In diesem Teil des WIKI  wird beschrieben, wie der Datenschutz gemäß DSGVO im SchElmNet, umgesetzt wird.

Muss im SchElmNet ein Datenschutzbeauftragter ernannt werden?

Nein, da weniger als 20 Personen Umgang mit personenbezogen Daten haben.

Diese sind:

1. Janto
2. Sebastian

Begründung/Quelle:

In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 10 20 Personen (Gesetzesänderung 2019) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist, wer z. B. permanent Mitgliederverwaltung macht – „nicht ständig beschäftigt“ ist dagegen bspw., wer als Leiter eines Workshop  nur mit den Namen der Teilnehmer umgeht.

Quelle: http://www.lda.bayern.de/media/dsk_kpnr_12_datenschutzbeauftragter.pdf

Ist im Makerspace ein Verzeichnis von Verarbeitungstätigkeiten erfoderlich?

Ja, da regelmäßig personenbezogene Daten verarbeitet werden.

Diese sind:

Mitgliederverwaltung

Begründung/Quelle

Vereine, die regelmäßige Mitgliederverwaltung und Beitragsabrechnung machen, müssen ein – vom Umfang her sehr überschaubares – Verzeichnis ihrer Verarbeitungstätigkeiten führen.

• BayLDA Muster-Verzeichnis für kleine Vereine: www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
• DSK-Kurzpapier Nr. 1: www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf
• DSK-Muster-Verzeichnis allgemein: www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf

Ist eine Verpflichtung zum Datenschutz von Beschäftigten durchzuführen?

Ja, da die hauptamtlichen Mitarbeiter auch im personenbezogenen Daten umgehen. (Haben wir aktuell nicht)

Begründung/Quelle

Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend

zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt.

• https://www.datenschutzzentrum.de/artikel/1235-Kurzpapier-Nr.-19-Unterrichtung-und-Verpflichtung-von-Beschaeftigten-auf-Beachtung-der-datenschutzrechtlichen-Anforderungen-nach-der-DSGVO.html

Bestehen irgendwelche Informationspflichten zum Thema Datenschutz?

Ja, insbesondere auf der Website, im Aufnahmeantrag und ggf in der Satzung, Informationspflicht auch für die Beschäftigten.

Begründung/Quelle

Der Verein hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung

ihrer Daten zu geben. Ein Verein muss bspw. Informationen auf der Homepage und der Satzung leicht zugänglich bereithalten. Die betroffenen Personen (z. B. Vereinsmitglieder) haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.

• DSK-Kurzpapier Nr. 6: www.lda.bayern.de/media/dsk_kpnr_6_auskunftsrecht.pdf
• DSK-Kurzpapier Nr. 10: www.lda.bayern.de/media/dsk_kpnr_10_informationspflichten.pdf

Gibt es eine Anforderung zur Datenlöschung?

Ja, aber erst nach Ablauf der gesetzlichen Aufbewahrungsfristen.

Begründung/Quelle

Sobald keine gesetzliche Grundlage (mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen. In der Regel ist dies bspw. erst der Fall nach Ausscheiden eines Vereinsmitglieds.

Name, Vorname und Geburtsdatum werden im Fall einen Vereinsausschlusses dauerhaft gespeichert um einen Neueintritt zu verhindern.

• DSK-Kurzpapier Nr. 11: www.lda.bayern.de/media/dsk_kpnr_11_vergessenwerden.pdf

Eine Einwilligung der Mitglieder ist notwendig für die Fälle der Verarbeitung, die nicht unmittelbar zur Durchführung des Mitgliedschaftsverhältnisses benötigt werden.

Haben wir nicht.

Begründung/Quelle

siehe Homepage des LDA BAyern im Abschnitt Vereine

Müssen die Daten besonders gesichert werden?

Nein, unsere Maßnahmen entsprechen etablierte Standardmaßnahmen sind ausreichend,um die Daten effektiv zu schützen .

Begründung/Quelle

Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können.

• http://www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf

Ist ein Vertrag zur Auftragsverarbeitungnotwendig?

Nein, da wir selbst Hoster und Herr unserer Daten sind.

Begründung/Quelle

Sobald Verantwortliche Dienstleistungen in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.

• DSK-Kurzpapier Nr. 13: https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf
• BayLDA-Formulierungshilfe zumVertrag https://www.lda.bayern.de/media/muster_adv.pdf

Müssen bestimmte Vorfälle gemeldet werden?

ja (aber nur bei relevanten Risiken)

Begründung/Quelle

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall

darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.

BayLDA-Kurzpapier Nr. 8: www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf

BayLDA-Online-Service zur Meldung: www.lda.bayern.de/de/datenpanne.html

Muss eine DSFA vom Verein durchgeführt werden?

Nein (da kein hohes Risiko bei der Datenverarbeitung im Verein besteht)

Begründung/Quelle

Hat eine Verarbeitung personenbezogener Daten ein hohes Risikofür die betroffenen Personen, so muss das spezielle Instrument der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel.

DSK-Kurzpapier Nr. 5: www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf

Besteht eine Ausschilderungspflicht bezüglich Videoüberwachung

Nein (da derzeit keine Videoüberwachung im Verein durchgeführt wird)

Begründung/Quelle

Führt ein Verantwortlicher eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.

DSK-Kurzpapier Nr. 15: www.lda.bayern.de/media/dsk_kpnr_15_videoueberwachung.pdf