Datenschutzgrundverordnung im Verein

Der Umstellungszeitraum rückt näher und es stellt sich die Frage ob alles richtig umgesetzt ist…

Müssen sie die Satzung ändern? Ganz eindeutig: NEIN.

Aber es gibt viele Stolperfallen gerade im Hinblick auf die meist ehrenamtlichen Vorstände und die Umsetzung mit der neuen Verordnung.

Hier ist man im ersten Moment vermeintlich hoffnungslos überfordert – allerdings hilft die ruhige Planung der Maßnahmen zur Umsetzung.

Welche Maßnahmen muss der Verein ergreifen?

Um den Datenschutz im Verein effektiv zu gewährleisten, hat der Verein zahlreiche Möglichkeiten, die zum Teil freiwillig sind, zum Teil aber auch bereits verpflichtend in der DS-GVO oder im BDSG festgelegt sind.

Insgesamt spricht man von technischen und organisatorischen Maßnahmen, die den Schutz personenbezogener Daten sicherstellen sollen.

  1. Ergreifen technischer und organisatorischer Maßnahmen

Der Verantwortliche hat alle technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen verschiedene Vorkehrungen, die jeweils von den Umständen des Einzelfalles abhängen. Dies reicht von Regelungen der Zugangskontrolle und des Passwortschutzes bis hin zu Anweisungen bezüglich der Löschung von Daten.

  1. Erstellen von Verarbeitungsverzeichnissen

Nach Artikel 30 DS-GVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die Pflicht trifft zunächst nur Verantwortliche ab einer Zahl von 250 Mitarbeiter/innen. Allerdings soll die Pflicht auch dann bestehen, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Person birgt, nicht nur gelegentlich erfolgt oder besondere Datenkategorien, zum Beispiel Gesundheitsdaten, verarbeitet werden. So werden Rehabilitations- und Gesundheitssportvereine regelmäßig Verzeichnisse über Verarbeitungstätigkeiten zu führen haben. Bei Sportvereinen wird es darauf ankommen, ob sie personenbezogene Daten nur gelegentlich verarbeiten oder regelmäßig. Ein Verein, bei dem nur sehr wenige Mitglieder im Laufe des Jahres ein- und austreten, einmal im Jahr den Beitragseinzug durchführt und sonst keine Daten an Fachverbände meldet, dürfte von der Pflicht ausgenommen sein. Dagegen dürfte ein Verein, der zum Beispiel wöchentlich für den Spielbetrieb Mannschaftsaufstellungen an den Fachverband meldet, verpflichtet sein, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen.

Gleichwohl kann es auch für die Vereine, die diese Verpflichtung nicht trifft, sinnvoll sein, freiwillig ein Verzeichnis der Verarbeitungstätigkeiten anzulegen, um die Datenverarbeitung innerhalb des Vereins transparent zu machen.

  1. Benennung eines Datenschutzbeauftragten

Die Benennung ist unter bestimmten Voraussetzungen verpflichtend. Der Datenschutzbeauftragte kontrolliert nicht nur die Einhaltung der datenschutzrechtlichen Bestimmungen, sondern unterstützt und berät den Vorstand und die Mitarbeiter/innen im Umgang mit personenbezogenen Daten.

  1. Aufnahme einer Klausel in die Satzung des Vereins

Mit einer Datenschutzklausel in der Satzung kann der Verein den Informationspflichten gemäß Artikel 13 der DS-GVO – zumindest teilweise – entsprechen.

  1. Erstellen einer Datenschutzordnung

In der Datenschutzordnung kann festgeschrieben werden, welche Daten im Verein durch welche Funktionen erhoben und verarbeitet werden, wer Zugriff auf welche Kategorien von Daten hat und welche technischen Maßnahmen ergriffen werden. Die Regelungen in der Datenschutzordnung können sich eng an den Verfahrensverzeichnissen anlehnen.

  1. Verpflichtung der Mitarbeiter/innen auf das Datengeheimnis

Eine wichtige Maßnahme stellt die Verpflichtung der Mitarbeiter/innen des Vereins zum vertraulichen Umgang mit personenbezogenen Daten dar. Die Verpflichtungserklärung sensibilisiert die Mitarbeiter/innen im Umgang mit den personenbezogenen Daten und gewährleistet die Regressmöglichkeit, wenn Mitarbeiter/innen das Datengeheimnis verletzen.

  1. Erstellen von Datenschutzerklärungen

Datenschutzerklärungen haben immer mehr Bedeutung. Bei Besuch von Internetseiten sind sie bereits vertraut, aber auch in der analogen Welt werden sie Einzug halten, um hierüber den Informationspflichten gegenüber den Betroffenen bei der Erhebung und Verarbeitung von Daten nach der DS-GVO gerecht zu werden.

  1. Benachrichtigungspflichten bei Datenschutzpannen

Kommt es zu Verletzungen des Schutzes personenbezogener Daten und ist diese mit einem Risiko für die Rechte und Freiheiten von Betroffenen verbunden, dann hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden die Aufsichtsbehörde und unter Umständen auch die betroffene Person zu benachrichtigen. Diese Melde- bzw. Benachrichtigungspflichten hat der Verein im Rahmen des Datenschutzmanagements zu berücksichtigen.

Datenschutz im Verein

Egal ob Tierschutzverein, Musik-, Karnevals- oder Kulturverein, Fußball- oder allgemeiner Sportverein, jeder dieser Vereine muss, um seine Mitglieder betreuen zu können, deren personenbezogene Daten verarbeiten.

Sobald die Daten unter Einsatz einer automatisierten Datenverarbeitung oder herkömmlicher Karteikarten verarbeitet werden fallen diese in den Anwendungsbereich des Bundesdatenschutzgesetzes (§ 1 Abs. 2 Nr. 3 BDSG). Dabei ist es völlig unerheblich, ob es sich bei dem Verein um einen im Vereinsregister eingetragenen Verein handelt und er damit eine eigene Rechtspersönlichkeit besitzt oder nicht.

In der Regel sind die Aufgaben abgegrenzt und bestimmten Funktionsträgern zugewiesen und es ist vielleicht aufgrund der Satzung bereits geregelt, wer auf welche Daten zugreifen darf.

Die personenbezogenen Daten dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie erhoben wurden. Jeglicher anderweitige Datenaustausch ist verboten.

Ist es Zweck und Ziel des Vereins, dass die Mitglieder ihre Daten untereinander austauschen und in Kontakt treten weil der Vereinszweck genau darin besteht, ist eine Weitergabe von Mitgliederlisten datenschutzrechtlich möglich.

Unabhängig davon sollte den Mitgliedern des Vereins, geschickter Weise bereits im Aufnahmeantrag, mitgeteilt werden, zu welchem Zweck die Daten erhoben werden und dass sie jederzeit die Möglichkeit haben, der Weitergabe der Daten zu widersprechen.

Wer darf was im Verein?

Auch das klassische „Schwarze Brett“ im Verein sollte nur mit Bedacht gefüttert werden. Gerne werden auf diesem Mannschaftsaufstellungen oder Leistungsergebnisse veröffentlicht, die jedoch auch von vereinsfremden Personen eingesehen werden können. Hier sollte unbedingt beachtet werden, dass derartige Mittteilungen unterbleiben, wenn ihnen schützenswerte Belange der Betroffenen gegenüberstehen. Auch bei Veröffentlichungen im Internet sind hier (wesentlich engere) Grenzen gesetzt.

Zu beachten sind auch ganz simple Dinge, wie beispielsweise die Weitergabe von Spielaufstellungen oder Spielerlisten bei Trainern untereinander. Ebenso die dazugehörigen Kontaktdaten (Adressen, Telefonnummern). Ein einfaches Hin- und Herreichen zwischen Vereinen ist nicht bedenkenlos machbar.

Fotos zählen ebenfalls zum Kreis der personenbezogenen Daten und werden immer öfter Stein des Anstoßes in Vereinen, Schulen oder Kindergärten, sobald diese auf Webseiten oder in sozialen Netzwerken veröffentlicht werden. Ohne eine Einwilligung der Betroffenen Person oder der Eltern kann es hier schnell zu Problemen kommen.

Auch sind die Daten eines Vereins nicht automatisch die Daten des Dachverbandes, dem der Verein angehört. Dieser ist dem Grunde nach wie eine externe Stelle zu betrachten. Erfüllt der Dachverband für den Verein diverse Aufgaben in dessen Interesse, so muss dieses Auftragsverhältnis mit Hilfe eines Vertrags zu Auftragsdatenverarbeitung geregelt werden.

In jedem Verein sollte zusätzlich ein Löschkonzept für die Daten vorliegen, da diese nicht auf Dauer im Bestand bleiben dürfen. Teilweise gelten hierfür gesetzliche Regelungen (z. B. bei Rechnungsstellungen) und teilweise muss ein internes Konzept hierfür erstellt werden. Dabei gilt grundsätzlich die Devise: ist der Zweck der Verarbeitung entfallen, müssen die Daten sehr zeitnah gelöscht werden, sofern nicht eine gesetzliche Regelung eine längere Aufbewahrungsfrist vorschreibt.

Vereine und die EU-Datenschutzgrundverordnung

Mit Einführung der EU-Datenschutzgrundverordnung am 25. Mai 2018 wird sich viel bzgl. der Sorgfaltspflicht im Umgang mit personenbezogenen Daten ändern. Die Vorgaben bzgl. Transparenz, Einwilligung, Löschung und Datenübertragbarkeit werden noch genauer und restriktiver. Deshalb gilt es, sich vor in Kraftteten mit dem Thema Datenschutz im Verein zu beschäftigen, da die Strafen bei Verstößen extrem in die Höhe schnellen.