Datenschutz im Verein
Datenschutz im Verein
Datenschutz im Verein
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Der Landesbeauftragte für den <strong>Datenschutz</strong> Niedersachsen<br />
2.4 Erhebung von Personaldaten der Beschäftigten<br />
Personenbezogene Daten der Beschäftigten eines <strong>Verein</strong>s i.S.v. § 3 Abs. 11 BDSG dürfen nach<br />
§ 32 Abs.1 BDSG nur für Zwecke des Beschäftigungsverhältnissees erhoben, verarbeitet oder genutzt<br />
werden, wenn dies für die Begründung des Beschäftigungsverhältnisses oder für dessen<br />
Durchführung oder Beendigung erforderlich ist.<br />
Diese Regelung betrifft Personen, welche in einem abhängigen hauptamtlichen Beschäftigungsverhältnis<br />
stehen, z.B. Mitarbeiter der <strong>Verein</strong>sgeschäftsstelle, ggfs. aber auch Trainer.<br />
3. Speicherung personenbezogener Daten<br />
Unabhängig davon, ob der <strong>Verein</strong> seine Daten auf Karteikarten oder automatisiert verarbeitet oder<br />
dies <strong>im</strong> Rahmen einer Auftragsdatenverarbeitung durch Dritte vornehmen lässt, sind die Anforderungen<br />
des BDSG zu beachten.<br />
Bei der Beschäftigung eigenen Personals (z.B. in der Geschäftsstelle) ist darauf zu achten, dass<br />
die Personaldaten strikt von den übrigen Daten (z.B. Mitgliedsdaten) getrennt werden.<br />
Wichtig ist bei diesem Verarbeitungsschritt die Beachtung der technisch-organisatorischen Maßnahmen<br />
zum Schutz der Daten (s.a. Ziff. 10).<br />
Denn nach § 9 Satz 1 BDSG hat der <strong>Verein</strong> bei der Erhebung, Verarbeitung und Nutzung personenbezogener<br />
Daten die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich<br />
sind, um die Ausführung der Vorschriften des BDSG zu gewährleisten.<br />
In der Anlage zu § 9 BDSG sind die einzelnen technischen und organisatorischen Vorgaben aufgeführt,<br />
die für einen störungsfreien und sicheren Betrieb von EDV-Anlagen unerlässlich sind und die<br />
der <strong>Verein</strong> somit auch <strong>im</strong> eigenen Interesse umsetzen sollte.<br />
Dies betrifft Maßnahmen der Datensicherung, die den ordnungsgemäßen Ablauf der Datenverarbeitung<br />
durch Schutz der Hard- und Software sowie der Daten vor Verlust, Beschädigung oder<br />
Missbrauch sicherstellen sollen.<br />
In der Praxis ist bei der Verarbeitung personenbezogener Daten besonders der Schutz der <strong>im</strong><br />
Computer gespeicherten Mitgliederdaten vor unbefugtem Zugriff relevant.<br />
Hier greift die Zutrittskontrolle durch Verschließen des Raumes, in dem der Computer des <strong>Verein</strong>svorsitzenden<br />
steht. Mit der Zugangskontrolle wird durch ein Passwort verhindert, dass Unbefugte<br />
den Rechner nutzen. Bei gleichzeitiger Nutzung eines Computers durch mehrere Personen, z.B. <strong>im</strong><br />
<strong>Verein</strong>sbüro wird über die Zugriffskontrolle gewährleistet, dass die hierzu Berechtigten nur auf die<br />
ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (z.B. abteilungsbezogene Trennung<br />
der Daten). Mit der Weitergabekontrolle wird verhindert, dass personenbezogene Daten bei<br />
der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger<br />
unbefugt gelesen, kopiert, verändert oder entfernt werden können, weshalb z.B. Mitgliederlisten<br />
nur verschlüsselt übersandt werden dürfen. Die Eingabekontrolle stellt sicher, dass nachträglich<br />
überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungsanlagen<br />
eingegeben, verändert oder entfernt worden sind (z.B. mittels Logfiles). Sie setzt<br />
eine funktionierende Zugangskontrolle voraus. Mit der Verfügbarkeitskontrolle werden die Mitgliederdaten<br />
gegen zufällige Zerstörung oder Verlust geschützt (z.B. durch Backups, aber auch mittels<br />
Virenschutz). Das Trennungsgebot bewirkt, dass zu unterschiedlichen Zwecken erhobene Daten<br />
auch nur getrennt verarbeitet werden dürfen, weshalb die Daten über die Kontoverbindungen der<br />
Mitglieder strikt zu trennen vom übrigen Datenbestand, auch von Adresslisten.<br />
Diese Maßnahmen sind auch dann geboten, wenn die Datenverarbeitung von Mitgliedern ehrenamtlich<br />
zu Hause mit eigener EDV-Ausstattung erledigt wird.<br />
<strong>Datenschutz</strong> <strong>im</strong> <strong>Verein</strong> S.13