Hat eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen (Artikel 35 und 36 der DSGVO). Vereine unterliegen dieser Verpflichtung sehr selten.
Verletzungen des Schutzes personenbezogener Daten (Artikel 33 und 34 der DSGVO) können nie zu 100% ausgeschlossen werden (Angriffe durch Hacker, Verlust einer Mitgliedsliste, Abhandenkommen eines Laptops oder eines USB-Sticks, usw.). Eine solche Verletzung muss als Erstes in einem internen Verzeichnis festgehalten werden (dieses Verzeichnis unterscheidet sich vom Verzeichnis von Verarbeitungstätigkeiten). Danach müssen Sie die Verletzung binnen 72 Stunden, nachdem sie Ihnen bekannt wurde, der CNPD melden und in einigen Fällen auch den betroffenen Personen. Ein Formular zur Meldung von Verletzungen des Schutzes personenbezogener Daten befindet sich auf der Internetseite der CNPD.
Die DSGVO sieht spezifische Regeln im Falle von möglichen Übermittlungen von Daten an ein Drittland (außerhalb der europäischen Union) oder eine internationale Organisation vor (Artikel 44 bis 49 der DSGVO). Die betroffenen Personen müssen im Voraus über diese Übermittlungen informiert werden. Dies trifft zum Beispiel zu, wenn Sie zum Verschicken Ihrer Newsletter einen Dienstanbieter aussuchen, der seine Dienste zwar in Europa anbietet, die Daten aber in ein Land außerhalb der europäischen Union übermittelt (z.B. die USA, China, Indien, usw.). Generell empfiehlt die CNPD von Anfang an zu überprüfen, ob es keine Dienstleister gibt, die ihren Sitz in der europäischen Union haben und die gleichen Dienste anbieten, da diese dieselben Datenschutzvorschriften respektieren müssen.
Sie müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32 der DSGVO). Die Prinzipien des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind äußerst wichtig. Solche Maßnahmen müssen zum Beispiel sicherstellen, dass innerhalb eines Vereins personenbezogene Daten nur den Personen zugänglich gemacht werden, die diesen Zugang benötigen, um ihre Aufgaben zu erfüllen. So muss der Vorstand eines Vereins zum Beispiel Zugang zu den Daten der Mitglieder haben um seinen Missionen zu erfüllen. Der Schatzmeister eines Vereins muss hingegen nicht zwingend einen Zugang zu allen Daten der verschiedenen Verarbeitungen haben, sondern nur jene, die notwendig sind, um seine Aufgaben zu erfüllen, wie zum Beispiel die Verwaltung der Beiträge, die Finanzbuchhaltung und um Finanzüberweisungen zu tätigen.
Sie können auch unsere Broschüren bezüglich der Rechte der betroffenen Personen (auf Deutsch und Französisch) und die Pflichten des Verantwortlichen (auf Französisch und Englisch) konsultieren, sowie unsere speziell der DSGVO gewidmeten Internetseite.