Die DSGVO wurde erarbeitet, um unsere persönlichen Daten zu schützen. Nicht um Datenspeicherung komplett zu verbieten oder den Betrieb eines Vereins oder einer Firma vor unüberwindliche Hürden zu stellen.

Sie erlaubt deshalb die Verarbeitung von Daten ausdrücklich. Wichtig ist, dass nur die wirklich benötigten Daten verarbeitet werden und dass die Verarbeitungsverfahren dokumentiert und die Daten angemessen geschützt werden.

Achtung: bitte vermischen Sie nicht die interne Verarbeitung von Daten mit der Veröffentlichung von Daten. Diese Punkte sind unterschiedlich zu betrachten, insbesondere bei der Bewertung der möglichen Schäden für den Betroffenen.

Artikel 6 der DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 

Meine Gedanken zu den einzelnen Punkten (Rainer Burkhardt):

a) Es kann durchaus kontraproduktiv sein, wenn Sie ein Einverständnis einholen, obwohl Sie aufgrund der anderen Punkte gar keines brauchen. Denn was wollen Sie tun, wenn das Mitglied sein Einverständnis nicht erteilt?

b) Der Vertrag zwischen dem Verein und dem passiven Mitglied beinhaltet das Entrichten von Mitgliedsbeiträgen. Dazu ist die Verwaltung von Kontodaten erforderlich. Natürlich könnten Beiträge in bar eingezogen werden, dies kann aber für den Verein eine erhebliche Belastung darstellen. Dokumentieren Sie deshalb in Ihrer Datenschutzordnung, dass Sie Kontodaten verwalten. Löschen Sie die Kontodaten, wenn Sie sie nicht mehr brauchen, z.B. weil das Mitglied zum nicht beitragspflichtigen Ehrenmitglied wird.

c) Es besteht z.B. eine Aufbewahrungspflicht für steuerliche relevante Daten, also Kontoauszüge und Kassenberichte. Diese können natürlich personenbezogene Daten enthalten.

d) Auch wenn wir die Mitgliedschaft in einem Musikverein eventuell als lebenswichtig betrachten, so gilt dieser Punkt doch eher für die Notaufnahme eines Krankenhauses als für uns.

e) Gilt wohl nur für Behörden.

f) Dies dürfte der am häufigsten genutzte Punkt sein. Wir haben ein berechtigtes Interesse unseren Verein zu führen, Werbung für Veranstaltungen zu machen und als Verein Geld zu verdienen um den Betrieb aufrecht zu erhalten.
Das berechtigte Interesse Geld für den Verein einzunehmen unterliegt allerdings dem Interesse der Betroffen wenn es z.B. darum geht, Adressdaten an Werbetreibende zu verkaufen. Ein Eintrag in die Datenschutzordnung des Vereins genügt dazu nicht!

 

Beachten Sie bei allen Daten die Sie verarbeiten wollen, ob diese wirklich benötigt werden. Dokumentieren Sie das gegebenenfalls in der Datenschutzordnung.