Datenschutz im Verein und Verband

Datenschutz: Ein Grundrecht – Auch im Verein und Verband

Autor: Walter Gerner, Datenschutzbeauftragter (IHK) und Inhaber WGM Consulting GmbH

 

Mit Wirkung vom 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung durch jede öffentliche sowie nicht-öffentliche Stelle ohne Übergangsfrist umzusetzen. Das bedeutet, dass jede juristische Person, ob Einzelunternehmen, Personengesellschaften wie GmbH oder GbR, Organisationen sowie Vereine und Verbände beim Umgang mit personenbezogenen Daten gemäß den Vorgaben der Europäischen Datenschutz-Grundverordnung handeln müssen.

 

Einige Beispiele der Auswirkungen für Vereine & Verbände

  1. Zustimmungserklärung

Erhebt oder verarbeitet ein Verein/ Verband personenbezogene Daten seiner Mitglieder, fällt dies unter die Datenschutz-Grundverordnung (DS-GVO). Mitgliederdaten dürfen im Rahmen der Vereinstätigkeit erhoben, verarbeitet oder genutzt werden. Die Vereinssatzung gilt hierbei als Grundlage für die Tätigkeit (Zweck) des Vereins und dem hieraus resultierenden Umfang der Datenerhebung. Neumitglieder empfehlen wir durch Unterschrift im Aufnahmeantrag auf die Zustimmung zur Datenerhebung im Rahmen der Vereinssatzung als „Zweck“ auf den Datenschutz zu verpflichten. Bestandsmitglieder sollten ebenfalls schriftlich auf die neue Regelung hingewiesen werden. Dies kann als Hinweis in einem Rundschreiben mit dem Link zur Datenschutzerklärung der Homepage erfolgen.

 

  1. Pflicht zur Benennung eines Datenschutzbeauftragten

Die Pflicht zur Benennung eines Datenschutzbeauftragten wurde in Art. 37 der Datenschutzgrundverordnung (DS-GVO) und in § 38 BDSG-neu normiert. Nach dieser Vorschrift haben Unternehmen, Vereine und Verbände als "Verantwortlicher" und "Auftragsverarbeiter" die Pflicht, einen Datenschutzbeauftragten unter folgender Voraussetzung zu benennen: Mindestens 10 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Hierzu gehören Voll- und Teilzeitmitarbeiter, Vorstände, Geschäftsführer und ehrenamtlich tätige Personen. Sollten in ihrem Verein weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sein, ist zwar kein Datenschutzbeauftragter zu bestellen, allerdings sind die Anforderungen der DS-GVO nach wie vor umzusetzen.


  1. Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO

Erfassung und Ausarbeitung der einzelnen Prozesse (z.B. Mitgliederverwaltung, Marketing, etc.) zur Sicherstellung und Dokumentation der Verarbeitungstätigkeiten.


  1. Erfassung und Verpflichtung der Auftragsverarbeiter nach Art. 28 DS-GVO

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Auftragsverarbeiter sind schriftlich zu verpflichten.


  1. Informationspflicht und Sicherstellung der Betroffenenrechte Art. 15 DS-GVO

Nach Art. 15 Abs. 1 DS-GVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung. Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren. Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Vereine und Verbände sind verpflichtet, ihren Datenverarbeitungsprozess den gesetzlichen Vorschriften anzupassen und dies zu dokumentieren. Eine unterstützende Vorlage für Vereine und Verbände finden Sie hier.


Das sollten NPOs wissen - rechtlicher Ausblick und Rückblick

Autorin: Olga Sepanova, Rechtsanwältin & externe Datenschutzbeauftragte, Winheller Rechtsanwaltsgesellschaft 

Nachdem bereits 2012 erstmals eine EU-Datenschutzreform von der EU-Kommission vorgestellt worden war, kam er für die meisten dann doch ganz plötzlich: Der 25. Mai 2018, an dem die ohne Umsetzungsakt unmittelbar geltende Datenschutz-Grundverordnung (DSGVO) für alle EU-Mitgliedstaaten in Kraft trat. Mit den nun notwendigen Datenschutzbeauftragten, Verarbeitungsverzeichnissen und Löschfristen war so mancher überfordert, was auch zu einigen Kuriositäten führte – so wurden Gesichter in Erinnerungsalben von Kindergärten geschwärzt, oder es durften auf einmal Wunschzettel in der Vorweihnachtszeit nicht mehr am Marktplatz ausgehangen werden. Nachfolgend ein kurzer Rückblick auf durchaus turbulente 365 Tage DSGVO.

Facebook-Fanpages betroffen

Bereits im Juni entschied der Europäische Gerichtshof (EuGH), dass nicht Facebook, sondern auch die Betreiber der jeweiligen Fanpages Verantwortliche im Sinne des Datenschutzes sind. Wer Dienstleistungen von Facebook nutzt, muss auch den Schutz der personenbezogenen Daten seiner Besucher sicherstellen können, so der Tenor.  

Erste Verstöße werden geahndet 

Google musste ebenfalls im Rahmen der DSGVO erste Federn lassen – im Januar verhängte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ ein (anfechtbares) Bußgeld in Höhe von 50 Millionen Euro gegen den Tech-Giganten. So seien massive Verstöße gegen die Vorgaben der DSGVO im Bereich transparente Datenverarbeitungen festgestellt sowie notwendige Einwilligungen als Grundlage zulässiger Datenverarbeitungen nicht eingeholt worden. 

In Deutschland wurde das erste Bußgeld im November 2018 verhängt, das Chat-Portal Knuddels.de musste aufgrund einer Datenpanne 20.000 Euro Bußgeld zahlen. Die verhältnismäßig niedrige Summe (die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro vor) wurde vor allem mit der umfangreichen Zusammenarbeit der Social-Media-Plattform mit dem Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg begründet. Nach einem Hackerangriff waren Daten von über 300.000 Nutzern bestehend aus Pseudonymen, Passwörtern und E-Mail-Adressen erbeutet worden. 

NPOs noch weitestgehend verschont 

Im Bereich der NPOs gab es (noch) keine größeren Zwischenfälle, auch wenn immer häufiger kleine Unternehmen und Vereine aufgrund unzureichender Datenschutzerklärungen auf ihren Websites abgemahnt werden. Aktuell ist jedoch richterlich noch nicht geklärt, ob DSGVO-Verstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. 

Nachdem in der ersten Runde vor allem den „Big Playern“ genauestens auf die Finger geschaut wurde, ist für die Zukunft allerdings absehbar, dass nur eine konsequente Umsetzung der DSGVO das Risiko von Bußgeldern minimieren kann.

Fragebögen der Aufsichtsbehörden 

Letztlich ist es nur eine Frage der Zeit, wann es auch bei Vereinen und Verbänden zu Überprüfungen kommt. Die Aufsichtsbehörden stocken ihr Personal auf und werden in Zukunft noch öfter Fragebögen nach dem Zufallsprinzip versenden, in denen die datenschutzrechtliche Compliance abgefragt wird. Die niedersächsische Aufsichtsbehörde hat damit schon letztes Jahr begonnen. Daneben besteht die Gefahr, anlassbezogen ins Visier der Behörden zu geraten, wenn sich beispielsweise Betroffene, wie z.B. Vereinsmitglieder, beschweren. Der Sanktionsrahmen wird in diesen Angelegenheiten auch abhängig davon bestimmt, ob individuelle Fehler bei ansonsten gut funktionierendem Datenschutzkonzept begangen wurden oder der Fehler auf einer Nichtumsetzung des Datenschutzes gründet.