfehlenswert, da das Löschkonzept über die Software umgesetzt werden muss.
Übrigens: Unsere CRM-Software für Verbände inkludiert eine sichere Datenverwaltung gemäß den Vorschriften der EU-DSGVO. Das erleichtert Ihre Dokumentation immens!
Eine Dokumentation müssen Verbände auch zum Nachkommen ihrer Informationspflichten führen. Schrieb das Bundesdatenschutzgesetz früher lediglich vor, dass sich betroffene Personen Auskunft über gespeicherte Daten einholen können, sieht die DSGVO vor, dass Verbände Betroffene von sich aus informieren. Konkret verpflichten Art. 13 und 14 DSGVO dazu, bei Datenerhebungen den Betroffenen zu informieren. Ein Beispiel soll verdeutlichen:
Ihr Verband bietet ein Seminar an. Im Rahmen der Eingangsbestätigung ist der Seminarteilnehmer darüber zu informieren, welche zentralen Datenschutzprozesse der Verband abbildet. In der Praxis können Sie beispielsweise bei einer Bestätigung des Seminars einen Link setzen, der auf Ihre Website mit entsprechenden Angaben verweist.
Erste Hilfe: So wird Ihr Verband DSGVO-konform
Haben Sie die Thematik Datenschutz bislang aufgrund der Komplexität beiseitegelegt, helfen Ihnen die folgenden Tipps:
- Ist-Analyse: Welche personenbezogenen Daten verarbeitet Ihr Verband? Beachten Sie nicht nur Mitglieder-, sondern auch Sponsoren-, Partner- und Mitarbeiterdaten. Im Anschluss interessiert das Wie: In welchen Prozessen verarbeiten Sie personenbezogene Daten? Hier hilft das Verfahrensverzeichnis.
- Verfahrensverzeichnis: Sie dokumentieren sämtliche Prozesse, die mit der Verarbeitung von personenbezogenen Daten einhergehen. Mit dem Verfahrensverzeichnis erhalten Sie erste Hinweise möglicher Sicherheitslücken in Ihren Verband – beispielsweise ungesicherte Backups oder unverschlüsselter E-Mail-Versand.
- Rechtmäßigkeit der Verarbeitung: In 6 DSGVO wird darüber aufgeklärt, wann eine Verarbeitung rechtmäßig ist. Dies ist unter anderem bei der Ausführung des Vertrags der Fall. Wichtig: Verbandsmitgliedschaften selbst gelten immer als Vertrag. Jedoch sind hier weitere Gesetze zu beachten. Entnehmen Sie beispielsweise § 147 der Abgabenordnung Ihre Archivierungspflichten oder dem § 7 UWG mögliche wettbewerbsrechtliche Grundsätze.
- Einwilligungen: Für die meisten Datenverarbeitungen ist man auf Einwilligungen der Betroffenen angewiesen. Diese lässt sich mit der DSGVO auch elektronisch, also per E-Mail erbitten.
Und wie ist das mit dem Datenschutzbeauftragten?
Am 20. September 2019 verabschiedete der Bundesrat das 2. DSAnpUG (Datenschutz-Anpassungs- und Umsetzungsgesetz EU). Damit gibt es eine Erleichterung bei der Verpflichtung für die Bestellung des Datenschutzbeauftragten (DSB) in kleineren Organisationen: Sind mindestens zehn Personen im Verband ständig mit dem automatisierten Verarbeiten personenbezogener Daten beschäftigt, ist der Verband zum Bestimmen eines Datenschutzbeauftragten verpflichtet. Achtung: Der Begriff „Personen“ umfasst nicht nur interne und feste Mitarbeiter, sondern auch freie. Der DSB kann intern bestimmt werden oder von extern bestellt.
Gehört Ihr Verband zu den öffentlich-rechtlichen Mitgliederorganisationen, so müssen Sie gemäß § 5 Abs. 1 BDSG neu immer einen Datenschutzbeauftragten benennen. Auch wenn Ihr Verband zu jenen gehört, die regelmäßig besondere Kategorien personenbezogener Daten verarbeiten, sind Sie zur Bestellung eines DSB verpflichtet. Solche besonderen Kategorien sind etwa Gesundheitsdaten oder die Gewerkschaftszugehörigkeit.
KDG: Gesetz über Kirchlichen Datenschutz
Mit dem KDG gibt es ein weiteres rechtlich bindendes Werk, welches speziell den Datenschutz im kirchlichen Umfeld regelt. Das KDG ist weitestgehend mit den Regelungen der DSGVO übereinstimmend und gilt wortgleich für jedes Bistum. Kirchliche Stellen wie Bistümer, Kirchenstiftungen, -gemeinden oder -gemeindeverbände sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Bei Caritas, Stiftungen, kirchlichen Körperschaften sowie sonstigen kirchlichen Einrichtungen und Rechtsträgern gilt das oben beschriebene: Ein DSB ist erst ab zehn Mitarbeitern notwendig.
Weiterführende Links – Hilfe für Mitgliederorganisationen
Der Datenschutz in Mitgliederorganisationen findet besondere Beachtung, da es sich nicht um klassische Unternehmen handelt. Dementsprechend finden Vereine und Verbände diverse Hilfestellungen im Netz. Einige stellen wir Ihnen im Folgenden vor:
- FAQ: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bietet auf seiner Website eine FAQ zur DSGVO in Vereinen.
- Muster-Verzeichnis von Verarbeitungstätigkeiten: Ebenfalls vom BayLDA wird ein Muster-Verzeichnis für Verarbeitungstätigkeiten (PDF) zur Verfügung gestellt.
- Checkliste: Die Checkliste vom BayLDA (PDF) hilft Ihnen durch zehn Fragen, zu erkennen, womit sich Ihre Mitgliederorganisation bezüglich des Datenschutzes noch auseinandersetzen sollte.
- Orientierungshilfe für Vereine: Der baden-württembergische Landesdatenschutzbeauftragte bietet eine 30-seitige Orientierungshilfe zum Datenschutz (PDF), die speziell auf Vereine zugeschnitten ist.
- Praxisratgeber: Aus dem selben Hause stammt der Praxisratgeber (PDF), der neben allgemeinen Informationen auch hilfreiche Muster bietet.
Mitgliederorganisationen wie Verbänden und Kammern