zuletzt aktualisiert am: 7. Juni 2021
Datenschutz im Verein – Natürlich! Aber wie?
Auch Vereine, ob Sie nun im Register eingetragen sind oder nicht, mussten sich bereits früher an die gesetzlichen Datenschutz-Vorgaben des Bundesdatenschutzgesetzes (BDSG-alt) halten. Datenschutz im Verein ist nichts Neues. Auch seit Einführung der DSGVO sind Vereine explizit nicht ausgenommen. Das bedeutet, dass für Vereine, Selbsthilfegruppen und Verbände seit dem 25. Mai 2018 die Datenschutzgrundverordnung (DSGVO) und das dementsprechend angepasste, neue Bundesdatenschutzgesetz (BDSG-neu) gelten. (Kirchliche Vereine unterliegen übrigens den entsprechenden Kirchlichen Datenschutzgesetzen)
Doch was heißt das für die alltägliche Vereinsarbeit?
1. ) Bestandsaufnahme personenbezogener Daten
Zunächst einmal müssen Sie prüfen, ob Ihr Verein personenbezogenen Daten verarbeitet. Personenbezogenen Daten sind nach Artikel 4 DSGVO
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Personen sind) identifiziert werden kann.
Beispiele:
- Name
- Adresse
- Kontoverbindung
- E-Mail-Adresse
- Telefonnummer
- IP-Adresse
- Bilder der Personen
- Trikots mit Rückennummer
Dabei ist es völlig unabhängig, ob Sie Ihre Daten elektronisch oder als sortierte Papierakten erfassen. Grundsätzlich ist eine Verarbeitung personenbezogener Daten immer verboten, außer sie ist erlaubt:
- durch Gesetzliche Vorgaben (z.B. Steuerrecht etc.)
- zur Vertragserfüllung erforderlich
- zum Schutz lebenswichtiger Interessen
- zur Strafverfolgung etc.
- durch eine Einwilligung (und zwar eine nachweisliche Einwilligung!)
- zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich (Verantwortlicher = Unternehmen/ Verein)
Dies nennt man unter Juristen übrigens „Verbot mit Erlaubnisvorbehalt“. Zum Nachlesen findet sich diese Liste im Artikel 6 DSGVO.
Weiterhin relevante Rechtsgrundlagen können im Art. 9 DSGVO sowie in den Paragraphen 22 und 26 BDSG-neu zu finden sein.
2.) Datenschutzbeauftragter
Als nächstes prüfen Sie, ob Sie einen Datenschutzbeauftragten (DSB) benötigen.
Beschäftigen sich mehr als 19 Personen (egal ob haupt- oder ehrenamtlich) mit der automatisierten Verarbeitung (Erfassung, Nutzung, Speicherung, Löschung, …) von personenbezogenen Daten? Dann benötigen Sie einen DSB. (Artikel 37 DSGVO und § 38 BDSG-neu)
Verarbeiten Sie Gesundheitsdaten oder erfassen Sie religiöse Einstellungen? Erfassen Sie vielleicht die ethnische Herkunft oder die Zugehörigkeit zu einer Gewerkschaft/ Partei? All diese Daten gehören zu den besonders geschützten Daten. Wenn Sie diese Daten verarbeiten, benötigen Sie auf alle Fälle einen DSB!
Wenn Sie beide Fragen mit „nein“ beantworten konnten, benötigen keinen DSB. Dennoch müssen Sie sich an die gesetzlichen Vorgaben halten und aller Wahrscheinlichkeit nach trotzdem ein Verzeichnis Ihrer Verarbeitungstätigkeiten führen sowie sicherstellen, dass Sie für alle Verarbeitungstätigkeiten eine rechtliche Grundlage haben.
Wenn Sie ganz am Anfang der Umsetzung sind, empfehle ich Ihnen meinen Artikel: „Datenschutz – Womit fange ich an?“
3.) Verzeichnis für Verarbeitungstätigkeiten
Dieses Verarbeitungsverzeichnis hilft Ihnen schnell zu erkennen, ob Sie weiteren Handlungsbedarf haben und ob Sie für einige Verarbeitungen vielleicht Einwilligungserklärungen erstellen und unterschreiben lassen müssen. Auf den ersten Blick scheint ein solches Verzeichnis recht kompliziert und aufwändig, aber es lohnt sich. Dieses Verzeichnis ist künftig ihre „Schaltzentrale“ und kann besonders bei kleinen Vereinen schon als Datenschutzmanagementsystem gelten.
In Ausnahmesituationen – wie aktuell der Corona-Pandemie – ergänzen Sie Ihr Verfahrensverzeichnis, z.B. um die Möglichkeit des Home-office oder die Verpflichtung zur Erfassung und Meldung von Kontaktpersonen.
Woran müssen Sie beim Datenschutz im Verein noch denken?
- Haben Sie mit dem Anbieter Ihrer Vereinssoftware, Ihres Newsletter-Tools oder Google und Facebook einen Vertrag zur Auftragsverarbeitung geschlossen?
- Hat Ihr Verein Kinder und Jugendliche als Mitglieder? Dann gelten verschärfte Regeln! Informieren Sie sich z.B. bei Ihrem Landesdatenschutzbeauftragten.
- Veröffentlichen Sie Mitglieder-Daten und Bilder auf Ihrer Website? Dafür benötigen Sie Einwilligungen. (Hier geht es übrigens über den Datenschutz hinaus zum Kunsturherbergesetz)
- Ehrenamtliche zählen als Mitarbeiter. Auch sie müssen auf Einhaltung der Datenschutzrichtlinien verpflichtet werden.
- Haben Sie Vorgaben zum Umgang mit personenbezogenen Daten und schützen Sie auch die Daten der Mitarbeiter?
- Welche Kommunikationswege nutzen Sie? Sind diese DSGVO-konform?
- Wie verhalten Sie sich im Falle einer Datenpanne? Wissen Sie, an wen Sie sich wie schnell wenden müssen?
- Speichern Sie Daten in einer Cloud? Wenn Sie keine europäische Lösung nutzen, übertragen Sie Daten höchstwahrscheinlich in die USA, einem unsicheren Drittland. Prüfen Sie, ob es eine Rechtsgrundlage zur Übermittlung gibt und wie Sie die personenbezogenen Daten absichern.
- Informieren Sie Ihre Mitglieder und Mitarbeiter über die Verwendung ihrer Daten (Datenschutzerklärung)?
- Haben Sie eine Website mit Cookies? Fordern Sie deren Einwilligung vorab und vor allem freiwillig ein?
- ….
Das Bayrische Landesamt für Datenschutzaufsicht hat die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. in einem PDF veröffentlicht. Auch der Landesbeauftragte von Baden-Württemberg hat einen großartigen Praxisratgeber zum Datenschutz im Verein veröffentlicht.
Zudem beantwortet der LfDI BW in seinen FAQ Fragen zum Thema Vereinsarbeit sowie zum Thema Veröffentlichungen von Fotos speziell für Vereine.
Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.
Bildquellen
- Schulung Vorstand: Pixabay - Manfred Steger
- statistic: Pixabay - 200Degrees