Vereine im Fokus der Datenschutzaufsichtsbehörden

Auch Vereine müssen die DSGVO beachten

Die Datenschutzgrundverordnung (DSGVO) muss seit dem 25. Mai 2018 in der Europäischen Union verbindlich umgesetzt werden. Auch Vereine fallen in den Geltungsbereich der DSGVO, wenn Sie personenbezogene Daten verarbeiten. In den ersten Jahren nach Inkrafttreten der DSGVO gerieten überwiegend Unternehmen in den Fokus der Datenschutzbehörden, weil diese ihren Pflichten nicht nachkamen oder sogar grob gegen die DSGVO verstoßen haben. An einige Unternehmen wurden dabei sehr hohe Bußgelder verhängt. Nun stehen auch Vereine im Fokus der Datenschutzaufsichtsbehörden.

  

ehrenamt24   trenner   Wissen   trenner   ehrenamt-Blog

  

Vereine und Datenschutzaufsichtsbehörden      |     23.06.2021     |     Dr. Matthias Jantsch, Thomas Hanke

Digital- & IT-Services – Stifter helfen – Digitale Lösungen für Vereine & Verbände – ehrenamt24

Warum ist die Beachtung der DSGVO wichtig?

Mit einem im März 2021 verhängten Bußgeld von 300.000 € an den VfB Stuttgart ist nun erstmals auch ein sehr hohes Bußgeld an einen deutschen Verein verhängt worden. Im vorliegenden Fall wurden mehrere tausend Mitgliederdaten (hier zur Mitgliederdatenverwaltung) an einen externen Dienstleister weitergegeben, ohne dass ein Auftragsverarbeitungsvertrag abgeschlossen worden war. Im europäischen Vergleich ist dies bereits das vierte Bußgeld was an einen Sportverein verhängt wurde (siehe Tabelle). Bei allen sanktionierten Vergehen war die unerlaubte Weitergabe oder unerlaubte Veröffentlichung von personenbezogenen Daten ausschlaggebend. Um solchen empfindlichen Bußgeldern zu entgehen, sollten auch Vereine die Pflichten nach der DSGVO kennen und diese konsequent umsetzen. In diesem Blogbeitrag geben wir einen Überblick über die wichtigsten Pflichten, die ein Verein erfüllen muss. Ebenfalls bieten wir eine Beratung zum Thema Datenschutz im Verein an.

 

Bisher an europäische Sportvereine verhängte Bußgelder (Quelle: www.dsgvo-portal.de, Stand: 6.Mai 2021)

 

 

Gültige Rechtsgrundlage

Alle Verarbeitungen von personenbezogenen Daten im Verein müssen auf sicherer Rechtsgrundlage basieren. Legitim ist eine Verarbeitung, wenn diese aufgrund einer der folgenden drei Gründe erfolgt:

 

  • Der Betroffene hat seine Einwilligung zur Verarbeitung erteilt
  • Die Verarbeitung ist zur Erfüllung eines Vertrags mit dem Betroffenen erforderlich (z.B. Abbuchung des Vereinsbeitrags, Zusendung der Vereinszeitschrift)
  • Der Verantwortliche hat berechtigtes Interesse an der Verarbeitung (z.B. Außendarstellung des Vereins durch Veröffentlichung von Mannschaftsfotos oder von Ergebnissen von Meisterschaften)


Da das Vorliegen eines vermeintlich berechtigten Interesses aus objektiver Sicht nicht immer gegeben ist, ist es ratsam, immer eine Einwilligung einzuholen. 
 

Datenschutz für Vereine & Verbände

 

Bei der Verarbeitung von personenbezogenen Daten im Verein muss eine Vielzahl an Maßnahmen beachtet und ergriffen werden, um den Datenschutz sicherzustellen und möglichen kostspieligen Abmahnungen zu entgehen.

 

Wir unterstützen Sie bei folgenden Anliegen:

  1. Beratung zum Schutz personenbezogener Daten
  2. Überprüfung der Umsetzung gesetzlicher Bestimmungen
  3. Bereitstellung von Dokumenten und Datenschutzbeauftragten

 

zum Datenschutz »

Verarbeitungsverzeichnis

Alle Tätigkeiten, bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Weitere führende Infos, wie so ein Verzeichnis gestaltet werden muss, finden Sie hier:

Informationen zum Verarbeitungsverzeichnis

Auftragsverarbeitungsvertrag

Setzt der Verein einen externen Dienstleister ein, der personenbezogene Mitglieder- oder Mitarbeiterdaten für den Verein verarbeitet, so hat er mit dem Dienstleister einen sogenannten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zu schließen. In der Regel ist der Abschluss eines Auftragsdatenverarbeitungsvertrags erforderlich, wenn Dienstleister im Bereich IT, Marketing oder Marketing für den Verein beschäftigt werden und diese nur auf Weisung des Vereins arbeiten. Kein Auftragsverarbeitungsvertrag muss dagegen mit der Post, die Vereinsinfos an die Mitglieder verteilt oder der Bank, die Mitgliedsbeiträge abbucht, sowie mit Steuerberatern (hier geht es zur Steuerberatung) geschlossen werden. Ein Muster wie so ein Auftragsverarbeitungsvertrag auszusehen hat und welche Punkte er zu berücksichtigen hat, finden Sie hier.

https://www.lda.bayern.de/media/muster_adv.pdf
 

Cyber-Versicherung

 

Die Cyber-Versicherung  übernimmt Kosten und Schäden bei Angriffen auf die IT-Sicherheit. Sie wird immer wichtiger, da in Zeiten der Digitalisierung das Risiko Opfer eines Angriffes auf die IT-Sicherheit zu werden steigt. Das wichtigste ist, dass der Verein für eine gute IT-Sicherheit vorsorgt – IT-Risk-Management Konzept. Gerade bei Vereinen oder Verbänden ist abzuwägen, wie groß das individuelle Risiko eines Cyberangriffs ist und welche Schäden eine solche Attacke nach sich ziehen könnte.

 

zur Cyberversicherung »

Datenschutzfolgeabschätzung

Führt ein Verein eine neue Form der Verarbeitung ein, bei der neue Technologien verwendet werden und die aufgrund der Art, des Umfangs, der Umstände und des Zwecks voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat der Verantwortliche hierzu eine Datenschutzfolgeabschätzung durchzuführen. Als Orientierung bei welchen Verarbeitungen Datenschutzfolgeabschätzungen durchzuführen sind, haben verschiedene Bundesländer so genannte Blacklists eingeführt, auf denen bereits bekannte Verarbeitungen aufgelistet sind. Eine Übersicht dazu finden sie im Vereinswiki von ehrenamt24 unter: DSGVO im Verein

Datenschutzbeauftragter

Vereine müssen einen Datenschutzbeauftragten bestellen, wenn mindestens einer der genannten Punkte zutrifft:

 

  1. Es sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Der Gesetzgeber legt dabei den Begriff „ständig“ sehr weit aus. Eine z.B. regelmäßige Verarbeitung von personenbezogenen Daten einmal im Monat reicht schon aus, den Fakt des „ständig“ zu erfüllen. Dies ist besonders für kleinere Vereine wichtig zu beachten. Die Rolle der Person im Verein spielt dabei keine Rolle, es kann sich also dabei sowohl um Angestellte, Aushilfen oder ehrenamtlich Tätige handeln, entscheidend ist nur, ob sie mit der Verarbeitung von personenbezogenen Daten beschäftigt ist.
  1. Zur Haupttätigkeit des Vereins zählt die umfangreiche Verarbeitung besonderer personenbezogener Daten. Zu solchen besonderen personenbezogenen Daten gehören Daten zu politischen Meinungen, politischen Überzeugungen, Gesundheitsdaten oder Daten zur strafrechtlichen Verfolgung. In diesem Fall ist immer ein Datenschutzbeauftragter zu bestellen.
  1. Die Hauptaufgabe des Vereins umfasst Tätigkeiten, die eine umfangreiche regelmäßige oder systematische Überwachung von Personen erforderlich machen. Hierunter zählt neben der Videoaufzeichnung auch die Auswertung von Bewegungsprofilen. 
     

Die Autoren

Kontakt – Digitale Lösungen für Vereine & Verbände – ehrenamt24