Die DSGVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Das gilt auch für kleinere Vereine, da die Datenverarbeitung nicht nur gelegentlich erfolgt. Es muss folgende Punkte umfassen:
• Name und Anschrift des Vereins
• Vorstand nach § 26 BGB und evtl. Datenschutzbeauftragter
• Verarbeitungstätigkeiten: in jedem Fall “Mitgliederverwaltung”; evtl. weitere Zwecke z.B. Sponsorenbetreuung, Ferienfreizeiten
• Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten: z.B. “Mitglieder”, “betreute Personen” usf. Die Kategorien der Daten ergeben sich aus den Daten selbst (Anschrift, Geburtsdatum, Bankdaten etc.)
• Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden, z.B. Verbände, Versicherungsgesellschaften, Sozialversicherungsträger usw.
• Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien, z. B. Aufbewahrungsfrist für Zuwendungsbestätigungen
Empfehlung: Nehmen Sie zu dem Verarbeitungsnachweis zusätzlich auf, dass Sie die betroffenen Personen auf die Verarbeitung hingewiesen haben.