Datenschutz nach DS-GVO

Richtlinie für den Vereinsvorstand von Partnerschaft Gesunde Welt – Klinikverbund Südwest e.V. anlässlich der neuen Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an Vereine

Stand: 01.05.2018

Präambel

Partnerschaft Gesunde Welt e.V. verarbeitet allein und gemeinsam (mit der Volksbank und mit dem Internet-Provider) personenbezogene Mitglieder-, Spender- und Partnerdaten und entscheidet damit  über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Damit ist der Verein ein sog. Verantwortlicher. Dieser ist dafür verantwortlich, dass er die Anforderungen der DS-GVO einhält.  

Kurzbeschreibung des Vereins  

Partnerschaft Gesunde Welt ist ein gemeinnütziger Verein. Ziel ist die Unterstützung von Krankenhäusern, Waisenhäusern, Schulen und Lagern etc. in Entwicklungshilfeländern. Der Vorstand besteht aus 4 Personen, dazu kommen 4 Projektpaten (sog. Erweiterter Vorstand).  Die Mitgliederverwaltung erfolgt durch den 1. Vorsitzenden. Die Verwaltung der Mitgliedsbeiträge, der Spenden etc. sowie die Bezahlung der Rechnungen erfolgt durch den Kassierer. Der Verein betreibt zudem diese Webseite, die bei einem Dienstleister gehostet ist, teilweise mit Mitglieder- sowie mit Projektfotos. 

Wesentliche Verarbeitungstätigkeiten 

sind z. B.: 

• Mitgliederverwaltung auf einem PC in Excel sowie über eine Volksbank-Software
• Betrieb der Webseite des Vereins  (über Hosting-Paket eines externen Dienstleisters)
• Veröffentlichung von Berichten und Fotos auf der eigenen Webseite sowie teilweise in Facebook
• Beitrags- und Spendenverwaltung sowie entsprechende interne Verbuchung auf Projektkonten über die Exceldatei.  

Da im Verein weit weniger als 10 Personen Umgang mit personenbezogenen Daten haben, wird kein Datenschutzbeauftragter bestellt. 

Dagegen ist die Erstellung eines vom Umfang her sehr überschaubaren Verzeichnisses von Verarbeitungstätigkeiten über regelmäßig zu verarbeitende personenbezogene Daten notwendig.   Verantwortlich dafür ist der 2. Vorsitzende. 

Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt. Dies erledigt der 1. Vorsitzende. 

Informations- und Auskunftspflichten bestehen gegenüber einzelnen Personen, deren Daten gespeichert sind. Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Ein Verein muss Informationen auf der Homepage und der Satzung leicht zugänglich bereithalten. Die betroffenen Personen (z. B. Vereinsmitglieder) haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. 

Daten müssen nach dem Ablauf gesetzlicher  Aufbewahrungspflichten gelöscht werden. Tritt z.B. ein Mitglied aus dem Verein aus, müssen dessen Daten nach Ablauf des Austrittsjahres und den folgenden drei Jahren, also mit Beginn des vierten Jahres gelöscht werden.

Daten müssen gem. der DS-GVO nicht besonders gesichert werden. Etablierte Standardmaßnahmen sind ausreichend, um die Daten effektiv zu schützen. Im Verein geschieht dies durch regelmäßige Sicherung auf externe Festplatten sowie durch zusätzliche Sicherung der Mitgliedsdaten bei der und durch die Bank (VR NetWorld- Software) .

Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können.  

Auftragsverarbeitung ist zur Lastschrifteinziehung der Mitgliedsbeiträge notwendig. Ebenso mit dem Hosting-Anbieter. Sobald Verantwortliche Dienstleistungen (z. B. Buchhaltung) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.
 

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde (Der Landesbeauftragte für den Datenschutz Ba-Wü) ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko. Der Verein wird dies trotzdem bei jedem Vorfall per E-Mail-Rundbrief seinen Mitgliedern mitteilen. 
 

Eine Datenschutz-Folgeabschätzung (DSFA) muss vom Verein nicht durchgeführt werden.

gez. Wolfgang Fischer

1. Vorsitzender

Anlagen:

Verpflichtungserklärung zum Datenschutz

Verzeichnis über die Verarbeitung personenbezogener Daten

Vertrag mit der Volksbank