Die Deutschen mögen Vereine. Verein ist Familie, Geselligkeit und Freiheit. Verein verbindet. Und im Verein kennt man sich. Datenschutz? Bislang kein wirkliches Thema, auch wenn schon in der Vergangenheit ab einer gewissen Größe die Vorschriften des Datenschutzes auch auf Vereine anwendbar waren.
Jetzt wird es ernst – für fast alle Vereine. Die Rede ist von den neuen Anforderungen im Datenschutz, die erhebliche Änderungen für Vereine mit sich bringen. Viele Vereine haben die ab dem 25. Mai 2018 geltenden Regeln noch nicht umgesetzt.
Welche Daten müssen Vereine nach DSGVO schützen?
In jedem Verein werden unterschiedlichste, persönliche Daten auf vielfältige Weise erhoben, genutzt und weitergegeben. Dies erfolgt zum Teil aufgrund der satzungsgemäßen Verpflichtungen eines Vereins. Von der Mitgliederliste mit vielen persönlichen Informationen (Name, Anschrift, Alter, Eintrittsdatum, Bankverbindung, etc.) bis hin zu Ergebnissen von Sportveranstaltungen und ähnlichen Ereignissen, ergibt sich ein großer Stamm an Daten und Informationen rund um die Vereinsarbeit.
Nicht selten werden persönliche oder vereinsgebundene Informationen unbedacht veröffentlicht, z.B. über die vereinseigene Webseite. Auch eine mangelhafte Absicherung von Daten im Vereinsheim, die für jedes Vereinsmitglied und sogar Außenstehende zugänglich sind, kann einen Verstoß darstellen und erhebliche Strafzahlungen nach dem Aufdecken mit sich bringen.
Weitere Beispiele aus der Praxis: Weitergabe von Daten der Sportler (Name, Alter, etc.) an einen übergeordneten Verband oder in einer Pressemitteilung an Dritte oder bei Gesundheitssportangeboten die Abfrage sensibler Gesundheitsdaten der Teilnehmer.
Anzeige
Sensibler Umgang mit Daten gefordert
All dies verlangt von den Vereinen und Verantwortlichen bereits von sich aus einen verantwortungsvollen und sensiblen Umgang mit diesen Daten, zum Schutz der Mitglieder und des Vereins. Seit vielen Jahren bestehen hierzu entsprechende Datenschutzregeln.
Am 25. Mai 2018 tritt nun eine europaweite Neuregelung, die EU-Datenschutzgrundverordnung (EU-DSGVO), in Kraft. Damit werden auch die möglichen Bußgelder deutlich erhöht, weshalb Vereinen dringend anzuraten ist, das Thema Datenschutz genauer zu betrachten und die Regeln zu befolgen.
Viele Vereine bzw. deren Vorstände denken vielleicht, dass die drastischen Strafen der neuen Regelungen den Verein wohl nicht treffen werden, da die Strafen für die Umsätze von Unternehmen vorgesehen seien und Vereine eben keine Unternehmen seien und erst recht keine nennenswerten Umsätze erzielen.
Das ist ein fataler Irrtum. Zum einen ist fast jeder Verein ein „Unternehmen“ im Sinne der Vorschrift, zum andern können auch Strafen verhängt werden, die unabhängig vom Umsatz sind. Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor!
Es wird wohl unwahrscheinlich sein, dass ein Verein mit einer Strafe in Höhe von 20 Mio € verfolgt wird - es sei denn, der Verein hat die Größe eines ADAC - aber auch erheblich geringere Strafen können existenzbedrohend für Verein und Vorstand sein.
Ab wann benötigt ein Verein einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter ist dann zu bestimmen, wenn in der Regel mindestens zehn Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, also mit Hilfe von Computern die Daten der Vereinsmitglieder erheben, verarbeiten oder nutzen. Hierbei spielt es keine Rolle, ob es sich dabei um Angestellte, freie Mitarbeiter, Voll- oder Teilzeitbeschäftigte, Auszubildende, Leihpersonal, ehrenamtliche Mitarbeiter oder Mitarbeiter von externen Dienstleistern handelt.
Diese Zahl ist schnell erreicht. Meist hat ja nicht nur eine Person mit den Daten zu tun, sondern jeder, der diese Daten auch ändern kann und sei es „nur ganz nebenbei“. Man denke nur an die Veröffentlichung von Newslettern oder sonstigen Mailings, ggf. auch noch mit Fotos von Personen. Selbstverständlich besteht auch weiterhin die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen.
Weitere Anforderungen
Das frühere „Jedermanns-Verfahrensverzeichnis“ wurde in der Datenschutzgrundverordnung nicht mehr berücksichtigt. Hingegen findet man das frühere Verfahrensverzeichnis in modifizierter Form und unter dem Begriff „Verarbeitungsverzeichnis“ in Art. 30 DSGVO wieder.
In diesem Verarbeitungsverzeichnis müssen sämtliche Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, aufgeführt und genau beschrieben werden.
U.a. muss sichergestellt sein, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses im Verein und Verband Berücksichtigung finden.
Die bisherige Pflicht zum Abschluss von Auftragsverarbeitungsverträgen besteht weiterhin fort. Die entsprechende Regelung findet sich, mit weitestgehend ähnlichen Regelungsvoraussetzungen, in Art. 28 DSGVO.
Zukünftig können solche Verträge nicht nur schriftlich, sondern auch elektronisch abgeschlossen werden.
Daneben finden sich an den unterschiedlichsten Stellen in der DSGVO Modifikationen oder Änderungen, z.B. die neuen Grundsätze: Privacy by design, Privacy by default, One-Stop-Shop, Erhöhung der Bußgelder, zusätzliche Voraussetzungen bei Einwilligungen, neue Rechte der Betroffenen.
Jetzt handeln!
Für Vereine und Verbände ist jetzt die Zeit gekommen, um zu prüfen, an welcher Stelle der Verein und Verband noch Anpassungs- und Änderungsbedarf hat, damit der Übergang auf die neuen Gesetze reibungslos erfüllt werden kann.
Neben den genannten Anforderungen sollten die Vereine sicherstellen, dass u.a. folgende Maßnahmen und Aufgaben erfüllt werden:
- Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO
- Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung mit externen Dritten gemäß Art. 28 DSGVO
- Überarbeitung von Einwilligungserklärungen gemäß den Vorgaben der DSGVO
- Prüfung und Sicherstellung der TOMs (= technischen und organisatorischen Maßnahmen)
- Erstellung eines Sicherheitskonzeptes
- Sicherstellung der Betroffenenrechte
Diese Aufzählung stellt lediglich eine exemplarische Aufstellung dar und ist nicht abschließend.
pxt
Die Datenschutz-Grundverordnung (DS-GVO) ist seit dem 25. Mai 2018 unmittelbar in den Mitgliedsstaaten der EU anwendbar und hat das bis dahin geltende Bundesdatenschutzgesetz (BDSG) abgelöst Einige Regelungen in der DS-GVO enthalten Öffnungsklauseln, die es den nationalen Gesetzgebern ermöglichen, länderspezifische Regelungen zur Konkretisierung der EU-Vorschriften zu erlassen. Hiervon hat auch der deutsche Gesetzgeber durch eine Neufassung des BDSG Gebrauch gemacht.
Inhaltlich schreibt die DS-GVO im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter. Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ prägen auch die DS-GVO. Zusätzlich werden neue Transparenzanforderungen eingeführt: Stärkung der Rechte auf Information, Zugang und Löschung („Recht auf Vergessenwerden“).
Für die verantwortlichen Vereine bedeutet die DS-GVO erweiterte Dokumentations- und Nachweispflichten, um der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO zu genügen. Die Artikel der DS-GVO sind zusammen mit den Erwägungsgründen (EG) zu lesen. Diese erläutern die damit verfolgten Ziele und sind hilfreich für die Interpretation der Rechtsnormen.
Handreichung zum Datenschutz im Verein
Für einen schnellen Überblick über die Anforderungen des Datenschutzes im Vereinsleben empfehlen wir unsere Handreichung Datenschutz im Verein (PDF). Weitere hilfreiche Dokumente und Links zur Vereinsarbeit finden Sie in der rechten Marginalspalte bzw. unter diesem Artikel (mobile Ansicht).
Hotline zur Beratung
Zur individuellen Beratung können sich Vereine und Verbände telefonisch an uns wenden. Die dafür eingerichtete Hotline ist montags, mittwochs und freitags von 9 bis 12 Uhr unter der Nummer 0511-120-4576 erreichbar.
Stand: März 2019
Ein Verein muss zur Betreuung seiner Mitglieder deren personenbezogene Daten verarbeiten.
Das beginnt beim Eintritt in den Verein. Dabei dürfen aber nur solche Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind.
Innerhalb des Vereins sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung des Vereins bestimmt. Für den Umgang mit den Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten und nutzen darf. Diese dürfen grundsätzlich nur zu dem Zweck verwendet werden, zu dem sie der Verein erhoben hat und den er entsprechend seiner Satzung verfolgt. Nicht zulässig ist es, dass alle Mitglieder auf die Daten der anderen Mitglieder zugreifen können, es sei denn, dass der Vereinszweck gerade darin besteht, mit Menschen, die sich in derselben Situation befinden, in Kontakt treten und sich austauschen zu können. Dann ist die Verbreitung einer Mitgliederliste unter den Vereinsangehörigen datenschutzrechtlich möglich. Zweckmäßigerweise sollten die Vereinsmitglieder frühzeitig, zum Beispiel im Aufnahmeantrag, auf diese Möglichkeit hingewiesen werden und ggf. einer Weitergabe ihrer Daten widersprechen können. Auch ist die Nutzung der Mitgliederdaten für einen anderen legitimen Zweck ausschließlich dann zulässig, wenn der Verein oder ein Dritter ein berechtigtes Interesse an der Kenntnis der Daten hat und keine schutzwürdigen Interessen der Vereinsmitglieder entgegenstehen. Solche sollten am besten gleich beim Eintritt in den Verein angegeben werden.
In vielen Vereinen ist es üblich, Informationen über ihre Mitglieder an einem „Schwarzen Brett“ oder in Vereinsblättern bekannt zu machen. Das führt dazu, dass auch vereinsfremde Personen von persönlichen Angelegenheiten der Vereinsmitglieder Kenntnis erhalten können. Auch wenn derartige Veröffentlichungen für die Erreichung der Ziele des Vereins üblich und geboten sind – etwa Mannschaftsaufstellungen bei Sportvereinen -, müssen diese Mitteilungen unterbleiben, wenn ihnen schutzwürdige Belange der Betroffenen entgegenstehen. Deswegen sollte jedes Vereinsmitglied rechtzeitig informiert werden, was wann wo auf welchem Wege der Öffentlichkeit bekannt gemacht wird, damit der Veröffentlichung widersprochen werden kann. Das gilt grundsätzlich, allerdings mit viel engeren Grenzen, auch für die Verbreitung von Mitteilungen im Internet.
Die Mitgliederdaten eines Vereins sind nicht automatisch auch Daten eines Dachverbandes, dem der Verein angehört. Vielmehr ist der Dachverband datenschutzrechtlich wie eine „fremde“ Stelle zu behandeln. Personenbezogene Daten der Vereinsmitglieder dürfen dem Dachverband nur zur Verfügung gestellt werden, wenn dieser eine Aufgabe erfüllt, die letztlich auch im berechtigten Interesse des übermittelnden Vereines liegt.
In jedem Verein muss es für die Verwaltung der Mitgliederdaten eine sog. Datenlöschkonzeption geben. In dieser ist festzulegen, wann welche Daten der Mitglieder zu löschen sind. Dabei gilt die Faustregel, dass eine Löschung erst geboten, aber dann auch tatsächlich vorzunehmen ist, wenn nach dem Austritt eines Mitgliedes nicht mehr mit Rückfragen u. dgl. wegen der erloschenen Mitgliedschaft gerechnet werden muss.
Beachten Sie zu diesem Thema auch unser Merkblatt sowie die Einwilligungserklärung:
Datenschutz im Verein nach der DSGVO
Einwilligungserklärung