Vereine im Fokus der Datenschutzaufsichtsbehörden

Auch Vereine müssen die DSGVO beachten

Die Datenschutzgrundverordnung (DSGVO) muss seit dem 25. Mai 2018 in der Europäischen Union verbindlich umgesetzt werden. Auch Vereine fallen in den Geltungsbereich der DSGVO, wenn Sie personenbezogene Daten verarbeiten. In den ersten Jahren nach Inkrafttreten der DSGVO gerieten überwiegend Unternehmen in den Fokus der Datenschutzbehörden, weil diese ihren Pflichten nicht nachkamen oder sogar grob gegen die DSGVO verstoßen haben. An einige Unternehmen wurden dabei sehr hohe Bußgelder verhängt. Nun stehen auch Vereine im Fokus der Datenschutzaufsichtsbehörden.

 

Datenschutzrichtlinien: Erhalten Sie kostenlose Muster & Vorlagen in der e24-Community!

 

zur e24-Community »

  

ehrenamt24   trenner   Über Uns   trenner   ehrenamt-Blog

  

Vereine und Datenschutzaufsichtsbehörden      |     23.06.2021     |     Dr. Matthias Jantsch, Thomas Hanke

ehrenamt24   trenner   Über Uns   trenner   ehrenamt-Blog

 

1. Warum ist die Beachtung der DSGVO wichtig?

Mit einem im März 2021 verhängten Bußgeld von 300.000 € an den VfB Stuttgart ist nun erstmals auch ein sehr hohes Bußgeld an einen deutschen Verein verhängt worden. Im vorliegenden Fall wurden mehrere tausend Mitgliederdaten (hier zur Mitgliederdatenverwaltung) an einen externen Dienstleister weitergegeben, ohne dass ein Auftragsverarbeitungsvertrag abgeschlossen worden war. Im europäischen Vergleich ist dies bereits das vierte Bußgeld was an einen Sportverein verhängt wurde (siehe Tabelle). Bei allen sanktionierten Vergehen war die unerlaubte Weitergabe oder unerlaubte Veröffentlichung von personenbezogenen Daten ausschlaggebend. Um solchen empfindlichen Bußgeldern zu entgehen, sollten auch Vereine die Pflichten nach der DSGVO kennen und diese konsequent umsetzen. In diesem Blogbeitrag geben wir einen Überblick über die wichtigsten Pflichten, die ein Verein erfüllen muss. Ebenfalls bieten wir eine Beratung zum Thema Datenschutz im Verein an.

 

Hinweis: In der e24-Community, unserem kostenlosen Mitgliederbereich, können gemeinnützige Vereine Mustervorlagen herunterladen - darunter auch eine Mustervorlage für die Datenschutzrichtlinien. 

Bisher an europäische Sportvereine verhängte Bußgelder (Quelle: www.dsgvo-portal.de, Stand: 6.Mai 2021)

Was ist die DSGVO?

Die DSGVO ist eine Verordnung, die den europaweiten Umgang mit personenbezogenen Daten regelt. Im Gegensatz zu einer Richtlinie gilt die Verordnung unmittelbar und für alle Mitgliedsstaaten gleichermaßen, was ihre Wichtigkeit verdeutlicht.

 

Die Europäische Datenschutzgrundverordnung klärt staatenübergreifend den Umgang mit personenbezogenen Daten innerhalb der Mitgliedsstaaten der Europäischen Union. Dazu zählen nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zu solchen Informationen gehören: Name, Anschrift, Geburtsdatum, E-Mail-Adresse, aber auch Fotos und Beiträge im Internet sowie Daten zur Gesundheit oder Religion.

 

Mithilfe der Verordnung sollen klare Vorgaben für den Umgang mit diesen Daten für alle Wirtschafts- und Gesellschaftsteilnehmer geschaffen werden, zu denen auch Vereine zählen. Zusätzlich regelt die DSGVO, in welchen Fällen und für welche Zwecke personenbezogene Daten gespeichert oder sogar weitergegeben werden dürfen und ob die Zustimmung der betroffenen Person in jedem Fall vorliegen muss.

 

Ziel der Europäischen Datenschutzgrundverordnung ist insbesondere der Schutz des Grundrechts und der Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten (siehe Art. 1 Abs. 2 DSGVO). Der Datenschutz unterliegt durch die Verordnung klaren Grundwerten, die für alle in der Europäischen Union agierenden Wirtschafts- und Gesellschaftsteilnehmer bindend sind, die personenbezogene Daten verarbeiten.

Wissensdatenbank & Expertenzugang

Die e24-Community

Werden Sie Teil einer geschlossenen Community, in der Sie umfangreiches Wissen zu vereinsrelevanten Themen erhalten. Erhalten Sie Zugang zu einer umfassenden Datenbank an Vereinsdokumenten, Factsheets, Guidelines & Mustervorlagen und profitieren Sie von verschiedenen Vergünstigungen für Ihren Verein.

 

Kostenlos Mitglied werden   Infos zur e24-Community

 

2. Gültige Rechtsgrundlage

Alle Verarbeitungen von personenbezogenen Daten im Verein müssen auf sicherer Rechtsgrundlage basieren. Legitim ist eine Verarbeitung, wenn diese aufgrund einer der folgenden drei Gründe erfolgt:

  1. Der Betroffene hat seine Einwilligung zur Verarbeitung erteilt
  2. Die Verarbeitung ist zur Erfüllung eines Vertrags mit dem Betroffenen erforderlich (z.B. Abbuchung des Vereinsbeitrags, Zusendung der Vereinszeitschrift)
  3. Der Verantwortliche hat berechtigtes Interesse an der Verarbeitung (z.B. Außendarstellung des Vereins durch Veröffentlichung von Mannschaftsfotos oder von Ergebnissen von Meisterschaften)

 

Da das Vorliegen eines vermeintlich berechtigten Interesses aus objektiver Sicht nicht immer gegeben ist, ist es ratsam, immer eine Einwilligung einzuholen.

 

Wichtig: Alle Tätigkeiten, bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Weitere führende Infos, wie so ein Verzeichnis gestaltet werden muss, finden Sie hier.

 

Verarbeitungsverzeichnis

Alle Tätigkeiten, bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Weitere führende Infos, wie so ein Verzeichnis gestaltet werden muss, finden Sie hier: Informationen zum Verarbeitungsverzeichnis

 

Auftragsverarbeitungsvertrag

Setzt der Verein einen externen Dienstleister ein, der personenbezogene Mitglieder- oder Mitarbeiterdaten für den Verein verarbeitet, so hat er mit dem Dienstleister einen sogenannten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zu schließen. In der Regel ist der Abschluss eines Auftragsdatenverarbeitungsvertrags erforderlich, wenn Dienstleister im Bereich IT, Marketing oder Marketing für den Verein beschäftigt werden und diese nur auf Weisung des Vereins arbeiten. Kein Auftragsverarbeitungsvertrag muss dagegen mit der Post, die Vereinsinfos an die Mitglieder verteilt oder der Bank, die Mitgliedsbeiträge abbucht, sowie mit Steuerberatern (hier geht es zur Steuerberatung) geschlossen werden. Ein Muster wie so ein Auftragsverarbeitungsvertrag auszusehen hat und welche Punkte er zu berücksichtigen hat, finden Sie hier: https://www.lda.bayern.de/media/muster_adv.pdf

 

Hinweis: Auf VereinsGuide24 können Vereine & Verbände sich zum Thema Onlinebanking & Vereinskredite informieren. Zusätzlich finden Sie auf dieser Plattform eine digitale Beratungsstrecke, die Ihnen Empfehlungen zu verschiedenen vereinsrelevanten Themen ausspricht, wie BankingVersicherungDigitalisierung & Marketing im Verein.

 


Leistungen zugeschnitten auf Ihren Verein

 

 

Marketing

Digitalisierung


 

3. Datenschutzfolgeabschätzung

Führt ein Verein eine neue Form der Verarbeitung ein, bei der neue Technologien verwendet werden und die aufgrund der Art, des Umfangs, der Umstände und des Zwecks voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat der Verantwortliche hierzu eine Datenschutzfolgeabschätzung durchzuführen. Als Orientierung bei welchen Verarbeitungen Datenschutzfolgeabschätzungen durchzuführen sind, haben verschiedene Bundesländer so genannte Blacklists eingeführt, auf denen bereits bekannte Verarbeitungen aufgelistet sind. Eine Übersicht dazu finden sie im Vereinswiki von ehrenamt24 unter: DSGVO im Verein

 

Hinweis: Zur Einziehung des Mitgliedsbeitrags sind personenbezogene Daten wie Name und Bankverbindung notwendig. Mehr Informationen rund um Mitgliedsbeiträge im Verein können in diesem Blogbeitrag nachgelesen werden.

 

4. Datenschutzbeauftragter

Vereine müssen einen Datenschutzbeauftragten bestellen, wenn mindestens einer der genannten Punkte zutrifft:

  1. Es sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Der Gesetzgeber legt dabei den Begriff „ständig“ sehr weit aus. Eine z.B. regelmäßige Verarbeitung von personenbezogenen Daten einmal im Monat reicht schon aus, den Fakt des „ständig“ zu erfüllen. Dies ist besonders für kleinere Vereine wichtig zu beachten. Die Rolle der Person im Verein spielt dabei keine Rolle, es kann sich also dabei sowohl um Angestellte, Aushilfen oder ehrenamtlich Tätige handeln, entscheidend ist nur, ob sie mit der Verarbeitung von personenbezogenen Daten beschäftigt ist.
  1. Zur Haupttätigkeit des Vereins zählt die umfangreiche Verarbeitung besonderer personenbezogener Daten. Zu solchen besonderen personenbezogenen Daten gehören Daten zu politischen Meinungen, politischen Überzeugungen, Gesundheitsdaten oder Daten zur strafrechtlichen Verfolgung. In diesem Fall ist immer ein Datenschutzbeauftragter zu bestellen.
  1. Die Hauptaufgabe des Vereins umfasst Tätigkeiten, die eine umfangreiche regelmäßige oder systematische Überwachung von Personen erforderlich machen. Hierunter zählt neben der Videoaufzeichnung auch die Auswertung von Bewegungsprofilen. 

 

Die Aufgaben eines Datenschutzbeauftragten umfassen:

  1. Sachgemäße Umsetzung der geltenden nationalen und übernationalen Datenschutzgesetze
  2. Überarbeitung bestehender Abläufe und Mechanismen
  3. Überwachung der Mitarbeiter, die personenbezogene Daten verarbeiten
  4. Zuweisung von Zuständigkeiten der Mitarbeiter, Schulung dieser bezüglich ihrer Aufgabenbereiche und Überprüfung deren Verarbeitung personenbezogener Daten
  5. Ansprechpartner für Neuerungen und Streitfragen
  6. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO
  7. Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese bei auftretenden Fragen

Cyber-Versicherung

Die Cyber-Versicherung übernimmt Kosten und Schäden bei Angriffen auf die IT-Sicherheit. Sie wird immer wichtiger, da in Zeiten der Digitalisierung das Risiko Opfer eines Angriffes auf die IT-Sicherheit zu werden steigt. Das wichtigste ist, dass der Verein für eine gute IT-Sicherheit vorsorgt – IT-Risk-Management Konzept. Gerade bei Vereinen oder Verbänden ist abzuwägen, wie groß das individuelle Risiko eines Cyberangriffs ist und welche Schäden eine solche Attacke nach sich ziehen könnte.

 

Kontakt aufnehmen   zur Cyberversicherung

 

Die Autoren

5. Fazit

Das Wichtigste ist, nicht in Panik zu geraten. Das Internet bietet bereits umfassende Informationen, Tipps und Tricks, um sich als Verein vor Abmahnungen und Bußgeldern zu schützen. Die europäische Datenschutzgrundverordnung sollte nicht als schwarzes Tuch gesehen werden, sie schützt immerhin auch die persönlichen Daten von uns allen. Bei Bedarf kann zudem professionelle Unterstützung dazu genommen werden.  

 

In unserer e24-Community erhalten Sie kostenlosen Zugang zu Mustern & Vorlagen für Ihre Vereinsverwaltung - darunter ebenfalls Dokumente zur Spendenbescheinigung sowie einen Musterantrag für die Gemeinnützigkeit.

 

zur e24-Community »

 

 

Thank you!

If you feedback requires a response, we'll be in touch shortly

War dieser Artikel hilfreich?

Leistungen zugeschnitten auf Euren Verein

Bildschirm mit moderner Vereinswebsite, daneben Personen bei der Website-Pflege – symbolisiert professionelle Online-Präsenz und einfache Verwaltung für Vereine.

Website für Vereine

Wir erstellen Euch eine moderne Website, die einfach zu verwalten ist und Eure Vereinsarbeit optimal präsentiert. 

 

zur Vereinswebsite »

Vereinsmitglieder planen Social-Media-Inhalte am Laptop – Darstellung von Strategieentwicklung und Content-Erstellung für erfolgreiche Vereinskommunikation.

Social-Media-Marketing

Wir helfen Euch dabei, gezielte Strategien für Social-Media-Kanäle aufzubauen und regelmäßig, relevanten Content zu erstellen.

 

zum Social Media »

Gemeinnütziger Verein nutzt Google Ad Grants zur Erstellung kostenfreier Werbekampagnen – Fokus auf Laptop mit Google-Anzeigen-Dashboard zur Reichweitensteigerung.

Google Ad Grants

Mit Google Ad Grants können gemeinnützige Vereine kostenfreie Werbekampagnen schalten und die Reichweite steigern.

 

zu Google Ad Grants »

Symbolbild für Versicherung im Verein: Vereinsmitglieder im Gespräch mit einem Versicherungspartner, im Vordergrund ein Ordner mit der Aufschrift „Vereinsversicherung“.

Versicherungen für Vereine

Von der Haftpflicht bis hin zu Veranstaltungen – so könnt Ihr unbesorgt planen und Eure Ziele erreichen.

 

zur Versicherung »

Screenshot der Benutzeroberfläche der Vereinssoftware WISO MeinVerein mit übersichtlichen Menüs für Mitgliederverwaltung, Finanzen und Termine.

WISO MeinVerein

Bringt Eure Vereinsverwaltung auf das nächste Level und spart über ehrenamt24 bis zu 35 %.

 

zur Software-Lösung »

Darstellung des MitgliederBenefits Shoppingportals mit Logo und Hinweis auf kostenlose Rabatte für Vereine, Verbände und deren Mitglieder.

Shoppingportal für Vereine

MitgliederBenefits ist eine kostenlose Rabattplattform für Vereine, Verbände und deren Mitglieder.

 

zu MitgliederBenefits »

Über ehrenamt24

ehrenamt24 ist eine Gemeinschaft von Experten, die für Vereine & Verbände in allen Fragen rund um digitale Lösungen und Mitgliederservice bereitsteht.

Gemeinsam mit euch entwickeln wir innovative Ideen, die euer Vereins- und Verbandsleben effizienter, zukunftsfähiger & sozialer gestalten.

Kontakt

ehrenamt24 Benefits GmbH
Mühlweg 2b
82054 Sauerlach

www.ehrenamt24.de

e24-Community

Seite teilen – Digitale Lösungen für Vereine & Verbände – ehrenamt24
Facebook Share – Beitrag teilen – Wissen für Vereine & Verbände – ehrenamt24 Linkedin Share – Beitrag teilen – Wissen für Vereine & Verbände – ehrenamt24 Twitter Share – Beitrag teilen – Wissen für Vereine & Verbände – ehrenamt24 Xing Share – Beitrag teilen – Wissen für Vereine & Verbände – ehrenamt24
Kontakt – Digitale Lösungen für Vereine & Verbände – ehrenamt24

Thank you!

If you feedback requires a response, we'll be in touch shortly

War dieser Artikel hilfreich?