Datenschutz in der DLRG

Gemäß § 4f BDSG müssen grundsätzlich auch Vereine einen Datenschutzbeauftragten bestellen, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogene Daten  (also per EDV-System) betraut sind (§ 4f Abs. 1 S. 4 BDSG) oder wenn mindestens 20 Personen mit der nicht automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint, also bei der DLRG insbesondere Mitgliederdaten oder Daten von Kursteilnehmern.

Das Bundesdatenschutzgesetz fordert, dass ein Datenschutzbeauftragter über eine angemessene Fachkunde verfügen muss. Das Maß der erforderlichen Fachkunde bestimmt sich nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet (§ 4f Abs. 2 S. 2 BDSG). Mitglieder des Vorstands dürfen gemäß § 4f Abs. 3 S.1 BDSG nicht zum Datenschutzbeauftragten bestellt werden. Außerdem dürfen keine Personen bestellt werden, bei denen potentiell ein Interessenskonflikt bestehen könnte, da dann die Unabhängigkeit des Datenschutzbeauftragten nicht mehr gewährleistet wäre.

Die wichtigsten Regeln zum Datenschutz

1. Rechtmäßigkeit

Jede Verarbeitung personenbezogener Daten bedarf einer rechtlichen bzw. gesetzlichen Grundlage (z.B. § 32 BDSG). Personenbezogene Daten dürfen nur dann verwendet werden, wenn das BDSG oder eine andere Regelung (z.B. Vertrag) es erlauben. Ohne diese Grundlage ist die Datenverarbeitung unzulässig.

Gibt es keine gesetzliche Erlaubnis, dürfen die personenbezogenen Daten nicht verwendet werden, es sei denn der Betroffene  hat eingewilligt. Diese Einwilligung muss schriftlich und freiwillig erteilt werden und der Betroffene muss genau wissen, in was er einwilligt. Die Einwilligung kann jederzeit zurückgezogen werden.

2. Zweckbindung

Personenbezogene Daten, die für einen Zweck (z.B. Mitgliederverwaltung) verarbeitet werden, dürfen nicht zusätzlich für einen anderen Zweck (z.B. zur Weitergabe an einen Sponsor) verwendet werden.

3. Transparenz

Die Grundlage des Datenschutzes ist das Grundrecht auf informationelle Selbstbestimmung. Jeder Mensch hat das Recht, zu entscheiden, wer was über ihn weiß. Deshalb gibt es umfassende Auskunftsrechte, die jedermann, dessen Daten gespeichert sind, der DLRG-Gliederung gegenüber geltend machen kann. Auf Anfrage, muss die jeweilige Gliederung dem Betroffenen alles mitteilen, was über ihn gespeichert wurde. Die Gliederung muss zudem eine Liste führen, in der alle Systeme erfasst werden, die solche Daten speichern.

4. Datensparsamkeit

Es dürfen nur so viele Daten erhoben werden, wie unbedingt notwendig sind, um den Zweck zu erfüllen und es sind immer nur so wenig Daten zu erfassen, wie möglich. Deshalb muss vor jeder Verarbeitung von personenbezogenen Daten geprüft werden, ob diese wirklich erfasst werden müssen. Zudem ist dafür zu sorgen, dass auch nur die Personen Zugriff auf personenbezogene Daten erhalten, die diese für die Aufgabe benötigen.

5. Datensicherheit

Auch die Datensicherheit ist zu beachten. Hierzu gehört die Sicherheit des Ortes, an dem der Rechner steht genauso wie die Sicherheit der Daten. Wichtige Vorkehrungen sind:

  • gut funktionierende Firewall
  • aktueller Virenscanner
  • sicherer Passwortschutz

Downloads

Die meisten DLRG-Gliederungen benötigen keinen Datenschutzbeauftragten. Gliederungen, die selbst eine Datenschutzordnung verabschieden wollen, können sich an unserer Muster-Datenschutzordnung orientieren. Diese muss immer für die jeweilige Gliederung angepasst werden. Außerdem sind Löschfristen für einmal erhobene Daten zu beachten - auch hier gibt es ein Muster.

Links

Datenschutz im Verein (hrsg. vom Landesbeauftragten für den Datenschutz Baden-Württemberg)