Die Datenschutz-Grundverordnung für Vereine

Die Datenschutz-Grundverordnung (DSGVO) trifft nicht nur Behörden und Unternehmen. Auch Vereine sind in der Pflicht, die gesetzlichen Vorgaben zum Datenschutz einzuhalten. Die wenigsten Vereine haben jedoch die Manpower oder finanziellen Mittel, sich intensiv mit der Thematik auseinanderzusetzen. Deshalb geben wir Euch heute eine Hilfestellung und zeigen auf, was mit der DSGVO auf Vereine und andere Non-Profit-Organisationen zukommt.

Der Datenschutz im Verein und die persönlichen Daten der Vereinmitgliedern

Die Datenschutz-Grundverordnung regelt ab dem 25. Mai 2018 europaweit das Verarbeiten personenbezogener Daten. Davon sind nicht nur große Unternehmen betroffen. Auch Vereine und andere Non-Profit-Organisationen gehen sehr intensiv mit personenbezogenen Daten um. Sehen wir uns das näher an:

Vereinsmitglieder

Der Mitgliedsantrag des Vereins, das Anmeldeformular für Wettkämpfe, das Patenschaftsformular für Tiere im Tierheim – jeder Verein erhält personenbezogene Daten der Mitglieder. Die Vereinssatzung beziehungsweise die in ihr formulierten Vereinsziele entscheiden maßgeblich, welche Daten durch den Verein erhoben werden dürfen und sollen. Vereine sind in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.

Das Erheben und Speichern bzw. Verarbeiten solcher Daten bedarf gemäß DSGVO einer eindeutigen Einwilligung des Mitglieds. Eine solche Einwilligung könnt Ihr im Mitgliedsantrag integrieren oder auf jedem weiteren Formular. Wir kommen weiter unten erneut auf Einwilligungen zu sprechen.

Spendenabwicklung

In aller Regel können Vereine nur durch ihre Spender und Förderer existieren. Zu den personenbezogenen Daten dieser Spender und Förderer gehören etwa der Name, die Adresse sowie die Bankverbindung. Diese Daten dürfen ausschließlich erhoben werden, um die Spenden abwickeln zu können. Jedwede freiwillige Angabe bedarf – wie auch bei den freiwilligen Angaben der Vereinsmitglieder – einer Einwilligungserklärung.

Das bedeutet für Eure Vereinspraxis: Ihr dürft Eurem Spender/ Förderer auch nur nach einer entsprechenden Einwilligung Informationen zum Verein (z. B. Newsletter oder Spendenwerbung) zusenden.

Veröffentlichungen im World Wide Web

Viele Vereine präsentieren sich und ihr Vereinsleben im World Wide Web – allem voran wohl auf der Website und auf sozialen Netzwerken wie Facebook. Personenbezogene Daten dürfen im Internet nur nach einer ausdrücklichen Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Nach Vorgaben der DSGVO muss der Verein diese Einwilligung entsprechend dokumentieren.

Es existieren jedoch auch Ausnahmen: Möchte Euer Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Vereinsfunktionärs, kann das ohne Einwilligung geschehen. Die Angabe privater (E-Mail-)Adressen jedoch bedarf wieder der Einwilligung des Vereinsfunktionärs. Ohne Einwilligung zulässig sind zudem das Veröffentlichen von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen.

Der Sportverein darf auch ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen. Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes „berechtigtes Interesse“ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden.

Das Veröffentlichen darüber hinaus gehender Daten bedarf einer ausdrücklichen Einwilligung. Beachtet außerdem, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden müssen: Auch Teilnehmer eines Wettkampfs haben ein „Recht auf Vergessenwerden“ (siehe dazu unser Artikel „Betroffenenrechte & Datenschutzerklärung nach DSGVO“).

Veröffentlichung von Medien

Im Rahmen ihrer Öffentlichkeitsarbeit veröffentlichen viele Vereine und andere Non-Profit-Organisationen Fotos und Videos im Internet, beispielsweise in den sozialen Netzwerken. Ihr betretet hier dünnes Eis, denn nicht nur datenschutzrechtliche Fragen spielen beim Veröffentlichen von Fotos und Videos eine Rolle: Das Kunsturhebergesetz (KUG) erklärt, dass Ihr Fotos und Videos erst nach Einwilligung der oder des Abgebildeten veröffentlichen dürft.

Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen entstanden sind. Nehmen wir als Beispiel einen Schützenumzug Eures Vereins: Ihr dürft Fotos und Videos rechtmäßig und ohne Einwilligung veröffentlichen, wenn eine Menschenansammlung gezeigt wird und keine Einzelperson im Fokus steht.

Zur Fallstricke kann das Abbilden von Minderjährigen werden. Hier ist es ratsam, schon im Vorfeld eine Einwilligung des gesetzlichen Vertreters einzuholen.

 

Der Vereins-Datenschutz: Viele Maßnahmen werden notwendig

Wir haben nur wenige Beispiele aus einem Vereinsleben herausgepickt – und doch zeigen diese bereits, wie intensiv Vereine und andere Non-Profit-Organisationen mit personenbezogenen Daten umgehen. Verstöße gegen das Datenschutzgesetz werden mit erheblichen Bußgeldern belegt, die ein Verein für gewöhnlich nicht decken können wird. Ein weiteres Problem: Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere ggf. geschadeten Personen Schadenersatz geltend machen.

Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen. Achtet besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen. Weitere relevante Punkte sind die folgenden:

Grundsätze der Verarbeitung personenbezogener Daten

In der Datenschutz-Grundverordnung beschreibt Art. 5 die Grundsätze für die Verarbeitung personenbezogener Daten. Wie eingangs erwähnt, gehen Vereine sehr intensiv mit eben solchen Daten um. Das Gesetz verlangt, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden. Die Datenverarbeitung muss zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Informationspflichten

Ihr habt es bereits herausgelesen: Es kommen viele neue Informationspflichten auf Euch zu! Die Datenschutz-Grundverordnung verpflichtet Vereine dazu, die Personen, deren Daten durch Euch verarbeitet werden, entsprechend und umfangreich zu informieren (Art. 13 DSGVO). Achtung: Der Betroffene muss bereits vor Verarbeitung seiner Daten informiert worden sein.

Das bedeutet für Euch: habt Ihr Eure Vereinsmitglieder, Spender und Förderer bislang noch nicht informiert, müsst Ihr dies noch nachholen – möglichst bis zum 25. Mai 2018, um keine Bußgelder zu riskieren.

Technische und organisatorische Maßnahmen

Eine weitere Herausforderung für Vereine liegt in den technischen und organisatorischen Maßnahmen, die nach Art. 24 Abs. 1 Datenschutz-Grundverordnung auf Euch zukommen. Ihr seid verpflichtet, Datensicherheit zu gewährleisten. Konkret trifft das Eure Kommunikation mit Vereinsmitgliedern, Spendern und Förderern (E-Mail- und Websiteverschlüsselung), aber auch Eure Datenspeicherung (Datenverschlüsselung, Daten-Backup, etc.). Ihr müsst bei sämtlichen Datenverarbeitungsvorgängen überprüfen, ob Ihr ausreichende Sicherheitsvorkehrungen getroffen habt.

Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses. Dieses Verzeichnis zeigt alle Prozesse der Datenverarbeitung auf und kann als Basis für die Erfüllung weiterer gesetzlicher Grundlagen dienen. Lest dazu bitte unseren Artikel „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“.

Das Verfahrensverzeichnis ist nicht nur Kür, sondern Pflicht – aber auch ein sehr hilfreiches Tool. Art. 30 Abs. 1 Datenschutz-Grundverordnung gibt vor, dass „ein Verzeichnis aller Verarbeitungstätigkeiten, die eurer Zuständigkeit unterliegen“ geführt werden muss. Art. 30 Abs. 5 DSGVO erklärt zwar, dass ein Verfahrensverzeichnis erst ab 250 Mitarbeitern sein muss. Jedoch folgt darauf eine Ausnahme, die auf so ziemlich alle Vereine zutrifft: „die Verarbeitung erfolgt nicht nur gelegentlich“.

Einwilligungserklärungen

Gerade als Verein benötigt Ihr viele Einwilligungen Eurer Mitglieder, Spender und Förderer. Hier gibt Art. 4 Abs. 11 Datenschutz-Grundverordnung Auskunft: Betont wird, dass eine Einwilligung eine „unmissverständlich abgegebene Willensbekundung“ sein soll bzw. eine „eindeutig bestätigende Handlung“ haben muss. Vorangekreuzte Checkboxen sind nicht mehr zulässig!

Darüber hinaus wird in Art. 7 Abs. 2 DSGVO erklärt, dass eine Einwilligung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorliegen muss. Prüft also, ob Eure bisherigen Einwilligungserklärungen diesen Anforderungen standhalten.

Auftragsdatenverarbeitung

Auch Vereine nutzen immer häufiger Drittanbieter: Die Daten lagern in der Cloud, sie liegen auf Servern eines Anbieters oder über die gehostete Website werden Daten erfasst oder versendet. Beauftragt Euer Verein eine juristische oder natürliche Person mit der Verarbeitung personenbezogener Daten, seid Ihr in der Pflicht sicherzustellen, „dass geeignete technische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt“. Dies besagt Art. 28 Abs. 1 Datenschutz-Grundverordnung. Art. 28 Abs. 3 DSGVO ergänzt, dass dies „auf der Grundlage eines Vertrags“ erfolgt. Prüft also die aktuellen Verträge mit Auftragsdatenverarbeitern und passt diese ggf. an.

Datenschutz-Folgeabschätzung

Nehmen wir an, Euer Sportverein speichert die Daten Eurer Mitglieder in der Cloud – einschließlich personenbezogener und zuzuordnender Gesundheitsdaten. Dies wäre ein risikobehafteter Datenverarbeitungsvorgang. Art. 35 Abs. 1 Datenschutz-Grundverordnung schreibt dann vor, „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchgeführt zu haben. In Abs. 7 findet Ihr die Mindestinhalte, die eine Datenschutz-Folgeabschätzung inkludieren sollte.

Meldepflichten

Was tun im Falle einer Datenschutzpanne? Spinnen wir den Faden von eben weiter: Die Cloud mit den Daten Eurer Mitglieder wird gehackt. Hier nimmt Euch Art. 33 Abs. 1 DSGVO in die Pflicht: Eine „Verletzung des Schutzes personenbezogener Daten [muss] … unverzüglich und möglichst binnen 72 Stunden … der zuständigen Aufsichtsbehörde“ gemeldet werden.

Praxistipp: Fertigt bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung an. Bestimmt zudem eine Person, die im Fall einer Datenschutzverletzung die Meldung vornimmt. Welche Mindestinhalte die Meldung enthalten sollte, regelt Art. 33 Abs. 3 DSGVO.

Datenschutzbeauftragter (DSB)

Schon jetzt gilt eine wichtige Regelung: Sind in Eurem Verein mindestens 10 Personen ständig mit dem Verarbeiten von Daten beschäftigt, müsst Ihr einen DSB benennen (Art. 38 BDSG neu). Intensiviert wurden jedoch die künftigen Aufgaben des Datenschutzbeauftragten. Unter anderem gehören die folgenden Schwerpunkte zur Arbeit des DSB: „Beratung des Verantwortlichen“, „Zusammenarbeit mit der Aufsichtsbehörde“, „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ und die „Überwachung der Einhaltung der Verordnung“.

Der DSB oder eine andere bestimmte Person im Verein sollte zudem die Dokumentationen überwachen bzw. durchführen. Art. 5 Abs. 2 DSGVO erklärt, dass es bei Datenschutzverstößen am Verein ist, nachzuweisen, dass die datenschutzrechtlichen Vorschriften eingehalten wurden. Eine Dokumentation der Verarbeitungsvorgänge unterstützt dabei.

 

Leitfaden für Vereine im Datenschutz

Gerade für Vereine, die für gewöhnlich über geringe finanzielle Mittel verfügen, ist es schwierig, die Datenschutz-Grundverordnung fristgerecht und rechtssicher umzusetzen. Mit einem Verzeichnis der Verarbeitungstätigkeiten geht Ihr einen ersten sehr wichtigen Schritt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat aufgrund vieler Nachfragen von Vereinen eine Orientierungshilfe geschaffen. Auf etwas über 30 Seiten erfahren Vereine mehr über das Thema Datenschutz. Ihr könnt euch das PDF auf der Internetseite des LfDI herunterladen.

Möchtet Ihr beratende und praktische Hilfe, unterstützen wir Euch gerne beim Umsetzen der Datenschutz-Grundverordnung! Nehmt einfach Kontakt zu uns auf und wir unterstützen Euch tatkräftig.