Die europäische Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 Anwendung findet bereitet vielen Vereinen und deren Vorständen administrativen Mehraufwand und im schlimmsten Fall unruhige Nächte. Daher möchten wir einige hilfreiche Hinweise zusammenfassen und über das Thema informieren.
Datenschutz für Verein | 20.07.2020 | Laura Apel
Die Datenschutzgrundverordnung hat die wichtige Aufgabe, den Umgang mit personenbezogenen Daten zu klären. Dadurch sollen klare Vorgaben für den Umgang mit diesen Daten durch Staat und Unternehmen geschaffen werden. Zu personenbezogenen Daten zählen sensible Bereiche wie Bankdaten, medizinische Daten, E-Mail-Adressen, Standortdaten aber auch Beiträge in sozialen Netzwerken. Die Verordnung regelt außerdem für welchen Zweck personenbezogene Daten verwendet werden dürfen, ob und wann sie gespeichert oder sogar weitergegeben werden dürfen und ob die Zustimmung des betroffenen Bürgers in jedem Fall vorliegen muss.
Im Gegensatz zu einer Richtlinie gilt diese Verordnung unmittelbar und für alle Mitgliedsstaaten gleichermaßen. Sie regelt daher den europaweiten Umgang mit personenbezogenen Daten.
Die Ziele der DSGVO umfassen insbesondere den Schutz des Grundrechts und der Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO).
Die Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treue und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.
Der Datenschutz unterliegt demnach durch die DSGVO klaren Grundwerten, die für alle in der europäischen Union agierenden Unternehmen bindend sind.
Auch im Vereinsleben kommt es zur Erhebung und Verarbeitung personenbezogener Daten. Sofern dies zur Erfüllung des Vereinszwecks nötig ist, ist das auch grundsätzlich erlaubt. Meist handelt es sich dabei um persönliche Daten der Mitglieder wie Name, Geburtsdatum, Adresse und Bankverbindung, z.B. zur Berechnung des Mitgliedsbeitrags. Durch die DSGVO sind genau solche Daten vor unberechtigter Nutzung geschützt. Der Vereinsvorstand hat also für den rechtmäßigen Umgang mit diesen sensiblen Daten zu sorgen.
Damit der Vereine diese Daten überhaupt erheben und speichern darf, bedarf es einer Einwilligungserklärung des Mitglieds. Welche Daten erhoben, gespeichert und verarbeitet werden dürfen, sollte in der Satzung des Vereins verankert sein. Sie bestimmt welchen Zweck und Zielen sich der Verein verschreibt und gilt sozusagen als Vertragsverhältnis zwischen Mitglied und Verein.
Hinweis: Zur Einziehung des Mitgliedsbeitrags sind personenbezogene Daten wie Name und Bankverbindung notwendig. Mehr Informationen rund um Mitgliedsbeiträge im Verein können in diesem Blogbeitrag nachgelesen werden.
Gemäß Art. 30 DSGVO soll ein Verzeichnis aller Verarbeitungstätigkeiten in Bezug auf personenbezogene Daten erstellt werden. Das Verzeichnis dient dem Verein und dessen Vorstand zur Veranschaulichung der Datenverarbeitungsvorgänge. Ein Muster für Vereine wird auf der Internetseite des Bayrischen Landesamtes für Datenschutzaufsicht zur Verfügung gestellt.
Personenbezogene Daten dürfen nur dann erhoben, gespeichert und verarbeitet werden, wenn es eine Rechtsgrundlage dafür gibt. Im Verein dient häufig der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung als Rechtsgrundlage. Eine Einwilligungserklärung der betroffenen Person ist notwendig, wenn es um das Versenden von Newslettern oder die Veröffentlichung personenbezogener Daten auf der Webseite oder am schwarzen Brett geht. Eine Ausnahme bildet der Fall, indem die Veröffentlichung der Daten zur Erreichung des Vereinszwecks erforderlich ist (z.B. Veröffentlichung der Mannschaftsaufstellung oder der Spielergebnisse).
Mitglieder und ggf. andere betroffene Personen müssen umfassend über die Datenverarbeitungsvorgänge informiert werden. Wichtig ist vor allem darüber zu informieren, wer welche personenbezogenen Daten zu welchem Zweck (Vereinszweck), auf welcher Rechtsgrundlage und über welchen Zeitraum verarbeitet. Neue Mitglieder sollten über den Mitgliedsantrag über die Erhebung der Daten informiert werden.
Es dürfen nur personenbezogene Daten erhoben, gespeichert und verarbeitet werden, die für die Erfüllung des jeweiligen Zwecks erforderlich sind. Diese Daten dürfen nur so lange gespeichert werden, wie sie für die Erfüllung des Vereinszwecks erforderlich sind bzw. nur dann länger, wenn eine gesetzliche Verpflichtung besteht.
Es sollte technisch und organisatorisch sichergestellt werden, dass nur Personen, die rechtlich dürfen und müssen, personenbezogene Daten einsehen und verarbeiten können. Dazu zählen die Festlegung eines Berechtigungskonzeptes, die Einrichtung von Zugangscodes zu PCs sowie der Einsatz von Verschlüsselungstechnik.
Geltend gemachten Widerrufsrechten sollte gemäß Art. 15 - 22 DSGVO zeitnah nachgekommen werden. Sollte ein Mitglied also bspw. eine Einwilligungserklärung widerrufen, sollte der Vorstand in der Lage sein, diesem schnellstmöglich nachzukommen.
Es gilt zu prüfen, ob ein Vertrag zur Auftragsverarbeitung zu schließen ist. Dies kann notwendig sein, wenn eine externe Adressverwaltung, ein externer Mailserver oder ein Datenbankserver im Internet statt einer eigenen EDV-Anlage oder Cloud-Dienste genutzt werden.
Eine Datenschutz-Folgenabschätzung meint eine Risikoanalyse, mit der mögliche Folgen der Verarbeitung abgeschätzt und dokumentiert werden, um im Falle des Falles entsprechende Schutzmaßnahmen einleiten zu können. Weitere Information zur Datenschutz-Folgenabschätzung gibt es hier.
Ein Datenschutzbeauftragter ist zu bestellen, wenn zehn oder mehr Personen im Verein ständig mit personenbezogenen Daten beschäftigt sind. Es findet dabei keine Unterscheidung in Voll- und Teilzeitkräfte, Auszubildende oder Ehrenamtliche statt.
Vereine sind dazu verpflichtet, alle Vorgänge zur Datenverarbeitung zu dokumentieren, um im Falle einer Rechenschaftspflicht dieser gerecht zu werden.
Quelle: Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz
DSGVO für Vereine: Fragen und Antworten
Kompetente Beratungsplattform rund im digitales Recht
Checkliste DSGVO - Datenschutz im Verein
DSGVO Hilfe für Vereine: Checklisten, Praxisratgeber und 10-Punkte-Plan
DSGVO in Vereinen - So schützen Sie sich vor Abmahnungen
Cyber-Versicherung
Die Cyber-Versicherung übernimmt Kosten und Schäden bei Angriffen auf die IT-Sicherheit. Sie wird immer wichtiger, da in Zeiten der Digitalisierung das Risiko Opfer eines Angriffes auf die IT-Sicherheit zu werden steigt. Das wichtigste ist, dass der Verein für eine gute IT-Sicherheit vorsorgt – IT-Risk-Management Konzept. Gerade bei Vereinen oder Verbänden ist abzuwägen, wie groß das individuelle Risiko eines Cyberangriffs ist und welche Schäden eine solche Attacke nach sich ziehen könnte.
Das Wichtigste ist, nicht in Panik zu geraten. Das Internet bietet bereits umfassende Informationen, Tipps und Tricks, um sich als Verein vor Abmahnungen und Bußgeldern zu schützen. Die europäische Datenschutzgrundverordnung sollte nicht als schwarzes Tuch gesehen werden, sie schützt immerhin auch die persönlichen Daten von uns allen. Bei Bedarf kann zudem professionelle Unterstützung dazu genommen werden.
Haben Sie Fragen?