Die ordnungsgemäße Verarbeitung dieser Daten dokumentiert das Verarbeitungs- verzeichnis (Art. 30 DS- GVO). Dieses Verarbeitungsverzeichnis muss in jedem Verein vorliegen und jederzeit in gedruckter Form und/oder elektronisch verfügbar sein. Kein Verarbeitungsverzeichnis zu erstellen wäre der erste Verstoß gegen die Bestimmungen des Datenschutzes!
Den Grundprinzipien einer ordnungsgemäßen Datenverarbeitung wird immer dann genüge getan, wenn personenbezogene Daten möglichst sparsam erhoben und gespeichert werden. Es muss immer wieder die Frage gestellt und beantwortet werden: „Zu welchem Zweck (Art. 5 DS-GVO) benötigen wir Daten?“ Hilfreich sind dabei folgende Überlegungen:
- Welche Daten über unsere Teilnehmer besitzen wir bereits?
- Welche Daten benötigen wir?
- Sind die Daten aktuell?
- Welche Daten können wir löschen?
- Wie sind unsere Daten aufgehoben?
- Wer hat Zugang dazu?
Weiter muss für die Verarbeitung von Daten ein Rechtsgrund (Art. 6 DS-GVO) vorhanden sein. Dieser kann im Rechtsverhältnis zwischen Verein und Mitglieder bestehen (ein Sportverein kann ein Mitglied zu einem Wettkampf nur dann anmelden, wenn bestimmte Angaben über das Mitglied vorhanden sind und weiter gegeben werden dürfen). Ein weiterer Rechtsgrund besteht für den Verein aus gesetzlichen Aufbewahrungs- und Nachweispflichten (jeder Verein muss seine steuerlich relevanten Unterlagen aufbewahren, er darf also nicht Daten von Mitgliedern ohne weiteres löschen, auch wenn diese dies wünschen). Und der Verein kann ein sonstiges schützenswertes Interesse besitzen, Daten zu verarbeiten und z.B. aufzubewahren (Mitgliederlisten der letzten Jahrzehnte oder Fotodokumentationen früherer Veranstaltungen zu Archivierungszwecken oder zum Erstellen einer Jubiläumszeitschrift).
Zweck und Rechtsgrund sind wichtige Bestandteile eines Verarbeitungsverzeichnisses und müssen für jede Datenart (Kategorie der Daten) benannt werden können.
Ein Verarbeitungsverzeichnis muss folgenden Mindestinhalt besitzen:
- Name und Kontaktdaten des Verantwortlichen,
- Name und Kontaktdaten des Datenschutzbeauftragten (sofern erforderlich),
- Zweck der Verarbeitung (z.B. Abrechnung mit den Fördermittelgebern,
- Einladung zum Gruppentreffen),
- Rechtsgrundlage der Verarbeitung (z.B. Einwilligung)
- Kategorie der Betroffenen (z.B. Mitglieder, Mitarbeiter, Ehrenamtler ),
- Kategorie der personenbezogenen Daten (z.B. Name, Adresse,
- Geburtsdatum, Sozialversicherungsnummer),
- Verarbeitungstätigkeit (z.B. per Post, per E-Mail, per Telefon),
- externe Empfänger der Daten (z.B. Landesverband, Gemeine- oder Stadtverwaltung),
- voraussichtliche Löschung der Daten (z.B. Austritt eines Mitglieds, nach Ablauf von gesetzlichen Aufbewahrungspflichten).
- technische und organisatorische Maßnahmen zur Datensicherung.
Gute Vorlagen und Empfehlung bietet hier das Landesamt für Datenschutzaufsicht unter www.lda.bayern.de und
„Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine. Das Sofortmaßnahmen-Paket. Hg. Bayerisches Landesamt für Datenschutzaufsicht. C.H. Beck Verlag 5,50 €.
Rechtliches