Die Datenschutz-Grundverordnung für Vereine

Die Datenschutz-Grundverordnung (DSGVO) trifft nicht nur Behörden und Unternehmen. Auch Vereine sind in der Pflicht, die gesetzlichen Vorgaben zum Datenschutz einzuhalten. Die wenigsten Vereine haben jedoch die Manpower oder finanziellen Mittel, sich intensiv mit der Thematik auseinanderzusetzen. Deshalb geben wir Ihnen heute eine Hilfestellung und zeigen auf, was mit der DSGVO auf Vereine und andere Non-Profit-Organisationen zukommt.

Vereine und persönliche Daten?

Die Datenschutz-Grundverordnung regelt ab dem 25. Mai 2018 europaweit das Verarbeiten personenbezogener Daten. Davon sind nicht nur große Unternehmen betroffen. Auch Vereine und andere Non-Profit-Organisationen gehen sehr intensiv mit personenbezogenen Daten um. Sehen wir uns das näher an:

Vereinsmitglieder

Der Mitgliedsantrag des Vereins, das Anmeldeformular für Wettkämpfe, das Patenschaftsformular für Tiere im Tierheim – jeder Verein erhält personenbezogene Daten der Mitglieder. Die Vereinssatzung beziehungsweise die in ihr formulierten Vereinsziele entscheiden maßgeblich, welche Daten durch den Verein erhoben werden dürfen und sollen. Vereine sind in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.

Das Erheben und Speichern bzw. Verarbeiten solcher Daten bedarf gemäß DSGVO einer eindeutigen Einwilligung des Mitglieds. Eine solche Einwilligung können Sie im Mitgliedsantrag integrieren oder auf jedem weiteren Formular. Wir kommen weiter unten erneut auf Einwilligungen zu sprechen.

Spendenabwicklung

In aller Regel können Vereine nur durch ihre Spender und Förderer existieren. Zu den personenbezogenen Daten dieser Spender und Förderer gehören etwa der Name, die Adresse sowie die Bankverbindung. Diese Daten dürfen ausschließlich erhoben werden, um die Spenden abwickeln zu können. Jedwede freiwillige Angabe bedarf – wie auch bei den freiwilligen Angaben der Vereinsmitglieder – einer Einwilligungserklärung.

Das bedeutet für Ihre Vereinspraxis: Sie dürfen Ihrem Spender/ Förderer auch nur nach einer entsprechenden Einwilligung Informationen zum Verein (z. B. Newsletter oder Spendenwerbung) zusenden.

Veröffentlichungen im World Wide Web

Viele Vereine präsentieren sich und ihr Vereinsleben im World Wide Web – allem voran wohl auf der Website und auf sozialen Netzwerken wie Facebook. Personenbezogene Daten dürfen im Internet nur nach einer ausdrücklichen Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Nach Vorgaben der DSGVO muss der Verein diese Einwilligung entsprechend dokumentieren.

Es existieren jedoch auch Ausnahmen: Möchte Ihr Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Vereinsfunktionärs, kann das ohne Einwilligung geschehen. Die Angabe privater (E-Mail-)Adressen jedoch bedarf wieder der Einwilligung des Vereinsfunktionärs. Ohne Einwilligung zulässig sind zudem das Veröffentlichen von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen.

Der Sportverein darf auch ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen. Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes „berechtigtes Interesse“ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden.

Das Veröffentlichen darüber hinaus gehender Daten bedarf einer ausdrücklichen Einwilligung. Beachten Sie außerdem, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden müssen: Auch Teilnehmer eines Wettkampfs haben ein „Recht auf Vergessenwerden“ (siehe dazu unser Artikel „Betroffenenrechte & Datenschutzerklärung nach DSGVO“).

Veröffentlichung von Medien

Im Rahmen ihrer Öffentlichkeitsarbeit veröffentlichen viele Vereine und andere Non-Profit-Organisationen Fotos und Videos im Internet, beispielsweise in den sozialen Netzwerken. Sie betreten hier dünnes Eis, denn nicht nur datenschutzrechtliche Fragen spielen beim Veröffentlichen von Fotos und Videos eine Rolle: Das Kunsturhebergesetz (KUG) erklärt, dass Sie Fotos und Videos erst nach Einwilligung der oder des Abgebildeten veröffentlichen dürfen.

Eine Ausname gibt es für Medien, die bei öffentlichen Vorgängen entstanden sind. Nehmen wir als Beispiel einen Schützenumzug Ihres Vereins: Sie dürfen Fotos und Videos rechtmäßig und ohne Einwilligung veröffentlichen, wenn eine Menschenansammlung gezeigt wird und keine Einzelperson im Fokus steht.

Zur Fallstricke kann das Abbilden von Minderjährigen werden. Hier ist es ratsam, schon im Vorfeld eine Einwilligung des gesetzlichen Vertreters einzuholen.

Viele Maßnahmen werden notwendig

Wir haben nur wenige Beispiele aus einem Vereinsleben herausgepickt – und doch zeigen diese bereits, wie intensiv Vereine und andere Non-Profit-Organisationen mit personenbezogenen Daten umgehen. Verstöße gegen das Datenschutzgesetz werden mit erheblichen Bußgeldern belegt, die ein Verein für gewöhnlich nicht decken können wird. Ein weiteres Problem: Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere ggf. geschadeten Personen Schadenersatz geltend machen.

Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen. Achten Sie besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen. Weitere relevante Punkte sind die folgenden:

Grundsätze der Verarbeitung personenbezogener Daten

In der Datenschutz-Grundverordnung beschreibt Art. 5 die Grundsätze für die Verarbeitung personenbezogener Daten. Wie eingangs erwähnt, gehen Vereine sehr intensiv mit eben solchen Daten um. Das Gesetz verlangt, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden. Die Datenverarbeitung muss zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Informationspflichten

Sie haben es bereits herausgelesen: Es kommen viele neue Informationspflichten auf Sie zu! Die Datenschutz-Grundverordnung verpflichtet Vereine dazu, die Personen, deren Daten durch Sie verarbeitet werden, entsprechend und umfangreich zu informieren (Art. 13 DSGVO). Achtung: Der Betroffene muss bereits vor Verarbeitung seiner Daten informiert worden sein.

Das bedeutet für Sie: haben Sie Ihre Vereinsmitglieder, Spender und Förderer bislang noch nicht informiert, müssen Sie dies noch nachholen – möglichst bis zum 25. Mai 2018, um keine Bußgelder zu riskieren.

Technische und organisatorische Maßnahmen

Eine weitere Herausforderung für Vereine liegt in den technischen und organisatorischen Maßnahmen, die nach Art. 24 Abs. 1 Datenschutz-Grundverordnung auf Sie zukommen. Sie sind verpflichtet, Datensicherheit zu gewährleisten. Konkret trifft das Ihre Kommunikation mit Vereinsmitgliedern, Spendern und Förderern (E-Mail- und Websiteverschlüsselung), aber auch Ihre Datenspeicherung (Datenverschlüsselung, Daten-Backup, etc.). Sie müssen bei sämtlichen Datenverarbeitungsvorgängen überprüfen, ob Sie ausreichende Sicherheitsvorkehrungen getroffen haben.

Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses. Dieses Verzeichnis zeigt alle Prozesse der Datenverarbeitung auf und kann als Basis für die Erfüllung weiterer gesetzlicher Grundlagen dienen. Lesen Sie dazu bitte unseren Artikel „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“.

Das Verfahrensverzeichnis ist nicht nur Kür, sondern Pflicht – aber auch ein sehr hilfreiches Tool. Art. 30 Abs. 1 Datenschutz-Grundverordnung gibt vor, dass „ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“ geführt werden muss. Art. 30 Abs. 5 DSGVO erklärt zwar, dass ein Verfahrensverzeichnis erst ab 250 Mitarbeitern sein muss. Jedoch folgt darauf eine Ausnahme, die auf so ziemlich alle Vereine zutrifft: „die Verarbeitung erfolgt nicht nur gelegentlich“.

Einwilligungserklärungen

Gerade als Verein benötigen Sie viele Einwilligungen Ihrer Mitglieder, Spender und Förderer. Hier gibt Art. 4 Abs. 11 Datenschutz-Grundverordnung Auskunft: Betont wird, dass eine Einwilligung eine „unmissverständlich abgegebene Willensbekundung“ sein soll bzw. eine „eindeutig bestätigende Handlung“ haben muss. Vorangekreuzte Checkboxen sind nicht mehr zulässig!

Darüber hinaus wird in Art. 7 Abs. 2 DSGVO erklärt, dass eine Einwilligung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorliegen muss. Prüfen Sie also, ob Ihre bisherigen Einwilligungserklärungen diesen Anforderungen standhalten.

Auftragsdatenverarbeitung

Auch Vereine nutzen immer häufiger Drittanbieter: Die Daten lagern in der Cloud, sie liegen auf Servern eines Anbieters oder über die gehostete Website werden Daten erfasst oder versendet. Beauftragt Ihr Verein eine juristische oder natürliche Person mit der Verarbeitung personenbezogener Daten, sind Sie in der Pflicht sicherzustellen, „dass geeignete technische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt“. Dies besagt Art. 28 Abs. 1 Datenschutz-Grundverordnung. Art. 28 Abs. 3 DSGVO ergänzt, dass dies „auf der Grundlage eines Vertrags“ erfolgt. Prüfen Sie also die aktuellen Verträge mit Auftragsdatenverarbeitern und passen Sie diese ggf. an.

Datenschutz-Folgeabschätzung

Nehmen wir an, Ihr Sportverein speichert die Daten Ihrer Mitglieder in der Cloud – einschließlich personenbezogener und zuzuordnender Gesundheitsdaten. Dies wäre ein risikobehafteter Datenverarbeitungsvorgang. Art. 35 Abs. 1 Datenschutz-Grundverordnung schreibt dann vor, „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchgeführt zu haben. In Abs. 7 finden Sie die Mindestinhalte, die eine Datenschutz-Folgeabschätzung inkludieren sollte.

Meldepflichten

Was tun im Falle einer Datenschutzpanne? Spinnen wir den Faden von eben weiter: Die Cloud mit den Daten Ihrer Mitglieder wird gehackt. Hier nimmt Sie Art. 33 Abs. 1 DSGVO in die Pflicht: Eine „Verletzung des Schutzes personenbezogener Daten [muss] … unverzüglich und möglichst binnen 72 Stunden … der zuständigen Aufsichtsbehörde“ gemeldet werden.

Praxistipp: Fertigen Sie bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung an. Bestimmen Sie zudem eine Person, die im Fall einer Datenschutzverletzung die Meldung vornimmt. Welche Mindestinhalte die Meldung enthalten sollte, regelt Art. 33 Abs. 3 DSGVO.

Datenschutzbeauftragter (DSB)

Schon jetzt gilt eine wichtige Regelung: Sind in Ihrem Verein mindestens 10 Personen ständig mit dem Verarbeiten von Daten beschäftigt, müssen Sie einen DSB benennen (Art. 38 BDSG neu). Intensiviert wurden jedoch die künftigen Aufgaben des Datenschutzbeauftragten. Unter anderem gehören die folgenden Schwerpunkte zur Arbeit des DSB: „Beratung des Verantwortlichen“, „Zusammenarbeit mit der Aufsichtsbehörde“, „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ und die „Überwachung der Einhaltung der Verordnung“.

Der DSB oder eine andere bestimmte Person im Verein sollte zudem die Dokumentationen überwachen bzw. durchführen. Art. 5 Abs. 2 DSGVO erklärt, dass es bei Datenschutzverstößen am Verein ist, nachzuweisen, dass die datenschutzrechtlichen Vorschriften eingehalten wurden. Eine Dokumentation der Verarbeitungsvorgänge unterstützt dabei.

Leitfaden für Vereine

Gerade für Vereine, die für gewöhnlich über geringe finanzielle Mittel verfügen, ist es schwierig, die Datenschutz-Grundverordnung fristgerecht und rechtssicher umzusetzen. Mit einem Verzeichnis der Verarbeitungstätigkeiten gehen Sie einen ersten sehr wichtigen Schritt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat aufgrund vieler Nachfragen von Vereinen eine Orientierungshilfe geschaffen. Auf etwas über 30 Seiten erfahren Vereine mehr über das Thema Datenschutz. Sie können sich das PDF auf der Internetseite des LfDI herunterladen.

Möchten Sie beratende und praktische Hilfe, unterstützen wir Sie gerne beim Umsetzen der Datenschutz-Grundverordnung! Nehmen Sie einfach Kontakt zu uns auf und wir unterstützen Sie tatkräftig.