Verfahrensverzeichnis Ihres Vereins DSGVO-konform führen, Bußgelder und Ärger vermeiden

Inhaltsverzeichnis

Wenn Sie im Verein regelmäßig personenbezogene Daten verarbeiten — und welcher Verein tut das nicht? — sind Sie nach Artikel 30 der Datenschutzgrundverordnung für Vereine verpflichtet, ein sogenanntes Verfahrensverzeichnis zu führen.



Lassen Sie sich nicht von den „Tipps“ aus dem Internet in die Irre führen, dass diese Pflicht nur auf Unternehmen zutreffen würde, die 250 Mitarbeiter beschäftigen. Denn das stimmt nicht. Artikel 30 Abs. 5 der DSGVO regelt nämlich ganz klar: Jeder Betrieb und jeder Verein, der nicht nur gelegentlich personenbezogene Daten „verarbeitet“ (also speichert oder abheftet, regelmäßig aktualisiert und nutzt (z. B. im Rahmen der Mitgliederverwaltung), ist betroffen — und damit auch Sie!



Ganz wichtig: Laden Sie am besten jetzt gleich das Blankoformular für ein solches Verfahrensverzeichnis von www.vereinswelt.de herunter. Dann können Sie die folgenden Ausführungen besser nachvollziehen. Die Inhalte und Felder des Muster-Formulars entsprechen den Vorgaben nach Artikel 30 der DSGVO und § 70 des neuen Bundesdatenschutzgesetzes! Was sie bedeuten und was jeweils einzutragen ist, soll anhand des folgenden Praxisbeispiels erklärt werden.

Prüfen Sie Ihren Verein auf das aktuelle Datenschutzrecht und vermeiden Sie teure Bußgelder!

Praxisbeispiel Verfahrensverzeichnis – Mitgliederdaten

Sie möchten festhalten, wie bei Ihnen die Mitgliederdaten verwaltet werden. Beginnen wir mit dem ersten Feld.

Feld „Verantwortlich“

Verantwortlich für die Verwaltung der Mitgliederdaten ist der geschäftsführende Vorstand. Schreiben Sie hier die vollständige Adresse des Vereins und alle Kontaktdaten (E-Mail, Webseite, Telefon, Fax etc.) hinein.

Feld „Gesetzliche Vertreter“

Dieses Feld lassen Sie frei.

Feld „Datenschutzbeauftragter“

Die meisten Vereine brauchen keinen. Lassen Sie dieses Feld frei, wenn Sie keinen haben. Haben Sie einen bestellt, melden Sie dies auch der Datenschutzbehörde (Landesdatenschutzbehörde) und kreuzen dies entsprechend an.

Feld „Regelungen zur Datensicherheit“

Sie haben den Zugriff auf die personenbezogenen Daten durch Passwörter geschützt? Sie sorgen durch regelmäßige Updates der Antiviren-Software, aber auch der anderen eingesetzten Programme für Sicherheit? Die PCs stehen in der Geschäftsstelle und sind nur bestimmten Personen zugänglich? Die Mitgliedsformulare befinden sich in einem abschließbaren Schrank, zu dem nur der erste Vorsitzende und der Schatzmeister Zugriff haben? All diese Punkte schreiben Sie hier hinein! Feld

Feld „Regelungen zur Datenlöschung“

Schreiben Sie beispielsweise: „Daten werden nach Austritt gelöscht, sofern keine gesetzlichen oder anderen Vorschriften eine weitere Aufbewahrung erforderlich machen. Jeweils nach dem Jahreswechsel wird geprüft, ob Daten gelöscht werden dürfen oder müssen. Die Löschung wird vom Schatzmeister des Vereins vorgenommen und vom ersten Vorsitzenden (im Fall seiner Verhinderung vom zweiten Vorsitzenden) als Zeuge begleitet. Der Löschvorgang wird protokolliert. Backups, die nach dem Löschtermin erstellt werden, enthalten die gelöschten Daten demzufolge nicht mehr.“

Das eigentliche Verfahrensverzeichnis

Im zweiten Teil geht es um die konkreten Verarbeitungstätigkeiten. Das ist das eigentliche Verfahrensverzeichnis. Hier werden Sie gefragt nach:

Zwecke der Verarbeitungstätigkeit:

Hier lautet die korrekte Angabe „Mitgliederverwaltung“.

Datenherkunft:

Hier schreiben Sie (beispielsweise) „Mitgliedschaftsantrag (Online-Beitrittsformular, schriftlicher Antrag

Rechtsgrundlage der Verarbeitungstätigkeit:

Dieses Feld lassen Sie frei, da Sie die Daten zur Abwicklung eines „Vertrags“, der Mitgliedschaft nämlich, benötigen.

Betroffene Gruppen:

Hier lautet die Angabe „Vereinsmitglieder, Vereinsfunktionär/innen“ oder auch „Mitglieder, Eltern, Nichtmitglieder, Partner“ – je nachdem, welche Daten bei Ihnen gespeichert werden.

Beschreibung der Kategorien personenbezogener Daten:

Hier schreiben Sie beispielsweise „Identitätsdaten, Kontaktdaten, Bankdaten“ oder auch „Stammdaten (Name, Geburtsdatum, Anrede, Titel, Adresse, E-Mail-Adresse, Telefonnummer)“.

Kategorien von Empfängern, deren Daten offengelegt werden:

Sie schreiben beispielsweise „Vorstand, Mitarbeiter des Vereins, externe Partner des Vereins, übergeordnete Verbände, Auftragsdatenverarbeiter“.

Datenübermittlung:

Kreuzen Sie „Nein“ an, falls die Daten nicht übermittelt werden, und „Ja“, wenn sie übermittelt werden. Geben Sie ferner an, an wen sie übermittelt werden, z. B. „an den Verband XY“.

Vorgegebene Fristen:

Hier schreiben Sie zum Beispiel „nach Vereinsaustritt gemäß der gesetzlichen Vorgaben (zehn Jahre)“.



Die übrigen Felder in diesem Formular können Sie leer lassen. Das war schon alles: Sie haben Ihr Verfahrensverzeichnis erstellt!



Möchten Sie mehr zum Thema Verfahrensverzeichnis erfahren? Dann klicken sie hier!