DSGVO - EU Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Diese Verordnung tritt am 25. Mai 2018 in Kraft und gilt auch für Vereine!

Folgendes ist im Speziellen durch Vereine zu beachten:

  1. Wenn im Verein mindestens 20 Personen Zugriff auf die personenbezogenen Daten der Mitglieder haben, dann benötigen SIe einen Datenschutzbeauftragten.
  2. Zur vertraglichen Regelung mit uns als Provider stellen wir Ihnen einen Vertrag zur Auftragsverarbeitung zur Verfügung.
    Bitte gehen Sie wie folgt vor:
    1. Laden Sie die Vereinbarung hier herunter: GRITHAG_Auftragsverarbeitung.pdf
    2. Schreiben Sie Ihren Vereinsnamen und Adresse in das Feld "Auftraggeber"
    3. Drucken Sie das Dokument aus.
    4. Unterschreiben Sie das Dokument
    5. Senden Sie das Dokument an:
    GRITH AG
    Von-Poschinger-Str. 32
    85737 Ismaning
       oder per Scan per Mail an datenschutz@grith-ag.de
  3. Sehr wichtig ist eine Datenschutzerklärung mit den Betroffenenrechten. Darin muss enthalten sein:
    • Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
    • Verarbeitungszweck der personenbezogenen Daten, sowie die Rechtsgrundlage für die Verarbeitung
    • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
    • Speicherdauer, bze. die Kriterien für die Festlegung der Speicherdauer
    • Widerrufsrecht (fallls die Verarbeitung auf Basis einer Einwilligung erfolgt)
    • Beschwerderecht bei einer Aufsichtsbehörde
    Umsetzung in VereinOnline:
    Unter "Administration/Vorlagen/HTML/Datenschutz" können und sollten Sie die unverbindliche Datenschutzerklärung anpassen. Diese ist in den Layouts per Url .../?datenschutz verlinkt.

    Bitte passen Sie die Vorlage unbedingt an Ihre eigenen Verhältnisse an!
    z.B. über den Generator unter https://www.e-recht24.de/muster-datenschutzerklaerung.html
  4. Das Kontaktformular benötigt eine Einwilligung zum Datenschutz.
    Umsetzung in VereinOnline:
    Folgende Formulare besitzen bei nicht-angemeldeten Benutzern eine Einwilligungs-Checkbox zum Datenschutz:
    • Kontaktformular ../?kontakt
    • Newsletter-An/Abmeldung
    • Mitgliedsantrag
    • Anmeldung zur Veranstaltung als externer Teilnehmer
    • Kauf im Online-Shop als externer Nutzer
  5. Die Richtigkeit der personenbezogenen Daten muss gewährleistet sein. Daher ist bei Ersterhebung (Mitgliedsantrag, Anmeldung als externer Teilnehmer zu einer Veranstaltung, Kauf als externe Person im Online-Shop, Anmeldung zum Newsletter) die E-Mail-Adresse der Person per Double-Opt-In zu prüfen.
    Umsetzung in VereinOnline:
    Neue Option, mit der das Double-Opt-In auch für alle weiteren externen Kontaktaufnahmen aktiviert werden kann.
    Einstellung unter "Administration / Optionen / Login / Sicherheit":
  6. Alle Einwilligungen können widerrufen werden und es darf keine Kopplung von Einwilligungen und vertraglichen Verpflichtungen geben (Kopplungsverbot):
    • Beispiel: Der Newsletter muss nicht abonniert werden, wenn man Mitglied wird.
    • Beispiel: Man muss keine Fotorechte einräumen, wenn man sich zu einer Veranstaltung anmeldet (Bitte informieren Sie sich generell über die Notwendigkeit von der Einwilligung für Fotos auf Ihren Veranstaltungen: bei Minderjährigen sehr streng, Detailaufnahmen ggf. probelamtisch, Abhängigkeiten von öffentlichen vs. nicht öffentlichen Veranstaltungen)
    Daher darf die Speicherung der personenbezogenen Daten im Online-System keine freiwillige Einwiligung sein und sollte als Vertragsbestandteil (Mitgliederbedingungen, Satzung, ...) definiert sein.
  7. Sie müssen auch nachträglich Ihre Mitglieder über die Betroffenenrechte informieren. Wenn ein Mitglied nicht einverstanden ist, kann es widersprechen. Bei Widerspruch weisen Sie das Mitglied dann darauf hin, dass eine weitere Mitgliedschaft dann leider nicht möglich ist.
  8. Für externe Newsletter-Empfänger und weitere Kontakte müssen Sie die Einwilligung nachholen.
    Umsetzung in VereinOnline:
    Bei "Mitglieder/Externe Kontakte" können Sie Kontakte suchen, markieren und folgende Aktion aufrufen:

    Damit senden Sie den markieten Kontakten eine Mail mit der Bitte, weiteren Mails Ihrerseits und der Datenschutzerklärung zuzustimmen. Mit dem Versenden wird der externe Kontakt als gelöscht markiert und ist nicht mehr sichtbar. Erst durch den Klick des Empfängers auf den Link in der Mail wird der Komtakt wieder reaktiviert, d.h. der Status "gelöscht" wird entfernt. Hinweis: In der Mitgliedersuche mit "Status=gelöscht" und "Suche nach externen Kontakten" finden Sie diese gelöschten Kontakte und können Sie dort auch manuell reaktivieren.
  9. Ein Mitglied hat das Recht, nicht auf der Mitgliederliste zu stehen, es sei denn der Zweck des Vereins legt das fest (z.B. Förderung der Kommunikation der Mitglieder untereinander)
    Umsetzung in VereinOnline:
    Neue Option, die Sie bei Bedarf aktivieren können: Jedes Mitglied bekommt im Profil eine Auswahl, ob es auf der Mitgliederliste stehen möchte oder nicht. Alternativ/ergänzend wird es möglich sein, dass nur der Vorstand/Mitgliederbetreuer diese Einstellung vornimmt.
    Einstellung unter "Administration / Optionen / Login / Sicherheit":
  10. Jeder Funktionär darf nur die personenbezogenen Mitgliederdaten sehen (bzw. auch zu ändern), die er für seine Aufgaben benötigt.
    Umsetzung in VereinOnline:
    Neue Option, einer Rolle nur Teile der Mitgliederdaten freizugeben (z.B. muss der Marketing-Vorstand ja nicht die IBAN der Mitglieder sehen).
    Einstellung unter "Administration / Optionen / Login / Sicherheit":

    Konfiguration der Einschränkung im Rollenrecht (Administration / Rollen, Rolle bearbeiten):
  11. Personenbezogenen Daten müssen gelöscht oder unkenntlich gemacht werden, wenn der Zweck der Verabeitung nicht mehr gegeben ist
    • nachdem der Autritt eines Mitglieds abgeschlossen ist
    • Personenbezogene Daten in Rechnungen müssen aus steuerlichen Gründen mind. 10 Jahre erhalten bleiben, oder solange mögliche gerichtlichen Abwehrmaßnahmen die Speicherung dafür sprechen.
    Umsetzung in VereinOnline:
    Das "Löschen" führt in VereinOnline nur dazu, dass ein Datensatz als "gelöscht" markiert wird. Zu finden sind diese Datensätze durch die Suche "Status = gelöscht" (nur möglich für Personen mit Mitglieder-Bearbeitungsrecht). Dabei ist es dann möglich, den Datensatz a) endgültig zu löschen oder b) zu reaktivieren. Als neue Funktion im Rahmen der DSGVO kommt nun die "Anonymisierung" dazu, welche den Datensatz in der Datenbank behält, die Daten aber unkenntlich gemacht (bei Vorname/Nachname/Firma bleiben nur die ersten 3 Zeichen erhalten) bzw. gelöscht (die restlichen personenbezogenen Felder) werden.


    Ergänzend dazu können Sie diesen Schritt auch durchführen unter Mitglieder / Statstiken / Austritt / Button "Markierte Mitglieder anonymisieren".
    Ergänzend dazu können Sie diesen Schritt auch automatisieren: Admninistration / Optionen / Admin / Automatische Mitglieder-Anpassungen / Anonymisieren (z.B. 2 Monate nach Löschung).

    Externe Teilnehmer von Veranstaltungen können Sie hier anonymisieren: Veranstaltungen / Statistiken / externe Teilnehmer / Anonymisieren (nur Veranstaltungen älter als 30 Tage)
  12. Jede Person hat ein Auskunftsrecht gemäß DSGVO §15, der Sie nachkommen müssen (Welche konkreten personenbezogenen Datenn sind zu welchen Verarbeitungszweck gespeichert, welche Personen haben Einblick in die Daten, wie lange ist die Speicherdauer, Hinweis Auf Recht auf Löschung + Widerruf (Untersagen der Verarbeitung) + Beschwerderecht Aufsichtsbehörde).
    Legen Sie dazu auch je Verarbeitungsverfahren eine Verfahrensbeschreibung (Word-Vorlage) an.
    Umsetzung in VereinOnline:
    Neue Funktion: Für den Login "admin" können Sie alle Daten eines Benutzers anzeigen lassen. Stand heute ist das eine vollständige Liste aller assoziiertesn Datensätze. Optimierungen an dieser Stelle bei Wünschen gerne!
  13. Alle Seiten sind per https zu verschlüsseln.
    Umsetzung in VereinOnline:
    Die "HTTPS"-Pflicht steht nun standardmäßig auf "ja" (kann in Spezialfällen unter Administration/Optionen deaktiviert werden)
  14. Feedback und Wünsche gerne.
Weitere Informationen:
Der DSGVO-Gesetzes-Text
Datenschutz im Verein
Informationen auf e-recht24.de
Informationen auf datenschutz-grundverordnung.eu
datenschutz-tool.de
PDF von Bitkom
Was müssen Online-Händler bei der Gestaltung des Bestellvorgangs beachten?

Sehr zu empfehlen:
Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine

Die Broschüre vom "Bayerischen Landesamt für Datenschutz".

Zu kaufen z.B. bei Amazon für 5,50 Euro.


EU-Datenschutz-Grundverordnung




Aktuelle Auszeichnungen


Weiterführende Dokumente