Die Datenschutz-Grundverordnung (DSGVO) trifft nicht nur Beh\u00f6rden und Unternehmen. Auch Vereine sind in der Pflicht, die gesetzlichen Vorgaben zum Datenschutz einzuhalten. Die wenigsten Vereine haben jedoch die Manpower oder finanziellen Mittel, sich intensiv mit der Thematik auseinanderzusetzen. Deshalb geben wir Euch heute eine Hilfestellung und zeigen auf, was mit der DSGVO auf Vereine und andere Non-Profit-Organisationen zukommt.<\/p>\n
Die Datenschutz-Grundverordnung regelt ab dem 25. Mai 2018 europaweit das Verarbeiten personenbezogener Daten. Davon sind nicht nur gro\u00dfe Unternehmen betroffen. Auch Vereine und andere Non-Profit-Organisationen gehen sehr intensiv mit personenbezogenen Daten um. Sehen wir uns das n\u00e4her an:<\/p>\n
Der Mitgliedsantrag des Vereins, das Anmeldeformular f\u00fcr Wettk\u00e4mpfe, das Patenschaftsformular f\u00fcr Tiere im Tierheim \u2013 jeder Verein erh\u00e4lt personenbezogene Daten der Mitglieder. Die Vereinssatzung beziehungsweise die in ihr formulierten Vereinsziele entscheiden ma\u00dfgeblich, welche Daten durch den Verein erhoben werden d\u00fcrfen und sollen. Vereine sind in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.<\/p>\n
Das Erheben und Speichern bzw. Verarbeiten solcher Daten bedarf gem\u00e4\u00df DSGVO einer eindeutigen Einwilligung des Mitglieds. Eine solche Einwilligung k\u00f6nnt Ihr im Mitgliedsantrag integrieren oder auf jedem weiteren Formular. Wir kommen weiter unten erneut auf Einwilligungen zu sprechen.<\/p>\n
In aller Regel k\u00f6nnen Vereine nur durch ihre Spender und F\u00f6rderer existieren. Zu den personenbezogenen Daten dieser Spender und F\u00f6rderer geh\u00f6ren etwa der Name, die Adresse sowie die Bankverbindung. Diese Daten d\u00fcrfen ausschlie\u00dflich erhoben werden, um die Spenden abwickeln zu k\u00f6nnen. Jedwede freiwillige Angabe bedarf \u2013 wie auch bei den freiwilligen Angaben der Vereinsmitglieder \u2013 einer Einwilligungserkl\u00e4rung.<\/p>\n
Das bedeutet f\u00fcr Eure Vereinspraxis: Ihr d\u00fcrft Eurem Spender\/ F\u00f6rderer auch nur nach einer entsprechenden Einwilligung Informationen zum Verein (z. B. Newsletter oder Spendenwerbung) zusenden.<\/p>\n
Viele Vereine pr\u00e4sentieren sich und ihr Vereinsleben im World Wide Web \u2013 allem voran wohl auf der Website und auf sozialen Netzwerken wie Facebook. Personenbezogene Daten d\u00fcrfen im Internet nur nach einer ausdr\u00fccklichen Einwilligung des jeweiligen Mitglieds ver\u00f6ffentlicht werden. Nach Vorgaben der DSGVO muss der Verein diese Einwilligung entsprechend dokumentieren.<\/p>\n
Es existieren jedoch auch Ausnahmen: M\u00f6chte Euer Verein funktionsbezogene Daten ver\u00f6ffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Vereinsfunktion\u00e4rs, kann das ohne Einwilligung geschehen. Die Angabe privater (E-Mail-)Adressen jedoch bedarf wieder der Einwilligung des Vereinsfunktion\u00e4rs. Ohne Einwilligung zul\u00e4ssig sind zudem das Ver\u00f6ffentlichen von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen.<\/p>\n
Der Sportverein darf auch ohne Einwilligungen Ergebnisse aus Wettk\u00e4mpfen oder Ranglisten mit Spielernamen ver\u00f6ffentlichen. Die Wettk\u00e4mpfe werden \u00f6ffentlich ausgetragen und der Verein hat ein sogenanntes „berechtigtes Interesse“ daran, relevante Ergebnisse des Vereinslebens der Au\u00dfenwelt zug\u00e4nglich zu machen. Jedoch d\u00fcrfen ausschlie\u00dflich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft ver\u00f6ffentlicht werden.<\/p>\n
Das Ver\u00f6ffentlichen dar\u00fcber hinaus gehender Daten bedarf einer ausdr\u00fccklichen Einwilligung. Beachtet au\u00dferdem, dass die ver\u00f6ffentlichten Daten nach einem angemessenem Zeitraum wieder gel\u00f6scht werden m\u00fcssen: Auch Teilnehmer eines Wettkampfs haben ein „Recht auf Vergessenwerden“ (siehe dazu unser Artikel „Betroffenenrechte & Datenschutzerkl\u00e4rung nach DSGVO“<\/a>).<\/p>\n Im Rahmen ihrer \u00d6ffentlichkeitsarbeit ver\u00f6ffentlichen viele Vereine und andere Non-Profit-Organisationen Fotos und Videos im Internet, beispielsweise in den sozialen Netzwerken. Ihr betretet hier d\u00fcnnes Eis, denn nicht nur datenschutzrechtliche Fragen spielen beim Ver\u00f6ffentlichen von Fotos und Videos eine Rolle: Das Kunsturhebergesetz (KUG) erkl\u00e4rt, dass Ihr Fotos und Videos erst nach Einwilligung der oder des Abgebildeten ver\u00f6ffentlichen d\u00fcrft.<\/p>\n Eine Ausnahme gibt es f\u00fcr Medien, die bei \u00f6ffentlichen Vorg\u00e4ngen entstanden sind. Nehmen wir als Beispiel einen Sch\u00fctzenumzug Eures Vereins: Ihr d\u00fcrft Fotos und Videos rechtm\u00e4\u00dfig und ohne Einwilligung ver\u00f6ffentlichen, wenn eine Menschenansammlung gezeigt wird und keine Einzelperson im Fokus steht.<\/p>\n Zur Fallstricke kann das Abbilden von Minderj\u00e4hrigen werden. Hier ist es ratsam, schon im Vorfeld eine Einwilligung des gesetzlichen Vertreters einzuholen.<\/p>\n <\/p>\n Wir haben nur wenige Beispiele aus einem Vereinsleben herausgepickt \u2013 und doch zeigen diese bereits, wie intensiv Vereine und andere Non-Profit-Organisationen mit personenbezogenen Daten umgehen. Verst\u00f6\u00dfe gegen das Datenschutzgesetz werden mit erheblichen Bu\u00dfgeldern belegt, die ein Verein f\u00fcr gew\u00f6hnlich nicht decken k\u00f6nnen wird. Ein weiteres Problem: Im Fall einer Datenschutzverletzung k\u00f6nnen Vereinsmitglieder und andere ggf. geschadeten Personen Schadenersatz geltend machen.<\/p>\n Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen. Achtet besonders auf vollst\u00e4ndige und datenschutzrechtlich wirksame Einwilligungen. Weitere relevante Punkte sind die folgenden:<\/p>\n In der Datenschutz-Grundverordnung beschreibt Art. 5 die Grunds\u00e4tze f\u00fcr die Verarbeitung personenbezogener Daten. Wie eingangs erw\u00e4hnt, gehen Vereine sehr intensiv mit eben solchen Daten um. Das Gesetz verlangt, dass Daten nur „f\u00fcr festgelegte, eindeutige und legitime Zwecke“ erhoben werden. Die Datenverarbeitung muss zudem „auf das f\u00fcr die Zwecke der Verarbeitung notwendige Ma\u00df beschr\u00e4nkt sein“.<\/p>\n Ihr habt es bereits herausgelesen: Es kommen viele neue Informationspflichten auf Euch zu! Die Datenschutz-Grundverordnung verpflichtet Vereine dazu, die Personen, deren Daten durch Euch verarbeitet werden, entsprechend und umfangreich zu informieren (Art. 13 DSGVO). Achtung: Der Betroffene muss bereits vor Verarbeitung seiner Daten informiert worden sein.<\/p>\n Das bedeutet f\u00fcr Euch: habt Ihr Eure Vereinsmitglieder, Spender und F\u00f6rderer bislang noch nicht informiert, m\u00fcsst Ihr dies noch nachholen \u2013 m\u00f6glichst bis zum 25. Mai 2018, um keine Bu\u00dfgelder zu riskieren.<\/p>\n Eine weitere Herausforderung f\u00fcr Vereine liegt in den technischen und organisatorischen Ma\u00dfnahmen, die nach Art. 24 Abs. 1 Datenschutz-Grundverordnung auf Euch zukommen. Ihr seid verpflichtet, Datensicherheit zu gew\u00e4hrleisten. Konkret trifft das Eure Kommunikation mit Vereinsmitgliedern, Spendern und F\u00f6rderern (E-Mail- und Websiteverschl\u00fcsselung), aber auch Eure Datenspeicherung (Datenverschl\u00fcsselung, Daten-Backup, etc.). Ihr m\u00fcsst bei s\u00e4mtlichen Datenverarbeitungsvorg\u00e4ngen \u00fcberpr\u00fcfen, ob Ihr ausreichende Sicherheitsvorkehrungen getroffen habt.<\/p>\n Daf\u00fcr lohnt sich das Anlegen eines Verfahrensverzeichnisses. Dieses Verzeichnis zeigt alle Prozesse der Datenverarbeitung auf und kann als Basis f\u00fcr die Erf\u00fcllung weiterer gesetzlicher Grundlagen dienen. Lest dazu bitte unseren Artikel „Das Verfahrensverzeichnis \u2013 Vorbereitungen zur DSGVO“<\/a>.<\/p>\n Das Verfahrensverzeichnis ist nicht nur K\u00fcr, sondern Pflicht \u2013 aber auch ein sehr hilfreiches Tool. Art. 30 Abs. 1 Datenschutz-Grundverordnung gibt vor, dass „ein Verzeichnis aller Verarbeitungst\u00e4tigkeiten, die eurer Zust\u00e4ndigkeit unterliegen“ gef\u00fchrt werden muss. Art. 30 Abs. 5 DSGVO erkl\u00e4rt zwar, dass ein Verfahrensverzeichnis erst ab 250 Mitarbeitern sein muss. Jedoch folgt darauf eine Ausnahme, die auf so ziemlich alle Vereine zutrifft: „die Verarbeitung erfolgt nicht nur gelegentlich“.<\/p>\n Gerade als Verein ben\u00f6tigt Ihr viele Einwilligungen Eurer Mitglieder, Spender und F\u00f6rderer. Hier gibt Art. 4 Abs. 11 Datenschutz-Grundverordnung Auskunft: Betont wird, dass eine Einwilligung eine „unmissverst\u00e4ndlich abgegebene Willensbekundung“ sein soll bzw. eine „eindeutig best\u00e4tigende Handlung“ haben muss. Vorangekreuzte Checkboxen sind nicht mehr zul\u00e4ssig!<\/p>\n Dar\u00fcber hinaus wird in Art. 7 Abs. 2 DSGVO erkl\u00e4rt, dass eine Einwilligung „in verst\u00e4ndlicher und leicht zug\u00e4nglicher Form in einer klaren und einfachen Sprache“ vorliegen muss. Pr\u00fcft also, ob Eure bisherigen Einwilligungserkl\u00e4rungen diesen Anforderungen standhalten.<\/p>\n Auch Vereine nutzen immer h\u00e4ufiger Drittanbieter: Die Daten lagern in der Cloud, sie liegen auf Servern eines Anbieters oder \u00fcber die gehostete Website werden Daten erfasst oder versendet. Beauftragt Euer Verein eine juristische oder nat\u00fcrliche Person mit der Verarbeitung personenbezogener Daten, seid Ihr in der Pflicht sicherzustellen, „dass geeignete technische Ma\u00dfnahmen so durchgef\u00fchrt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt“. Dies besagt Art. 28 Abs. 1 Datenschutz-Grundverordnung. Art. 28 Abs. 3 DSGVO erg\u00e4nzt, dass dies „auf der Grundlage eines Vertrags“ erfolgt. Pr\u00fcft also die aktuellen Vertr\u00e4ge mit Auftragsdatenverarbeitern und passt diese ggf. an.<\/p>\n Nehmen wir an, Euer Sportverein speichert die Daten Eurer Mitglieder in der Cloud \u2013 einschlie\u00dflich personenbezogener und zuzuordnender Gesundheitsdaten. Dies w\u00e4re ein risikobehafteter Datenverarbeitungsvorgang. Art. 35 Abs. 1 Datenschutz-Grundverordnung schreibt dann vor, „vorab eine Absch\u00e4tzung der Folgen der vorgesehenen Verarbeitungsvorg\u00e4nge f\u00fcr den Schutz personenbezogener Daten“ durchgef\u00fchrt zu haben. In Abs. 7 findet Ihr die Mindestinhalte, die eine Datenschutz-Folgeabsch\u00e4tzung inkludieren sollte.<\/p>\n Was tun im Falle einer Datenschutzpanne? Spinnen wir den Faden von eben weiter: Die Cloud mit den Daten Eurer Mitglieder wird gehackt. Hier nimmt Euch Art. 33 Abs. 1 DSGVO in die Pflicht: Eine „Verletzung des Schutzes personenbezogener Daten [muss] … unverz\u00fcglich und m\u00f6glichst binnen 72 Stunden … der zust\u00e4ndigen Aufsichtsbeh\u00f6rde“ gemeldet werden.<\/p>\n Praxistipp: Fertigt bereits im Vorfeld ein Muster f\u00fcr eine solche Datenschutz-Meldung an. Bestimmt zudem eine Person, die im Fall einer Datenschutzverletzung die Meldung vornimmt. Welche Mindestinhalte die Meldung enthalten sollte, regelt Art. 33 Abs. 3 DSGVO.<\/p>\n Schon jetzt gilt eine wichtige Regelung: Sind in Eurem Verein mindestens 10 Personen st\u00e4ndig mit dem Verarbeiten von Daten besch\u00e4ftigt, m\u00fcsst Ihr einen DSB benennen (Art. 38 BDSG neu). Intensiviert wurden jedoch die k\u00fcnftigen Aufgaben des Datenschutzbeauftragten. Unter anderem geh\u00f6ren die folgenden Schwerpunkte zur Arbeit des DSB: „Beratung des Verantwortlichen“, „Zusammenarbeit mit der Aufsichtsbeh\u00f6rde“, „Sensibilisierung und Schulung der an den Verarbeitungsvorg\u00e4ngen beteiligten Mitarbeiter“ und die „\u00dcberwachung der Einhaltung der Verordnung“.<\/p>\n Der DSB oder eine andere bestimmte Person im Verein sollte zudem die Dokumentationen \u00fcberwachen bzw. durchf\u00fchren. Art. 5 Abs. 2 DSGVO erkl\u00e4rt, dass es bei Datenschutzverst\u00f6\u00dfen am Verein ist, nachzuweisen, dass die datenschutzrechtlichen Vorschriften eingehalten wurden. Eine Dokumentation der Verarbeitungsvorg\u00e4nge unterst\u00fctzt dabei.<\/p>\n <\/p>\n Gerade f\u00fcr Vereine, die f\u00fcr gew\u00f6hnlich \u00fcber geringe finanzielle Mittel verf\u00fcgen, ist es schwierig, die Datenschutz-Grundverordnung fristgerecht und rechtssicher umzusetzen. Mit einem Verzeichnis der Verarbeitungst\u00e4tigkeiten geht Ihr einen ersten sehr wichtigen Schritt.<\/p>\n Der Landesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit Baden-W\u00fcrttemberg (LfDI) hat aufgrund vieler Nachfragen von Vereinen eine Orientierungshilfe geschaffen. Auf etwas \u00fcber 30 Seiten erfahren Vereine mehr \u00fcber das Thema Datenschutz. Ihr k\u00f6nnt euch das PDF auf der Internetseite des LfDI herunterladen<\/a>.<\/p>\n M\u00f6chtet Ihr beratende und praktische Hilfe, unterst\u00fctzen wir Euch gerne beim Umsetzen der Datenschutz-Grundverordnung! Nehmt einfach Kontakt zu uns<\/a> auf und wir unterst\u00fctzen Euch tatkr\u00e4ftig.<\/p>\n","protected":false},"excerpt":{"rendered":" Die Datenschutz-Grundverordnung (DSGVO) trifft nicht nur Beh\u00f6rden und Unternehmen. Auch Vereine sind in der Pflicht, die gesetzlichen Vorgaben zum Datenschutz einzuhalten. Die wenigsten Vereine haben jedoch die Manpower oder finanziellen Mittel, sich intensiv mit der Thematik auseinanderzusetzen. Deshalb geben wir Euch heute eine Hilfestellung und zeigen auf, was mit der DSGVO auf Vereine und andere … <\/p>\nVer\u00f6ffentlichung von Medien<\/h4>\n
Der Vereins-Datenschutz: Viele Ma\u00dfnahmen werden notwendig<\/h2>\n
Grunds\u00e4tze der Verarbeitung personenbezogener Daten<\/h4>\n
Informationspflichten<\/h4>\n
Technische und organisatorische Ma\u00dfnahmen<\/h4>\n
Einwilligungserkl\u00e4rungen<\/h4>\n
Auftragsdatenverarbeitung<\/h4>\n
Datenschutz-Folgeabsch\u00e4tzung<\/h4>\n
Meldepflichten<\/h4>\n
Datenschutzbeauftragter (DSB)<\/h4>\n
Leitfaden f\u00fcr Vereine im Datenschutz<\/h2>\n