Aktuelles, Branche - geschrieben von dp am Dienstag, April 10, 2018 18:19 - noch keine Kommentare
Noch noch kurze Übergangszeit: DSGVO auch für Vereine relevant
Eine Einwilligungserklärung zur Verarbeitung personenbezogener Daten als Dreh- und Angelpunkt
[datensicherheit.de, 10.04.2018] Die neuen gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO) betreffen auch Vereine, denn auch sie gehen mit personenbezogenen Daten um – z.B. im Kontext von Mitgliedsanträgen, Anmeldeformularen für Wettkämpfe etc. „Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten“, so Christian Heutger, der Geschäftsführer der PSW GROUP.
Im Regelfall ausdrückliche Einwilligung des Mitglieds nötig
Vereine seien in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.
„Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden“, erklärt Heutger.
Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf einer Website und in Sozialen Netzwerken. Auch dort dürften personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem müsse der Verein diese Einwilligung entsprechend dokumentieren.
Ausnahmen bei „berechtigtem Interesse“
Heutger: „Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen“. Ohne Einwilligung zulässig seien ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen. Auch dürfe der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen: „Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes ,berechtigtes Interesse‘ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden“, stellt Heutger klar.
Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs hätten laut DSGVO ein Recht auf Vergessenwerden.
Einwilligungserklärungen müssen leicht verständlich und zugänglich sein
Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, werde es kompliziert. Denn hierbei spiele auch das Kunsturhebergesetz eine Rolle – Fotos und Videos dürften erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden.
„Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden“, sagt Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er, die Einwilligung der Eltern einzuholen.
Einwilligungserklärungen könnten Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings müsse diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein; vorangekreuzte Checkboxen seien nicht zulässig.
PSW-Tipps für Vereine:
- Datensparsamkeit
Die DSGVO verlange nicht nur, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden – deren Verarbeitung müsse zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. - Informationspflichten
Die DSGVO verpflichte Vereine dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten. - Technische und organisatorische Maßnahmen
Datensicherheit müsse mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Das betreffe die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Website-Verschlüsselung), aber auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). „Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen wurden“, betont Heutger und rät: „Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.“ - Auftragsdatenverarbeitung
Auch Vereine nutzten Drittanbieter: Entweder lagerten die Daten in der Cloud, lägen auf Servern eines Anbieters oder würden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen. - Datenschutz-Folgeabschätzung
Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssten sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssten sie deshalb „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchführen. - Meldepflichten
Auch Vereine unterlägen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssten unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Heutger: „Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt.“ - Datenschutzbeauftragter
Vereine, die mindestens zehn Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssten einen Datenschutzbeauftragten benennen. „Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen“, erläutert Heutger.
Weitere Informationen zum Thema:
PSW GROUP, 22. 03.2018
Die Datenschutz-Grundverordnung für Vereine
datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren