Mitgliederservice: Bestandsaufnahme der Verarbeitungen und abgeleitete technische und organisatorische Maßnahmen

Gastbeitrag von Claus Wissing (Geschäftsführender Gesellschafter beim Sachverständigenbüro Mülot, WiR Solutions GmbH und der mit.data GmbH)

Wer personenbezogene (pb) Daten verarbeitet sieht sich mit einer Reihe von datenschutzrechtlichen Fragen konfrontiert: Zu klären ist z.B.

  • ob die Verarbeitung der personenbezogenen Daten im Rahmen einer bestimmten Aufgabe überhaupt Rechtens ist
  • ob dafür eine (ggf. neue) Software eingesetzt werden darf,
  • ob die erhobenen Daten weitergegeben werden dürfen,
  • wer (z.B. als Mitarbeiter/-in, als ehrenamtlich Engagierte/-r , als Trainer/-in, Übungsleiter/-in oder als Projektbeteiligte/-r) welche Daten einsehen darf,
  • wie lange die personenbezogenen Daten aufbewahrt und wann sie gelöscht werden müssen.

Die Antworten lassen sich in der Regel nicht pauschal geben, sondern müssen für jede Verarbeitung konkret aus der jeweiligen Aufgabenstellung und dem Zweck, zu dem die pb. Daten erhoben werden, abgeleitet werden.

Dies ist im Verein/Verband häufig schon deshalb nicht ganz leicht, weil nicht selten ein systematisch erfasster Überblick fehlt, was mit den Daten auf welcher Rechtsgrundlage gemacht wird bzw. gemacht werden soll.

Daher ist – falls dies noch nicht durchgeführt wurde – initial zunächst eine Bestandsaufnahme notwendig.

Dabei empfiehlt es sich häufig, diesen Gesamtprozess in mehrere Teilschritte zu gliedern.

Verschaffen Sie sich einen Überblick

  1. über die Tätigkeiten im Verein
  2. über die Rechtmäßigkeit der Verarbeitungen;
  3. über die wesentlichen technischen und organisatorischen Maßnahmen;
  4. über die vorhandenen Verträge zur Auftragsverarbeitung;
  5. über den Erfüllungsgrad der Rechte der Betroffenen durch transparente Informationen;
  6. über die vorhandenen Datenschutzprozesse (Recht auf Auskunft, Löschung, Einschränkung, ...).

1. Vorgehensweise: Hierauf sollten Sie in den einzelnen Teilschritten achten

  • Prüfen Sie als erstes,
    • ob bereits ein Verzeichnis der Verarbeitungstätigkeiten existiert,
    • ob dieses Verzeichnis aktuell und auch vollständig ist?
  • Falls es noch kein Verzeichnis gibt, überlegen Sie welche Führungskräfte/Mitarbeitende die Prozesse am besten kennen; Laden Sie diese in Abstimmung mit dem Vorstand zu einem Workshop ein, in dem Sie gemeinsam die vorhandenen Verarbeitungen identifizieren und das weitere Vorgehen absprechen können.
  • Die Verarbeitungen sind vielfältig. Typischerweise werden diese unterteilt in Gruppen. Dieses können Personalverarbeitungen, Mitgliederverarbeitungen, Lieferantenverarbeitungen, Sponsorenverarbeitungen sein.
  • Die jeweiligen Verarbeitungen gilt es zuerst aufzulisten. Dabei geht es um typische Verarbeitungen, wie "Bewerbungsverfahren, Reisekostenabrechnung, Mitgliederverwaltung, Trainerausbildung, Spielertransfer, ...). Hier kommen je nach Verein nicht selten 50 - 200 verschiedene Verarbeitungen zusammen. Bei dieser ersten Bestandsaufnahme geht es noch nicht um die Aufnahme und detaillierte Beschreibung der Verarbeitungen, sondern darum, sich einen Überblick zu verschaffen.
  • Im nächsten Schritt geht es dann darum, jede einzelne Verarbeitung bezüglich ihrer datenschutzrechtlichen Implikationen detailliert zu erfassen. Was bei der Erstellung eines solchen Verzeichnisses aller Verarbeitungstätigkeiten zu beachten ist und wie es aufgebaut werden kann, darauf werden wir im Impuls-Beitrag des Live-Chats am 17.06.2022 genauer eingehen.

Mit der Erstellung des Verzeichnisses erhalten Sie einen Überblick,

  • welche Datenkategorien in Ihrem Verein verarbeitet werden,
  • wer Zugriff auf die Daten hat,
  • an wen Daten weitergegeben werden,
  • welche Dienstleister ggf. als Auftragsverarbeiter mit involviert sind.

Aus den beschriebenen Verarbeitungen ergibt sich damit auch die Rechtsgrundlage, auf deren Basis die Daten erhoben werden dürfen.

1.2 Rechtmäßigkeit der Verarbeitungen

Den Überblick über die dokumentierte Rechtsgrundlage haben Sie mit Fertigstellung des ersten Punktes erstellt. Nun gilt es aufzunehmen, ob die Rechtmäßigkeit der jeweiligen Verarbeitung stichhaltig ist. Das bedeutet, dass jeder Verarbeitung der hierzu passende Artikel in der DSGVO zugeordnet werden muss.
Exemplarisch möchte ich das am Beispiel eines Bewerbungsverfahrens erläutern:
Die Rechtmäßigkeit der Verarbeitung der Lebenslaufdaten im Rahmen eines "Bewerbungsverfahrens" ergibt sich aus Art. 6 Abs. 1 (b) DSGVO, demzufolge die Daten notwendig sind

  • zur „Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“ oder
  • „zur Durchführung vorvertraglicher Maßnahmen …, die auf Anfrage der betroffenen Person erfolgen"

Auf diese Weise können Sie sich Schritt für Schritt (bzw. Verarbeitung für Verarbeitung) einen Überblick verschaffen, ob die Daten rechtmäßig verarbeitet werden.

1.3 Technische und organisatorische Maßnahmen

Aus den jeweiligen Datenkategorien lässt sich nun auch der entsprechende Schutzbedarf ableiten. Allerdings gibt es hier keine festen, vorab definierten Maßstäbe oder gar Listen. Der Schutzbedarf muss aus dem von Ihnen analysierten Risiko für die betroffene Person bestimmt werden. Dabei sind Gesundheitsdaten und Personalunterlagen "natürlich" stärker zu schützen als z.B. eine Terminabsage zu einem Training (wobei auch letztere zu schützen ist).

Abgeleitet aus den Risikoeinschätzungen ergibt sich in der Regel ein Mindeststandard für die technischen und organisatorischen Maßnahmen, der bei Verarbeitungen mit erhöhtem Schutzbedarf entsprechend erweitert werden muss.

Bei den einzuleitenden Maßnahmen sind nicht nur die internen Systeme, sondern – so vorhanden – auch externe Verarbeitungen zu berücksichtigen. Sollte z.B. die Mitgliederverwaltung in einer Cloud eines externen Dienstleisters erfolgen, so gilt es die beim Dienstleister geltenden Verfahren, z.B. bzgl. der Verfügbarkeit, Vertraulichkeit und Integrität mit in den Blick zu nehmen.

1.4 Verträge zur Auftragsverarbeitung

Im Falle von involvierten Auftragsverarbeitern sind entsprechende Verträge zur Auftragsverarbeitung zu sichten. Daraus ergeben sich ebenfalls die vom Auftragsverarbeiter einzuhaltenden technischen und organisatorischen Maßnahmen. Diese gilt es im Rahmen der Bestandsaufnahme ggf. ebenfalls zu sichten.

1.5 Erfüllungsgrad der Rechte der Betroffenen durch transparente Informationen

    Aufbauend auf den Verarbeitungen sind die Informationspflichten für Bewerber/-innen, Mitarbeitende, Mitglieder, Lieferanten/Lieferantinnen, Webseitenbesucher/-innen etc. zu erfüllen. 
    Bei der Bestandsaufnahme gilt es, einen Überblick zu erhalten, ob und wie diese Informationspflichten gemäß Art. 13/14 DSGVO erfüllt sind.

    1.6 Können notwendige Datenschutzprozesse, wie z.B. das Recht auf Auskunft, Löschung, Einschränkung etc.) in der eigenen IT-Struktur umgesetzt werden?

    Verschaffen Sie sich einen Überblick, ob z.B. die Rechte der Betroffenen in Ihren IT-Systemen umgesetzt werden können. Oftmals sind bei IT-Systemen die Löschmöglichkeiten beschränkt. Bei Papierunterlagen ist das einfacher umsetzbar. Allerdings muss hier auch gesichert sein, dass Mitarbeiter/-innen ebenso wie ehrenamtlich Engagierte über das datenschutzkonforme Vorgehen informiert sind.

    2. Fazit

    Die Erstellung einer umfassenden, an Ihren Verein oder Verband angepassten Bestandsaufnahme der Verarbeitungen und der daraus abzuleitenden technischen und organisatorischen Maßnahmen ist eine durchaus Zeit und Kraft kostende Aufgabe, zumal eine Reihe von Personen einbezogen und "mitgenommen" werden müssen. 
    Daher empfiehlt es sich, strukturiert vorzugehen, Beteiligte frühzeitig zu informieren und einzubeziehen und Anfragen nach Verarbeitungen und Prozessen zumindest teilweise in Schriftform einzuholen. Und sicher wird es oftmals auch hilfreich zu sein, angemessenen Fristen und Termine abzusprechen und festzulegen. 
    UND: Nutzen sie auch das in diesem Prozess immer auch vorhandene Verbesserungspotenzial. Wenn Sie sich nicht nur auf eine oberflächliche, an Standards ausgerichtete Bestandsaufnahme beschränken, sondern sich an den ganz spezifischen Prozessen Ihres Vereins/Verbands orientieren, werden sich daraus in aller Regel auch Ideen, Vorschläge und Maßnahmen für (auch Zeit einsparende) Verbesserungen ergeben.

    3. Status-Analyse 
    zur Ermittlung des aktuellen Status des Verzeichnisses von Verarbeitungstätigkeiten in Ihrem Verein/Verband 

    Liste


     

    Das FA Datenschutzportal ist ein kostenpflichtiges Serviceangebot der Führungs-Akademie und bietet 
    •    ein umfassendes Angebot an Dokumenten (Arbeitshilfen zum Datenschutz, Checklis-ten, Mustervorlagen, einen individuell anpassbaren Projektplan zur Umsetzung des Datenschutzes u.v.m.)
    •    einen monatlichen Live-Chat
    •    einen monatlichen Info-Brief
    •    eine E-Mail Hotline für Notfälle
    Alle Infos zum Datenschutzportal und ein Bestellformular finden Sie hier.