Die Begriffe Datenschutzgrundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG), Telekommunikation und Telemedien Datenschutzgesetz (TTDSG) sind uns geläufig. Aber die Umsetzung dieser Aufgaben im Verein stellen uns doch vor große Herausforderungen.
Ich bin selber Datenschutzbeauftragter (IHK) und habe mir viele Gedanken in einem großen Sportverein mit 3680 Mitglieder gemacht und möchte Euch meine Gedanken mit Euch teilen.
Du findest hier im Downloadbereich (fast) alle Dokumente und Formulare schon ausgefüllt, die du für die Umsetzung in einem Verein benötigst. Auch findest Du ein paar Epfehlungen von Fachbüchern.
Mein Ansatz ist etwas anders, als bei vielen Anderen. Ich sehe nicht nur das Verzeichnis der Verarbeitungstätigkeiten (VVT) als Datenschutzmanagementsystem (DSMS) und damit auch als Hauptmerkmal, sondern sehe das Konzept als Ganzes und möchte die Aufgaben im Verein verteilen. So ist der Aufwand ein wesentliches geringer und alle Beteiligten sind „regelmäßig“ sensibilisiert. So wird auch der Datenschutz im Verein „gelebt“, da er bei den Funktionsträgern immer präsent ist (Compliance= Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung).
Das bedeutet, das sich der Datenschutzbeauftragte (DSB) in jeder Abteilung einen Datenschutzkoordinator sucht. Findet sich keine Person in der Abteilung, so übernimmt dies automatisch der Abteilungsvorstand. Der Aufwand nach der Ersterstellung mit dem DSB beträgt ca. zehn Stunden in Jahr für den Koordinator! Hierbei sind die folgenden Hauptaufgaben schon berücksichtigt
- Kontrolle der Verarbeitungstätigkeiten seiner Abteilung (siehe im Downloadcenter unter VVT das Dokument „Verzeichnis-von-Verarbeitungstätigkeiten-Cheerleading“)
- Seine Jährliche Datenschutzschulung (siehe auch siehe im Downloadcenter unter Schulung das Dokument „DS-Schulung_Präsenzschulung“)
- Dokumentation der Schulung seiner Trainer, Übungsleiter, Betreuer usw. (siehe im Downloadcenter unter Formulare das Dokument „Schulungsplan“)
- Abarbeitung einer Checkliste für ausgeschiedene Mitglieder in seiner Abteilung. (siehe im Downloadcenter unter Checklisten das Dokument „Checkliste_Austritt“)
Die Verabtwortung bleibt immer bei dem DSB. Er ist aber nicht ständig beansprucht und widmet sich den Verarbeitungstätigkeiten außerhalb der einzelnen Abteilung und der Verarbeitung von personenbezogenne Daten in der Geschäftsstelle. Die weiteren Aufgaben sind
- Unterrichtung und Beratung der Funktionsträger und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen deutschen und EU-Datenschutzvorschriften (Art. 39 I 1 DSGVO).
- Überwachung der Einhaltung der DSGVO, anderer deutscher und EU-Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Funktionsträgern und der diesbezüglichen Überprüfungen (Art. 39 I 2 DSGVO).
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung (Art. 39 I 3 DSGVO).
- Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 I 4 DSGVO) und Erstellung des jährlichen Datenschutzberichts für das abgelaufene Kalenderjahr zur Erfüllung der Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 II DSGVO.
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und gegebenenfalls Beratung zu allen sonstigen Fragen (Art. 39 I 5 DSGVO).
- Er trägst bei der Erfüllung deiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei du die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigst.
- Der Verein stellt sicher, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird (Art. 38 I DSGVO).
- Der Verein unterstützt den DSB bei der Erfüllung seiner Aufgaben gemäß Art. 39 DSGVO, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellt (Art. 38 II DSGVO).
Der Datenschutz geht im Verein nur gemeinsam. Ansonsten werden die Funktionsträger nicht ausreichend sensibilisiert.