Vereine & VerbändeUnternehmenMeine BernhardÜber unsKontaktSOS Schadenmeldung
0800 227 66 00Wir sind (kostenlos) für Sie telefonisch erreichbar:
Montag bis Donnerstag:8:00 - 17:00 Uhr
Freitag:8:00 - 15:00 Uhr
 

Anmelden zum persönlichen Kundenbereich:

Bitte geben Sie hier Ihre Kundennummer und Ihr Passwort ein.

Home   trenner   Vereine & Verbände   trenner   Leistungen & Services

Ein Jahr DSGVO - Experten berichten

Ein Jahr ist nun vergangen, seitdem die neue Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Doch was hat sich seither getan? Und welche Auswirkungen hatte die DSGVO auf Vereine und Verbände? Das Expertennetz der Bernhard Assekuranz, Ihrem Spezialisten für Vereinsabsicherung, spricht klartext über die Auswirkungen und bieten entsprechende Lösungen für Vereine und Verbände. 
Lesen Sie jetzt: 

Warum eine Cyberversicherung wichtig ist und worauf Sie achten sollten
Das sollten NPOs wissen - rechtlicher Aus- und Rückblick
Datenschutz: Ein Grundrecht - Auch im Verein und Verband
Datenschutz- Was Vereine bewegt

Datenschutz

Warum eine Cyber-Versicherung wichtig ist und worauf Sie achten sollten

Datenschutz und IT-Sicherheit sind Chef-Sache. Die Leitung von Unternehmen und NPOs muss die neuen Anforderungen der EU-DSGVO umsetzen und überwachen. Das erfordert ein Datenschutz-Management-System, das zugleich die eigene IT-Sicherheit auf den Prüfstand stellt. Zusätzliche und immer neue Cyber-Risiken machen außerdem ein geeignetes IT-Risk-Management und eine passende Cyber-Versicherung erforderlich, um Schäden zu vermeiden und zu minimieren.
Die Cyber-Police bietet bei Angriffen auf die IT-Sicherheit Erstattung von Kosten und Schäden im Schadenfall, und darüber hinaus auch Mithilfe im Vorfeld bei der Schadensvermeidung und Assistance im Schadenfall.
Je nach Risiko-Analyse gehört eine Cyber-Police inzwischen zu den Top 5 der Versicherungen, deren Abschluss ein Unternehmen bzw. eine NPO in Betracht ziehen sollte.
Die Cyber-Versicherung sollte mehrere Bereiche decken:

  • Eigenschäden, die bei Ihrem Unternehmen bzw. Ihrer NPO entstehen können:Dazu zählen Kosten für die Daten- und Programmwiederherstellung und bei Betriebsunterbrechung.
  • Drittschäden, die bei einem Dritten entstehen können:Zum Beispiel deren Betriebsunterbrechung, aber auch Folgen von Datenschutzverletzungen. Gerade dieser Punkt ist extrem wichtig, weil seit Mai 2018 ein neues EU-Datenschutzrecht, die sog. EU-DSGVO in Deutschland gilt! Das neue Recht gilt für Unternehmern und auch für gemeinnützige Einrichtungen und fordert, dass Sie sich viel weitergehend mit dem Schutz von Mitglieder- und Kundendaten beschäftigen als bisher, siehe Infos zur DSGVO.
  • Abwehrkosten, u.a. bei behördlichen Datenschutzverfahren
  • Service-Leistungen: Der Versicherer stellt zahlreiche Leistungen zur Verfügung, z.B. IT-Risikoanalysen im Vorfeld und Hilfe bei der Krisenkommunikation im Schadensfall. Achten Sie darauf, ein Versicherungs-Konzept zu wählen, das auch Erpressung und Lösegeld absichert. Nicht alle Versicherer bieten diesen Schutz. Prüfen Sie gegebenenfalls Ihre Versicherungsbedingungen, damit es im Schadensfall kein böses Erwachen gibt. Sprechen Sie uns an, wir beraten Sie gerne. In den modernen Versicherungskonzepten, die die Bernhard Assekuranz bei den Versicherungsunternehmen für unsere Kunden ausgehandelt hat, ist dieser Baustein bereits enthalten, bzw. muss nur ausdrücklich beantragt werden, dann steht er Ihnen zur Verfügung.
  • Datenmanipulation, z.B. wenn Ihr Online-Banking mit gestohlenen Identitätsdaten genutzt wird.
  • Auch falls Sie externe IT- Dienstleister nutzen, empfehlen wir Ihnen,eine Cyber-Versicherung abzuschließen. Dann kann der Ausfall des externen IT-Dienstleisters mitversichert werden. Die Cyber-Deckung hilft auch, wenn eventuelle Schadenersatzleistungen beim externen IT-Dienstleister nicht durchsetzbar sind, z.B. weil der Cloud-Anbieter seinen Sitz im Ausland hat.
  • speziell bezogen auf mögliche Datenschutzverletzungen durch Ihr Unternehmen bzw. Ihre NPO deckt die Cyber-Police je nach Versicherungsbedingungen:
    - Rechtsschutz in behördliche Datenschutzverfahren (Abwehrkosten) 
    - Informationskosten wegen einer Datenschutzverletzung weltweit
    - Betriebsunterbrechungsschäden und Wiederherstellungsaufwand wegen der Verfügung einer Datenschutzbehörde 
    - Forensische Dienstleistungen wie Kosten für die Ursachenermittlung und -beseitigung 
    - Schadenersatzansprüche Dritter aufgrund einer Datenschutzverletzung   (unabhängig von einem Cyberangriff)
    - Kosten einer freiwilligen Selbstanzeige gegenüber Datenschutzbehörden
    - Bußgelder gegen Dritte - daraus abgeleiteter Schadenersatzanspruch gegen den Versicherungsnehmer (Regress)
    - Kosten für Krisenkommunikation
    - Vorsicht geboten ist bei sog. „fake-President“-Fällen, bei denen Ihre Buchhaltung Geld ins Ausland überweist, weil sie bei einer Mail-Anweisung denkt, sie sei vom Chef, obwohl sie von einem Hacker stammt. Das kann je nach Schadensverursachung und Versicherungsbedingungen von der Cyber-Versicherung gedeckt sein oder von einer Vermögensschaden-Haftpflicht-Versicherung mit Vorsatzbaustein oder von einer Vertrauensschutz-Police. Wir klären das gerne mit Ihnen zusammen ab!

Weitere Informationen zur Cyber-Versicherung und Online Abschluss.

Heike Weber
Ass. iur.
Leitung Rechtsabteilung
Bernhard Assekuranzmakler GmbH & Co.KG
Fachbereiche:
Versicherungsrecht

Das sollten NPOs wissen - rechtlicher Ausblick und Rückblick

Nachdem bereits 2012 erstmals eine EU-Datenschutzreform von der EU-Kommission vorgestellt worden war, kam er für die meisten dann doch ganz plötzlich: Der 25. Mai 2018, an dem die ohne Umsetzungsakt unmittelbar geltende Datenschutz-Grundverordnung (DSGVO) für alle EU-Mitgliedstaaten in Kraft trat. Mit den nun notwendigen Datenschutzbeauftragten, Verarbeitungsverzeichnissen und Löschfristen war so mancher überfordert, was auch zu einigen Kuriositäten führte – so wurden Gesichter in Erinnerungsalben von Kindergärten geschwärzt, oder es durften auf einmal Wunschzettel in der Vorweihnachtszeit nicht mehr am Marktplatz ausgehangen werden. Nachfolgend ein kurzer Rückblick auf durchaus turbulente 365 Tage DSGVO.

Facebook-Fanpages betroffen

Bereits im Juni entschied der Europäische Gerichtshof (EuGH), dass nicht Facebook, sondern auch die Betreiber der jeweiligen Fanpages Verantwortliche im Sinne des Datenschutzes sind. Wer Dienstleistungen von Facebook nutzt, muss auch den Schutz der personenbezogenen Daten seiner Besucher sicherstellen können, so der Tenor.

Erste Verstöße werden geahndet

Google musste ebenfalls im Rahmen der DSGVO erste Federn lassen – im Januar verhängte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ ein (anfechtbares) Bußgeld in Höhe von 50 Millionen Euro gegen den Tech-Giganten. So seien massive Verstöße gegen die Vorgaben der DSGVO im Bereich transparente Datenverarbeitungen festgestellt sowie notwendige Einwilligungen als Grundlage zulässiger Datenverarbeitungen nicht eingeholt worden.

In Deutschland wurde das erste Bußgeld im November 2018 verhängt, das Chat-Portal Knuddels.de musste aufgrund einer Datenpanne 20.000 Euro Bußgeld zahlen. Die verhältnismäßig niedrige Summe (die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro vor) wurde vor allem mit der umfangreichen Zusammenarbeit der Social-Media-Plattform mit dem Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg begründet. Nach einem Hackerangriff waren Daten von über 300.000 Nutzern bestehend aus Pseudonymen, Passwörtern und E-Mail-Adressen erbeutet worden.

NPOs noch weitestgehend verschont

Im Bereich der NPOs gab es (noch) keine größeren Zwischenfälle, auch wenn immer häufiger kleine Unternehmen und Vereine aufgrund unzureichender Datenschutzerklärungen auf ihren Websites abgemahnt werden. Aktuell ist jedoch richterlich noch nicht geklärt, ob DSGVO-Verstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. 

Nachdem in der ersten Runde vor allem den „Big Playern“ genauestens auf die Finger geschaut wurde, ist für die Zukunft allerdings absehbar, dass nur eine konsequente Umsetzung der DSGVO das Risiko von Bußgeldern minimieren kann.

Fragebögen der Aufsichtsbehörden

Letztlich ist es nur eine Frage der Zeit, wann es auch bei Vereinen und Verbänden zu Überprüfungen kommt. Die Aufsichtsbehörden stocken ihr Personal auf und werden in Zukunft noch öfter Fragebögen nach dem Zufallsprinzip versenden, in denen die datenschutzrechtliche Compliance abgefragt wird. Die niedersächsische Aufsichtsbehörde hat damit schon letztes Jahr begonnen. Daneben besteht die Gefahr, anlassbezogen ins Visier der Behörden zu geraten, wenn sich beispielsweise Betroffene, wie z.B. Vereinsmitglieder, beschweren. Der Sanktionsrahmen wird in diesen Angelegenheiten auch abhängig davon bestimmt, ob individuelle Fehler bei ansonsten gut funktionierendem Datenschutzkonzept begangen wurden oder der Fehler auf einer Nichtumsetzung des Datenschutzes gründet.

Insofern sollten Vereine auch weiterhin an der Umsetzung der DSGVO arbeiten, um möglichen Haftungsrisiken entgegenzuwirken. Die Datenschutzexperten der auf NPOs spezialisierten Kanzlei WINHELLER sind Ihnen dabei gern behilflich.

Individuelle Beratung vereinbaren

Olga Stepanova
Rechtsanwältin
Externe Datenschutzbeauftragte
WINHELLER Rechtsanwaltsgesellschaft mbH
Fachbereiche:
IP, IT und Datenschutz

Datenschutz: Ein Grundrecht – Auch im Verein und Verband

Mit Wirkung vom 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung durch jede öffentliche sowie nicht-öffentliche Stelle ohne Übergangsfrist umzusetzen. Das bedeutet, dass jede juristische Person, ob Einzelunternehmen, Personengesellschaften wie GmbH oder GbR, Organisationen sowie Vereine und Verbände beim Umgang mit personenbezogenen Daten gemäß den Vorgaben der Europäischen Datenschutz-Grundverordnung handeln müssen.

Einige Beispiele der Auswirkungen für Vereine & Verbände:

1.Zustimmungserklärung

Erhebt oder verarbeitet ein Verein/ Verband personenbezogene Daten seiner Mitglieder, fällt dies unter die Datenschutz-Grundverordnung (DS-GVO).
Mitgliederdaten dürfen im Rahmen der Vereinstätigkeit erhoben, verarbeitet oder genutzt werden.
Die Vereinssatzung gilt hierbei als Grundlage für die Tätigkeit (Zweck) des Vereins und dem hieraus resultierenden Umfang der Datenerhebung.
Neumitglieder empfehlen wir durch Unterschrift im Aufnahmeantrag auf die Zustimmung zur Datenerhebung im Rahmen der Vereinssatzung als „Zweck“ auf den Datenschutz zu verpflichten. Bestandsmitglieder sollten ebenfalls schriftlich auf die neue Regelung hingewiesen werden. Dies kann als Hinweis in einem Rundschreiben mit dem Link zur Datenschutzerklärung der Homepage erfolgen.


2.Pflicht zur Benennung eines Datenschutzbeauftragten
Die Pflicht zur Benennung eines Datenschutzbeauftragten wurde in Art. 37 der Datenschutzgrundverordnung (DS-GVO) und in § 38 BDSG-neu normiert.
Nach dieser Vorschrift haben Unternehmen, Vereine und Verbände als "Verantwortlicher" und "Auftragsverarbeiter" die Pflicht, einen Datenschutzbeauftragten unter folgender Voraussetzung zu benennen:
Mindestens 10 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Hierzu gehören Voll- und Teilzeitmitarbeiter, Vorstände, Geschäftsführer und ehrenamtlich tätige Personen.
Sollten in ihrem Verein weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sein, ist zwar kein Datenschutzbeauftragter zu bestellen, allerdings sind die Anforderungen der DS-GVO nach wie vor umzusetzen.

3.Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO
Erfassung und Ausarbeitung der einzelnen Prozesse (z.B. Mitgliederverwaltung, Marketing, etc.) zur Sicherstellung und Dokumentation der Verarbeitungstätigkeiten

4.Erfassung und Verpflichtung der Auftragsverarbeiter nach Art. 28 DS-GVO 
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Auftragsverarbeiter sind schriftlich zu verpflichten.

5.Informationspflicht und Sicherstellung der Betroffenenrechte Art. 15 DS-GVO
Nach Art. 15 Abs. 1 DS-GVO  haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.
Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren.
Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten.

Vereine und Verbände sind verpflichtet, ihren Datenverarbeitungsprozess den gesetzlichen Vorschriften anzupassen und dies zu dokumentieren. Eine unterstützende Vorlage für Vereine und Verbände finden Sie hier.

► Zum Webinar

Individuelle Beratung vereinbaren

Walter Gerner
Datenschutzbeauftragter (IHK)
Inhaber WGM Consulting GmbH
Fachbereich:
Datenschutz & Datensicherheit
für kleine und mittelständische Unternehmen,
Vereine & Verbände

Datenschutz und IT - Was Vereine bewegt: Ein Interview mit Daniel Krinke

Herr Krinke, Sie sind immer wieder gefordert, Verbände und Vereine bei ihren digitalen Aufgaben zu unterstützen. Um was handelt es sich?
"Das ist ganz unterschiedlich. Wir erhalten Anfragen für die Bereiche Mitgliederverwaltung, Webservices wie Portale, Kursbuchungen, Materialverwaltungen, digitale und analoge Mitgliedsausweise, Apps, Redaktionssysteme und auch kleinere Projekte wie Webseiten und Agenturleistungen."


Was hat sich seit der Einführung der DSGVO geändert?
"Wegen der Datenschutzgrundverordnung mussten sich alle Organisationen fragen, ob ihre Prozesse richtig aufgestellt sind und ihre Systeme ausreichend geschützt sind.
Noch vor wenigen Jahren waren die Themen Daten und IT-Infrastruktur eher sekundär. Durch die vielen, teilweise auch unbequemen, Fragen innerhalb der Organisationen und parallel dem öffentlichen Interesse und Diskurs sind die wichtigen Fragen in den Fokus der Entscheider gerückt: Welche Daten sammeln wir eigentlich? Warum machen wir das? Ist es nicht sinnvoller, so wenige Daten wie möglich zu dokumentieren?
Durch die Debatte steht auch wieder der Verbandszweck stärker im Mittelpunkt: was dient unseren Mitgliedern? Welche Mehrwerte können wir ihnen bieten? Das ist eine sehr positive Begleiterscheinung."


Wie haben die Vereine auf die DSGVO reagiert?
"Ganz unterschiedlich. Einige haben große Befürchtungen gehabt und bei der Einführung sogar ihre Webseiten vom Netz genommen. Andere haben mit der nötigen Professionalität das Thema untersucht, ihre Strukturen an den notwendigen Stellen angepasst und ihre Cyber Versicherungen aufgestockt. Wieder andere nutzen externe Datenschutzbeauftragte und lassen sich durch das komplexe Thema hindurchführen.
Mit einem Verband entwickeln wir derzeit eine Lösung, bei der Stammdaten und allgemeingültige Fragen durch die Dachorganisation erbracht werden.
Die Anwender auf Vereinsebene können dann vereinfacht und schneller durch ihre Audits geführt werden. Für die Mitglieder an der Basis ist das positiv, denn sie genießen durch die digitale Umsetzung und die große Gemeinschaft Kostenvorteile.
Und der Verein hat seine DSGVO-Pflichten schnell und einfach erfüllt. Natürlich begleiten wir den Rollout dann mit telefonischem Support und auch im Bedarfsfall Besuche vor Ort durch spezialisierte Datenschutzbeauftragte."


Gibt es weitere spannende Projekte zur besseren Umsetzung der DSGVO?
"Zusammen mit einem Spezialisten für DSGVO-konforme Apps gehen wir auf die besonderen Bedürfnisse der Vereine ein. Bisher nutzen rund 500 Vereine die App, die modular aufgebaut ist und bei Bedarf 60 verschiedene Funktionen bietet.
Von Push Nachrichten des Vereins an die Mitglieder, über Routennavigation, Bonusheft, Shop-Integration oder Kursbuchung bis zur gemeinsamen Verwaltung von Terminen und Kontaktdaten. 


Welche Vereine nutzen diese App?
Besonders spannend ist, dass viele ganz unterschiedliche Freizeit- und Berufsverbände die App nutzen, weil sie jedes Mal in einem individuellen Design und Inhalt geliefert wird. Motorsport, Schwimmverband, Fußball, Naturschutz, auch Schulen.
Statt über die Server von WhatsApp kommunizieren Lehrer und Eltern nun DSGVO-konform in einer geschlossenen App, deren Daten in Deutschland liegen. Entscheidend für einen gelungenen Datenschutz ist, dass auch bei einer guten Architektur einer mobilen Anwendung der Betrieb eine wichtige Rolle spielt. Die Schule gibt die App ja heraus. Sie muss durch Schutzmaßnahmen beim Betrieb gewährleisten, dass die Daten nicht in falsche Hände geraten.
Hier kommen dann wieder externe Berater und Datenschützer, sowie IT-Audits ins Spiel. Unser Spezialist betreibt derzeit hunderte Apps für sehr namhafte Institutionen, wie zum Beispiel den DOSB, für Gemeinden und Wahlämter oder auch den Sparkassenverband."

Die Fragen stellte Isabella Spalke.

Treffen Sie Herrn Krinke auf dem NPO-Tag am 10. Oktober 2019 in München.

Individuelle Beratung vereinbaren

Daniel Krinke
Master of Laws LL.M.
Partner & Prokurist der ehrenamt24 Benefits GmbH & Co.KG
Fachbereiche:
Software-Entwicklung, Strategie-Beratung,
spezialisiert auf Non-Profit-Organisationen
Dozent für IT-, Website- & Projektmanagement
an der Hochschule in München

Sie wünschen mehr Informationen oder eine individuelle Beratung zu den Themen?
Kommen Sie gerne auf uns zu!

Kontakt

Versicherungen für Vereine jetzt online abschließen!

  1. Sofortige Versicherungszusage und Police
  2. Exklusive Konzepte durch 70 Jahre Erfahrung
  3. Maßgeschneiderter Versicherungsschutz für Ihren Verein

Erstinformation – die Bernhard Assekuranz ist Ihr unabhängiger Versicherungsmakler für Vereinsversicherungen & Co.

 

nach oben
               |              Home             |              Kontakt             |              Fragen & Antworten             |              Glossar