Technische und organisatorische Maßnahmen

In Art. 24 DS-GVO werden mit „TOM“ technischen und organisatorischen Maßnahmen umschrieben, mit denen der Datenschutz in der Praxis umgesetzt werden soll. Die Verordnung befasst sich ausschließlich mit den rechtlichen Grundlagen, so dass hier auch nicht auf IT-spezifische Einzelheiten eingegangen werden kann. Andererseits haben umfangreiche und technisch aufwändige Sicherungssysteme vor allen Dingen bei großen Unternehmen und internationalen Konzernen eine große Bedeutung, dort werden auch an die Datensicherheit hohe Anforderungen gestellt. Für den Bereich eines nicht kommerziell arbeitenden Vereins, dessen Zweck ja nicht die Weitergabe von personenbezogenen Daten ist, hier stichwortartig einige Hinweise, ohne Anspruch auf Vollständigkeit:

  1. Wichtig bleibt immer die Frage nach dem Zweck und dem Rechtsgrund der Datenverarbeitung. Es sollte immer wieder reflektieren werden, welche Daten für ihre Arbeit überhaupt erforderlich sind. Datenminimierung mindert auch grundsätzlich die Möglichkeit eines Missbrauchs oder Verlusts.
  2. Bei Datenverwaltung auf einem „Vereins-PC“: Passwort einrichten und klarstellen, wer hierzu Zugang hat (Zehn-Personen-Grenze beachten!).
  3. Beim E-Mail-Verkehr darauf achten, dass Rundmails grundsätzlich als blindcopy (bcc) verschickt werden. Dies gilt besonders auch für E-Mails, die an außenstehende Dritte gerichtet sind.
  4. Beim Versenden von „einfachen E-Mails“ ohne Verschlüsselung, den Empfänger darüber aufklären, dass diese E-Mails von elektronisch Versierten leicht gelesen werden können, sie also vor Missbrauch nur bedingt geschützt sind. Dies lässt sich ggf. durch einen unter die Unterschriftszeile gesetzten Standardtext oder die ausdrückliche Einwilligung des Empfängers erreichen.
  5. Sich über Verschlüsselungsprogramme informieren und die Möglichkeiten der Verschlüsselung, sofern wirtschaftlich vertretbar, nutzen.
  6. Selbstverständlich sind die üblichen Sicherheitsstandards bei der elektronischen Datenverarbeitung zu beachten und gängige Programme wie Firewalls oder Virenschutz anzuwenden und zu aktualisieren. Die DS- GVO spricht von „angemessenen Verhältnis“. Die  notwendigen Maßnahmen sind also im Zusammenhang mit dem Umfang der Datenverarbeitung und den wirtschaftlich vertretbaren Möglichkeiten zu sehen.
  7. Für Gruppen, die einen eigenen Internetauftritt, eine Webseite unterhalten, gelten noch weitaus mehr Verpflichtungen. Hierzu zählen vor allen Dingen die Anbieterkennzeichnung, der Disclaimer, also die Erklärung über den Haftungsausschluss für verlinkte Seiten

(vergl. Vereinswiki Datenschutzerklärung).
mehr aus der Kategorie
Rechtliches
Transparenzregister - Schon mal gehört? Die Verpflichtung zur Eintragung in das Transparenzregister trifft auch die Organisationen im Bürgerschaftlichen Engagement. Aber man kann sich leicht befreien. mehr
Technische und organisatorische Maßnahmen mehr
Information und Einwilligung des Betroffenen Zu den Rechten der Betroffenen gehört die Information über die erhobenen Daten.mehr
Datenschutz-Grundverordnung mehr
Der Betroffene und der Verantwortliche Das große Gegensatzpaar nach der Datenschutz-Grundverordnung (DS-GVO) sind der Betroffene und der Verantwortliche. mehr
Das Verarbeitungsverzeichnis Jeder Verein, auch der kleinste, benötigt für seine Arbeit ein Mindestmaß an Verwaltung, es werden personenbezogene Daten verwaltet.mehr
Der Datenschutzbeauftragte Der Datenschutzbeauftragte (Art. 37 DS-GVO) ist nicht mit dem Verantwortlichen identisch.mehr
Das erweiterte polizeiliche Führungszeugnis Seit dem 1. Januar 2012 gibt es eine Neuregelung hinsichtlich der Ehrenamtlichen, die in der Kinder- und Jugendarbeit tätig sind.mehr
Merkblatt für eingetragene Vereine mehr
zum Seitenanfang