1
Leitfaden
Das neue Datenschutzrecht
Datenschutz-Grundverordnung EU
Bundesdatenschutzgesetz 2018
Rechtsanwalt Christian Heieck
Weiherstraße 6
72213 Altensteig
Tel.: 07453/1677
Fax: 07453/955 45 96
kanzlei@rechtsanwalt-heieck.de
Stand: 13.04.2018
2
Inhalt:
I. Einführung S. 3 - 4
II. Praktischer Datenschutz, nach DS-GVO
notwendige Maßnahmen S. 4 - 6
III. Einwilligung und Erlaubnistatbestände für
den Datenschutz S. 6 - 7
IV. Grundsätze S. 7
V. Datenschutz- und Kinderschutzgesetz S. 8
VI. Hilfestellungen S. 8 - 9
VII. Muster und Vorlagen S. 10 - 23
3
I.
Datenschutz ist nicht neu. Auch in Vereinen nicht. Das erste Datenschutzgesetz des
Bundes trat 1977 in Kraft und hatte das hessische Landesdatenschutzgesetz von 1970
und das schwedische Datenschutzgesetz von 1973 zu Vorbildern.
Auch die Rechtsprechung war schon früh mit Datenschutzfragen befasst; das
Verwaltungsgericht Stuttgart veranlasste schon vor über 40 Jahren, eine Entscheidung
des Europäischen Gerichtshofs durch Vorlage, die datenschutzrechtliche Fragen zum
Gegenstand hatte.
Auch die Vereine und Chöre des SCV setzten sich im Laufe der Zeit mehr und mehr
mit datenschutzrechtlichen Fragen auseinander; man wird aber einräumen müssen,
dass bis vor nicht allzu langer Zeit der Datenschutz in der Wahrnehmung der Vereine
ein Schattendasein geführt hat.
Das ändert sich jetzt – schlagartig. Schlagartig deshalb, weil zwar in der
Presseberichterstattung und im Internet schon seit einigen Jahren die Vorbereitung
des neuen Rechts begleitet und kommentiert wird, die Neuerungen jedoch in der
Praxis bisher kaum vorbereitet und umgesetzt worden sind. Anfang 2012 legte die
Europäische Kommission den offiziellen Entwurf einer Datenschutz-Grundverordnung
vor, die dann am 04.05.2016 im Amtsblatt der Europäischen Union als DS-GVO
bekannt gemacht wurde. Die von den Neuregelungen angesprochenen
Verantwortlichen befassen sich erst seit kurzer Zeit mit diesem Thema, woraus aus
deutlich wird, dass vielerorts der Umgang mit dem Datenschutzrecht in unseren
Vereinen bisher eine geringe Priorität hatte.
Die DS-GVO ist eine Verordnung der Europäischen Kommission, die unmittelbar in
Deutschland Anwendung findet und nicht etwa in nationales Recht umgesetzt werden
muss. Das neue, ebenfalls am 25.05.2018 in Kraft tretende Bundesdatenschutzgesetz
regelt nur die Bereiche, die die Datenschutz-Grundverordnung der EU nicht regeln
wollte oder nicht geregelt hat.
Jeder Mensch soll das Recht und die Freiheit haben, selbst zu entscheiden, wer wann
welche seiner persönlichen Daten erheben, verarbeiten, nutzen und weitergeben darf
(Recht auf informationelle Selbstbestimmung).
Dieses individuelle Recht ist nach der Rechtsprechung des
Bundesverfassungsgerichts als Ausdruck der allgemeinen Handlungsfreiheit als
Datenschutz-Grundrecht zu verstehen und zu behandeln, welches zwar nicht
ausdrücklich in der Verfassung erwähnt ist, wohl aber in Artikel 8 der EU-Grundrechte-
Charta. Es ist Ausdruck auch des allgemeinen Persönlichkeitsrechts und damit des
Artikels 2 Abs. 1 des Grundgesetzes.
Vereine sind grundsätzlich dem Datenschutz in gleicher Weise verpflichtet wie
Privatpersonen und Unternehmen. Datenschutz richtet sich also „an alle“, die mit der
Verarbeitung personenbezogener Daten umgehen. Ausnahme: Die Ausübung
ausschließlich persönlicher oder familiärer Tätigkeiten (Haushaltsausnahme).
4
Also auch der Verein. Auch er ist „Adressat“ der Verordnung. Zur Erfüllung der
Pflichten, die sich aus der Verordnung ergeben, muss er sich der zuständigen
Personen bedienen, also derjenigen, die im Verein – in der Regel im Vorstand – für
die Datenverarbeitung verantwortlich sind bzw. gemacht wurden. In diesem
Zusammenhang könnte das Amt des Schriftführers eine „Renaissance“ erfahren, da
die Datenverwaltung im Verein angestammter Weise zu den Zuständigkeiten des
Schriftführers gehört oder gehören könnte.
Gegenstand des Datenschutzes sind die personenbezogenen Daten. Also die Daten
einer natürlichen, nicht jedoch einer juristischen Person. Die Daten des Vereins sind
also nicht geschützt; der Verein hat die Daten seiner Mitglieder zu schützen. Die Daten
Verstorbener werden von der Datenschutz-Grundverordnung nicht geschützt. Es
können sich aber – beispielsweise im Bereich des digitalen Nachlasses – erhebliche
Probleme, auch erbrechtlicher Art, ergeben, die jedoch außerhalb der DS-GVO
entstehen und gelöst werden müssen. Daraus kann sich auch im Einzelfall eine
Löschungspflicht hinsichtlich der Daten Verstorbener für den Verein ergeben.
II.
Der praktische Datenschutz im Verein
Größe, Aufgabenbereich, finanzielle Ausstattung in Vereinen sind äußerst
unterschiedlich. Es gibt große Vereine mit mehreren tausend Mitgliedern, solche, die
eine Bilanzsumme von mehr als einer Milliarde Euro haben, solche, die über das ganze
Bundesgebiet verteilt oder sogar im Ausland tätig sind. Umfang und Umgang mit
Mitgliederdaten sind entsprechend unterschiedlich.
Der klassische Gesangverein hat zwischen 50 und 300 Mitgliedern, in der Regel einen
vierköpfigen Vorstand (Vorsitzender, Stellvertreter, Kassier und Schriftführer) und
einen oder mehrere Chorleiter. Die Mitgliedsbeiträge werden i. d. R. vom Kassier
verwaltet, die Mitgliedsdaten nicht selten ebenso, oder aber vom Schriftführer. Wenige
Vereine haben eine Vereinszeitung, immer mehr eine Homepage.
Aus diesem Tätigkeits- und Aufgabenumfang ergeben sich auch die anfallenden,
notwendigen Arbeiten mit den Daten des Vereins und seiner Mitglieder. An erster
Stelle steht die Verwaltung der Mitgliederdaten. Sodann ist die Verwaltung der
Mitgliedsbeiträge zu erwähnen. Die Mitgliederdaten werden – zunehmend über EDVProgramme
– verarbeitet und an die Dachverbände (Regionalchorverbände,
Schwäbischer Chorverband, Deutscher Chorverband) weitergemeldet.
Mitgliederdaten, auch Bilder, werden in der Vereinszeitung und auf der Homepage des
Vereins veröffentlicht und auch im Sinne einer Auftragsweitergabe an Cloud-Dienste
oder externe Buchhaltungen weitergegeben.
Im durchschnittlichen Verein sind weit weniger als zehn Personen mit der Erfassung
und Verarbeitung von Daten befasst. Deshalb wird ein Datenschutzbeauftragter nach
DS-GVO in aller Regel nicht benötigt. Die Bestimmung eines für den Datenschutz
Zuständigen sicher notwendig.
5
Solchermaßen beschrieben und umrissen, ergeben sich für den Verein aus der neuen
Datenschutz-Grundverordnung (DS-GVO) folgende Anforderungen. Was in der DSGVO
gefordert wird, gilt nicht für kleinere Vereine des oben beschriebenen Umfangs
(nahezu 100 % der Vereine des Schwäbischen Chorverbandes). Bei jeder
Anforderung ist vermerkt, ob sie von einem kleinen Verein erfüllt werden muss oder
nicht:
1. Verarbeitungsverzeichnis (Art. 30 DS-GVO) – nicht erforderlich,
aber sehr sinnvoll –
Das Verarbeitungsverzeichnis gibt den Ist-Zustand des Umgangs mit den Daten des
Vereins wieder. Es ist vom Verantwortlichen (zuständiges Vorstandsmitglied für die
Datenverarbeitung) zu führen (schriftlich oder elektronisch) und bei Änderungen zu
aktualisieren. Ein Muster ist in der – Anlage 1 – beigefügt.
2. Datenschutzbeauftragter (Art. 37 I DS-GVO) – nicht erforderlich –
Ein Datenschutzbeauftragter ist nur erforderlich, wenn zehn oder mehr Personen
ständig mit der automatisierten Verarbeitung personenbezogener Daten in einem
Verein beschäftigt sind.
Allerdings ist ein Mitglied des Vorstandes als im Verein für den Datenschutz
Verantwortlicher zu bestimmen und zu verpflichten. Die Beschreibung des Umfangs
der Verantwortung muss im Geschäftsverteilungsplan des Vorstandes niedergelegt
sein und der Verpflichtungserklärung entsprechen.
Das Muster einer Verpflichtungsanweisung ist als Anlage 2 beigefügt.
3. Informations- und Auskunftspflichten – erforderlich –
Die DS-GVO nennt Verantwortliche und betroffene Personen. Betroffene Personen
sind all jene, deren personenbezogene Daten von den Verantwortlichen erfasst und
verarbeitet werden. Also i. d. R. die Vereinsmitglieder. Ihre Daten sind diejenigen, mit
denen sie „identifiziert“ werden können (also Name, Anschrift, Geburtstag,
Kontoverbindung etc.). Diese Personen haben Anspruch darauf, zu erfahren, welche
Daten von ihnen erhoben und welche und wie diese verarbeitet werden. Diese
Auskunft ist vom Verein in der Satzung, aber auch auf der Homepage leicht erreichbar
verfügbar zu halten. Daneben haben alle betroffenen Personen das Recht, jederzeit
Auskunft über die Verarbeitung ihrer Daten zu erhalten.
In der Anlage finden Sie eine entsprechende Formulierung für Satzung (Anlage 3)
und Homepage (Anlage 4).
4. Datenschutz-Verpflichtungserklärung – erforderlich -
Die mit der Erhebung und Verarbeitung von Daten Verantwortlichen müssen auf die
gesetzeskonforme Durchführung ihrer Tätigkeit verpflichtet werden. Dies geschieht
durch ein Informationsblatt, welches von den mit Datenschutztätigkeiten befassten
Mitgliedern oder Mitarbeitern zu unterzeichnen ist. Eine solche Datenschutz-
Verpflichtung befindet sich in der Anlage 5.
6
5. Sicherheit der Datenverarbeitung im Verein, Art. 32 DS-GVO, Art. 5 (1) f. – in
der Regel sind Standardmaßnahmen ausreichend –
Schon jetzt und über datenschutzrechtliche Anforderungen hinaus gibt es Regeln über
den Umgang mit Passwörtern, Backups, Virenscanner, Beschränkung von
Benutzerrechten etc. Mehr wird im Verein in Sachen Datensicherheit nicht verlangt.
Selbstverständlich ist weiterhin sicherzustellen, dass die Daten nicht von Unbefugten
gelesen, Verzeichnisse nicht geöffnet werden können etc. Die DS-GVO stellt für
Vereine insoweit keine neuen Forderungen auf. Die Überprüfung und Unterstützung
der technischen Datensicherung eines IT-Fachmannes ist zu empfehlen.
6. Aufbewahrungsfristen und Löschung
Es gibt keine spezifischen Fristen von der DS-GVO, nach denen gespeicherte Daten
gelöscht werden müssen. Es gilt – wie bisher - der allgemeine Grundsatz, dass Daten
nur solange verwaltet werden dürfen, wie die Einwilligung es Betroffenen dauert,
solange und soweit die Daten zur Erfüllung des Vereinszwecks erforderlich sind und
solange das Vereinsmitglied dem Verein angehört. Das Steuerrecht kennt
Aufbewahrungsfristen für Belege und Buchhaltungsvorgänge; diese sind ebenfalls zu
beachten.
Löst sich ein Verein auf oder ändert er den Vereinszwecks, so sind die Daten zu
löschen, die für die neue Aufgabe oder nach Ende des Vereins nicht mehr benötigt
werden.
7. Meldung bei der Verletzung von Datenschutzbestimmungen – erforderlich –
Kommt es zur Verletzung von datenschutzrechtlichen Bestimmungen (unkontrollierter
Datenverlust oder Weitergabe an Dritte, Datendiebstahl etc.), ist der Vorgang dem
Landesdatenschutzbeauftragten Baden-Württemberg für den Datenschutz zu melden.
Dafür wird dort eine Online-Prozedur zur Verfügung gestellt.
8. Vertrag bei Weitergabe von Daten an Dritte – erforderlich –
Werden Daten an Externe weitergegeben (Steuerberater, Zustellservice für
Fachzeitschriften etc.), ist mit diesen ein schriftlicher Vertrag zur Auftragsverarbeitung
abzuschließen. Auf diese Weise wird sichergestellt, dass die Externen sich zum
gleichen Umgang mit den zur Verfügung gestellten Daten verpflichten, die der Verein
selbst zu erfüllen hat. Ein Muster findet sich in der Anlage 6.
III.
Einwilligung und andere Berechtigungen für die Erhebung und Verarbeitung von
Daten:
Dem Datenschutzrecht liegt ein Verbot zugrunde, nämlich das Verbot, fremde Daten
zu erheben, zu speichern und zu verarbeiten sowie weiterzugeben. Unter bestimmten
Voraussetzungen, die in Art. 6 DS-GVO geregelt sind, ist der Umgang mit diesen
Daten erlaubt („Verbot mit Erlaubnisvorbehalt“).
7
Für Vereine wichtig sind folgende Erlaubnistatbestände:
a) Einwilligung der betroffenen Person (aktiv, freiwillig)
- Anlage 7: Muster einer Einwilligungserklärung -
b) Verarbeitung zur Wahrung der berechtigten Interessen des Vereins in Erfüllung
seiner Aufgaben (Art. 6, 1f DS-GVO)
c) Zur Erfüllung eines Vertrages mit einer betroffenen Person (Art. 6, Ib DS-GVO)
d) Zur Erfüllung rechtlicher Verpflichtungen des Vereins (Art. 6, Ic DS-GVO)
e) Einwilligung in Anfertigung und Verwendung von Bild- und Tonaufzeichnungen (§§
21 ff. KUG (Kunsturhebergesetz)), Anlage 7
Bei allem: Jederzeitiges Recht, die Einwilligung zu widerrufen!
IV.
Einige Grundsätze der Datenschutz-Grundverordnung (Stichworte), über die der
Verantwortliche den Betroffenen vorher informieren muss.
- Rechtmäßigkeit (Art. 6 DS-GVO): Rechtfertigung der Datenverarbeitung durch
Gesetz oder Einwilligung, zur Erfüllung eines Vertrages oder einer rechtlichen
Verpflichtung oder zur Wahrung berechtigter Interessen des Verantwortlichen
oder eines Dritten (Interessenabwägung).
- Gebot der Direkterhebung: Daten dürften nur beim Betroffenen selbst erhoben
werden. Werden andere Daten gespeichert, verarbeitet oder weitergegeben, ist
der Betroffene – auch über die Quelle dieser Daten – zu informieren.
- Transparenz: Aufklärung des Betroffenen über den Umgang mit seinen Daten,
insbesondere im Fall der Weitergabe.
- Auskunftsrecht des Betroffenen, Recht auf Berichtigung der Daten,
Widerspruchsrecht, Widerrufsrecht, „Recht auf Vergessenwerden“ (Löschung,
Art. 17 DS-GVO) und Einschränkung, Art. 18 DS-GVO.
- Zweckbindung: Bei der Erhebung, Verarbeitung und Weitergabe von Daten
muss der Verantwortliche sich streng an die durch den Umfang der Einwilligung
oder seiner gesetzlichen oder vertraglichen Aufgaben halten. Die Erhebung von
Daten im Zusammenhang mit Zweckänderungen ist nur zulässig, wenn sie im
engen Zusammenhang mit dem ursprünglich zugelassenen oder eingewilligten
Zweck steht.
- Datenminimierung: So wenig personenbezogene Daten als möglich; nur soweit
zur Zweckerreichung ausreichend, Pseudonomisierung oder Anonymisierung.
Nur erforderliche Daten dürfen erhoben werden und sind zu löschen, sobald sie
nicht mehr benötigt werden.
8
- Richtigkeit: Auf Verlangen der betroffenen Person oder bei Feststellung einer
Unrichtigkeit gespeicherter Daten sind diese zu korrigieren oder zu löschen.
V.
Der Umgang mit „sensiblen“ Daten, Kinderschutzgesetz
In der Regel ist der Umgang mit sogenannten „sensiblen Daten“ im Verein weder
erforderlich noch – deshalb – vorgesehen. Auch wäre dann ein
Datenschutzbeauftragter erforderlich. Solche „sensiblen Daten“ sind beispielsweise:
Daten zur gesundheitlichen Situation der betroffenen Person, deren wirtschaftlichen
und steuerlichen Gegebenheiten (Einkommen, Steuerpflichten),
Religionszugehörigkeit, Ergebnisse einer Videoüberwachung etc.
Praktische Ausnahme bei Vereinen ist die im Rahmen der praktischen Anwendung des
Kinderschutzgesetzes erforderlich gewordene Einholung bzw. Bewertung eines
erweiterten polizeilichen Führungszeugnisses für Personen, die mit der Betreuung,
Beaufsichtigung, Ausbildung oder Ähnlichem von Kindern und Jugendlichen im Verein
befasst sind, im Hinblick auf bestimmte Eintragungen wegen Sexualstraftaten.
Grundsätzlich sind Vorstrafen selbstverständlich „besonders sensible Daten“, die
weder erhoben, gespeichert, verarbeitet oder weitergegeben werden dürfen
(Ausnahme: Kinderschutzgesetz).
Es dürfen demzufolge auch nicht die Erkenntnisse aus der Auswertung eines
erweiterten polizeilichen Führungszeugnisses, welches im Rahmen der
Anforderungen des Kinderschutzgesetzes erhoben und geprüft wurde, gespeichert,
verarbeitet oder weitergegeben werden. Allein die Verfahrensumstände dürfen auf der
Grundlage des § 72a Abs. 5 SGB VIII erhoben und verarbeitet werden: Das Datum
des Führungszeugnisses und das Datum der Einsichtnahme in dieses dürfen erhoben
und verarbeitet werden, ebenso die Information, ob die betreffende Person wegen
einer kinderschutzrechtlich einschlägigen Straftat rechtskräftig verurteilt wurde. Der
Umgang mit diesen Daten ist nur zulässig, soweit dies zur Ausschlussentscheidung
über diese Person von der Betreuungstätigkeit an Kindern und Jugendlichen
erforderlich ist. Die Daten sind vor dem Zugriff Unbefugter zu schützen und
unverzüglich zu löschen – entweder drei Monate nach Beendigung der Tätigkeit der
betroffenen Person oder unverzüglich, wenn die Tätigkeit im Anschluss an die
Einsichtnahme nicht aufgenommen wurde. Durch technische und organisatorische
Maßnahmen wie Passwortschutz, Beschränkung der Zugangsberechtigung,
besondere Löschungsanweisung im Verarbeitungsverzeichnis etc. ist die Einhaltung
dieser Schutzmaßnahmen sicherzustellen. Rechtsgrundlage für diese Maßnahmen
und deren Beschränkung ist Art. 6 DS-GVO.
VI.
9
Hilfestellungen, Leitfäden
Es sind eine Reihe von Leitfäden und Handreichungen im Umlauf und können zur
ergänzenden Information herangezogen werden:
- C.H. Beck: Erste Hilfe zur Datenschutz-Grundverordnung, herausgegeben vom
Bayerischen Landesamt für Datenschutzaufsicht
- Leitfaden „Datenschutz im Verein“, Landesbeauftragter für den Datenschutz Baden-
Württemberg, Stand: 01.05.2017
- Leitfaden „Datenschutz im Verein nach der Datenschutz-Grundverordnung (DSGVO)“
des Landesbeauftragten für den Datenschutz Baden-Württemberg, gültig ab
25.05.2018
- Leitfaden „Datenschutz im Sportverein“ des Landessportbundes Nordrhein-
Westfalen, VIBSS-Infopapier (Stand Januar 2018)
- Jochen Schneider, Datenschutz nach der EU-DS-GVO, C.H. Beck, 2017 (€ 24,90)
10
VII.
Anlagen 1 – 8:
Muster und Vorlagen
Anlage 1: Verarbeitungsverzeichnis S. 11 - 13
Anlage 2: Verpflichtungsanweisung S. 14 - 15
Anlage 3: Datenschutzerklärung Satzung S. 16
Anlage 4: Datenschutzerklärung Homepage S. 17
Anlage 5: Verpflichtungserklärung Verantwortlicher S. 18
Anlage 6: Verpflichtungsvertrag mit Dritten S. 19 - 20
Anlage 7: Aufnahmeantrag, Datenschutzerklärung und S. 21 - 23
Einwilligung
11
Anlage 1
Verarbeitungsverzeichnis
Muster eines Verarbeitungsverzeichnisses für den Verein
Verein […]
Verzeichnis von Verarbeitungstätigkeiten als Verantwortlicher gem. Art. 30 Abs. 1 DSGVO
Verantwortliche
Name, Vorname
Funktion im Vorstand
Anschrift
Telefon
Emailadresse
Internetadresse
Verarbeitungstätigkeiten zuständig
Anlagedatum
Bezeichnung der Verarbeitungstätigkeit und
und Verantwortlichkeit:
Mitgliederdaten
Mitgliedsbeiträge, Verarbeitungssystem, Bankdaten
Datenkategorien:
Adressdaten, Kommunikationsdaten,
Geburtsdatum, Eintrittsdatum in den Verein
12
Datenweitergabe zuständig
Innerhalb des Vereins □ extern
Datenübermittlung an Dritte □ extern findet nicht statt
und ist nicht geplant
□ Datenübermittlung ist
Wie folgt beabsichtigt
Verzeichnis der Datenempfänger
Anlass für die Weitergabe
Löschungsfristen:
Rechtsgrundlage der Verarbeitung:
(s. Leitfaden III a - d)
Dokumentation der Einwilligungen:
Hinweise zur Informationen der
Betroffenen
Dokumentation der Einhaltung der
Informationspflichten
Dokumentation für Auskunft, Berichtigung
und Löschung
Löschung und Speicherbegrenzung
Verträge mit Dritten, an die Daten weitergeleitet
oder von diesen empfangen
werden
Verarbeitungsvertrag
Betrieb der Website des Vereins
Veröffentlichung von Lichtbildern und
Tonaufnahmen
13
zuständig
Umgang mit Datenschutzverletzungen
Dokumentation der Maßnahmen bei
Datenschutzverletzungen
Risikobewertung: keine, insoweit keine neuen
Technologien verwendet werden und keine
zusätzlichen Risiken bestehen
Maßnahmen zur Informationen der
Mitglieder zur Sensibilisierung in
Sachen Datenschutz
14
Anlage 2
Verpflichtungsanweisung
Verein […]
Rundschreiben an die im Verein mit Datenschutztätigkeiten betrauten
Mitarbeiter/Mitglieder
Datenschutz auf PC des Vereins/privatem PC/Mobiltelefon mit Daten aus dem
ehrenamtlichen Bereich
Sehr geehrte Dame, sehr geehrter Herr,
die Bestimmungen der Datenschutzgrundverordnung und des Bundesdatenschutzes
gelten für dienstliche Personalcomputer/Notebooks ebenso wie für private, Tablets
und Mobilfunktelefonen, soweit diese Geräte nicht ausschließlich privat genutzt
werden.
Sie sind als mit dem Umgang mit Daten im Verein Verantwortlicher für den
ordnungsgemäßen Datenschutz verantwortlich. Der Vorstand bittet deshalb, folgende
Regeln und Mindestanforderungen einzuhalten:
1. Die Daten dürfen nur im Rahmen des im Verein zwingend Erforderlichen erfasst
werden.
2. Die Daten dürfen nur beim Betroffenen erhoben werden. Werden Daten von Dritten
weitergegeben, ist das betroffene Mitglied hierüber zu informieren und Auskunft zu
gewähren.
3. Der Zugang zu den personenbezogenen Daten auf allen PCs und Rechnern, auch
solchen, die teilweise privat genutzt werden, ist durch Partizionierung der Festplatte
oder in anderer Weise, im Übrigen durch Passwortschutz zu gewährleisten.
4. Ist ein PC über WLAN oder in anderer Weise mit dem Internet verbunden, sind die
erforderlichen Sicherheitsmaßnahmen zu treffen. In diesem Zusammenhang zu
beachten: Passwortschutz beim Zugang zum WLAN, Verwendung eines
Virenschutzprogrammes, Verwendung einer Software-Firewall.
5. Regelmäßige Datensicherungen durch geeignete und verschlüsselte
Sicherungsmedien, CD, DVD, externe Festplatte und Aufbewahrung derselben unter
Verschluss.
15
6. Geeignete Sicherheitsmaßnahmen bei mobilen Geräten, insbesondere Tablets und
Mobilfunkgeräten (Passwortschutz mit kurzer Ausschaltzeit etc.)
7. Löschung gespeicherter Daten beim Ausscheiden eines Mitglieds. Bei Übergabe
der Daten anschließende Löschung auf dem Vereins-PC.
8. Übergabe aller Daten, soweit diese nicht elektronisch gespeichert sind, in
Papierform, im Übrigen Aktenvernichtung.
9. Bei Archivierung von personenbezogenen Daten Aufnahme in ein geeignetes und
geschütztes Archiv, keine unkontrollierte Ablage auf Dachböden etc.
Es wird gebeten, diese Maßnahmen im Interessen des Schutzes der Betroffenen und
ihrer personenbezogenen Daten zu beachten.
Mit freundlichen Grüßen
…
16
Anlage 3
Datenschutzerklärung Satzung
§ … Datenschutzbestimmungen
1. Der Verein speichert mit Einwilligung seiner Mitglieder deren personenbezogene
Daten, verarbeitet diese auch auf elektronischem Wege und nutzt sie zur Erfüllung der
Aufgaben des Vereins.
Folgende Daten werden – ausschließlich – gespeichert und verarbeitet:
- Name, Vorname, Anschrift
- Geburtsdatum und -ort
- Kommunikationsdaten (Telefon, Telefax, Mobilfunkverbindung, Emailadresse)
bei aktiven Mitgliedern und Funktionsträgern
- Funktion im Verein
- Zeitpunkt des Eintritts in den Verein
- Ehrungen
Weitere Daten werden nicht oder nur mit ausdrücklicher, ergänzender Zustimmung
des Betroffenen erhoben.
2. Für das Beitragswesen wird des Weiteren die Bankverbindung des Betroffenen
(IBAN, BIC) gespeichert.
3. Alle personenbezogenen Daten und Bankdaten werden durch geeignete technische
und organisatorische Maßnahmen von Kenntnis und Zugriff Dritter geschützt.
4. Aus Gründen der Bestandsverwaltung und der Beitragserhebung werden die unter
Ziff. 1 genannten persönlichen Daten im Umfang des Erforderlichen an den
Regionalchorverband […], den Schwäbischen Chorverband und den Deutschen
Chorverband weitergeleitet.
5. Die Meldung von Vereinsmitgliedern und personenbezogenen Daten derselben
dürfen vom Verein zur Erfüllung seines Vereinszwecks an die Dachverbände
weitergegeben werden, ebenso an die maßgeblichen Bankinstitute. Der Verein stellt
sicher, dass die Verwendung durch das beauftragte Kreditinstitut ausschließlich zur
Erfüllung der Aufgaben des Vereins erfolgt und nach Zweckerreichung, Austritt des
betroffenen Mitglieds oder erfolgtem Widerspruch die Daten unverzüglich gelöscht und
die Löschung dem betroffenen Mitglied bekannt gegeben wird. Im Übrigen werden die
Daten verstorbener Mitglieder archiviert und vor unbefugtem Gebrauch geschützt.
Soweit gesetzlich vorgeschrieben, werden die Daten von Vereinsmitgliedern bis zum
Ablauf der steuerrechtlichen oder buchhaltungstechnischen Aufbewahrungsfristen
dokumentensicher aufbewahrt und nach Ablauf der Frist vernichtet.
6. Der Verein informiert seine Mitglieder und die Öffentlichkeit regelmäßig über seine
Homepage und durch Presseverlautbarungen über den Schutz der
personenbezogenen Daten des Vereins.
17
Anlage 4
Datenschutzerklärung Homepage
Der Verein […] nimmt den Schutz personenbezogener Daten seiner Mitglieder und
seiner Partner ernst; er hat durch technische und organisatorische Maßnahmen
sichergestellt, dass die gesetzlichen Vorschriften über den Datenschutz sowohl von
ihm als auch von externen Dienstleistern beachtet und eingehalten werden. Die
Beachtung dieser Verpflichtung wird vom Verein regelmäßig kontrolliert. Die
Erhebung, Verarbeitung, Nutzung und Weitergabe von Daten erfolgt zum einen mit
Einverständnis des Dateninhabers, andererseits ausschließlich zum Zweck der
Erfüllung der Pflichten des Vereins. Die Weitergabe an Dritte erfolgt nur aus
zwingenden Gründen und im Interesse des Vereins. Das betroffene Vereinsmitglied
hat jederzeit die Möglichkeit, sich über die Verwendung und den Verbleib seiner
geschützten Daten zu informieren; er hat Anspruch auf Dokumentation der Einhaltung
datenschutzrechtlicher Bestimmungen in Bezug auf ihn. Er hat das Recht, jederzeit
eine erteilte Einwilligung zu widerrufen und die Löschung seiner Daten zu verlangen,
Art. 17 DS-GVO.
Partner des Vereins und Dritte werden durch die Einhaltung der
Datenschutzbestimmungen durch die Verantwortlichen des Vereins in gleicher Weise
geschützt. Es findet kein Verkauf oder keine unentgeltliche Weitergabe von Daten
Dritter oder Partner des Vereins statt, es sei denn, es läge eine entsprechende
Einwilligung vor.
Bei der Einschaltung externer Dienstleister, denen personenbezogene Daten zur
Verfügung gestellt werden müssen, ist durch Abschluss eines entsprechenden
Vertrages sichergestellt, dass die Datenschutzbestimmungen in gleicher Weise auch
vom beauftragten Unternehmen eingehalten werden.
Im Fall des Widerrufs oder der Anzeige von falsch erhobenen Daten werden diese
sofort gelöscht, Art. 21, 18 DS-GVO. Auf das Beschwerderecht bei einer
Datenschutzaufsichtsbehörde (Art. 77 DS-GVO i. V. m. § 19 BDSG) wird ausdrücklich
hingewiesen. Für uns zuständig ist der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg, Königstraße 10a, 70173 Stuttgart.
Für Datenschutz und Datenverarbeitung in unserem Verein Verantwortlich: [Name,
Anschrift]
18
Anlage 5
Verpflichtungserklärung Verantwortlicher
Verein […]
Mit Wirkung zum […] wurde mir die Verantwortung/Mitverantwortung für die
Verarbeitung personenbezogener Daten im Verein [...] übertragen.
Ich bin in der Datenverarbeitung des Vereins in folgenden Bereichen tätig:
[…]
Mir ist die Verpflichtungsanweisung des Vereins, das Verarbeitungsverzeichnis sowie
die Datenschutzerklärung in der Satzung und auf der Homepage im Einzelnen
bekannt.
Mit den Pflichten eines für den Umgang mit personenbezogenen Daten im Verein
Verantwortlichen erkläre ich, dass mir die Anforderungen an den Datenschutz im
Verein bekannt sind und bekannt gemacht wurden. Ich habe diese Pflichten
verstanden und erkläre, dass ich diese nach bestem Wissen und Gewissen erfüllen
werden.
___________________ ____________________
- Ort, Datum - - Unterschrift -
19
Anlage 6
Verpflichtungsvertrag mit Dritten (Muster)
[…] Verein
Vereinbarung
zwischen
Auftraggeber/Verantwortlicher [Verantwortlicher ist der Verein]
und
Auftragsverarbeiter [beauftragter Dienstleister/Steuerberater etc.]
Der Vertrag enthält die Festlegungen nach Art. 28 Abs. 3 DS-GVO für den
abgeschlossenen Dienstleistungsvertrag. Es wird die vollständige Ausfüllung
empfohlen.
1. Vertragsgegenstand
Auftraggeber und Auftragnehmer haben folgenden Vertrag abgeschlossen:
[Datum, Vertragsgegenstand]
[Alternativ: Gegenstand des Vertragsverhältnisses ist …]
2. Die Laufzeit dieser Auftragsverarbeitungsvereinbarung entspricht der Laufzeit des
Vertrages.
[Alternativ: Unabhängig von der Leistungszeit des Vertrages wird der
Auftragsverarbeitungsvertrag unbefristet erteilt. Die Kündigungsmöglichkeit aus
wichtigem Grund bleibt beiden Parteien unbenommen.]
3. Vorgesehene Verarbeitung von Daten
[Alternative 1: Sind im Vertrag beschrieben]
[Alternative 2: Auftragsgegenstand im Bezug auf die Auftragsverarbeitung wird wie
folgt beschrieben: …]
4. Verarbeitete Daten
[Mitgliederdaten, Kontodaten]
5. Verantwortliche Person des Vereins
[…, mit Kommunikationsdaten]
6. Verantwortlich beim Auftragnehmer
[…, mit Kommunikationsdaten]
7. Vereinbarungen zur Dokumentation und Kontrolle
[…, Art. 28 DS-GVO]
20
8. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung
einschlägigen datenschutzrechtlichen Bestimmungen der DS-GVO bekannt sind. Er
verpflichtet sich, diese zu beachten und auch folgende, für diesen Auftrag relevante
Geheimschutzregeln zu beachten, die dem Auftraggeber obliegen (Bankgeheimnis,
Berufsgeheimnis, Fernmeldegeheiminis).
9. Mitteilung von Störungen:
Der Auftragnehmer erklärt, er werde bei Störungen der Verarbeitung und bei
Verletzung des Schutzes personenbezogener Daten den Auftraggeber unverzüglich
informieren.
10. Der Auftragnehmer verpflichtet sich, nach Beendigung des Auftrags sämtliche
Daten und Unterlagen an den Auftraggeber herauszugeben oder datenschutzgerecht
zu löschen/zu vernichten. Darüber ist eine schriftliche oder elektronische Bestätigung
zu erteilen.
11. Vergütung
[…]
12. Nebenabreden zu dieser Vereinbarung bestehen nicht. Künftige Nebenabreden
sind nur wirksam, wenn sie in Schriftform erfolgen.
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, berührt dies die
Wirksamkeit der Vereinbarung im Übrigen nicht.
_______________________ _____________________
Ort, Datum Unterschriften
21
Anlage 7
- Aufnahmeantrag in den Verein (Muster)
- Datenschutzerklärung (Muster)
- Aufnahme von Minderjährigen (Muster)
- Einwilligung zur Verwendung von Personenabbildungen und
Tonaufnahmen (Muster)
- Datenschutzhinweis in der Beitrittserklärung (Muster)
- Einwilligung zur Veröffentlichung von Mitgliederdaten im Internet (Muster)
- Auskunftsrechte, Widerrufsrecht (Muster)
Antrag auf Aufnahme in den Verein
Hierdurch beantrage ich die Aufnahme in den Verein […].
Ich beantrage die Aufnahme zum nächstmöglichen Zeitpunkt.
Mir ist ein Exemplar der gültigen Vereinssatzung ausgehändigt worden. Ihr Inhalt ist
mir bekannt.
Mitgliederdaten:
Name, Vorname
Wohnanschrift
Geburtsdatum, -ort
Bankdaten:
IBAN, BIC
Telefon, Telefax, Emailadresse,
Mobilfunknummer
Funktion im Verein
_____________________ __________________
Ort, Datum Unterschrift
Datenschutzerklärung
Ich habe den Hinweis des Vereinsvorstands zur Kenntnis genommen, dass
ausreichende technische Maßnahmen zur Gewährleistung des Datenschutzes
getroffen worden sind.
Mir ist bekannt, dass dennoch bei einer Veröffentlichung von personenbezogenen
Mitgliederdaten im Internet ein umfassender Datenschutz nicht garantiert werden
kann.
Ich bin mit der Verarbeitung und Weitergabe folgender persönlicher Daten
einverstanden: Name, Vorname, Anschrift, Telefonnummer, Faxnummer,
Emailadresse, Geburtstag und –ort, Mobilfunknummer, Bankdaten zum Bankeinzug
des Mitgliedsbeitrages und etwaiger Sonderumlagen.
22
Mir ist bekannt, dass ich diese Einwilligung jederzeit widerrufen kann.
Ich bin darüber hinaus einverstanden mit der Veröffentlichung folgender
Mitgliederdaten im Internet: Name, Vorname, Wohnanschrift, Geburtsdatum und –ort,
Telefon, Telefax, Emailadresse, Mobilfunknummer, Funktion im Verein. Mir ist
bekannt, dass diese Daten auch in Staaten abrufbar sind, die keine den europäischen
vergleichbaren Datenschutzbedingungen kennen und dass der Verein die
Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der personenbezogenen
Daten nicht garantieren kann.
Diese Einwilligungserklärungen erfolgen freiwillig und in Kenntnis der jederzeitigen
Widerrufbarkeit.
____________________ __________________
Ort, Datum Unterschrift
Aufnahme von Minderjährigen
Wir, die Sorgeberechtigten, der/des […] beantragen die Aufnahme unseres Kinders
[Name, Vorname, Lebensalter in vollen Jahren, Wohnort, Kommunikationsdaten] in
den […] Verein.
Wir erklären als Sorgeberechtigte die Zustimmung zu allen Erklärungen in diesem
Antrag und bestätigen, dass wir zur Kenntnis genommen haben, dass ein Widerruf der
Einwilligung während der Dauer der Minderjährigkeit unseres Kinders nur wirksam ist,
wenn er auch von uns abgegeben wird.
Unsere Zustimmungserklärung erstreckt sich auch auf die Teilnahme unseres Kindes
an Vereinsveranstaltungen und Mitgliederversammlungen einschließlich der
Wahrnehmung des aktiven und passiven Wahlrechts, soweit in der Satzung
vorgesehen, sowie die Pflicht zur Bezahlung der von der Mitgliederversammlung
beschlossenen Mitgliedsbeiträge und Umlagen.
___________________ ____________________
Ort, Datum Unterschrift
Einwilligung zur Anfertigung und Verwendung von Personenabbildungen und
Tonaufnahmen
Hierdurch erkläre ich, dass ich mit der Anfertigung von Lichtbildern meiner Person im
Zusammenhang mit allen Aktivitäten im Verein durch Vereinsmitglieder und Dritte
einverstanden bin, ebenso mit der Anfertigung von Tonaufnahmen, an denen ich allein
oder im Chor mitwirke.
23
Gleichermaßen erkläre ich mich damit einverstanden, dass diese Lichtbild- und
Tonaufnahmen von den Verantwortlichen im Verein für Zwecke der Vereinsarbeit
verwendet werden (Mitgliederzeitschrift, Veranstaltungsflyer, vereinseigene
Homepage, Weiterleitung an befreundete Vereine etc.).
Mir ist bekannt, dass diese Einwilligung jederzeit und ohne Begründung widerruflich
ist. Der Widerruf kann sich auch auf einzelne Teile der Einwilligung beschränken. Im
Umfang des Widerrufs ist der Verein verpflichtet, die Daten, Lichtbilder oder
Tonaufnahmen zu entfernen und/oder zu vernichten.
________________________ _______________________
Ort, Datum Unterschrift