Die Datenschutz-Grundverordnung (DSGVO) ist eine neue Verordnung der Europäischen Union, die das Datenschutzrecht EU weit vereinheitlicht. Die Regelungen müssen seit Freitag, 25. Mai, verbindlich umgesetzt werden. Sie betreffen die voll-, teilweise und auch nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen. Als personenbezogen gelten die Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, beispielsweise den Namen oder den Wohnort. Die große Herausforderung der DSGVO besteht darin, die datenschutzrechtlichen Grundsätze nicht wie bisher nur einzuhalten, sondern auch nachweisen zu können. Das bedeutet im Zweifelsfall die Vorlage einer schriftlichen Dokumentation, welche Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage das geschieht und wie lange die Daten gespeichert werden sollen.
Verpflichtend ist daher Führung eines Verzeichnisses, in dem dokumentiert wird, in welchem Zusammenhang die personenbezogenen Daten verarbeitet werden. Das Verzeichnis sollte Namen und Kontakt des Verantwortlichen enthalten, sowie den Zweck der Verarbeitung, Kategorien von Empfänger der Daten, Fristen der Löschung sowie die Beschreibung der Kategorie der betroffenen Person und der personenbezogenen Daten. Letztere Punkte beziehen sich beispielsweise auf das Verhältnis der Person zum Unternehmen oder zum Verein sowie die Art der Daten, die erhoben werden, beispielsweise Adressdaten oder die Lohngruppe. Außerdem wird empfohlen, die Verarbeitungstätigkeit (Abfragen, speichern etc.) und die entsprechende Rechtsgrundlage anzugeben. Letzteres ist insofern entscheidend, da prinzipiell das Verbot mit Erlaubnisvorbehalt gilt. Das bedeutet, dass niemand mit personenbezogenen Daten umgehen darf, es sei denn, man kann sich auf eine rechtliche Grundlage berufen. Dazu zählen die Einwilligung der betroffenen Person, die Vertragserfüllung oder die Wahrung berechtigter Interessen des Verantwortlichen.
Die Daten müssen sich dabei immer auf den vorab festgelegten Zweck beschränken. Außerdem besteht die Pflicht, einen Datenschutzbeauftragten zu benennen, sofern mindestens zehn Beschäftigte personenbezogene Daten verarbeiten. Diese Regelung gilt auch, wenn Vereine und Unternehmen eine bestimmte Art von Daten verarbeiten, die zur Kerntätigkeit gehören oder es zur Kerntätigkeit zählt, regelmäßig und systematisch Personen zu überwachen. Der Beauftragte ist verantwortlich für die interne Kontrolle beim Datenschutz, nicht für die Umsetzung der Richtlinien. Diese liegt bei der Geschäftsleitung oder des Vereinsvorstandes. Auch gibt es Richtlinien über die Veröffentlichung von Fotos.