Die Datenschutzgrundverordnung (DSGVO) muss seit dem 25. Mai 2018 in der Europäischen Union verbindlich umgesetzt werden. Auch Vereine fallen in den Geltungsbereich der DSGVO, wenn Sie personenbezogene Daten verarbeiten. In den ersten Jahren nach Inkrafttreten der DSGVO gerieten überwiegend Unternehmen in den Fokus der Datenschutzbehörden, weil diese ihren Pflichten nicht nachkamen oder sogar grob gegen die DSGVO verstoßen haben. An einige Unternehmen wurden dabei sehr hohe Bußgelder verhängt. Nun stehen auch Vereine im Fokus der Datenschutzaufsichtsbehörden.
Vereine und Datenschutzaufsichtsbehörden | 23.06.2021 | Dr. Matthias Jantsch, Thomas Hanke
Mit einem im März 2021 verhängten Bußgeld von 300.000 € an den VfB Stuttgart ist nun erstmals auch ein sehr hohes Bußgeld an einen deutschen Verein verhängt worden. Im vorliegenden Fall wurden mehrere tausend Mitgliederdaten (hier zur Mitgliederdatenverwaltung) an einen externen Dienstleister weitergegeben, ohne dass ein Auftragsverarbeitungsvertrag abgeschlossen worden war. Im europäischen Vergleich ist dies bereits das vierte Bußgeld was an einen Sportverein verhängt wurde (siehe Tabelle). Bei allen sanktionierten Vergehen war die unerlaubte Weitergabe oder unerlaubte Veröffentlichung von personenbezogenen Daten ausschlaggebend. Um solchen empfindlichen Bußgeldern zu entgehen, sollten auch Vereine die Pflichten nach der DSGVO kennen und diese konsequent umsetzen. In diesem Blogbeitrag geben wir einen Überblick über die wichtigsten Pflichten, die ein Verein erfüllen muss. Ebenfalls bieten wir eine Beratung zum Thema Datenschutz im Verein an.
Bisher an europäische Sportvereine verhängte Bußgelder (Quelle: www.dsgvo-portal.de, Stand: 6.Mai 2021)
Alle Verarbeitungen von personenbezogenen Daten im Verein müssen auf sicherer Rechtsgrundlage basieren. Legitim ist eine Verarbeitung, wenn diese aufgrund einer der folgenden drei Gründe erfolgt:
Da das Vorliegen eines vermeintlich berechtigten Interesses aus objektiver Sicht nicht immer gegeben ist, ist es ratsam, immer eine Einwilligung einzuholen.
Alle Tätigkeiten, bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Weitere führende Infos, wie so ein Verzeichnis gestaltet werden muss, finden Sie hier:
Setzt der Verein einen externen Dienstleister ein, der personenbezogene Mitglieder- oder Mitarbeiterdaten für den Verein verarbeitet, so hat er mit dem Dienstleister einen sogenannten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zu schließen. In der Regel ist der Abschluss eines Auftragsdatenverarbeitungsvertrags erforderlich, wenn Dienstleister im Bereich IT, Marketing oder Marketing für den Verein beschäftigt werden und diese nur auf Weisung des Vereins arbeiten. Kein Auftragsverarbeitungsvertrag muss dagegen mit der Post, die Vereinsinfos an die Mitglieder verteilt oder der Bank, die Mitgliedsbeiträge abbucht, sowie mit Steuerberatern (hier geht es zur Steuerberatung) geschlossen werden. Ein Muster wie so ein Auftragsverarbeitungsvertrag auszusehen hat und welche Punkte er zu berücksichtigen hat, finden Sie hier.
Cyber-Versicherung
Die Cyber-Versicherung übernimmt Kosten und Schäden bei Angriffen auf die IT-Sicherheit. Sie wird immer wichtiger, da in Zeiten der Digitalisierung das Risiko Opfer eines Angriffes auf die IT-Sicherheit zu werden steigt. Das wichtigste ist, dass der Verein für eine gute IT-Sicherheit vorsorgt – IT-Risk-Management Konzept. Gerade bei Vereinen oder Verbänden ist abzuwägen, wie groß das individuelle Risiko eines Cyberangriffs ist und welche Schäden eine solche Attacke nach sich ziehen könnte.
Führt ein Verein eine neue Form der Verarbeitung ein, bei der neue Technologien verwendet werden und die aufgrund der Art, des Umfangs, der Umstände und des Zwecks voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat der Verantwortliche hierzu eine Datenschutzfolgeabschätzung durchzuführen. Als Orientierung bei welchen Verarbeitungen Datenschutzfolgeabschätzungen durchzuführen sind, haben verschiedene Bundesländer so genannte Blacklists eingeführt, auf denen bereits bekannte Verarbeitungen aufgelistet sind. Eine Übersicht dazu finden sie im Vereinswiki von ehrenamt24 unter: DSGVO im Verein
Vereine müssen einen Datenschutzbeauftragten bestellen, wenn mindestens einer der genannten Punkte zutrifft: