Verfahrensbeschreibung - DSGVO

[heiner]

Hallo,

wie wir in diesem Forum bereits sehen, gibt es sehr viele unterschiedliche Meinungen dazu, was nach EUDSGVO erforderlich ist. Ich werde das Thema zunächst einmal aussitzen. Damals gab es bei SEPA auch die kuriosesten Anforderungen, die sich heute in Luft aufgelöst haben.

Heiner

[thomas-w]

Hallo Heiner,

das Thema auf dem Rücken der Anwender auszusitzen finde ich nicht gut. Sicherlich wird es erst nach Anwendung der DSGVO und ersten Urteilen eine verbindlichere Aussage zur Umsetzung geben. Das Thema ist aber bereits seit 04.05.2016 beschlossen und hat somit allen ausreichend Zeit zur Umsetzung gegeben. Die Behörden haben bereits angekündigt strikt vorzugehen und die Bußgelder sind nicht gerade niedrig.

Wäre nicht folgende Lösung denkbar, die unabhängig von der DSGVO auch JVerein allgmein zu Gute kommt?

• Anpassung Personenblatt (oder ein neuer Punkt), damit alle in JVerein vorhandenen Informationen zu einer Person ausgegeben werden

• Löschfunktion für Daten, die nach der gesetzlichen Aufbewahrungsfrist (10 Jahre) liegen. Dabei sollten dann auch ausgetretene Mitgliedsstammdaten, die in keinem jüngeren Jahresabschluss enthalten sind, gelöscht werden. Bei sonstigen Adressen müsste ein "Deaktivierungsdatum" erfassbar sein, damit diese analog der Mitgliedsdaten gelöscht werden können.

Durch die Löschfunktion wird die JVerein-Datenbank "aufgeräumt" und die Vereine können eine Löschung der Mitgliedsdaten vorweisen. Wenn dann bei einer Prüfung bemängelt wird, dass bei ausgetretenen Mitgliedern z. B. nach 2 Jahren bestimmte Daten nicht mehr gespeichert werden dürfen (oder anonymisiert werden müssen), dann kann immer noch nachgebessert werden. Es wird dem Verein aber vermutlich nur eine "Mängelrüge" einhandeln und kein Bussgeld, weil die komplette Löschvorgabe der DSGVO missachtet wurde. Als Mitgliedsverwalter wird man ohnehin meistens einen Filter auf die aktiven Mitglieder haben und sehr selten auch die ausgetretenen Mitglieder in der Selektion haben. Somit wurden die Daten der ausgetretenen Mitglieder der "aktiven Nutzung" entzogen.

Gruß,
Thomas

[Eminenz]

Hallo,

ich persönlich kann mit der Ansage, dass das Thema erstmal abgewartet wird, gut leben und finde dies sehr verständlich. Die ursprüngliche Aussage von Heiner las sich für mich so, als würde es nicht addressiert werden, und dies fände ich schwierig. Von daher danke, dass es auf dem Schirm ist. Auch, wenn mir das Thema unter den Nägeln brennt und mir eine zeitnahe Lösung natürlich lieber wäre, so empfinde ich es doch nicht so, als hätte ich einen Anspruch darauf. Ich hätte ja die Möglichkeit selbst den entsprechenden Code zu schreiben - wenn auch leider wohl nicht die Kompetenz dazu.

Die Idee von Thomas, Änderungen, welche an sich sinnvoll sind (insbesondere bzgl. Auskunftsrecht) und somit vmtl. auch im weiteren Prozess der DSGVO erhalten bleiben werden, in der Umsetzung vorzuziehen finde ich auch charmant. Dies würde das große Problem (DSGVO) in kleinere, handhabbare Probleme zerlegen.
Auch hier sind jedoch definitorische Probleme mit Auslegungsbedarf vorhanden, sodass ich ein Abwarten auch hier durchaus verstehen kann.

Grüße

Andreas

[thomas-w]

Hallo Andreas,

Auch hier sind jedoch definitorische Probleme mit Auslegungsbedarf vorhanden, sodass ich ein Abwarten auch hier durchaus verstehen kann.

Wo siehst du hier definitorische Probleme?
Die gesetzlichen Aufbewahrungsfristen und deren Laufzeitbeginn sind klar geregelt. Somit könnte zumindest dieser Punkt zur Datenlöschung in JVerein umgesetzt werden.

Ich möchte hier auch nicht drängen. Ich würde es nur begrüßen, wenn seitens JVerein eine offizielle Aussage getroffen wird, ob/wie die Löschung von Daten umgesetzt wird. Diese Aussage können die Vereine dann erstmal in ihre Unterlagen nehmen und haben einen Nachweis, dass sie sich um das Thema gekümmert haben. Optimal wäre es natürlich, wenn die Löschfunktion dann auch (bis Jahresbeginn 2019?) zur Verfügung steht.

Abwarten wird für die Vereine "zum Verhängnis", die ggf. frühzeitig geprüft werden. Laut Artikel 83, Absatz 5, Buchstabe (a) DSGVO wird bei Verstößen eine Geldbuße bis zu 20.000.000 Euro oder bei Unternehmen bis zu 4 % des weltweiten Vorjahresumsatzes (je nachdem welcher Betrag höher ist) verhängt.

Ich möchte hier nicht "schwarzmalen", nur auf die Dringlichkeit einer Lösung hinweisen.

Gruß,
Thomas

[DIG]

Hallo Heiner, Andreas und Thomas,

ja, das Thema DS-GVO ist akut.

Ich persönlich habe für mich bzw. meinen Verein folgenden Schritte vorgesehen und in Arbeit, wobei ich die ersten beiden Punkte bereits nahezu fertig habe, am dritten und vierten dran bin und sich die Diskussion hier ja v.a. um die dann noch kommenden Punkte dreht:

1. Erstellung des Verzeichnis der Verarbeitungsprozesse
2. Erstellung der Liste der technisch-organisatorischen Maßnahmen (TOM) zum Datenschutz
3. Unterweisung und Verpflichtung der anderen Vorstände bzgl. der DS-GVO und der TOM.
4. Aktualisierung der Datenschutzerklärung auf der Vereinswebseite, ggf. auf Formularen sowie Information der Mitglieder.
5. Verfahren zur umfassenden und zeitnahen Beantwortung von Auskunftsersuchen von Betroffenen, dazu ist insbesondere die Erstellung eines entsprechenden Stammdatenblatts in JVerein nötig.
6. Verfahren zum Umgang mit Löschungsersuchen von Betroffenen, dazu ist insbesondere eine Löschungs-, Anonymisierungs- und/oder Archivierungsfunktion einzelner Mitgliedsdaten in JVerein nötig.
7. Verfahren zur turnusmäßigen Löschung von nicht mehr benötigten Daten, dazu ist insbesondere eine Löschungsfunktion in JVerein für nahezu alles jenseits der gesetzlichen Aufbewahrungsfristen nötig.
   Den hier geführten Vorschlag zum Erhalt der Mitgliedsnamen samt Ein- und Austrittsdatum für die Vereinsgeschichte lasse ich dabei gerne gelten.

Bzgl. der DS-GVO sind wir in unserem Verein also bereits tätig, nur eben noch nicht fertig.
Die Punkte 5ff müssen halt noch folgen, wobei es auch mir zunächst genügen würde wenn sicher wäre, dass sie in JVereien eingebaut werden und die Fertigstellung schrittweise abgeschlossen würde - idealerweise innerhalb der nächsten 12 Monaten.
Wie genau die Punkte 5ff nun realisiert werden, das können wir hier noch genauer diskutieren und dabei teilweise (Punkte 6f) auch etwas abwarten wie die DS-GVO denn nun in der Praxis Land auf Land ab so angewendet und ausgelegt wird.

Viele Grüße,
Carsten

[Eminenz]

Hallo,

Wo siehst du hier definitorische Probleme?

Meine Aussage bezog sich auf die Auskunftspflicht, nicht auf das Löschen von Daten älter als 10 Jahren. Da du aber hierzu fragst ein kleines Beispiel: Die DSG-VO kennt mehrere Ausnahmetatbestände für Daten, die nicht gelöscht werden müssen. Dies sind unter anderem a) du musst sie speichern (Daten fürs Finanzamt: 10 Jahre lang) b) sind für den in unserem Fall Vereinszweck erforderlich (Daten für die Vereinshistorie dürfen vermutlich unbegrenzt gespeichert werden). Ob es sich bei einzelnen Merkmalen (was ich persönlich strittig fände an der Stelle wäre bspw. das Geschlecht) um den Fall b) handelt bedarf einer Auslegung. Ansonsten müsste das Geschlecht schon bei Austritt gelöscht werden.

Optimal wäre es natürlich, wenn die Löschfunktion dann auch (bis Jahresbeginn 2019?) zur Verfügung steht.

Stimme ich dir zu - allerdings wäre ich generell mit Zeitaussagen zurückhaltend. Optimal wäre, wenn alles sofort und umfassend zur Verfügung stehen würde. Ich bin erstmal froh, dass es auf der Agenda steht. Wann sich Leute finden, welche das in ihrer Freizeit zum Wohle aller anderen umsetzen und wie lange sie dafür brauchen wird sich zeigen. Und dass man sicher sein möchte, wenn man schon seine Freizeit opfert, dass das Gesetz in der Form überhaupt seine Anwendung findet und wie mit bestimmten Fragen umgegangen werden soll, bevor man doppelte bis mehrfache Arbeit hat finde ich, wie schon mehrfach betont, mehr als verständlich.

Laut Artikel 83, Absatz 5, Buchstabe (a) DSGVO wird bei Verstößen eine Geldbuße bis zu 20.000.000 Euro oder bei Unternehmen bis zu 4 % des weltweiten Vorjahresumsatzes (je nachdem welcher Betrag höher ist) verhängt.

Das ist natürlich ein heikler Punkt. Auch, wenn dies keine allgemein verbindliche und schon garnicht vor Gericht haltbare Aussage ist: ich weiß von der für uns zuständigen Behörde, dass sie erstmal auf Hinweis arbeiten (solange sich keiner beschwert wird es wohl keine Untersuchungen geben) und bei Erstverstößen keine Geldbußen verhängen wollen. Es gilt jedoch natürlich auch: auf die Frage "wie macht ihr das mit dem Löschen?" wäre es vermutlich besser zu antworten "Noch falsch, aber an dem Programm wird gearbeitet und es soll folgendermaßen funktionieren" als "garnicht."


Grüße

Andreas

[fp-]

Wäre nicht folgende Lösung denkbar, die unabhängig von der DSGVO auch JVerein allgmein zu Gute kommt?

• Anpassung Personenblatt (oder ein neuer Punkt), damit alle in JVerein vorhandenen Informationen zu einer Person ausgegeben werden

Was wäre denn aus Eurer Sicht am Personalbogen mit Blick auf die DSGVO noch zu verändern? M. E. enthält er die wesentlichen Angaben: persönliche Daten des Mitglieds, Buchungen auf dem Mitgliedskonto. Hilfreich wäre höchstens - das gilt übrigens für alle Berichte, von denen ich einige in wenigen Tagen zum ersten Mal beim Finanzamt werde einreichen müssen -, wenn in der Kopf- oder Fußzeile der Name (und die Anschrift) des Vereins ausgegeben würden.

Alle anderen in diesem Thread gewünschten Optionen sind schön (ich träume hier im Forum ja auch gerne ), aber m. E. nicht lebensnotwendig. Es ist jeder/m User*in zuzumuten, etwa am Jahresanfang die Abgemeldeten nach Austrittsdatum zu filtern und evtl. zu löschende Datensätze (10 Jahre nach Austritt!) manuell zu löschen. Die Ex-Mitglieder, die bei ihrem Austritt ausdrücklich ihr "Recht auf Vergessenwerden" einfordern, werden die große Ausnahme bleiben (wenn ihr Verlangen mit Blick auf die Archivierungsfrist der Buchungsunterlagen denn überhaupt erfüllbar ist); ggf. muss man dann eben deren verzichtbare Daten händisch ausxxxxxxen. Und wer Tausende Mitglieder zu verwalten hat, wird vermutlich ohnehin nicht (mehr) mit JVerein arbeiten.

Frank

[Eminenz]

Hallo,

Was wäre denn aus Eurer Sicht am Personalbogen mit Blick auf die DSGVO noch zu verändern?

Der Personalbogen ist ausführlicher, als ich unbesehen gedacht hatte. Mein Hinweis war so gemeint, dass man sich anschauen müsste, welche Punkte noch fehlen. Falls keine wäre das ja ein sehr erfreuliches Ergebnis.
Aus meiner persönlichen Sicht fehlt noch folgendes:

• Informationen zum Kontoinhaber (Name, Telefon,...)

• Mails (wenigstens Datum und Betreff und Hinweis, dass der Inhalt auch vorhanden ist. Besser mit Inhalt)

• Ich verwende einige Felder/ Funktionen nicht von daher sollte man anschauen, wie mit bspw. Lehrgängen, Arbeitsdienst etc im Personalbogen umgegangen wird.

Natürlich kann man bei jedem Punkt diskutieren, ob dieser überhaupt da mit rein gehört oder nicht. Das ist nur meine persönliche Meinung. Denke lieber zu viel, als zu wenig.

Es ist jeder/m User*in zuzumuten, etwa am Jahresanfang die Abgemeldeten nach Austrittsdatum zu filtern und evtl. zu löschende Datensätze (10 Jahre nach Austritt!) manuell zu löschen.

Hier stimme ich dir zu. Allerdings funktioniert das nicht, da ein Löschen von Mitgliedern, welche Buchungen enthalten, nicht möglich ist, sofern die Buchungen weiter existieren (referenzielle Integrität der Datenbank). Daher wäre das ausxxxen, welches du ja auch schon angesprochen hast, auch hier die einzige Möglichkeit. Hier braucht es jedoch dann keine tausende Mitglieder, dass dies relativ aufwändig wird, da es alle ausgetretenen Mitglieder betrifft und nicht nur jene (von denen ich auch ausgehe, dass es wenige sind), welche von ihrem Anspruch auf Löschen der Daten gebrauch machen.

Grüße

Andreas

[fp-]

Allerdings funktioniert das nicht, da ein Löschen von Mitgliedern, welche Buchungen enthalten, nicht möglich ist, sofern die Buchungen weiter existieren (referenzielle Integrität der Datenbank). Daher wäre das ausxxxen, welches du ja auch schon angesprochen hast, auch hier die einzige Möglichkeit. Hier braucht es jedoch dann keine tausende Mitglieder, dass dies relativ aufwändig wird, da es alle ausgetretenen Mitglieder betrifft und nicht nur jene (von denen ich auch ausgehe, dass es wenige sind), welche von ihrem Anspruch auf Löschen der Daten gebrauch machen.

Du hast Recht: Gelöscht werden müss(t)en alle. Also müssen wir jedesmal zu Jahresbeginn alle Buchungen des dann zehn Jahre zurückliegenden Geschäftsjahres löschen - und konsequenterweise auch die Kontoauszüge vernichten, denn auch die darin enthaltenen Daten fallen ja unter die DSGVO.

Wenn es bisher also immer hieß, man könne Buchungsunterlagen nach zehn Jahren vernichten, wird daraus wohl nun eine Pflicht.

Das ist eines der Punkte, die mich gespannt sein lassen, wie die Gerichtsurteile zur DSGVO und die weitere nationale Gesetzgebung aussehen werden.

Frank

[Pe_tha]

'n Abend,

Beim Landessportbund NRW sind Hilfen zur Umsetzung des DSGVO verfügbar:
http://www.vibss.de/vereinsmanagement/r ... tenschutz/
Umter dem Stichwort "Musterschreiben" lassen sich einige Vorlagen in .docx herunter laden, auch ein Muster für ein Verfahrensverzeichnis.
Wir machen in Verbindung mit Hisbiskus die gesamte Vereinsverwaltung incl. Inkasso (per Lastschrift) mit JVerein. Dazu gehört auch das Versenden von Rund-Mails für Einladungen zur Mitgliederversammlung, Versenden von Protokollen, Bekanntmachungen von Wochenendlehrgängen und Einzel-Email, wenn Vereinsbelange betroffen sind.
In den nächsten Tagen habe ich für unsere 2-3 "Verfahren" das Verzeichnis ausgefüllt und stelle das gerne zur Diskussion.

Peter