EU-Datenschutzgrundverordnung: Jeder Verein sollte mit der Umsetzung beginnen

Bei einem Runden Tisch zum Thema Datenschutzgrundverordnung in die Bayerischen Staatskanzlei sollten offene Fragen zur DSGVO geklärt und damit die Unsicherheit und die Verunsicherung im Ehrenamtsbereich minimiert werden. Die Ergebnisse sind für alle Vereine interessant.   Lief ab am 05.10.2018

Der Leiter der Staatskanzlei Dr. Florian Herrmann hat Vertreter der bayerischen Spitzenverbände zu einem Runden Tisch zum Thema Datenschutzgrundverordnung in die Staatskanzlei eingeladen. Ziel war es, im direkten Kontakt mit dem Präsidenten des Landesamtes für Datenschutzaufsicht Thomas Kranig offene Fragen zur DSGVO zu klären und damit die Unsicherheit und die Verunsicherung im Ehrenamtsbereich zu minimieren. 

In seinem Eingangsstatement betonte Kranig, dass die ehrenamtlich geführten Vereine nicht im Fokus von Prüfungen und Sanktionen stehen, die für die Vereine zuständige Behörde muss jedoch Beschwerden nachgehen. Kranig betonte, dass 3 % aller beim Landesamt eingehenden Beschwerden den Vereinsbereich betreffen und zum allergrößten Teil durch ehemalige Vereinsmitglieder initiiert wurden, die noch eine Rechnung mit dem Verein begleichen wollen. Deswegen mahnt der LDA-Präsident alle Vereine, mit der Umsetzung der Datenschutzgrundverordnung zu beginnen!

Der von der Bayerischen Staatskanzlei beschlossene „Bayerische Weg“, der im Vereinsbereich keinen Datenschutzbeauftragten und bei Erstverstößen keine Bußgelder vorsieht, sei mit seiner Behörde abgestimmt und spiegelt die geplante Vollzugspraxis des Landesamtes wieder. Ziel des Landesamtes ist es, Vereinen und kleinen Unternehmen Beratungsmöglichkeiten zu bieten. Dazu gibt es auf der Homepage des Landesamtes (www.lda.bayern.de) bereits Informationen, die in den nächsten Wochen noch um FAQs und auch Informationen zur Fotonutzung ergänzt werden. Zudem soll eine spezielle Hotline für Vereine eingerichtet werden.

Facebook

Auch zum Thema „Facebook-Fanpages“ hat sich der Präsident des Landesamtes geäußert. Er empfiehlt allen Vereinsvorsitzenden, Geduld zu üben und die Entwicklung der nächsten Wochen abzuwarten: „Nutzen Sie weiterhin Ihre Fanpages, da wir aktuell auch nicht wüssten, was wir Ihnen bzgl. Facebook raten sollen. Seien Sie aber insgesamt achtsam mit dem, was Sie auf Facebook posten“. Kranig geht davon aus, dass Facebook auf das Urteil des EU-GH reagieren wird. Sobald es hier Neuerungen wird das Landesamt entsprechend informieren und die Verbände diese Informationen zeitnah weiterleiten. 

Technische und organisatorische Maßnahmen

Besonderes Augenmerk sollten die Vereine aber auf den Zugangsschutz der personenbezogenen Vereinsdaten legen. Hier ist ein “Zugangsschutz“ (Passwort) auch gegenüber Familienmitgliedern zu gewährleisten. Dies kann durch einen zweiten Nutzer oder durch Passwortschutz des Vereinsverwaltungsprogramms und einzelner Dateien gewährleistet werden. Je sensibler die gespeicherten Daten sind, um so höher sollte der Schutz gewährt werden.

Zwingende Voraussetzung für den Schutz von personenbezogenen Vereinsdaten ist die Nutzung eines Antivirenprogramms und einer Firewall!

Löschfristen/Chronik

Aufgrund der Aufbewahrungspflicht von Buchhaltungsunterlagen von 10 Jahren empfiehlt das Landesamt für Datenschutzaufsicht nun, die Löschfristen allgemein auf 10 Jahre festzulegen. Dies soll demnächst auch im Muster „Verarbeitungsverzeichnis“ des Landesamtes angepasst werden (aktuell stehen dort 2 Jahre). 

Namen von Vereinsmitglieder und statistische Daten (Eintritt, Austritt) können für Zwecke der Chronik auch über die 10 Jahre hinaus genutzt werden.

Vereinsnewsletter

Die derzeitige Praxis vieler Vereine und Firmen im Bereich des Newsletters bezeichnet der LDA-Präsident als „unsinnig und überflüssig“. Der Altbestand der Newsletter-Daten kann problemlos weitergenutzt werden. Neue Newsletter-Abonnenten müssen jedoch über Double-Opt-In in den Newsletter aufgenommen werden oder anderweitig entsprechend informiert werden, wenn die Daten „über Papier“ in den Newsletter-Verteiler aufgenommen werden sollen. 

Datenschutzverletzungen

Als heftige Form einer Datenschutzverletzung bezeichnet Präsident Kranig den Verlust von ungeschützten und nicht-verschlüsselter USB-Sticks, Handys, Tablets oder LapTops oder das Wegwerfen von solchen Geräten und PC, bei denen die Festplatte nicht fachgerecht gelöscht wurde! Zudem ist es ein Datenschutzverstoß, wenn Mitgliederdaten unverschlüsselt an falsche Empfänger versendet wurden.

Auch wenn der reine Versand unverschlüsselter Mitgliederlisten kein Verstoß gegen die DSGVO ist, empfiehlt der LDA-Präsident Mitgliederlisten nur noch verschlüsselt zu versenden oder über DSGO-konforme Clouds auszutauschen!

Hinweis: Diese Informationen finden Sie auch im Großen Ratgeber unter "Rechtliche und gesetzliche Hintergrundinformationen / Europäische Datenschutzgrundverordnung (EU-DSGVO)".

Hinweis: Inzwischen wurden im Auftrag der Ehrenamtsbeauftragten für Bayern, Frau Gudrun Brendel-Fischer, Tipps für Vereine auf https://www.ehrenamtsbeauftragte.bayern.de/aktuelles/ehrenamt-aktuell/index.php#5Tipps veröffentlicht


Von: Geschäftsstelle, 05.07.2018

« zurück

Nach oben