Datenschutzgrundverordnung für Vereine

Die bald, am 25.5.2018, kommende Datenschutzgrundverordnung (DSGVO) stellt schon viele Firmen vor große Herausforderungen, sie gilt aber auch für Vereine.

Das Land Baden-Württemberg hat dazu ein 35-seitiges Informationsblatt Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO) speziell für Vereine veröffentlicht. Es geht darin um die Rechtsgrundlagen, die Vorgaben zur Erhebung / Speicherung / Nutzung von personenbezogenen Daten, sowie das Recht auf Löschung und Einschränkung personenbezogener Daten.

Als 1. Vorsitzender des TSV 1895 Oftersheim e.V. habe ich mich mit dem Thema intensiv beschäftigt und für uns nachfolgende Zusammenfassung mit den wichtigsten Aspekten (aus den ursprünglichen 35 Seiten!) erstellt. Diese möchte ich gerne teilen, so dass andere Vereine vielleicht etwas einfacher in dieses Thema einsteigen können. Ich bitte jedoch zu beachten, dass dies eine Zusammenfassung ist, ich kein Rechtsexperte bin und es sowohl im Informationsblatt des Landes, als auch in der DSGVO noch viele weitere Details gibt. In diesem Sinne übernehme ich keine Haftung für die dargestellten Inhalte.


SEITE 5: „Personenbezogene Daten sind nicht nur die zur unmittelbaren Identifizierung einer natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburtsdatum, sondern darüber hinaus alle Informationen, die sich auf eine in sonstiger Weise identifizierte oder identifizierbare natürliche Personen beziehen (Art. 4 Nr. 1 DS-GVO), wie beispielsweise Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E-Mail-Adresse, Anschrift, Bankverbindung, Eigentums- oder Besitzverhältnisse, persönliche Interessen, Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierung bei einem Wettbewerb und dergleichen. Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen.“

SEITE 7: „Eine Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten genutzt werden können.  Erhebt ein Verein personenbezogene Daten von einer betroffenen Person (z. B. Vereinsmitglied, Teilnehmer an einem Wettbewerb oder Lehrgang), so sind die Zwecke, für welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (Art. 5 Abs. 1 lit. b) DS-GVO). (…) Das Vereinsmitglied ist vor unbillig überraschenden Bestimmungen und Belastungen zu schützen, mit denen es beim Vereinsbeitritt nicht rechnen konnte. Regelungen in der Vereinssatzung, die verfassungsrechtlich geschützte Positionen der Mitglieder beeinträchtigen, sind daher unwirksam.“

SEITE 7: „Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Person, so hat der Verein aus Gründen der Transparenz von Datenverarbeitungsprozessen zum Zeitpunkt der Datenerhebung eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (Art. 13 Abs. 1 und Abs. 2 DS-GVO).“ => Wichtig für das Anmeldeformular: Auf Seite 7/8 wird aufgezählt, was alles auf dem Formular genannt werden muss.

SEITE 8: „Werden personenbezogene Datei auf andere Weise als bei der betroffenen Person erhoben, (…) muss der Verein die betroffene Person über die Kategorie der verarbeiteten personenbezogenen Daten und über die Quelle der erhobenen Daten informieren.“ / „Der Verein muss diese Informationen innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats nach der Erhebung erteilen.“

SEITE 8/9: „Den Verein trifft die Pflicht, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich festzulegen.“ / „Dabei ist jeweils konkret festzulegen, welche Daten (z.B. Name, Vorname, Adresse, E-Mail-Adresse usw.) welcher Personen (z.B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen) für welche Zwecke verwendet werden“ / „Der Verein sollte insbesondere schriftlich festlegen, welche Daten beim Vereinseintritt für die Verfolgung des Vereinsziels und für die Mitgliederbetreuung und -verwaltung notwendigerweise erhoben werden.“

SEITE 9: „Der Verein sollte außerdem regeln, welcher Funktionsträger zu welchen Daten Zugang hat und zu welchem Zweck er Daten von Mitgliedern und Dritten verarbeiten und nutzen darf. Ferner sollte geregelt werden, welche Daten zu welchem Zweck im Wege der Auftragsdatenverarbeitung (s. u. Nr. 3.2) verarbeitet werden.“ => Auftragsdatenverarbeitung betrifft oft die Webseite des Vereins. Könnte aber auch eine Terminabstimmung via Doodle oder eine Onlinehelferliste via GoogleDocs betreffen.

SEITE 9: „Ferner sollte geregelt sein, welche Daten üblicherweise am „Schwarzen Brett“ oder in den Vereinsnachrichten offenbart und welche in das Internet oder Intranet eingestellt werden.  “

SEITE 9: „Diese Datenschutzordnung sollte von der Mitgliederversammlung beschlossen werden.“

SEITE 10: „Eine Einwilligung (…) ist (Anmerkung: „nur“) erforderlich, soweit der Verein in weitergehendem Maße personenbezogene Daten verarbeitet, als er aufgrund der unten unter Nr. 2, 4 und 5 dargestellten Regelungen befugt ist. Es empfiehlt sich nicht, Einwilligungen (…) einzuholendie bereits aufgrund einer gesetzlichen Erlaubnis möglich sind. Denn dadurch wird beim Betroffenen der Eindruck erweckt, er könne mit der Verweigerung der Einwilligung oder ihrem späterem Widerruf die Datenverarbeitung verhindern. Hat der Verein aber von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zurückzugreifen, wird der Betroffene getäuscht, wenn man ihn erst nach seiner ausdrücklichen Einwilligung fragt, dann aber doch auf gesetzliche Ermächtigungen zurückgreift. “ => hier liegt der Unterschied in der Notwendigkeit „zu informieren“ und „Einwilligung einzuholen“. Letzteres nur für „weitergehende“ Verarbeitung als ohnehin gesetzlich möglich.

SEITE 10: „Im Gegensatz zum BDSG, das für Einwilligungen grundsätzlich die Schriftform und nur ausnahmsweise auch die elektronische Form zulässt, ermöglicht die DS-GVO, dass dieEinwilligung schriftlich, elektronisch, mündlich oder sogar konkludent erfolgen kann.“ / „Jedoch muss der Verein für den Fall, dass die Verarbeitung auf einer Einwilligung beruht,nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DS-GVO).“

SEITE 10: „Nicht zuletzt deswegen muss die Einwilligungspassage selbst, wenn sie Teil eines größeren Textes ist, optisch hervorgehoben werden.“

SEITE 11: „Datenschutzrechtliche Einwilligungen der Vereinsmitglieder können nicht durch Mehrheitsbeschlüsse der Mitgliederversammlung oder des Vorstands ersetzt werden. Eine sogenannte „Widerspruchslösung“, wonach die Einwilligung unterstellt wird, wenn der Betroffene einer Datenverarbeitungsmaßnahme – etwa der Veröffentlichung seiner Personalien im Internet – nicht ausdrücklich widerspricht, stellt keine wirksame Einwilligung dar.“

Wichtig für Minderjährige: „Kinder  und  Jugendliche können  daher in die Verarbeitung ihrer personenbezogenen Daten selbst einwilligen, wenn sie in der Lage sind, die Konsequenzen der Verwendung ihrer Daten zu übersehen und sich deshalb auch verbindlich dazu zu äußern. […] Bei Kindern unter 13 Jahren ist  regelmäßig  davon auszugehen, dass sie die Konsequenzen der Verwendung ihrer Daten nicht übersehen können. „ => Einwilligung seines Sorgeberechtigten

SEITE 12: „Ein Verein darf (…) beim Vereinsbeitritt  (…) und während der Vereinsmitgliedschaft nur solche Daten von Mitgliedern erheben, die für die Begründung und Durchführung des zwischen Mitglied und Verein  (…) erforderlich sind. Damit dürfen alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder(wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum, ferner Bankverbindung, Bankleitzahl und Kontonummer) notwendig sind.  “

SEITE 15: „Nach Art. 32 DS-GVO sind bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen (…)“ / „dass die in einem Computersystem abgelegten Mitgliederdaten von Unbefugten genutzt werden können – an die Einrichtung von passwortgeschützten Nutzer-Accounts und eines Firewall-Systems sowie eine Verschlüsselung der Mitgliederdaten zu denken. Grundsätzlich sind die Maßnahmen auch dann geboten, wenn die Datenverarbeitung von Mitgliedern ehrenamtlich zu Hause mit eigener EDV-Ausstattung erledigt wird.“

SEITE 15/16: „Datenverarbeitung im Auftrag: Insbesondere kleine Vereine bedienen sich zur Finanzierungs- und Adressverwaltung mitunter Sparkassen und sonstiger Dienstleister. Diese werden als Auftragsverarbeiter nach Weisung des Vereins tätig. Eine Datenverarbeitung im Auftrag ist auch dann gegeben, wenn ein Verein seine Mitgliederdaten nicht auf einer eigenen EDV-Anlage speichert, sondern hierfür über das Internet einen Datenbankserver nutzt, den ein Dienstleistungsunternehmen zu diesem Zweck zur Verfügung stellt. (Anmerkung: zum Beispiel in der Cloud)“ / „Die Auftragsverarbeitung darf nur auf der Grundlage eines bindenden Vertrages erfolgen.“ => hier muss Einiges eingehalten werden, Details auf den Seiten 15-18

SEITE 19: „4.1 Nutzung von Mitgliederdaten: Innerhalb eines Vereins sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung bestimmt. Für den Umgang mit Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten oder nutzen darf.“

Seite 19/20: „Die Daten seiner Vereinsmitglieder darf der Verein nur für Spendenaufrufe und für Werbung zur Erreichung der eigenen Ziele des Vereins nutzen (Art. 6 Abs. 1 lit. b) DS-GVO). Die Nutzung von Mitgliederdaten für die Werbung Dritter ist ohne Einwilligung der Mitglieder (s. o. Nr. 1.3.4) grundsätzlich nicht zulässig.“

Seite 21: „Datenübermittlung an Vereinsmitglieder: (…) Vereinsmitglieder dürfen also nicht einfach auf die Daten der anderen Mitglieder Zugriff nehmen, sei es, dass an sie Mitgliederlisten ausgegeben werden, sei es, dass die Personalien aller Mitglieder im Vereinsheim oder an einer anderen Stelle ausgehängt oder so in das Internet eingestellt werden, dass die anderen Mitglieder die Daten unter Verwendung eines Passworts abrufen können.“

Seite 23: „Persönliche Nachrichten mit einem Bezug zum Verein wie Eintritte, Austritte, Spenden, Geburtstage und Jubiläen können veröffentlicht werden, wenn dem Verein keine schutzwürdigen Belange des Betroffenen bekannt sind, die dem entgegenstehen. Es empfiehlt sich, beim Eintritt in den Verein darauf aufmerksam zu machen, welche Ereignisse üblicherweise am „Schwarzen Brett“ oder im Vereinsblatt veröffentlicht werden und darum zu bitten, mitzuteilen, wenn dies nicht gewünscht wird.“

Seite 27: „Veröffentlichungen im Internet: (…) Deswegen ist die Veröffentlichung personenbezogener Daten durch einen Verein im Internet grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat (s. o. Nr. 1.3.4).  Allerdings gibt es auch hier Ausnahmen. So dürfen die Funktionsträger eines Vereins auch ohne ausdrückliche Einwilligung mit ihrer „dienstlichen“ Erreichbarkeit in das Internet auf der Homepage des Vereins eingestellt werden. Die private Adresse des Funktionsträgers darf allerdings nur mit seinem Einverständnis veröffentlicht werden (s. o. Nr. 1.3.4).

Informationen über Vereinsmitglieder (z.B. Spielergebnisse und persönliche Leistungen, Mannschaftsaufstellungen, Ranglisten, Torschützen usw.) oder Dritte (z.B. Spielergebnisse externer Teilnehmer an einem Wettkampf) können ausnahmsweise auch ohne Einwilligung kurzzeitig ins Internet eingestellt werden, wenn die Betroffenen darüber informiert sind und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der Veröffentlichung im Einzelfall überwiegen.“

Seite 30: „Recht auf Löschung und Einschränkung personenbezogener Daten: (…) personenbezogene Daten unverzüglich zu löschen, sofern sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft oder (…). Bezüglich des Zwecks muss der Verein daher festlegen, welche Arten von Daten bis zu welchem Ereignis (z.B. Austritt aus dem Verein, Tod) oder für welche Dauer verarbeitet werden.

Seite 31: „Beim Ausscheiden oder dem Wechsel von Funktionsträgern ist sicherzustellen, dass sämtliche Mitgliederdaten entweder ordnungsgemäß gelöscht oder an den Nachfolger oder einen anderen Funktionsträger des Vereins übergeben werden und keine Kopien und Dateien mit Mitgliederdaten beim bisherigen Funktionsträger verbleibenAuch hierzu sollte der Verein Regelungen treffen.

Seite 31: „Benennung eines Datenschutzbeauftragten: (…) ist ein Datenschutzbeauftragter zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“ => Der Begriff Verarbeitung beinhaltet auch die einfache „Nutzung“ von Mitgliederdaten. Damit gehören, nach meinem Verständnis, zu den Personen alle Abteilungsleiter, Trainer, Betreuer dazu, die Mitgliederdaten nutzen (z.B. auch Mannschaftslisten). 10 Personen wären danach recht schnell erreicht.

Seite 32: „Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutzbeauftragten nicht vom Vereinsvorstand oder dem für die Datenverarbeitung des Vereins Verantwortlichen wahrgenommen werden, (…). Der Datenschutzbeauftragte muss nicht Mitglied des Vereins sein (Art. 37 Abs. 6 DS-GVO).“ / „Der Verein hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und die Daten der zuständigen Aufsichtsbehörde mitzuteilen.“ / „Besteht keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, muss sich der Vereinsvorstand selbst um die Einhaltung des Datenschutzes durch den Verein kümmern.“

Hinweis: Eine namentliche Nennung des Datenschutzbeauftragten im Internet ist nicht nötig, die Angabe der E-Mail Adresse reicht aus.

Seite 33: „Verzeichnis von Verarbeitungstätigkeiten: Gemäß (…) hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. (…) Das Verzeichnis muss zwingend folgende Angaben enthalten“ => siehe umfangreiche Liste auf Seite 33 / „Das Verarbeitungsverzeichnis muss schriftlich oder in einem elektronischen Format (s.o. Nr. 3.2) geführt werden“

Seite 35: steht ein „Muster einer Einwilligungserklärung  für die Veröffentlichung von Mitgliederdaten im Internet

Ergänzungen

Umgang mit Datenschutzverletzungen: Datenschutzverletzungen sind der Aufsichtsbehörde zu melden (hierzu gibt es bereits ein Online-Formular). Dies ist bspw. ein offener  E-Mailverteiler im CC (statt im BCC) oder der Verlust der Mitgliederdatenbank.

1 Gedanke zu „Datenschutzgrundverordnung für Vereine

  1. ich finde prima, wie Du es geschafft hast, die 36 Seiten des württ. Landesbeauftragten für den Datenschutz auf das wesentliche zu reduzieren.
    Viele Vereine sind mit diesen neuen strengen Regelungen vollkommen überfordert und verfallen in blinden Aktionismus.
    Dies halte ich für völlig verrückt! m.E. genügt es vollkommen, wenn man – wie bisher – sorgsam mit personenbezogenen Daten
    (der Vereins-Mitglieder) umgeht, gut darauf achtet, wer wie damit umgehen darf und muss, sowie dokumentiert, was alles, wo,
    durch wen und zu welchem Zweck erfasst ist bzw. wurde. Guten Gewissens sollte man – auf Anfrage – jederzeit auch darüber
    Auskunft geben können. Seit Ende Mai gibt es immer mehr verrückte News, wie z.B. „DSGVO-Aufträge bleiben aus: Abmahn-Anwälte erfinden Mandanten“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.