Dein Verein und seine Mitglieder - Mitgliederdaten: Schützen, verwalten und verwenden - Digitale Nachbarschaft

Die Seite wird erstellt Jessica Eberhardt

Computer und Technik

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Dein Verein und seine Mitglieder - Mitgliederdaten: Schützen, verwalten und verwenden - Digitale Nachbarschaft

Dein Verein und seine Mitglieder

Mitgliederdaten: Schützen, verwalten
und verwenden

Impressum

Redaktion: Dr. Elisabeth Maria Hofmann, Daniel Helmes (BBE), Petra Rollfing
Gestaltung und Satz: wegewerk GmbH
Erscheinungsjahr: 2019
Auflage: 1.000

Herausgeber: Deutschland sicher im Netz e. V.
Projekt Nachbarschaft Digital >Ehrenamt >Sicher >Transformieren
Geschäftsführer: Dr. Michael Littger (V.i.s.d.P.)
Albrechtstraße 10c
10117 Berlin
+49 (0) 30 27576-310
www.sicher-im-netz.de

© Alle Inhalte stehen unter dem Creative-Commons-Nutzungsrecht
CC-BY-SA: https://creativecommons.org/licenses/by-sa/3.0/de/.

Bildnachweis: Deutschland sicher im Netz e. V.; S. 19 www.pexels.com

Dieses Handbuch berücksichtigt die Grundlagen der „DsiN-BSI-Cyberfibel für Verbraucher-
aufklärung“, ein Angebot von Deutschland sicher im Netz e. V. (DsiN) und dem Bundesamt
für Sicherheit in der Informationstechnik (BSI).

Ein Projekt von Deutschland sicher im Netz e. V.
Gefördert durch das Bundesministerium des Innern, für Bau und Heimat
Mit Unterstützung von Deutsche Telekom AG

Mitgliederdaten: Schützen, verwalten
und verwenden

Handbuch der Digitalen Nachbarschaft

Die fünf Themenbereiche der Digitalen Nachbarschaft kommen direkt
aus der Praxis des freiwilligen Engagements. Mit den DiNa-Handbüchern
zu „Dein Verein macht sich bekannt“, „Dein Verein und seine Mitglieder“,
„Dein Verein und das Geld“, „Dein Verein tauscht sich aus“ und „Dein Verein
will’s wissen“ macht sich Dein Verein fit fürs Netz.

Mitgliederdaten: Schützen, verwalten und verwenden   5

Inhalt

Über dieses Handbuch                                                             6

1 Vereinssoftware & Datenschutz: Wie Du Mitgliederdaten
   digital verwaltest                                                            8

2 Zugänge, Berechtigungen & Backups: Wie Du die Sicherheit
   personenbezogener Daten gewährleistest                                       16

3 Auftragsverarbeitung & Datenschutzbeauftragte: Wer Dich bei
   der Datenverarbeitung unterstützt                                            21

Extra: Die wichtigsten Grundsätze der DSGVO auf einen Blick                     26

Checkliste 16 DiNa-Tipps: Mitgliederdaten verwalten – aber sicher!              29

Mehr digitale Themen                                                            30

Über uns und unsere Partner                                                     31

Über dieses Handbuch
Wenn der Tierschutzverein mehr Zeit für bedrohte Die Digitale Nachbarschaft hat 16 DiNa-Tipps formu-
Daten als für bedrohte Arten aufwendet, läuft etwas liert, die Dir helfen, die digitalen Chancen für Dich und
schief. Mitgliederdaten sind zwar auch eine sehr Deinen Verein sicher zu nutzen. Im ersten Kapitel geht
schützenswerte Art – anders aber als bei der Fürsor- es um digitale Hilfsmittel zur Datenverwaltung und
ge für bedrohte Vierbeiner und Fellnasen kann hier welche Regeln bei der Verarbeitung von Mitglieds-
die digitale Technik einen Beitrag zur Zeitersparnis daten zu beachten sind. Das zweite Kapitel erläutert,
und Sicherheit leisten. Mit einer Verwaltungssoftware mit welchen Maßnahmen Dein Verein die Sicherheit
kann der Verein Adressdaten aktuell halten, Mitglied- von Daten gewährleistet. Und schließlich zeigt Dir das
schaftsbeiträge einziehen und die Kommunikation dritte Kapitel, wer Dich bei der Verarbeitung und beim
organisieren. Dabei lässt sich mit ein paar einfachen Schutz personenbezogener Daten unterstützen kann.
Grundsätzen und Maßnahmen der Vereinsdaten- Am Ende des Handbuchs findest Du dann noch einmal
schatz auf so viele Daten wie nötig und so wenige die wichtigsten Grundsätze der DSGVO auf einen Blick.
Daten wie möglich begrenzen. Denn beim Umgang
mit den persönlichen Daten der Mitglieder spielt die Dieses Handbuch ersetzt keine Rechtsberatung. Es
Europäische Datenschutz-Grundverordnung (DSGVO) dient als praxisnahe Orientierungshilfe und soll zur
eine wichtige Rolle. Umsetzung der DSGVO im Vereinsalltag ermuntern.

In den DiNa-Häuschen findest Du kurze und
praktische Hilfsmittel:

Machen
Informieren Hier werden digitale Werkzeuge vorgestellt,
Hier werden Fachbegriffe verständlich erklärt. die Du sofort verwenden kannst.*

Üben Weiterlesen
Hier gibt es Übungsaufgaben, um das neue Hier werden Websites und DiNa-Handbücher
Wissen anzuwenden. mit weiterführenden Informationen empfohlen.

*D
ie ausgewählten Werkzeuge sind bevorzugt frei zugänglich und zumindest in der Basisversion unentgeltlich.
Sie arbeiten außerdem datensparsam, transparent und möglichst werbefrei. Die Aufzählung verschiedener
Alternativen folgt keiner Rangfolge, sondern ist alphabetisch geordnet.

8
       1

    Vereinssoftware & Datenschutz:
    Wie Du Mitgliederdaten digital verwaltest
    Was ist bei der Wahl einer Vereinsverwaltungssoft-        • Welche Möglichkeiten bieten Software oder Dienst
    ware zu berücksichtigen? Welche Regeln gibt es bei der      für die sichere Verwaltung von Beitragszahlungen
    Erhebung personenbezogener Daten? Und wie kann              und Kassenbuchführung?
    Dein Verein seine Informations- und Auskunftspflich-
    ten erfüllen? Die Datenschutzgrundverordnung gibt         • Entsprechen die Sicherungsmaßnahmen der DSGVO
    diesen Aufgaben einen sicheren Rahmen. Die Digitale         und dem neuen Bundesdatenschutzgesetz (BDSG)?
    Nachbarschaft zeigt Dir in diesem Kapitel, wie es geht.
                                                              Da gerade gemeinnützige Vereine neben der Sicherheit
                                                              auf die Kosten achten müssen, bietet sich Software an,
    DiNa-Tipp 1: Wähle eine sichere Software                  deren Nutzung ganz oder teilweise kostenfrei ist. Soge-
    zur Datenverwaltung!                                      nannte Open-Source-Software darf kostenfrei kopiert,
                                                              verbreitet und genutzt werden. Open Source heißt auf
    Die Verwaltung von Mitgliedern, Förderer*innen und        Deutsch „offene Quelle“, da bei diesen Programmen
    ehrenamtlichen Helfer*innen ist ein wichtiger Bau-        der Quellcode offengelegt ist. Zu den erfolgreichsten
    stein des bürgerschaftlichen Engagements. Eine Ver-       Open-Source-Projekten gehören das Betriebssys-
    einssoftware bietet eine Vielzahl von Funktionen, die     tem GNU/Linux, der Internetbrowser Firefox und der
    solche Verwaltungsaufgaben vereinfachen. Mit den          Web-Server Apache. Auch Freeware (auf Deutsch: freie
    Programmen lassen sich unter anderem Mitglieds-           Ware) ist Software, die von den Urheber*innen oder
    daten und Beitragszahlungen digital verwalten und         Herstellern zur kostenlosen Nutzung zur Verfügung
    Veranstaltungen planen. Außerdem beinhalten sie           gestellt wird.
    Vorlagen für Zahlungsverkehr und Korrespondenz
    und können sogar statistische Auswertungen liefern.
                                                                  VLC media player
    Vereinsverwaltungsprogramme können entweder als
                                                                     Blender                        Audacity
    Onlinedienst oder als installierte Software genutzt
                                                                                Thunderbird                     Gimp
    werden. Achte dabei auf seriöse Quellen und berück-              7-Zip
    sichtige die Bewertungen der Produkte. Vorab solltest                        Scribus            Firefox
    Du Dich in jedem Fall über die Leistungsmerkmale               VeraCrypt OpenOffice                      Notepad++
                                                                                               LibreOffice
    der jeweiligen Software und Dienste informieren und                    Inkscape
    diese mit den individuellen Anforderungen abglei-                                                   Ghostscript
    chen. Reicht eine kostenfreie Basisversion mit ein-
                                                              Beliebte Open-Source-Programme
    geschränkten Funktionen? Oder möchte Dein Verein
    gleich mit dem kompletten Leistungsumfang starten?

    Bei der Suche nach dem richtigen Anbieter sind nicht
    nur die wichtigsten Funktionen zu prüfen, sondern
    auch die Einhaltung des Datenschutzes. In den Allge-
    meinen Geschäftsbedingungen (AGB) des Anbieters
    solltest Du Antworten auf die folgenden Fragen finden:       Ein Quelltext oder auch Quellcode ist der in einer
                                                                 Programmiersprache geschriebene Text eines
    • Wie werden eingegebene Daten von der Software              Computerprogramms oder einer Website. Du
      oder dem Dienst gegen Diebstahl und Missbrauch             kannst Dir den Quelltext einer Website anzeigen
      gesichert?                                                 lassen, indem Du mit der rechten Maustaste in
                                                                 einen freien Bereich der Seite klickst und dann
    • Ist eine verschlüsselte Datenübertragung möglich?          „Seitenquelltext anzeigen“ wählst.

Mitgliederdaten: Schützen, verwalten und verwenden 9

Die Europäische Datenschutz-Grundverordnung
(DSGVO) vereinheitlicht seit Mai 2018 die Regeln zur
Verarbeitung personenbezogener Daten durch private
Unternehmen und öffentliche Institutionen und gilt in
JVerein ist ein Open-Source-Angebot zur Er- der gesamten Europäischen Union. Die Verordnung
fassung von Mitgliedsdaten und Beiträgen. Der findet überall dort Anwendung, wo mit personenbezo-
Zahlungsverkehr kann hierüber abgewickelt genen Daten gearbeitet wird. Darunter fallen Vorgänge
werden, inklusive dem Druck von Spenden- wie das Anschauen, Erheben, Speichern, Übermitteln,
quittungen. Es gibt sogar eine Anbindung an die Nutzen, Verändern, Anonymisieren und Löschen von
ebenfalls quelloffene Homebanking-Software Daten. Die DSGVO gilt für jede Art der Datenverarbei-
Hibiscus. JVerein kann in Java implementiert tung, unabhängig davon, ob die Daten automatisiert,
werden und arbeitet somit auf Windows-, Linux- digital oder analog verarbeitet werden. Die DSGVO hilft
und Mac-Geräten. Ein Datenexport ist zu Open- Deinem Verein dabei, die personenbezogenen Daten
Office und LibreOffice möglich. Auf der Website seiner Mitglieder zu schützen.
der Software findet sich ein Handbuch, das die
Anwendung des Programms erklärt. In einem
eigenen Forum können sich Nutzer*innen über
die Software austauschen. 3 jverein.de

JoGoVerein ist eine Freeware für Windows und
bietet Funktionen zur Mitgliederverwaltung, Alle Informationen, über die ein Bezug zu einer
Kassenbuchführung und Abrechnung von bei- bestimmten Person hergestellt werden kann,
spielsweise Mitgliedsbeiträgen. Ein Datenexport fallen unter den Begriff der personenbezoge-
zu Microsoft Excel, Word und als Nur-Text-For- nen Daten. Dazu gehören unter anderem Name,
mat ist möglich. Zusätzliche Funktionen für Mi- Adresse, Telefonnummer, Bankverbindung,
crosoft Access und MySQL sowie das Drucken Bewegungsdaten, IP-Adresse, Chat-Protokolle,
von Dokumenten sind kostenpflichtig. Auch hier E-Mail-Adresse und Fotos. Ein Verein verwaltet
gibt es auf der Website ein Handbuch und ein in der Regel personenbezogene Daten von Mit-
eigenes Forum. 3 jogoverein.goeldenitz.org gliedern, Mitarbeiter*innen und Helfer*innen.

Die kostenfreie Software Vereinsverwaltung ist
ein Verwaltungsprogramm, mit dem alle wich-
tigen Daten der Vereinsmitglieder organisiert DiNa-Tipp 3: Erhebe und verarbeite personen-
werden können. Außerdem liefern hilfreiche bezogene Daten nur mit Rechtsgrundlage oder
Statistikfunktionen einen Überblick über die Einwilligung!
Einnahmen und Ausgaben des Vereins und
den aktuellen Vereinsetat. Mitgliederlisten oder Mit der DSGVO gilt das grundlegende Prinzip des Ver-
Datensätze können als Textdokument exportiert bots mit Erlaubnisvorbehalt. Das heißt, dass zunächst
und mit einem Textverarbeitungsprogramm niemand mit personenbezogenen Daten von anderen
weiterbearbeitet werden. Das Programm enthält umgehen darf, es sei denn, es gibt eine Erlaubnis da-
außerdem eine E-Mail-Funktion, mit der Nach- für. Eine Verarbeitung von personenbezogenen Daten
richten direkt an Einzelne oder alle Mitglieder ohne Rechtsgrundlage oder Einwilligung ist unzuläs-
verschickt werden können. sig und kann zu Bußgeldern führen. Nach dem Grund-
3 www.giga.de/downloads/vereinsverwaltung satz der Rechtmäßigkeit (Art. 6 EU-DSGVO) darf Dein
Verein in folgenden Fällen personenbezogene Daten
verarbeiten:

1. Ausdrückliche Einwilligung
DiNa-Tipp 2: Nutze die Datenschutz-Grund- der betroffenen Person
verordnung als Chance, mit den Daten Deiner
Vereinsmitglieder vertrauensvoll umzugehen! Dein Verein darf personenbezogene Daten verarbei-
ten, wenn er über eine ausdrückliche Einwilligung

der betroffenen Person verfügt. Eine Einwilligung ist
nur unter bestimmten Voraussetzungen wirksam: Sie
muss freiwillig und für einen bestimmten Zweck ab-
gegeben worden sein. Eine pauschale Einwilligungs-
erklärung in mögliche zukünftige Datenverarbeitun- Verantwortliche sind im Sinne der DSGVO Per-
gen ist unzulässig. Die betroffene Person muss klar sonen, Behörden, Einrichtungen oder andere In-
und verständlich darüber informiert worden sein, stitutionen, die allein oder gemeinsam mit ande-
für welchen Zweck die Einwilligung gilt und dass sie ren über die Zwecke und Mittel der Verarbeitung
jederzeit widerrufen werden kann. Die Einwilligung von personenbezogenen Daten entscheiden. Das
muss zudem durch eine eindeutige Handlung erfol- ist in diesem Fall der Verein. Betroffene sind Per-
gen, beispielsweise indem die betroffene Person ein sonen, deren personenbezogene Daten verarbei-
Häkchen setzt. Ein bereits angekreuztes Kästchen tet werden und die dadurch identifiziert werden
beziehungsweise ein sogenanntes Opt-out, bei dem können. Im Falle von Vereinen sind betroffene
der Datenverarbeitung widersprochen werden muss, Personen vor allem die Vereinsmitglieder.
reichen nicht aus.

2. Rechtliche Verpflichtung zur Vertragserfüllung

Personenbezogene Daten, die zur Erfüllung eines
Vertragsverhältnisses erforderlich sind, dürfen ohne
Einwilligung der betroffenen Person verarbeitet wer-
den. Ein solches Vertragsverhältnis liegt zum Beispiel Der Landessportbund Berlin informiert auf sei-
vor, wenn ein neues Mitglied in den Verein eintreten ner Website über das Thema Datenschutz im Ver-
möchte. Für den Mitgliedsbeitritt dürfen alle Daten einskontext. Ausführliche Hintergrundinforma-
erhoben werden, die für die Verwaltung der Mitglied- tionen sowie ein kurzes und ein ausführliches
schaft erforderlich sind. Dazu gehören der Name und Musterschreiben einer Einwilligungserklärung
die Adresse, aber auch das Geburtsdatum, wenn es findest Du am Ende des Artikels „Datenschutz
zum Beispiel für die Altersklasseneinteilung in beim Verein“. Zu dem Artikel gelangst Du, wenn
stimmten Sportarten erforderlich ist. Wichtig ist, dass Du auf der Website im Suchfeld oben rechts den
die erhobenen Daten nur zweckgebunden verarbeitet Suchbegriff „Einwilligungserklärung“ eingibst.
werden. Die Weitergabe der Informationen an Dritte 3 lsb-berlin.net
für andere Zwecke wie zum Beispiel die Weitergabe
von Adressen an befreundete Mitglieder oder andere
Vereine zum Versand von Werbung ist nicht erlaubt.

3. Wahrung berechtigter Interessen DiNa-Tipp 4: Verwende erhobene Daten nur
des Verantwortlichen zweckgebunden!

Neben der ausdrücklichen Einwilligung und der Erfül- Ein weiterer Grundsatz der DSGVO ist die Zweckmä-
lung eines Vertragsverhältnisses dürfen personenbe- ßigkeit (Art. 5 EU-DSGVO): Daten dürfen nur zu dem
zogene Daten auch dann verarbeitet werden, wenn dies Zweck verwendet werden, zu dem sie erhoben wurden
zur Wahrung berechtigter Interessen des Verantwort- und den Dein Verein entsprechend seiner Satzung ver-
lichen erforderlich ist. Dies ist zum Beispiel der Fall, folgt. Zu den Daten, ohne die ein Wirken des Vereins
wenn Dein Verein auf seiner Website Fotos mit Ver- nicht möglich wäre, gehören beispielsweise:
einsmitgliedern veröffentlicht mit dem Ziel, seine Au
ßendarstellung zu fördern und über die Veranstaltun- • Name und Anschrift
gen zu informieren. Dabei ist jedoch wichtig, dass die • Geburtsdatum
Interessen des Vereins die Interessen der betroffenen • bei Lastschriftverfahren: Bankverbindung
Person überwiegen. Dies nachzuweisen ist im Zwei- • Funktion im Verein
felsfall nicht einfach. Daher ist es oft praktikabler, sich • Übungsleiterlizenz
beispielsweise über die Satzung oder den Mitglieds- • Leitungsergebnisse
antrag die Einwilligung der Mitglieder einzuholen. • Daten zum Abschluss von Versicherungsverträgen

Mitgliederdaten: Schützen, verwalten und verwenden 11

Keinen konkreten Zusammenhang zum Vereinszweck Schon vor Einführung der DSGVO mussten Vereine die
gibt es bei der Telefonnummer und der E-Mail-Adres- Grundregeln bei der Verarbeitung personenbezogener
se. Darüber hinaus darf der Verein auch Daten von Daten einhalten. Durch die DSGVO ist die sogenannte
Nicht-Mitgliedern erheben, sofern er damit berechtigte Rechenschaftspflicht hinzugekommen: Vereine müs-
Interessen des Vereins wahrnimmt und der Schutz des sen in der Lage sein, die Einhaltung der Grundregeln
Einzelnen nicht beeinträchtigt wird (Art. 6 EU-DSGVO). bei der Verarbeitung personenbezogener Daten nach-
Dazu können gehören: zuweisen. Das lässt sich in der Praxis unkompliziert
mit einem Datenverarbeitungsverzeichnis lösen. Ein
• Name von Gästen, Besucher*innen, Verarbeitungsverzeichnis beinhaltet alle innerhalb
fremden Spieler*innen des Vereins durchgeführten Verarbeitungstätigkeiten
im Zusammenhang mit personenbezogenen Daten.
• Teilnehmer*innen an Lehrgängen und Das Verzeichnis ist dabei nicht zu verwechseln mit
Wettkämpfen einem Protokoll. Ein Protokoll über die einzelnen Ver-
arbeitungstätigkeiten muss nicht geführt werden.
• Personendaten zur Umsetzung eines Stadion
verbots beim Verkauf von Eintrittskarten

DiNa-Tipp 5: Erhebe so viele Daten wie nötig
und so wenige wie möglich!
Das Bayrische Landesamt für Datenschutzauf-
Bei der Verarbeitung von personenbezogenen Daten sicht (BayLDA) hat ein exemplarisch ausge-
gilt immer der Grundsatz der Datenminimierung fülltes Datenverarbeitungsverzeichnis erstellt.
(Art. 5 EU-DSGVO): So viel wie nötig, aber so wenig 3 www.lda.bayern.de/media/muster_1_verein_
wie möglich! Das bedeutet: Um Mitglieder zu betreuen, verzeichnis.pdf
Spenden zu sammeln oder Sponsor*innen zu akquirie-
ren, darf Dein Verein immer nur die Daten erheben, die Ein weiteres Verzeichnismuster stellt der Lan-
für die Durchführung des einzelnen Zwecks tatsäch- dessportbund Thüringen auf seiner Website zur
lich erforderlich sind. Verfügung. Du findest es im Download-Bereich,
wenn Du nach dem Stichwort „Verarbeitungs-
Eine weitere grundsätzliche Regel zum Datenschutz verzeichnis“ suchst.
ist die Speicherbegrenzung (Art. 5 EU-DSGVO). Dein 3 www.thueringen-sport.de/downloads
Verein darf personenbezogene Daten nur so lange
speichern, wie es für den Zweck, für den sie erhoben
wurden, notwendig ist und wie es die gesetzliche Auf-
bewahrungsfrist für Geschäftsvorgänge vorsieht.

Lege ein Verzeichnis von Verarbeitungstätigkei-
ten für Deinen Verein an. Welche Verarbeitungs-
tätigkeiten fallen in Deinem Verein an? Welche
Welche personenbezogenen Daten werden in Personen und Daten sind von den Tätigkeiten
Deinem Verein erhoben und zu welchem Zweck betroffen?
geschieht dies? Mache eine Liste.

DiNa-Tipp 6: Erstelle ein Datenverarbeitungs-
verzeichnis für Deinen Verein!

12

     DiNa-Tipp 7: Gehe transparent mit der Erhebung            Termin einer bevorstehenden Veranstaltung und er
     und Verarbeitung personenbezogener Daten um!              verspricht, Dir diese Information per SMS zukommen
                                                               zu lassen und notiert sich dazu Deine Nummer, ist
     Mit dem Grundsatz der DSGVO, die Rechte und Frei-         keine gesonderte Information über die Verarbeitung
     heiten natürlicher Personen zu schützen, geht das         Deiner Daten notwendig.
     Recht der Betroffenen einher zu wissen, wer welche
     Informationen über sie sammelt und nutzt. Vereine         DiNa-Tipp 8: Gebe auf Deiner Vereinswebsite
     müssen daher verständlich, präzise und in leicht zu-      eine Datenschutzerklärung ab!
     gänglicher Form darüber informieren, welche perso-
     nenbezogenen Daten sie erheben und was mit den Da-        Betreibt Dein Verein eine eigene Vereinswebsite und
     ten gemacht werden soll. Wichtig ist, dass dies vor der   verarbeitet dort personenbezogene Daten, ist eine
     Erhebung der Daten geschieht. Konkret müssen die          Datenschutzerklärung neben dem Impressum ein
     Betroffenen über folgende Punkte informiert werden:       Pflichtelement auf der Homepage (Art. 13 Abs. 1 EU-
                                                               DSGVO). Der Verein muss darin über folgende Punkte
     • Name und Kontaktdaten des Verantwortlichen;             informieren:

     • Kontaktdaten des /der Datenschutzbeauftragten           • Zweck- und Rechtsgrundlage für die Verarbeitung
       (falls vorhanden);                                        von personenbezogenen Daten;

     • Zwecke, für die die personenbezogenen Daten er-         • Dauer der Speicherung von personenbezogenen
       hoben werden, sowie die Rechtsgrundlagen für die          Daten beziehungsweise Kriterien für die Festle-
       Erhebung;                                                 gung der Dauer;

     • Interessen des Vereins, falls er die Daten auf Basis    • Hinweis auf das Bestehen der Betroffenenrechte
       einer Interessensabwägung verarbeiten möchte;             (Recht auf Auskunft, Berichtigung, Löschung) und
                                                                 Widerspruchsrecht;
     • Empfänger der Daten, falls der Verein die erhobe-
       nen Daten weitergeben möchte;                           • Hinweis auf das Bestehen eines Beschwerderechts
                                                                 bei einer Aufsichtsbehörde;
     • Dauer der Speicherung der Daten oder Kriterien für
       die Löschung;                                           • Hinweis auf den Einsatz externer Dienste wie zum
                                                                 Beispiel Facebook und Google, sofern diese durch
     • Hinweis auf die Betroffenenrechte (Auskunft, Be-          den Webseitenaufruf personenbezogene Daten er-
       richtigung, Löschung usw.);                               heben;

     • Hinweis auf Beschwerderecht bei der Aufsichts-          • Informationen über den Einsatz von Cookies;
       behörde.
                                                               • Kontaktdaten des/der Datenschutzbeauftragten
     Vereine können diese Informationen beispielsweise           (wenn verpflichtend bestellt).
     über eine zusätzlich zum Mitgliedsantrag gereichte
     Datenschutzerklärung vermitteln oder die Punkte mit       Mit der Datenschutzerklärung informierst Du die
     in die Vereinssatzung aufnehmen. Theoretisch müss-        Nutzer*innen darüber, welche Daten beim Besuch
     ten die Informationen auch bereits bestehenden Mit-       der Website erfasst und wie diese verwendet werden:
     gliedern zur Verfügung gestellt werden. Bei der Daten-    Werden die Daten aus dem Kontaktformular inklusive
     schutzaufsicht liegt die Priorität jedoch darauf, dass    der Anfrage gespeichert? Werden Kontaktdaten wei-
     ab Einführung der DSGVO alle zukünftigen Mitglieder       tergegeben und wenn ja warum und an wen? Werden
     informiert werden.                                        auf der Website sogenannte Cookies verwendet, die
                                                               das Klickverhalten aufzeichnen? Je mehr Transparenz
     Die Schwelle für die Informationspflicht sinkt bei di-    Dein Verein hier zeigt, desto vertrauenswürdiger ist er.
     rektem und unkompliziertem Kontakt mit Personen.
     Fragst Du zum Beispiel den Vereinsvorstand nach dem

Mitgliederdaten: Schützen, verwalten und verwenden   13

                                                                       Betroffenenrechte: Recht auf
                   Dein Verein macht sich bekannt
                                                                       Auskunft

                                                                       Jedes Vereinsmitglied hat ein Recht auf Auskunft da-
                                                                       rüber, welche personenbezogenen Daten über ihn/sie
                                                                       erhoben werden. Um möglichen Auskunftsbegehren
                                                                       durch Vereinsmitglieder DSGVO-konform zu entspre-
                                                                       chen, kann Dein Verein das Datenverarbeitungsver-
                                                                       zeichnis nutzen. Dabei muss eine Auskunft nur dann
                                                                       erteilt werden, wenn ein konkreter Antrag des Betrof-
                   Homepage: Sicher gestalten,
                                                                       fenen vorliegt.
                   organisieren und pflegen

                                                                       Bevor eine Auskunft erteilt wird, muss zudem sicher-
                                                                       gestellt sein, dass es sich um den richtigen Antrags-
                                                                       steller/die richtige Antragstellerin handelt. Kommt ein
                                                                       Mitglied, welches Du bereits mehrere Jahre kennst,
DiNa-Handbuch „Homepage: Sicher gestalten, organisieren und pflegen“
                                                                       persönlich vorbei oder ruft von einer bekannten Num-
                                                                       mer aus an, reicht das natürlich vollkommen aus. Bei
                                                                       einer Anfrage per E-Mail von einer unbekannten Ab-
                                                                       senderadresse solltest Du jedoch vorsichtig sein und
                                                                       Dir die Identität nachweisen lassen.

                                                                       Die Anfrage muss auch dann beantwortet werden,
   Mehr Informationen zur sicheren Gestaltung                          wenn keine Daten der Person erhoben werden. Falls
   einer Vereinswebsite findest Du im DiNa-Hand-                       Dein Verein Daten über die Person hat, musst Du diese
   buch „Homepage: Sicher gestalten, organisieren                      nur als Abschrift zur Verfügung stellen. Die Abschrift
   und pflegen“.                                                       kann sowohl schriftlich als auch elektronisch bereit-
                                                                       gestellt werden und sollte folgende Informationen
                                                                       enthalten:

                                                                       • Zweck der Verarbeitung

                                                                       • Kategorien personenbezogener Daten

   In dem Artikel „Aufbau einer einfachen Daten-                       • Empfänger der Daten
   schutzerklärung“ auf der Seite iRIGHTSinfo fin-
   dest Du ausführliche Informationen zur einfa-                       • geplante Speicherdauer
   chen Datenschutzerklärung auf Websites. Als
   Vorlage für eine entsprechende Erklärung auf                        • Hinweis auf sonstige Betroffenenrechte und
   Deiner Vereinswebsite eignet sich die Daten-                          Beschwerdemöglichkeit bei Aufsichtsbehörde
   schutzerklärung von iRIGHTSinfo.
   3 irights.info/datenschutzerklaerung                                Die Auskunft darf nicht nur die Kategorien beschrei-
                                                                       ben, sondern muss auch die konkreten Daten selbst
   Ein weiteres Muster für die Datenschutzerklä-                       beinhalten (zum Beispiel Max Mustermann, Haupt-
   rung auf Vereinswebsites kannst Du Dir auf den                      straße 1, 12345 Berlin). Denn nur so kann der Betrof-
   Seiten des Bayerischen Sportschützenbund e.V.                       fene die Korrektheit der Daten prüfen. Die erste Aus-
   im Download-Bereich herunterladen. Du findest                       kunft muss kostenlos zur Verfügung gestellt werden
   das „Muster für eine Datenschutzerklärung auf                       und innerhalb eines Monats erfolgen. Werden weitere
   der Homepage“ im Ordner „Datenschutz“.                              Kopien gewünscht, kann ein angemessenes Entgelt
   3 www.bssb.de/downloads.html                                        verlangt werden.

Betroffenenrechte: Berichtigung & Betroffenenrechte: Widerspruch
Löschung
Betroffene haben das Recht, der Verarbeitung ihrer
Bei der Verarbeitung personenbezogener Daten gilt personenbezogenen Daten zu widersprechen. Dies ist
außerdem der Grundsatz der Richtigkeit (Art. 5 EU- vor allem dann relevant, wenn sich Dein Verein als
DSGVO). Das bedeutet, dass die Daten sachlich richtig Rechtfertigung für die Verarbeitung auf eine Interes-
und aktuell sein müssen. Betroffene haben daher auch sensabwägung beruft. Für einen wirksamen Widerruf
einen Anspruch auf die Korrektur falscher Daten. Dies muss der Betroffene plausible Gründe vorbringen. Der
ist zum Beispiel der Fall, wenn sich durch einen Um- Verantwortliche muss dann unter Kenntnis der neuen
zug die Adresse ändert oder bei irrtümlichen Daten- Gründe eine erneute Interessensabwägung vorneh-
eingaben. Wünscht der Betroffene eine Löschung sei- men und die Verarbeitung unter Umständen stoppen.
ner Daten, muss dem gefolgt werden, wenn

• für die Erfüllung des ursprünglichen Zwecks die
weitere Speicherung der Daten nicht mehr erfor-
derlich ist;

• der Betroffene seine Einwilligung widerrufen hat; Um allen Betroffenenrechten als Verein rechts-
konform nachkommen zu können, solltest Du
• es keine andere Rechtsgrundlage für die weitere Dich auf mögliche Fälle vorbereiten und ver-
Speicherung der Daten gibt. schiedene Szenarien üben, insbesondere das
Szenario einer geforderten Auskunft.

16
2

Zugänge, Berechtigungen & Backups:
Wie Du die Sicherheit personenbezogener
Daten gewährleistest
Wer darf im Verein Daten verwalten? Welche techni- erhalten, die mit der Buchhaltung des Vereins betraut
schen Sicherheitsmaßnahmen müssen unternommen sind (Art. 18 EU-DSGVO).
werden? Und wie kannst Du vermeiden, dass Daten
verloren gehen? Damit die Daten der Mitglieder in Dei- Wird nur mit persönlichen Computern gearbeitet,
nem Verein sicher sind, helfen ein paar grundsätzli- müssen auch hier Dateien und Programme unbe-
che Regelungen. Die Digitale Nachbarschaft zeigt Dir dingt mit starken Passwörtern gesichert werden. Da-
in diesem Kapitel, wie es geht. bei sollte vermieden werden, dass mehrere Personen
über einen Account und ein Passwort auf die Daten
zugreifen können. Jedes Mitglied braucht einen eige-
DiNa-Tipp 9: Kontrolliere die Zugriffsrechte auf nen Account und eigene Zugänge.
vertrauliche Daten!

Datenverlust ist nicht immer auf illegale Aktivitäten
wie Datendiebstahl zurückzuführen. Das Risiko be-
steht vor allem bei der alltäglichen Arbeit, wenn bei-
spielsweise Daten versehentlich an einen falschen
Adressaten versendet werden. Mit einfachen Maß- Ausführliche Anleitungen zu sicheren Pass-
nahmen kann Dein Verein solche Risiken vermeiden. wörtern, Merkmethoden und Passwort-Verwal-
tungsprogrammen findest Du im DiNa-Hand-
Dem Grundsatz der Vertraulichkeit und Integrität buch „Gemeinsam im Netz: Geräte absichern,
personenbezogener Daten (Art. 5 EU-DSGVO) zufolge Informationen sammeln und Netzwerke teilen“.
muss die Verarbeitung in einer Weise erfolgen, die eine
angemessene Sicherheit der Daten gewährleistet. Die
IT-Struktur Deines Vereins muss so aufgestellt sein,
dass sich Unbefugte nicht einfach Zugriff auf Daten DiNa-Tipp 10: Schütze Deine Daten durch
verschaffen können. Dein Verein muss außerdem si- Verschlüsselungsverfahren!
cherstellen, dass die Daten weder beabsichtigt noch
unbeabsichtigt verändert beziehungsweise manipu- Die Verschlüsselung ist nach der DSGVO eine geeig-
liert werden können. Dies wäre beispielsweise der Fall, nete Maßnahme zur sicheren Datenverarbeitung. Es
wenn ein unerfahrenes Vereinsmitglied mit dem Auf- gibt eine Reihe von Verschlüsselungsmethoden, die
räumen der Datenbank beauftragt wird, dafür zu viele im Alltag leicht anzuwenden sind:
Zugriffsrechte erhält und versehentlich die Mitglieder-
liste löscht oder verändert. • E-Mail-Verschlüsselung: Wenn Du personenbezo-
gene Daten über E-Mail verschickst, ist es ratsam,
Ein geeigneter Weg, um die Integrität sicherzustellen, Deine E-Mails zu verschlüsseln.
ist ein funktionierendes Berechtigungsmanagement.
Das bedeutet, dass im Verein festlegt wird, wer auf • Vereins-WLAN: Bietet Dein Verein seinen Mitglie-
welche Daten für welchen Zweck in den jeweiligen dern oder Gästen ein WLAN zur Nutzung an, sollte
Systemen zugreifen darf. Erhalten Personen jeweils dessen Zugang nicht nur mit einem guten Pass-
nur die absolut erforderlichen Rechte, ist Dein Verein wort, sondern auch mit der WPA2-Methode gesi-
auf der sicheren Seite. Dateiserver bieten die Mög- chert sein.
lichkeit, verschiedenen Nutzer*innen unterschied-
liche Zugriffsrechte zuzuteilen. Nutzt Dein Verein • Website: Sowohl die eigene Vereinswebsite als
beispielsweise eine Buchhaltungssoftware, sollten auch die Websites, die Du besuchst, sollten mit dem
nur die Personen einen Zugang zu der Anwendung sogenannten SSL-Zertifikat verschlüsselt sein.

Mitgliederdaten: Schützen, verwalten und verwenden 17

Dies erkennst Du durch ein Schloss-Symbol neben sich besser verstehen, beispielsweise mit der
der Websiteadresse (URL) als auch an dem Aus- Frage: Welche Aktionen oder Maßnahmen haben
druck „https://“ in der URL. sich auf die Mitgliederentwicklung positiv aus
gewirkt?
• Dateien und Dokumente: Viele Dateien und Doku-
mente kannst Du mithilfe von Programmen wie • Das Beitragsengagement lässt sich genau analy-
den Office-Anwendungen Word, Excel oder Po- sieren, unter anderem mit der Frage: Wie hoch ist
werPoint mit einem Passwort versehen. Bietet das der durchschnittliche Mitgliedsbeitrag?
Programm selbst keine Möglichkeit an, ein Pass-
wort zu erstellen, kannst Du die Dateien in einem • Aus dieser Datenanalyse ergeben sich Hinweise
verschlüsselten ZIP-Ordner verpacken und mit auf die Zielgruppen Deines Vereins. Dazu gehören
einem Passwort schützen. Fragen wie: Sollte Dein Verein eher Personen an-
sprechen, die ihn mit einer hohen Einmalspende
unterstützen oder mit einer kleineren regelmäßi-
gen Summe? Wie sind die Geschlechterverteilung
und das Durchschnittsalter?

• Die Datenanalyse zeigt problematische Entwick-
WPA2 (Wi-Fi Protected Access, auf Deutsch: lungen an und bietet Erklärungsansätze. Dadurch
Wi-Fi geschützter Zugang) ist die neueste Ver- lässt sich beispielsweise ein Mitgliederschwund
schlüsselungsmethode für WLAN. Drahtlose rechtzeitig erkennen und nachvollziehen.
Netzwerke werden dadurch vor dem unbefug-
ten Zugriff geschützt, so dass ausgetauschte Ein anderer Weg, um interessante Daten für oder über
Daten nicht durch Dritte mitgelesen werden die Vereinsarbeit zu gewinnen, ist eine Mitgliederum-
können. frage zu einem aktuellen Thema. Wie auch immer Du
Daten erhebst: Lasse die Betroffenen auf jeden Fall
wissen, dass Du die Daten anonymisiert auswertest.

Wie Du Deine E-Mails verschlüsselst, erfährst
Du im DiNa-Handbuch „Online-Kommunikation: Kostenlose Online-Umfragen lassen sich bei-
Mailen, Messenger nutzen und Videokonferen- spielsweise mit der Anwendung Google For-
zen veranstalten“. Weitere Informationen zur mulare erstellen. Dazu musst Du Dir ein Goo-
Einrichtung und Administration einer sicheren gle-Konto einrichten. Nachdem Du Dich in
Vereinswebsite findest Du im DiNa-Handbuch diesem Konto angemeldet hast, erhältst du
„Homepage: Sicher gestalten, organisieren und über die Funktion „Google Apps“ Zugriff auf die
pflegen“. Anwendung Google Formulare. Dort kannst Du
dann individuelle Umfragen für Deinen Verein
erstellen. 3 www.google.com/forms/about

DiNa-Tipp 11: Werte Daten nur anonymisiert aus! maQ-online.de bietet die Möglichkeit, Umfragen
online zu erstellen. An den Umfragen können bis
Die Analyse von Mitgliedsdaten ermöglicht es Deinem zu 600 Personen teilnehmen, die Laufzeit der Be-
Verein, sich strategisch weiterzuentwickeln. Dabei fragung kann auf 30, 60 oder 90 Tage festgelegt
können die Ergebnisse auch für die Kommunikation werden. Die Umfrageergebnisse lassen sich gra-
nach außen interessant sein. Die Datenanalyse liefert fisch darstellen oder können zur Weiterbearbei-
Erkenntnisse aus verschiedenen Bereichen: tung in ein Tabellenkalkulations- oder Statistik-
programm exportiert werden. 3 maQ-online.de
• Die vergangene Entwicklung Deines Vereins lässt

Für die Auswertung der erhobenen Daten kannst auf dem Rechner eingerichtet ist. Nutze auf jeden Fall
Du zum Beispiel das Datenverarbeitungs- und einen vertrauenswürdigen Cloud-Anbieter, der die
Tabellenkalkulationsprogramm Excel nutzen. Vorgaben der DSGVO einhält.
Dort lassen sich erhobene Daten anschaulich
in Form von Tabellen und Diagrammen dar-
stellen. Eine kostenlose Alternative zu Excel ist
das Tabellenkalkulationsprogramm Calc von
OpenOffice. Auch mit Calc lassen sich aussage-
kräftige Diagramme und Schaubilder erstellen,
die die Umfrageergebnisse anschaulich zusam- AOMEI Backupper ist eine Backup-Software
menfassen. für den Schutz und die Notfallwiederherstel-
lung von Dateien und Festplatten. Die Software
verfügt über alle wichtigen Funktionen, die für
eine umfassende Datensicherung notwendig
sind. Möglich sind Backups ganzer Festplatten
sowie von einzelnen Ordnern und Dateien. Die
Standardversion von AOMEI Backupper ist kos-
tenlos und für Windows 10, 8.1, 8, 7, Vista und XP
Überlege Dir drei Hypothesen, die Du mit der Da- verfügbar. 3 www.backup-utility.com/de
tenanalyse untersuchen möchtest, zum Beispiel:
In der Weihnachtszeit steigt das Spendenvolu- Ebenfalls nutzbar für alle Windows-Geräte ab
men stark an – trifft das für Deinen Verein zu? Windows 95 ist die Datensicherungssoftware
TrayBackup. Die Freeware ermöglicht das Si-
chern von einzelnen Dateien sowie von ganzen
Verzeichnissen. Außerdem können Dateien
und/oder Verzeichnisse ausgewählt werden,
DiNa-Tipp 12: Erstelle regelmäßig Backups die nicht gesichert werden sollen. TrayBackup
Deiner Dateien! benötigt keine Installation, sondern kann direkt
von einem Wechseldatenträger (zum Beispiel
Sicherheitslücken in IT-Systemen werden von den von einem USB-Stick aus) gestartet werden. Für
Herstellern immer wieder durch Updates geschlossen. den privaten Einsatz und den Einsatz in öffentli-
Vereine müssen sich daher regelmäßig über mögliche chen Bildungseinrichtungen sowie gemeinnüt-
Lücken erkundigen und notwendige Updates für Soft- zigen Organisationen ist die Nutzung kostenlos.
ware und Hardware installieren. 3 www.traybackup.de

Für den Fall, dass es dennoch zu einem Datenverlust Für die Sicherung Deiner iOS-Geräte kannst
kommt – sei es durch Hacker oder selbstverschul- Du unter anderem die Software SmartBackup
det – ist es wichtig, in regelmäßigen Abständen verwenden. Die Software ist kostenlos und ab
Sicherheitskopien, sogenannte Backups, der Datei- macOS 10.10 verfügbar. Auch hier lassen sich
en anzufertigen. Wenn Dein Verein einen eigenen entweder einzelne Dateien oder ganze Systeme
Server nutzt, bietet dieser häufig eine automatische sichern. Auf der Herstellerseite befindet sich ein
regelmäßige Sicherung der Dateien an. Diese müssen Hilfe-Bereich, in dem Du gängige Fragen zur
dann auf dem Server gespeichert werden und nicht Verwendung von SmartBackup nachschlagen
lokal auf dem eigenen Computer. kannst. 3 solesignal.com/smartbackup4

Alternativ können die Daten auf einer externen Fest-
platte gespeichert und sicher verwahrt werden. Hier
ist darauf zu achten, dass die Sicherung regelmäßig
erfolgt. Es gibt auch die Möglichkeit, Daten in einer
Cloud zu sichern. Dabei werden die Daten automa-
tisch und kontinuierlich gesichert, wenn eine Cloud

Mitgliederdaten: Schützen, verwalten und verwenden   19

DiNa-Tipp 13: Stelle sicher, dass nur                      IT-Sicherheit als Vorstandssache
Befugte Zugang zu personenbezogenen
Daten bekommen!                                            Das Thema Datenschutz betrifft viele unterschiedli-
                                                           che Bereiche und mehrere verantwortliche Personen
Datensicherheit betrifft auch den physischen Zugang        im Verein. Zudem kann eine ganzheitliche Umset-
zu den Daten. Ob es sich um Ordner handelt, in denen       zung der DSGVO gegebenenfalls Kosten verursachen.
Mitgliederinformationen abgelegt sind, oder einen          Gleichzeitig vertrauen Vereinsmitglieder darauf, dass
Dateiserver, spielt dabei keine Rolle. Wichtig ist, dass   sorgsam mit ihren Daten umgegangen wird. Aus die-
Unbefugte keinen freien Zugang zu den Daten haben.         sem Grund müssen die IT-Sicherheit und der Daten-
Der Zugang zu den Räumen oder Schränken mit per-           schutz im Allgemeinen nicht nur von einzelnen Per-
sonenbezogenen Daten sollten daher immer gesichert         sonen im Verein betrieben, sondern vom gesamten
sein, beispielsweise durch eine abschließbare Tür, ei-     Vorstand unterstützt werden.
nen abschließbaren Schrank oder eine Alarmanlage.

3 Mitgliederdaten: Schützen, verwalten und verwenden 21

Auftragsverarbeitung & Datenschutz
beauftragte: Wer Dich bei der Datenver
arbeitung unterstützt
Darf Dein Verein Daten an Dienstleister weitergeben? dem Dienstleister ein Auftragsverarbeitungsvertrag
Was steht in einem Auftragsverarbeitungsvertrag? geschlossen werden. Der Vertrag muss folgende vier
Braucht Dein Verein eine*n Datenschutzbeauftrag- Punkte enthalten:
te*n? Und was ist zu tun, wenn es doch mal zu einer
Datenschutzverletzung kommt? Die Digitale Nachbar- • Beschreibung und Festschreibung des Weisungs-
schaft zeigt Dir in diesem Kapitel, wie es geht. rechts des Vereins;

• Inhalt des Auftrags;
DiNa-Tipp 14: Schließe mit externen Dienst-
leistern einen Auftragsverarbeitungsvertrag ab! • Verpflichtung zur Vertraulichkeit und Einhaltung
der Sicherheit;
Manchmal können nicht alle im Verein anfallenden
Arbeiten, die mit personenbezogenen Daten zu tun • Festlegung, was mit den Daten nach Abschluss der
haben, selbst erledigt werden. Dann besteht die Mög- Auftragsverarbeitung geschehen soll.
lichkeit, auf die Hilfe externer Dienstleister zurückzu-
greifen. Dies ist zum Beispiel der Fall, wenn ein exter-
ner Anbieter die Buchhaltung erledigt oder sich ein*e
IT-Berater*in um eine funktionierende Serverstruktur
kümmert.

Wenn externe Dienstleister Aufgaben für Vereine er- Das Bayerische Landesamt für Datenschutz-
füllen und dabei mit personenbezogenen Daten arbei- aufsicht stellt einen Muster-Auftragsverarbei-
ten, handelt es sich um eine Auftragsverarbeitung tungsvertrag zur Verfügung.
(Art. 28 EU-DSGVO). Eine spezielle Einwilligung der 3 www.lda.bayern.de/media/muster_adv.pdf
Betroffenen ist dafür nicht notwendig, wenn allein der
Verein über die Zwecke und Mittel der Verarbeitung Einen individuell anpassbaren Mustervertrag
entscheidet. Der Dienstleister führt also nur weisungs- bietet auch der Bundesverband für Informa-
abhängig einen bestimmten Auftrag durch, ohne auf tionswirtschaft, Telekommunikation und neue
eigene Faust die Daten weiter zu verarbeiten. Dies gilt Medien e.V. (BITKOM) an.
unter anderem für 3 www.bitkom.org/Bitkom/Publikationen/
Mustervertragsanlage.html
• Mitgliedsbeitragsabrechnung durch externe Buch-
haltung;

• Lohn und Gehaltsabrechnungen durch einen Steu- Bei der Beauftragung muss sich der Verein außerdem
erberater; umfangreiche Kontrollrechte einräumen lassen. Es
muss zum Beispiel ohne Vorankündigung möglich
• Versand von Vereinszeitschriften über einen ex- sein, Kontrollen beim Dienstleister vor Ort durchzu-
ternen Versender. führen. Das gilt auch für die Heimarbeit von Privat-
wohnungen aus.
Vor dem Auftrag ist zu prüfen, ob der Dienstleister ga-
rantiert, dass die Verarbeitung im Einklang mit den Für das Ende der Auftragsverarbeitung durch den
Vorschriften der DSGVO erfolgt. Für jede Auftrags Dienstleister sind entsprechende Reglungen zu tref-
verarbeitung muss dann zwischen dem Verein und fen. So muss vor allem festgelegt werden, was mit

den Daten nach dem Ende des Vertrags passiert.
Das betrifft unter anderem die Frage, wie und ob sie
gelöscht werden und welche Daten in welcher Form
an den Verein zurückzugeben sind.
Cloud Computing (auf Deutsch: Rechnerwolke
Die Mitgliederdaten eines Vereins sind nicht automa- oder Datenwolke) ist eine IT-Infrastruktur, die
tisch auch Daten eines Dachverbandes, dem der Verein in der Regel aus Speicherplatz, Rechenleistung
angehört. Vielmehr ist der Dachverband datenschutz- oder Anwendungssoftware als Dienstleistung
rechtlich wie eine fremde Stelle zu behandeln. Perso- besteht. Diese Dienstleistungen werden über ein
nenbezogene Daten der Vereinsmitglieder dürfen dem Rechnernetz zur Verfügung gestellt, also ohne
Dachverband nur zur Verfügung gestellt werden, wenn Installation auf lokalen Geräten. Die Nutzung
dieser eine Aufgabe erfüllt, die letztlich auch im be- erfolgt über technische Schnittstellen, in den
rechtigten Interesse des übermittelnden Vereines liegt. meisten Fällen über einen Webbrowser.

Überprüfe, mit welchen externen Dienstleistern
Dein Verein zusammenarbeitet und ob diese die Weitere Informationen zur Nutzung von
Anforderungen der DSGVO einhalten. Schließe Cloud-Diensten findest Du im Handbuch „On-
mit den Anbietern einen Auftragsverarbeitungs- line-Zusammenarbeit: Projekte organisieren,
vertrag ab, wenn das noch nicht geschehen ist. erarbeiten und Wissen austauschen“.

Mitgliederdatenverwaltung DiNa-Tipp 15: Benenne eine*n Datenschutz-
in einer Cloud beauftragte*n!

Für den Schutz personenbezogener Daten ist in der
Regel der Vorstand des Vereines verantwortlich. Ein*e
Datenschutzbeauftragte*r kann den Vereinsvorstand
dabei unterstützen und als Ansprechpartner*in für Be-
troffene oder die Datenschutzbehörde zur Verfügung
Cloud-Standorte in den USA sollten eine Zertifizierung durch
stehen. Die Haftung trägt dabei weiterhin der Ver-
den sogenannten EU-US Privacy Shield besitzen. einsvorstand. Grundsätzlich kann jeder Verein selbst
entscheiden, ob er eine*n Datenschutzbeauftragte*n
Wenn Du Cloud-Dienste für die Verwaltung oder Er- ernennen möchte. Eine freiwillige Ernennung bietet
hebung von personenbezogenen Daten nutzt, handelt sich insbesondere dann an, wenn dem Verein die
es sich datenschutzrechtlich ebenfalls um eine Auf- nötigen Kapazitäten oder das Wissen fehlen, um alle
tragsverarbeitung. Darum solltest Du wie bei ande- Punkte der DSGVO richtig umzusetzen. Es gibt jedoch
ren externen Dienstleistern darauf achten, dass Dein zwei Ausnahmen, bei denen ein Verein eine*n Daten-
Cloud-Dienst die Vorschriften der DSGVO einhält. Eine schutzbeauftragte*n ernennen muss:
Datenschutz-Zertifizierung nach DSGVO ist dabei sehr
hilfreich. Der Cloud-Standort muss nicht innerhalb der 1. Die Benennung einer/eines Datenschutzbeauf-
EU liegen, aber es müssen die EU-Standardvertrags- tragten ist Pflicht, wenn im Verein mindestens 20
klauseln gelten. Im Falle eines Cloud-Standortes in den Personen ständig mit der Verarbeitung von perso-
USA sollte eine Zertifizierung durch den sogenannten nenbezogenen Daten beschäftigt sind (§38 BDSG).
EU-US Privacy Shield vorliegen. Dieses „Datenschutz- Ständig heißt dabei nicht, dass eine Person Vollzeit
schild“ garantiert die Einhaltung der DSGVO. arbeitet. Selbst wenn eine Person nur fünf Stunden

Mitgliederdaten: Schützen, verwalten und verwenden   23

  pro Woche freiwillig im Verein aushilft, sich dann     • Überwachung der Einhaltung der Datenschutzvor-
  jedoch primär um die Pflege und Aktualisierung der       schriften;
  Mitgliederdatenbank kümmert, zählt diese Person
  zu den zwanzig Personen.                               • Beratung im Zusammenhang mit Datenschutz-
                                                           Folgeabschätzungen;
2. Ein Verein muss außerdem eine*n Datenschutzbe-
   auftragte*n ernennen , wenn es seine Kerntätigkeit    • Zusammenarbeit mit der Aufsichtsbehörde;
   ist, Daten der folgenden Art zu erheben:
                                                         • Anlaufstelle für die Aufsichtsbehörde in Fragen,
  • Gesundheitsdaten                                       die mit der Verarbeitung personenbezogener Da-
                                                           ten zusammenhängen;
  • Daten zum Sexualleben oder zur sexuellen
    Orientierung                                         • Beratung betroffener Personen.

  • genetische Daten                                     Dabei sind für die Einhaltung der Richtlinien im Ver-
                                                         einsalltag immer die Mitarbeiter*innen beziehungs-
  • Daten mit Bezug zur ethnischen Herkunft              weise in letzter Instanz der Vorstand verantwortlich.

  • Daten mit Bezug zur politischen Meinung              Die DSGVO gibt vor, dass Vereine die Kontaktdaten
                                                         des/der Datenschutzbeauftragten veröffentlichen.
  • Daten zur religiösen Überzeugung oder                Hier genügt die Veröffentlichung einer bestimmten
    Weltanschauung                                       E-Mail-Adresse wie zum Beispiel datenschutz@ver-
                                                         einx.de. Der Name oder die persönlichen Kontaktdaten
  • strafrechtlich relevante Daten                       des/der Datenschutzbeauftragten müssen nicht ge-
                                                         nannt werden. Wichtig bei der Nutzung einer solchen
Wichtig ist, dass es sich dabei um eine Kerntätigkeit    E-Mail-Adresse ist, dass die Eingänge des Postfachs
des Vereins handelt. Werden zum Beispiel in der Lohn-    regelmäßig, das heißt beispielsweise ein Mal pro Wo-
abrechnung (wie verpflichtend vorgeschrieben) Daten      che kontrolliert werden.
für die Ermittlung der Kirchensteuer erfasst, ist dies
nicht als eine Kerntätigkeit zu werten.
                                                         Datenschutzverletzungen und
Datenschutzbeauftragte können, müssen aber nicht         Sanktionen
Mitglied des Vereins sein und werden in der Regel
durch den Vorstand bestellt. Ein Vereinsmitglied kann    Wenn die Daten der Mitglieder, Mitarbeiter*innen oder
die Aufgabe auch neben anderen Pflichten wahrneh-        Dritter gut geschützt sind, gibt dies aktuellen und po-
men, wenn es dabei nicht zum Interessenskonflikt         tenziellen neuen Mitgliedern ein zusätzliches Sicher-
kommt. Die schriftliche Benennung ist nicht ver-         heitsgefühl. Dementsprechend kann die Einhaltung
pflichtend, aber empfehlenswert, um der Datenschutz-     und Umsetzung der DSGVO selbstbewusst über die
behörde im Zweifelsfall die Benennung nachweisen zu      eigenen Kanäle wie die Website oder den Newsletter
können. Die DSGVO sieht zudem vor, dass der Verein       kommuniziert werden.
die Kontaktdaten des/der Datenschutzbeauftragten
der Aufsichtsbehörde mitteilt, was mittels eines On-     Trotz aller Bemühungen kann es jedem Verein pas-
lineformulars der zuständigen Behörde erfolgen kann.     sieren, dass es zu Datenschutzverletzungen kommt,
                                                         sei es unabsichtlich durch eigene Vereinsmitarbei-
Datenschutzbeauftragte haben bestimmte Aufgaben          ter*innen oder unrechtmäßig durch einen Eingriff
zur Kontrolle und zur Unterstützung des Vereinsvor-      von Dritten. Dies ist kein Grund zur Panik. Die Daten-
stands zu erfüllen:                                      schutzbehörden sind nicht daran interessiert, kleine
                                                         Vereine mit unverhältnismäßigen Strafen zu belegen.
• Unterrichtung und Beratung des Vereins und der         Oft wird sogar von Sanktionen abgesehen, vor allem
  Beschäftigten hinsichtlich ihrer Pflichten nach        wenn sich der Verein darum bemüht, die Regeln und
  Datenschutzrecht;                                      Pflichten der DSGVO einzuhalten und umzusetzen.

24

     Wichtig ist jedoch, bei einer Datenschutzverletzung      für die persönlichen Rechte und Freiheiten der betrof-
     die richtigen Maßnahmen zu ergreifen.                    fenen Person zur Folge hat. Da diese Einschätzung
                                                              nicht so leicht ist, empfiehlt es sich, hier mit der Auf-
                                                              sichtsbehörde zusammenzuarbeiten.

                                                              Die Benachrichtigungspflicht entfällt, wenn der Ver-
                                                              ein im Vorfeld geeignete technische und organisatori-
                                                              sche Sicherheitsvorkehrungen getroffen hat wie zum
       Eine „Verletzung des Schutzes personenbezoge-          Beispiel die Verschlüsselung risikobehafteter Daten.
       ner Daten“ liegt vor, wenn dies negative Folgen        Sind Smartphone oder Laptop mit starken Passwör-
       für diese Daten haben kann. Darunter fallen die        tern gesichert, durch die ein unbefugter Zugriff auf
       Vernichtung, der Verlust, die Veränderung, die         die Daten im Normalfall verhindert wird, müssen bei
       unbefugte Offenlegung und der unbefugte Zu-            einem Verlust des Geräts die Betroffenen nicht be-
       gang zu personenbezogenen Daten. Es spielt da-         nachrichtigt werden.
       bei keine Rolle, ob die Verletzung der Sicherheit
       absichtlich oder unbeabsichtigt erfolgt. Mögli-        Die möglichen Sanktionen bei Verletzungen des
       che Formen sind:                                       Schutzes personenbezogener Daten schreiben Geldbu-
                                                              ßen in Millionenhöhe vor. Dabei geht es primär darum,
       • Hacking des Servers durch Dritte;                    größeren Unternehmen bei bewussten Datenschutz-
       • Datenverlust (zum Beispiel durch Verlust             verletzungen wirksame Mittel entgegenzustellen.
         eines Laptops oder USB-Sticks);                      Denn die Verordnung legt ebenso fest, dass Geldbu-
       • Diebstahl von Daten (zum Beispiel bei                ßen verhältnismäßig und abschreckend sein müssen.
         Einbruch in die Vereinsräume);                       Vereine, die grundsätzlich auf den Datenschutz ach-
       • Fehlversand von Daten (zum Beispiel durch            ten und organisatorisch und technisch gut aufgestellt
         Eingabe eines falschen E-Mail-Empfängers);           sind, haben daher keine oder nur sehr geringe Sank-
       • Softwarefehler (zum Beispiel durch Fehler            tionen zu erwarten.
         in der Datenbanksoftware);
       • Schadcode (zum Beispiel durch einen                  Ist dem Vereinsvorstand das Thema Datenschutz
         Computervirus);                                      offenkundig egal und werden Vorschriften bewusst
       • Fehlentsorgung (zum Beispiel wenn eine               missachtet, muss mit hohen Strafen gerechnet wer-
         defekt geglaubte Festplatte in den Müll              den. In jedem Fall trägt der Vereinsvorstand die Verant-
         geworfen wird).                                      wortung für die Umsetzung und muss die Haftung bei
                                                              eventuellen Verstößen übernehmen. Um Datenschutz-
                                                              verletzungen frühzeitig zu erkennen und angemessen
                                                              zu reagieren, helfen die folgenden Maßnahmen:
     DiNa-Tipp 16: Melde Datenschutzverletzungen
     der zuständigen Aufsichtsbehörde!                        • Informiere Dich vorab darüber, welche Daten-
                                                                schutzbehörde für Deinen Verein zuständig ist.
     Wenn der Schutz personenbezogener Daten verletzt
     wurde, ist dies unverzüglich der Aufsichtsbehörde zu     • Prüfe, wie sich Datenschutzverletzungen in Dei-
     melden, spätestens aber innerhalb von 72 Stunden           nem Verein erkennen lassen.
     nach Bekanntwerden der Verletzung. Dann wird ge-
     meinsam geprüft, welches Risiko für die Betroffenen      • Lege fest, wer bei einer aufgetretenen Datenschutz-
     entstanden ist, und es werden weitere Schritte bespro-     verletzung die notwendigen Schritte unternimmt.
     chen. Die Meldung kann bei den meisten Datenschutz-
     behörden über ein Onlineformular erfolgen. Zuständig     • Informiere alle Vereinsmitglieder über Daten-
     ist immer die Datenschutzbehörde des jeweiligen Bun-       schutzverletzungen und die nötigen Schritte.
     deslandes, in dem der Verein seinen Sitz hat.
                                                              • Stimme Dich bei Datenschutzverletzungen mit der
     Betroffene müssen nur dann über die Verletzung ihrer       zuständigen Behörde ab, was zu tun ist.
     personenbezogenen Daten informiert werden, wenn
     die Schutzverletzung ein voraussichtlich hohes Risiko

Mitgliederdaten: Schützen, verwalten und verwenden   25

Die Landesbeauftragte für Datenschutz und Infor-     Verbindung mit den ergänzenden Hinweisen am
mationsfreiheit Nordrhein-Westfahlen hat eine        Ende der Checkliste gibt das Dokument Deinem Ver-
umfangreiche Handreichung „Datenschutz im Ver-       ein eine Orientierung bei der Umsetzung der DSGVO.
ein nach der Datenschutz-Grundverordnung“ ver-       3 www.lda.bayern.de/media/muster_1_verein.pdf
öffentlicht (Stand: November 2018). Du findest die
Broschüre, wenn Du auf der Website in das Suchfeld   Auch der Landesbeauftragte für Datenschutz und
oben rechts die Begriffe „Datenschutz Verein“ ein-   Informationsfreiheit des Landes Baden-Württem-
gibst. 3 www.ldi.nrw.de                              berg hat einen Praxisratgeber zum „Datenschutz im
                                                     Verein nach DS-GVO“ herausgegeben. Du findest die
Das Bayerische Landesamt für Datenschutzaufsicht     Broschüre, wenn Du auf der Website im Suchfeld
(BayLDA) hat eine Checkliste zu den wesentlichen     oben rechts die Begriffe „Praxisratgeber DSGVO“ ein-
Anforderungen der DSGVO an Vereine erstellt. In      gibst. 3 www.baden-wuerttemberg.datenschutz.de

26

     Die wichtigsten Grundsätze
     der DSGVO auf einen Blick

     Verbot mit Erlaubnisvorbehalt                          Datenminimierung

     Grundsätzlich ist die Erhebung, Verarbeitung oder      Es dürfen nur die Daten erhoben werden, die für den
     Nutzung personenbezogener Daten verboten.              angegebenen Zweck dringend benötigt werden.

     Rechtmäßigkeit                                         Speicherbegrenzung

     Die Verarbeitung personenbezogener Daten ist nur       Personenbezogene Daten dürfen nur so lange gespei-
     rechtmäßig, wenn                                       chert werden, wie es für den Zweck nötig ist, für den
                                                            sie erhoben wurden.
     • eine Einwilligung erteilt wurde,
     • die Verarbeitung für die Erfüllung eines Vertrages
       erforderlich ist oder                                Richtigkeit
     • die Verarbeitung zur Wahrung der berechtigten
       Interessen des Verantwortlichen erforderlich ist.    Personenbezogene Daten müssen richtig und auf dem
                                                            neuesten Stand sein. Falsche Daten müssen gelöscht
                                                            oder berichtigt werden.
     Zweckbindung

     Betroffene Person müssen darüber informiert werden,    Integrität und Vertraulichkeit
     zu welchem Zweck die Verarbeitung der Daten erfolgt.
     Zudem dürfen die erhobenen Daten nur zu dem an-        Für personenbezogene Daten muss eine angemessene
     gegebenen Zweck genutzt werden.                        Sicherheit gewährleistet werden, so dass unbeabsich-
                                                            tigter Verlust, Zerstörung oder ähnliches durch tech-
                                                            nische oder organisatorische Maßnahmen weitestge-
                                                            hend ausgeschlossen werden.

Sie können auch lesen