Seit dem 25. Mai 2018 gilt innerhalb der EU die neue Datenschutzgrundverordnung (DSGVO). Sie hat Auswirkungen auf alle Bereiche der Gesellschaft, in denen personenbezogenen Daten erhoben und verarbeitet werden. Auch die Selbsthilfe fällt unter die DSGVO und muss sich auf die neue Rechtslage einstellen. Kiss Mittelfranken und die Datenschutzbeauftragte von Kiss Mittelfranken haben bisher Vieles für die Umsetzung der Anforderungen aus der DSGVO unternommen.
Wer braucht einen Datenschutzbeauftragten?
Wie bereits vor der DSGVO müssen Vereine, Verbände, Selbsthilfeorganisationen und andere Unternehmern, bei denen mehr als 20 Mitarbeiter Zugriff auf personenbezogene Daten haben, einen Datenschutzbeauftragten (DSB) bestellen. Für Organisationen, die mit besonderen Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, zu tun haben, gibt es eine Verschärfung.
Wenn die umfangreiche Verarbeitung dieser Daten zum Kerngeschäft der Organisation gehört, muss diese einen Datenschutzbeauftragten bestellen, auch wenn weniger als 20 Mitarbeiter Zugriff auf diese Daten haben. Bei Selbsthilfegruppen ist dies aber nicht der Fall. Als Datenschutzbeauftragte für Kiss Mittelfranken wurde Frau Margit Müller als ehrenamtliche Mitarbeiterin bestellt und an die zuständige Aufsichtsbehörde gemeldet.
Überarbeitung der Homepage
Die Datenschutzerklärung unserer Internetauftritte, wie z.B. www.kiss-mfr.de, wurde überarbeitet und an die Anforderungen der DSGVO angepasst. Neben der verantwortlichen Stelle und der DSB müssen auch der Zweck der Datenverarbeitung, die rechtlichen Grundlagen und die Speicherdauer der Daten genannt werden. Ob die Daten innerhalb Europas gespeichert werden und an wen werden welche Daten weitergegeben, muss ebenfalls in der Datenschutzerklärung erwähnt werden. Wenn Cookies und Analyseprogramme verwendet oder Dienste und Inhalte Dritter, wie z.B. Google Fonts, Youtube Videos oder Facebook Fanpages, eingebunden werden, ist dies ebenfalls anzugeben. Diese und weitere Angaben müssen in der Datenschutzerklärung detailliert aufgeführt werden. Hilfreich bei der Erstellung können sogenannte Datenschutzgeneratoren sein.
Erstellen eines Verarbeitungsverzeichnisses und Überprüfen der Rechtsgrundlage
Im sogenannten Verarbeitungsverzeichnis werden alle Vorgänge erfasst, in denen personenbezogene Daten erhoben und verarbeitet werden. Angegeben werden müssen der Zweck der Datenverarbeitung, die Kategorie der betroffenen Personen und die Art der Daten, die Kategorie der Empfänger und die Löschfristen. Eine sehr gute Vorlage für Vereine findet sich beim Bayerischen Landesamt für Datenschutzaufsicht: Vorlage Verarbeitungsverzeichnis
Prüfen, ob eine Datenschutzfolgenabschätzung durchgeführt werden muss
Wenn ein hohes Risiko bei der Datenverarbeitung für die betroffenen Personen besteht, muss eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden. Beispiele hierfür sind die umfangreiche Videoüberwachung in öffentlichen Räumen oder die Verwendung biometrischer Daten zur eindeutigen Identifizierung von Personen in einem öffentlichen Raum. Verschiedene Aufsichtsbehörden haben inzwischen eine Blacklist für die Notwendigkeit einer DSFA vorgelegt.
Neue Informationspflichten
Wenn Kiss, ein Verein oder eine Selbsthilfegruppe personenbezogene Daten direkt bei der betroffenen Person erhebt, die Daten verarbeitet oder auch speichert, muss diese bereits zum Zeitpunkt der Erhebung darüber informiert werden. Was sind die Inhalte der Informationspflicht? Mitgeteilt werden muss
• Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters),
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden),
• Zweck und Rechtgrundlage der Verarbeitung,
• konkrete Empfänger bzw. Kategorien von Empfängern,
• geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten,
• Dauer der Speicherung,
• betroffene Personen sind über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verbreitung und Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit aufzuklären,
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
Ob die Informationen an das Mitgliederformular oder ein Anmeldeformular angehängt werden oder ob Sie im Internet auf einer extra Seite zur Verfügung gestellt werden, hängt vom jeweiligen Einzelfall ab.
Recht des Betroffenen auf Auskunft und Löschung
Jeder Betroffene hat Anspruch auf Auskunft der über ihn gespeicherten Daten. Die Auskunftsanfrage kann schriftlich oder per Mail gestellt werden. Bevor eine Auskunft erteilt wird, ist bei Email-Anfragen unbedingt die Identität des Betroffenen zu überprüfen. Handelt es sich wirklich um die Person, für die er/sie sich ausgibt. Hierzu reicht es meist aus, die Postanschrift oder andere persönliche Daten anzufordern und mit den gespeicherten Daten abzugleichen. Eine Auskunftsanfrage muss innerhalb eines Monats beantwortet werden. Auch wenn keine Daten über den Betroffenen gespeichert sind, muss ihm dies mitgeteilt werden.
Hinweis: Die genannten Informationen stellen keine Rechtsberatung dar. Kiss haftet nicht für die Inhalte. Trotz sorgfältiger Prüfung kann nicht ausgeschlossen werden, dass Angaben fehlerhaft oder veraltet sind.
