Datenschutz im Verein Human & Environment e.V. im Rahmen der neuen Datenschutz-Grundverordnung

Ab dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz Grundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten nicht nur für „Unternehmen“ (Art. 4 Nr. 18 DS-GVO), sondern für alle natürlichen und juristischen Personen – auch für Vereine. Die meisten der geltenden Vorschriften sind aber nicht neu, sondern ergaben sich schon bisher aus dem BDSG.

Welche Daten werden geschützt?

Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In unserem Verein betrifft das vor allem Mitglieder, daneben aber auch Spender, Lieferanten usf. Typischerweise erheben wir Name und Anschrift, Geburtsdatum, Eintrittsdatum, Bankverbindung u.ä. All das sind personenbezogene Daten. Die Art der Erfassung (digital oder auf Papier) spielt keine Rolle. Der Datenschutz bezieht sich auf das Erheben, Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen (jede Verwendung) von Daten.

Erlaubnis

Die Betroffenen müssen die Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Das ist nicht erforderlich, wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden müssen. Die für die Mitgliederverwaltung erforderlichen Daten dürfen in jedem Fall verwendet werden. Das gleiche gilt, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Das gilt z.B. für Spender. Hier müssen die Zuwendungsbescheinigungen mit ihren Daten 10 Jahre aufbewahrt werden.

Zuständigkeit

Zuständig für den zum Schutz personenbezogener Daten ist der Vorstand. Da in unserem Verein nicht mehr als fünf Personen mit der Datenverarbeitung beschäftigt sind, müssen wir keinen Datenschutzbeauftragten bestellen. Bestellt wird der Datenschutzbeauftragte in der Regel durch den Vorstand. Er muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. (§ 4 f Abs. 2 BDSG). Dazu gehören neben Kenntnissen über den Verein auch Grundkenntnisse im Datenschutzrecht. Die Personen, die mit der Datenverarbeitung befasst sind, müssen auf das Datengeheimnis verpflichtet werden. Dazu erarbeitet unser Verein ein entsprechendes Merkblatt und wird es per Unterschrift bestätigen lassen.

Umgang mit Daten

Unser Verein nutzt die von ihm gesammelten Daten nur im Rahmen des BDSG. Die Datenschutzbestimmungen können nicht per Satzung eingeschränkt werden. Das Erheben, Speichern, Ändern oder Übermitteln personenbezogener Daten oder ihre Nutzung ist nur zulässig, wenn dies für die Erfüllung des Vereinszweckes erforderlich ist. Das gilt insbesondere für Anschrift und Bankdaten der Mitglieder.

Nach § 4 Abs. 3 BDSG muss der Betroffene über die folgende Umstände informiert werden:

• die Identität der verantwortlichen Stelle (= unser Verein)
• die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und über die Empfänger, soweit die Daten weitergeleitet werden und er nicht mit einer Übermittlung zu rechnen hatte.
• Beim Vereinsbeitritt holen wir eine entsprechende Einverständniserklärung ein.
• Übermittlung von Daten: Teilweise müssen wir Daten unserer Mitglieder weitergeben: Weitergabe an andere Mitglieder: i.d.R. nur im Sonderfall; das ist vor allem das Minderheitenbegehren nach § 37 BGB: Das Gesetz gibt in § 37 BGB einer Minderheit von Vereinsmitgliedern das Recht, die Einberufung einer Mitgliederversammlung (meist als außerordentliche Mitgliederversammlung bezeichnet) zu verlangen und sie auch gegen den Willen des Einberufungsorgans (normalerweise der Vorstand) zu erzwingen. Dieses Recht kann durch die Satzung nicht ausgeschlossen werden.
• Veröffentlichung von Daten: Die Veröffentlichung (Rundbriefe) ist zulässig, wenn sie dem Vereinszweck dient, z.B. bei Veranstaltungen.
• Eine Veröffentlichung im Internet wird nicht erfolgen. Die Veröffentlichung personenbezogener Daten durch einen Verein im Internet ist grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat.
• Die Weitergabe zu Werbezwecken darf nur mit Zustimmung des jeweiligen Mitglieds erfolgen.

Widerspruchs- und Auskunftsrecht

Grundsätzlich erheben wir keine personenbezogenen Daten, speichern oder geben sie weiter, wenn wir nicht über eine Einwilligung verfügen oder eine entsprechende Rechtsgrundlage besteht. Diese Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Zentraler Punkt des Datenschutzes ist zudem das Recht des Betroffenen auf Auskunft. Er muss darüber informiert werden, in welchem Umfang Daten von ihm gespeichert sind. Dieses Auskunftsrecht ist in Artikel 15 der DS-GVO zweistufig ausgestaltet. Danach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob (= 1. Stufe) überhaupt Daten verarbeitet werden. Ist dies der Fall, hat die Person ein Recht auf Auskunft über diese personenbezogenen Daten (= 2. Stufe). Hier besteht auch das Recht auf unentgeltliche Überlassung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Wenn das Mitglied feststellt, dass die gespeicherten Daten nicht korrekt sind, hat es ein Recht auf Berichtigung (beispielsweise Namensänderung). Die Mitglieder haben in den folgenden Fällen ein Recht auf Vergessen (d.h. die Löschung der Daten):

• Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
• Die betroffene Person widerruft ihre Einwilligung.
• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Ein weiteres Recht der Mitglieder und betroffenen Personen und damit eine Verpflichtung für uns besteht in der Benachrichtigungspflicht bei der Verletzung datenschutzrechtlicher Verpflichtungen. Diese Verpflichtung besteht nur dann nicht, wenn der Verein im Vorfeld die geeigneten technischen und organisatorischen Maßnahmen ergriffen hat.

Beispiel: Es wurde in die Geschäftsstelle eingebrochen und der Computer mit den Mitgliederdaten wurde gestohlen. Die Benachrichtigungspflicht entfällt, wenn der Computer mit einem Passwort geschützt war und die Daten verschlüsselt waren.

Datenübertragbarkeit

Neu ist in der DS-GVO das Recht auf Datenübertragbarkeit (Art. 20). Die betroffene Person hat danach das Recht, die sie betreffenden personenbezogenen Daten in einem gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf Datenübertragbarkeit beinhaltet, dass diese Daten beispielsweise einem anderen Verein übermittelt werden. Verzeichnis der Verarbeitungstätigkeiten Die DS-GVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Das gilt auch für kleinere Vereine, da die Datenverarbeitung nicht nur gelegentlich erfolgt (Art. 30 Abs. 5 DS-GVO). Es umfasst folgende Punkte:

Namen und Kontaktdaten des Verantwortlichen:

Ansprechpartner: Vorsitzende Barbara Chavez Ramirez, Worpsweder Str. 76, 28215 Bremen 0421-3466122, info@human-and-environment.org

Verarbeitungstätigkeiten: „Mitgliederverwaltung“; zum Zwecke Beitragserhebung, Einladungen zu Veranstaltungen.)

Kategorien: Es sind dies „Mitglieder“, „Paten“ usf. Die Kategorien der Daten ergeben sich aus den Daten selbst (Anschrift, Geburtsdatum, Bankdaten etc.).

Die Daten werden verarbeitet mit folgenden Programmen:

• Linear Vereinsverwaltung (Mitgliederverwaltung, Beitragsverwaltung, Buchhaltung)
• Standardprogramme, wie Microsoft WORD, Excel.

Bußgeldvorschriften

Drastische Änderungen enthält die DS-GVO bei der Höhe der Bußgelder. Im Extremfall können bis zu 40 Mio. Euro anfallen. Damit soll eine abschreckende Wirkung erzielt werden. Natürlich werden bei Vereinen im Fall von Verstößen keine so dramatischen Beträge fällig, vier- bis fünfstellige Bußgelder sind aber denkbar. Nach Artikel 82 der DS-GVO haben Personen, die wegen eines Verstoßes gegen die Verordnung einen immateriellen Schaden erleiden, einen Schadensersatzanspruch. Ein solcher immaterieller Schaden kann beispielweise in einer Rufschädigung bestehen.