DSGVO für Vereine

In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist, wer z.B. permanent Mitgliederverwaltung macht – „nicht ständig beschäftigt“ ist dagegen bspw., wer als Übungsleiter nur mit den Namen seiner Mannschaft umgeht.

DSK - Kurzpapier Nr. 12:
https://www.lda.bayern.de/media/dsk_kpnr_12_datenschutzbeauftragter.pdf

Vereine, die regelmäßige Mitgliederverwaltung und Beitragsabrechnung machen, müssen ein – vom Umfang her sehr überschaubares – Verzeichnis ihrer Verarbeitungstätigkeiten führen.

BayLDA Muster-Verzeichnis für kleine Vereine:
www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf

DSK- Kurzpapier Nr. 1:
www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf

DSK-Muster-Verzeichnis allgemein:
www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf

Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt.

BayLDA Info-Blatt zur Verpflichtung:
www.lda.bayern.de/media/info_verpflichtung_beschaeftigte_dsgvo.pdf

Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Ein Verein muss bspw. Informationen auf der Homepage und der Satzung leicht zugänglich bereithalten. Die betroffenen Personen (z. B. Vereinsmitglieder) haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.

DSK-Kurzpapier Nr. 6:
www.lda.bayern.de/media/dsk_kpnr_6_auskunftsrecht.pdf

DSK-Kurzpapier Nr. 10:
www.lda.bayern.de/media/dsk_kpnr_10_informationspflichten.pdf

Sobald keine gesetzliche Grundlage (z. B. steuerliche Aufbewahrungspflicht) mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen. In der Regel ist dies bspw. erst der Fall nach Ausscheiden eines Vereinsmitglieds.

DSK-Kurzpapier Nr. 11:
www.lda.bayern.de/media/dsk_kpnr_11_vergessenwerden.pdf

Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können.

BayLDA-Kurzpapier Nr. 1:
www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf

Sobald Verantwortliche Dienstleistungen (z. B. Buchhaltung) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.

DSK-Kurzpapier Nr. 13:
www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

BayLDA-Formulierungshilfe zum Vertrag:
www.lda.bayern.de/media/muster_adv.pdf

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.

BayLDA-Kurzpapier Nr. 8:
www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf

BayLDA-Online-Service zur Meldung:
www.lda.bayern.de/de/datenpanne.html

Hat eine Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen, so muss das spezielle Instrument der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel.

DSK-Kurzpapier Nr.5:
www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf

Führt ein Verantwortlicher eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.

DSK-Kurzpapier Nr. 15:
www.lda.bayern.de/media/dsk_kpnr_15_videoueberwachung.pdf