Mitgliederverwaltung Mitgliederverwaltung – Dokumentation

Datenschutz

Glossar — DSGVO-Begriffe im Verein

Datenschutz-Sprache ist voll mit Lehnwörtern aus der Verordnung. Dieses Glossar erklärt jeden Begriff in zwei Sätzen, sagt, wo er in der App auftaucht, und nennt den Artikel, falls jemand „Belege bitte!" sagt.

#A

Anonymisierung — Das endgültige Entfernen aller identifizierenden Merkmale aus einem Datensatz, sodass die Person nicht mehr ermittelt werden kann. Wir nutzen sie als datenschutzkonforme Alternative zur „Löschung", wenn buchhalterische Daten (Rechnungen) wegen §147 AO weiter aufbewahrt werden müssen. Siehe Löschung.

Aufsichtsbehörde — Staatliche Datenschutzbehörde, an die sich Betroffene mit Beschwerden wenden können (Art. 51 ff. DSGVO). In Deutschland gibt es 17 — eine pro Bundesland plus den Bundesbeauftragten. Siehe Aufsichtsbehörden.

Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28) — Eine externe Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der SaaS-Anbieter dieser App ist Auftragsverarbeiter; der Verein bleibt Verantwortlicher.

Auskunft (Art. 15) — Das Recht jeder Person zu erfahren, welche Daten zu ihr gespeichert sind und warum. In dieser App erfüllt durch eine Datenkopie als ZIP.

AV-Vertrag / Auftragsverarbeitungs-Vertrag (Art. 28) — Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, der die Datenverarbeitung regelt. Jeder Verein, der diese App nutzt, schließt ihn elektronisch mit dem Anbieter ab — Banner im Dashboard erinnert daran.

#B

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Eine Rechtsgrundlage, bei der weder Einwilligung noch Vertrag, noch gesetzliche Pflicht greift, sondern eine Interessen­abwägung. Beispiel: Geburtstags-Mails an Mitglieder. Vorsicht — diese Grundlage ist begründungspflichtig.

Berichtigung (Art. 16) — Recht jeder Person, falsche Daten korrigieren zu lassen. In der App: direkt im Mitgliedsprofil, das Ticket dokumentiert nur.

Betroffener / Betroffene Person (Art. 4 Nr. 1) — Die natürliche Person, deren Daten verarbeitet werden. Im Vereins-Kontext meist die Mitglieder, manchmal auch Bewerber oder externe Kontaktpersonen.

#D

Datenkopie — Das ZIP-Paket, mit dem die App eine Auskunft (Art. 15) und Datenübertragbarkeit (Art. 20) gleichzeitig erfüllt. Enthält JSON (maschinenlesbar) und PDF (menschenlesbar).

Datenpanne (Art. 33/34) — Jede „Verletzung des Schutzes personenbezogener Daten" — von versehentlich verschickten E-Mails bis zu Hackerangriffen. Meldepflicht binnen 72 Stunden an die Aufsichtsbehörde. Siehe Datenpanne.

Datensparsamkeit (Art. 5 Abs. 1 lit. c) — Grundsatz, nur so viele Daten zu erheben, wie zwingend nötig. In der App umgesetzt durch optionale Felder und feature-flag-basierte Module.

Datenübertragbarkeit (Art. 20) — Recht, die eigenen Daten in einem maschinenlesbaren Format zu bekommen und an einen anderen Verantwortlichen zu übertragen. In der App identisch zur Auskunft erfüllt.

DSB / DPO (Art. 37 ff.) — Datenschutzbeauftragte/r bzw. Data Protection Officer. Pflicht ab bestimmten Schwellen — kleine Gartenvereine sind in der Regel nicht verpflichtet, profitieren aber von einer benannten Ansprechperson.

DSGVODatenschutz-Grundverordnung. Seit 25. Mai 2018 EU-weit geltendes Datenschutzrecht.

#E

Einschränkung (Art. 18) — Recht, die Verarbeitung der eigenen Daten zu pausieren, statt sie zu löschen. In der App: Mitglied wird in einen Read-only-Modus versetzt — Rechnungslauf, Newsletter, Begehungen werden ausgesetzt.

Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7) — Rechtsgrundlage, bei der die Person ausdrücklich „Ja" gesagt hat. Muss freiwillig, informiert, eindeutig und nachweisbar sein. Frei widerruflich. Siehe Einwilligungen.

#L

Löschung (Art. 17) — Recht auf endgültige Entfernung der Daten. In der App meist durch Anonymisierung erfüllt, weil §147 AO 10 Jahre Rechnungsaufbewahrung verlangt. Siehe Löschung.

#P

Pseudonymisierung — Ersetzen identifizierender Merkmale durch ein Pseudonym, sodass der Bezug ohne zusätzliche Information nicht herstellbar ist (anders als Anonymisierung: noch umkehrbar). Im VVT als technische Schutzmaßnahme dokumentiert.

#R

Recht auf Vergessenwerden — Umgangssprachlicher Begriff für Art. 17. Wird oft mit „Löschung" gleichgesetzt; im Vereins-Kontext oft als Anonymisierung umgesetzt.

#S

Speicherbegrenzung (Art. 5 Abs. 1 lit. e) — Grundsatz, Daten nur so lange aufzubewahren, wie sie tatsächlich benötigt werden. Wird in der App durch die nächtliche Aufbewahrungs-Automatik durchgesetzt.

Subunternehmer — Externer Dienstleister, den der Auftragsverarbeiter (App-Anbieter) einsetzt, z. B. Hoster, Mail-Versender. Müssen transparent gemacht werden. Siehe Subunternehmer.

#T

TOM / Technische und Organisatorische Maßnahmen (Art. 32) — Konkrete Schutzmaßnahmen: Verschlüsselung, Backup, Zugangskontrolle, Schulungen. Werden für jede Datenverarbeitung dokumentiert. Siehe TOM.

#V

Verantwortlicher (Art. 4 Nr. 7) — Diejenige Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Bei dieser App: der Verein. Trägt die rechtliche Hauptverantwortung — kann sich nicht hinter dem Anbieter verstecken.

Verarbeitung (Art. 4 Nr. 2) — Jeder Vorgang im Zusammenhang mit personenbezogenen Daten: Erheben, Speichern, Anzeigen, Weitergeben, Anonymisieren, Löschen. Praktisch jede Aktion in der App ist eine „Verarbeitung".

VVT / Verzeichnis von Verarbeitungstätigkeiten (Art. 30) — Internes Pflicht-Verzeichnis aller Verarbeitungen. Aufsichtsbehörden verlangen es bei Anfragen zuerst. Die App generiert es automatisch aus den aktivierten Funktionen. Siehe VVT.

#W

Widerspruch (Art. 21) — Recht, einer Verarbeitung aus persönlichen Gründen zu widersprechen. Häufigster Fall: Marketing/Newsletter. In der App: Marketing-Opt-Out im Mitgliedsprofil.