25. April 2022

Checkliste - Datenschutz im Verein

ob Sie einen Datenschutzbeauftragten benennen müssen. Das ist dann der Fall, wenn zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Neu ab den 25.11.2019, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. ( Diese Neuerung enthält das „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“)
Sie, ob Sie für alle Verarbeitungen eine Rechtsgrundlage haben. Bei Vereinen ist das in der Regel der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung oder eine Einwilligung.

Sie Ihre Mitglieder über die Datenverarbeitungsvorgänge. Am einfachsten geschieht dies im Rahmen der Prozedur der Aufnahme als Mitglied, indem Sie zu dem Zeitpunkt ein Hinweisblatt austeilen.
und verpflichten Sie Personen, die mit personenbezogenen Daten umgehen, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt.

Sie darauf, nur die personenbezogenen Daten zu verarbeiten, die für den Zweck erforderlich sind und löschen Sie die Daten, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
Sie darauf, dass eine ausreichende Sicherheit bei der Verarbeitung personenbezogener Daten gegeben ist. Achten Sie insbesondere darauf, aktuelle Betriebssysteme und Anwendungen zu verwenden, kümmern Sie sich um den Passwortschutz, regelmäßige Backups, Virenscanner und schränken Sie Benutzerrechte so weit ein, dass nur Personen, die mit den Daten auch tatsächlich umgehen müssen, Zugang zu den jeweiligen personenbezogenen Daten haben.

Sie notwendige Auftragsverarbeitungsverträge mit Drittdienstleistern (beispielsweise bei Mitgliederverwaltung unter Nutzung einer Cloud-Lösung, Hosting).

Sie sicher, dass Sie Ihre Pflichten, beispielsweise im Fall von Auskunftsersuchen durch betroffene Personen oder Löschungsverlangen, zeitnah nachkommen können. Bei Datenschutzverletzungen ist dies der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis zu melden.

werden Sie in der Regel nicht durchführen müssen. Prüfen Sie dennoch, ob ein hohes Risiko bei der Datenverarbeitung im Verein besteht, in dem Fall müsste eine Datenschutz-Folgenabschätzung durchgeführt werden.

TOM-Checkliste

Focus: Welche Technische bzw. organisatorischen Maßnahmen werden zur Zutrittskontrolle und Legitimation eingesetzt?

Fokus: Welche Maßnahmen sind hinsichtlich der Benützer Identifikation und Authentisierung technische und organisatorisch vorhanden?

Fokus: Welche Maßnahmen sind vorhanden, um unerlaubte Tätigkeit in IT-Systemen außerhalb eingeräumter Berechtigung zu verhindern?

Fokus: Welche Regelungen gibt es bezüglich der Weitergabe personenbezogener Daten (elektronisch Übertragung, Datentransport, Übermittlungskontrolle)?

Fokus: Welche Maßnahmen werden insbesondere zur Protokollierung bei Änderungen in der IT-Verarbeitungssysteme ergriffen?

Fokus: Welche Regelungen bestehen, um die Daten dauerhaft verfügbar bereitzustellen?

Fokus: Ist gewährleistet, da Daten separat voneinander verarbeitet werden können?

Fokus: Bestehen innenbetrieblichen Regelungen, um entsprechendes Datensicherheitsniveau zu gewährleisten?