Ab dem 25. Mai 2018 gelten EU-weit die Vorschriften und Maßgaben nach der neuen EU-Datenschutz-
Grundverordnung (DS-GVO) sowie innerhalb von Deutschland zusätzlich auch das neue
Bundesdatenschutzgesetz (BDSG-neu). Diese neueste Fassung des BDSG wird zeitgleich mit der DS-GVO in Kraft
treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen. Selbstverständlich gilt die DS-GVO
nicht nur für kommerzielle Unternehmen, sondern auch für die Musikvereine und Musikverbände. Für Vereine
ist daher im Rahmen einer Bestandsanalyse zu prüfen, an welcher Stelle Anpassungs-, Änderungs- und
Erarbeitungsbedarf besteht, damit der Übergang auf die neue DS-GVO und das BDSG-neu reibungslos gemeistert
werden kann.
Der Grundsatz der DS-GVO besagt: Wer personenbezogene Daten verarbeitet, ist verantwortlich für die
Einhaltung aller in der DS-GVO aufgeführten Rechtsgrundsätze. Im Mittelpunkt des Datenschutzes und der neuen
Verordnungen steht also der Umgang im Verein mit personenbezogenen Daten.
Das Datenschutzrecht dient dem Schutz des Persönlichkeitsrechts derjenigen Menschen, auf die sich die
personenbezogenen Daten beziehen. Diese Menschen nennt das Gesetz „Betroffene“. Das Persönlichkeitsrecht
gibt jedem Menschen das Recht, grundsätzlich selbst darüber zu entscheiden, wer was über ihn erfahren und
wissen darf. Datenschutz ist damit eine Art modernes Grundrecht im digitalen Zeitalter.
Wo tangiert die DS-GVO den Verein?
Der Umgang mit personenbezogenen Daten gemäß BDSG wird begrifflich in „erheben, verarbeiten und nutzen“
unterteilt:
a) Erheben – ist das Beschaffen von Daten über die Betroffenen (§3 Abs. 3 BDSG); beispielsweise über ein
Anmeldeformular zur Teilnahme an einem Lehrgang.
b) Verarbeiten – ist das Speichern, Verändern, Übermitteln, Sperren, Löschen von personenbezogenen
Daten natürlicher Personen (§ 3 Abs. 4 BDSG)
c) Nutzen – ist jede sonstige Verwendung personenbezogener Daten, insbesondere innerhalb des Vereins
für die Verwaltung und Betreuung der Vereinsmitglieder; beispielsweise für den Beitragseinzug.
In der Frage, wo der Umgang mit personenbezogenen Daten im Vereins- und Verbandsumfeld stattfindet und
entsprechend konform mit der DS-GVO zu regeln ist, lässt sich meist in folgenden Bereichen feststellen:
Homepage und Social Media-Auftritte
- E-Mail-Verkehr und Newsletter
- Pressearbeit
- Durchführung von Veranstaltungen
- Interne Mitgliederverwaltung
- Organisation der musikalischen Ausbildung und des Orchesterbetriebs
Leitfragen zur Bestandsaufnahme
Für die Umsetzung der neuen DS-GVO sollte jeder Vereinsvorstand zunächst genau hinterfragen, wer, wann, wie
und in welchen Bereichen mit personenbezogenen Daten umgeht.
Mit welchen Fragen sollte sich der Verein beschäftigen?
- Werden die Mitgliederdaten nach den Regeln des BDSG erhoben, verarbeitet und genutzt; ist also die
Rechtmäßigkeit der Datenverarbeitung gegeben? - Ist die Satzung des Vereins konform zu den Regeln des BDSG und ist ggf. eine Datenschutzordnung als
Anlage vorhanden? - Liegen uns schriftliche Einwilligungen der Mitglieder für die Datenverarbeitung und -nutzung vor?
- Werden die Persönlichkeitsrechte der Mitglieder als Betroffene im Sinne des BDSG berücksichtigt?
- Werden nur erforderliche Daten für den jeweiligen Zweck erhoben; es gilt das Prinzip der
Datensparsamkeit? - Werden nicht benötigte Daten, insbesondere bei Austritt von Mitgliedern, wieder gelöscht?
- Gibt es eine Kontrollinstanz in unserem Verein, die die Einhaltung des Datenschutzes prüft?
- Sind die im Umgang mit Mitgliederdaten betrauten Personen im Verein ausreichend in den Regeln des
Datenschutzes eingeführt worden und wurde eine Datengeheimnisverpflichtung unterschrieben? - Werden die personenbezogenen Daten technisch sicher aufbewahrt und durch eine ausreichende
Zutritts- und Zugangskontrolle geschützt? - Werden die personenbezogenen Daten der Mitglieder auf Fremdsystemen oder auf Servern
gespeichert, auf die andere Unternehmen Zugriff haben? Liegen hierfür Verträge der
Auftragsdatenverarbeitung vor? - Werden die zentralen Vorschriften des Internetrechts nach den Rechtsgrundlagen des BDSG und des
Telemediengesetzes (TMG) eingehalten; das betrifft insbesondere die Vereinshomepage, die Mail-
Dienste und Social-Media-Auftritte.
Checkliste zur Umsetzung
- Rechtmäßigkeit bzw. Zulässigkeit der Verarbeitung
- Einwilligungen
- Verpflichtung auf das Datengeheimnis und Einweisung
- Verzeichnis von Verarbeitungstätigkeiten
- Technische und organisatorische Maßnahmen
- Satzungsregelungen
- Bestellung eines Datenschutzbeauftragten
- Vertrag für Auftragsdatenverarbeitung
- Konformität zum Internetrecht: Homepage, Mail, Newsletter und Social Media
- Einführung eines Datenschutz-Management-Systems
Beachten Sie die Verordnung zum Datenschutz im LMV!