VereinsGuide24
Anmelden & RegistrierenÜber uns

Datenschutz und DSGVO

Die europäische Datenschutzgrundverordnung (kurz: DSGVO) beschäftigt seit dem 25. Mai 2018 viele Menschen. Dazu zählen auch Verantwortliche von Vereinen und Verbänden. Durch die Unsicherheit der Anwendung führt die Verordnung häufig zu Überforderungen und erheblichem Mehraufwand.

In diesem Artikel erfahren Sie was die europäische Datenschutzgrundverordnung ist und welche Bedeutung sie für Vereine hat. Zudem erklären wir, in welchem Fällen sie einen Datenschutzbeauftragten benötigen und welche Aufgaben dieser hat.

 

 

Weitere Bereiche unserer Wissensdatenbank:


Wikipedia
Vereinsguide
Dokumente & Muster

1. Was ist die DSGVO?

Die DSGVO ist eine Verordnung, die den europaweiten Umgang mit personenbezogenen Daten regelt. Im Gegensatz zu einer Richtlinie gilt die Verordnung unmittelbar und für alle Mitgliedsstaaten gleichermaßen, was ihre Wichtigkeit verdeutlicht.

 

Die europäische Datenschutzgrundverordnung klärt staatenübergreifend den Umgang mit personenbezogenen Daten innerhalb der Mitgliedsstaaten der europäischen Union. Dazu zählen nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine Identifizierte oder identifizierbare natürliche Person beziehen. Zu solchen Informationen gehören: Name, Anschrift, Geburtsdatum, E-Mail-Adresse, aber auch Fotos und Beiträge im Internet, sowie Daten zur Gesundheit oder Religion.

 

Mit Hilfe der Verordnung sollen klare Vorgaben für den Umgang mit diesen Daten für alle Wirtschafts- und Gesellschaftsteilnehmer geschaffen werden, zu denen auch Vereine zählen. Zusätzlich regelt die DSGVO in welchen Fällen und für welche Zwecke personenbezogene Daten gespeichert oder sogar weitergegeben werden dürfen und ob die Zustimmung der betroffenen Person in jedem Fall vorliegen muss.

 

Ziel der europäischen Datenschutzgrundverordnung ist insbesondere der Schutz des Grundrechts und der Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO). Der Datenschutz unterliegt durch die Verordnung klaren Grundwerten, die für alle in der europäischen Union agierenden Wirtschafts- und Gesellschaftsteilnehmer bindend sind, die personenbezogene Daten verarbeiten.

 

2. Bedeutung für Vereine

Durch das Inkrafttreten der DSGVO im Mai 2018 hat sich auch für Vereine und Verbände einiges geändert. Denn auch im Vereinsleben ist das Verarbeiten personenbezogener Daten notwendig. So werden zum Beispiel Namen, Geburtsdaten, Adressen und Bankverbindungen zum Abschließen einer Mitgliedschaft und zur Berechnung des Mitgliedsbeitrages benötigt.

 

Aber auch die Veröffentlichung von Wettkampf-Ergebnissen und Ehrungen, sowie von Fotos und Kontaktdaten zählt zur Verarbeitung personenbezogener Daten. In diesem Fall ist die Datenerhebung zur Erfüllung des Vereinszwecks notwendig und somit auch zulässig. Für den rechtmäßigen Umgang mit den sensiblen Daten der Mitglieder hat der Vereinsvorstand zu sorgen.

 

Die rechtmäßige Verarbeitung von Daten im Verein richtet sich nach den speziellen Rechtsgrundlagen nach Art. 6 DSGVO. Die Rechtmäßigkeit einer Verarbeitung liegt in der Regel vor, wenn eine Einwilligung des Mitglieds vorliegt, die Verarbeitung für die Erfüllung von Vereinsaufgaben notwendig ist, die sich aus dem Vertragsverhältnis ergeben oder es ein berechtigtes Interesse für den Verein gibt. Welche Daten erhoben, gespeichert und verwendet werden dürfen, sollte in der Satzung des Vereins geschrieben stehen.

 

Die Vereinssatzung beschreibt, welchen Zwecken und Zielen der Verein sich verschreibt und gilt demnach sozusagen als Vertragsverhältnis zwischen Mitgliedern und Verein. Alle Personen, die innerhalb des Vereins Zugang zu personenbezogenen Mitgliederdaten haben, sind verpflichtet eine Verschwiegenheitserklärung zu unterzeichnen, um die Vertraulichkeit der sensiblen Daten zu gewährleisten. Zusätzlich ist der Zugang auf diejenigen Daten zu beschränken, die von der Person unmittelbar für die Verarbeitung zu Vereinszwecken benötigt werden. So sollte z.B. der Sportleiter nicht auf die Bankdaten der Mitglieder zugreifen können.

 

Alle Tätigkeiten bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Weitere führende Infos, wie so ein Verzeichnis gestaltet werden muss, finden Sie hier.

 

3. Weitere Anforderungen

a) Veröffentlichung von Fotos und Videoaufnahmen

Fotos und Videos gehören bei vielen Vereinen zum Alltag dazu, vor allem bei Veranstaltungen wie Turnieren oder der Weihnachtsfeier. Bilder und Videomaterial sind in den meisten Fällen sogar notwendig, um den Verein zu vermarkten und über die Webseite Auskunft über die Aktivitäten zu geben. Die Rechtsgrundlage für die Veröffentlichung von Fotos und Videos im Internet bildet neben dem Datenschutzrecht auch das Kunsturheberrecht (KUG).

 

Fotos und Videoaufnahmen von natürlichen Personen dürfen nach § 22 Abs. 1 KUG grundsätzlich nur mit Einwilligung des Abgebildeten veröffentlicht werden. Aus Gründen der Beweisbarkeit sollte diese Einwilligung schriftlich erteilt werden. In der Einwilligung, die meist vorformuliert ist, ist anzugeben, welche Aufnahmen (Bild- und Videoaufnahmen) auf welcher Internetseite zu welchem Zweck veröffentlicht werden. Die Einwilligungserklärung muss darüber hinaus einen Hinweis enthalten, dass die Einwilligung verweigert oder mit Wirkung für die Zukunft jederzeit widerrufen werden kann.

 

Liegen die Voraussetzungen des § 23 KUG vor, können Fotos auch ohne schriftliche Einwilligung veröffentlicht werden. Dies erfordert (ebenso wie Art. 6 Abs. 2 lit. f DSGVO) vor der Veröffentlichung eine Abwägung der schutzwürdigen Interessen des Abgebildeten mit den Interessen des Fotografen. Beispiele, wie eine solche Abwägung vorgenommen werden kann, finden Sie hier.

b) Vereins-Homepage

Um die Vereins-Webseite rechtssicher zu gestalten, gilt es die gesetzlichen Anforderungen der §§ 5 und 13 Telemediengesetz (TMG) und die datenschutzrechtlichen Informationspflichten gemäß Art. 12 f. DSGVO zu beachten. Zusätzlich gibt es weitreichende Anforderungen an den Einsatz von Cookies und Tracking-Technologien nach den Rechtsprechungen des EuGH, BGH und der zugrundliegenden Cookie-Richtlinie (EG/2002/58), die im Bedarfsfall umzusetzen sind.

 

Im Rahmen der Datenschutzerklärung auf der Vereins-Homepage muss auf alle stattfindenden Datenverarbeitungen auf der Homepage hingewiesen werden und dabei die vorgeschriebenen Informationspflichten nach Art. 13 DSGVO erfüllt werden. Die zu berücksichtigenden Informationspflichten finden Sie hier. Ein Muster für eine Datenschutzerklärung auf Ihrer Webseite finden Sie hier.

c) E-Mail-Marketing

Viele Vereine nutzen bereits die Möglichkeiten des E-Mail- bzw. Newsletter-Marketings, um ihre Bekanntheit zu steigern oder um Mitgliedern und Sponsoren ein stärkeres Zusammengehörigkeitsgefühl zu vermitteln. Dabei muss sich der Verein aber sowohl an datenschutzrechtliche als auch an Wettbewerbsregeln halten. Für jegliche Art von E-Mail-Werbung, z.B. ein Newsletter oder die Bewerbung von Vereinsveranstaltungen bedarf der Einwilligung des Empfängers.

 

Dies geschieht meist durch die Eingabe der E-Mail-Adresse auf der Webseite und der Bestätigung, dass Werbung an diese Adresse geschickt werden darf. Die Zusendung von Werbung ohne entsprechende Einwilligung und auf Grundlage des berechtigten Interesses ist an die strengen Voraussetzungen des § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) gebunden und nur in Ausnahmefällen möglich.

d) Externe Dienstleister

Setzt der Verein einen externen Dienstleister ein, der personenbezogene Mitglieder- oder Mitarbeiterdaten für den Verein verarbeitet, so hat er mit dem Dienstleister einen sogenannten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zu schließen. In der Regel ist der Abschluss eines Auftragsdatenverarbeitungsvertrags erforderlich, wenn Dienstleister im Bereich IT, Marketing oder Werbung für den Verein beschäftigt werden und diese nur auf Weisung des Vereins arbeiten.

 

Kein Auftragsverarbeitungsvertrag muss dagegen mit der Post, die Vereinsinfos an die Mitglieder verteilt oder der Bank, die Mitgliedsbeiträge abbucht, sowie mit Steuerberatern geschlossen werden. Ein Muster wie so ein Auftragsverarbeitungsvertrag auszusehen und welche Punkte er zu berücksichtigen hat, finden Sie hier.

e) Datenschutzfolgeabschätzung

Führt ein Verein eine neue Form der Verarbeitung ein, bei der neue Technologien verwendet werden und die aufgrund der Art, des Umfangs, der Umstände und des Zwecks voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat der Verantwortliche hierzu eine Datenschutzfolgeabschätzung durchzuführen. Als Orientierung bei welchen Verarbeitungen Datenschutzfolgeabschätzungen durchzuführen sind, haben verschiedene Bundesländer so genannte Blacklists eingeführt.

 

4. Die/Der Datenschutzbeauftragte/r 

Ein Datenschutzbeauftragter stellt auf unabhängige Weise sicher, dass eine Organisation die Gesetze zum Schutz personenbezogener Daten anwendet. Artikel 37 der Datenschutzgrundverordnung regelt unter welchen Umständen ein Datenschutzbeauftragter benannt werden muss. Diese sind:

  1. Die Verarbeitung erfolgt durch eine Behörde oder eine öffentlich Stelle, mit Ausnahme von Gerichten.
  2. Die Kerntätigkeit des Verantwortlichen besteht in der Durchführung von Verarbeitungsvorgängen, welche. Aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  3. Die Kerntätigkeit besteht in der umfangreichen Verarbeitung von Daten nach Artikel 9 und 10 DSGVO.
     

 

In Deutschland greift zudem das Bundesdatenschutzgesetz (BDSG), welches die Pflicht zur Benennung eines Datenschutzbeauftragten weiter reglementiert.
 

Laut Bundesdatenschutzgesetz ist die Ernennung eines Datenschutzbeauftragten dann verpflichtend, wenn „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“
 

Dabei ist es irrelevant, welche Rolle die Personen im Vereinsalltag einnehmen. Die Regelung gilt für Festangestellte, freie Mitarbeiter, Teilzeitbeschäftigte und Ehrenamtliche. Entscheidend ist nur, ob die betroffene Person im Verein mit der Verarbeitung personenbezogener Daten beschäftigt ist.
 

Werden Daten behandelt, die einer Vorabkontrolle bedürfen, d.h. Auskünfte über politische Meinungen, politische Überzeugungen oder Gesundheit, ist gemäß Art. 37 DSGVO die Benennung eines Datenschutzbeauftragten für den Verein, ungeachtet der Mitarbeiterzahl, Pflicht. Ein Datenschutzbeauftragter kann extern bestellt oder aus dem Verein heraus fortgebildet werden.

Datenschutzbeauftragter im Verein

Die Aufgaben eines Datenschutzbeauftragten umfassen:

  1. Sachgemäße Umsetzung der geltenden nationalen und übernationalen Datenschutzgesetze
  2. Überarbeitung bestehender Abläufe und Mechanismen
  3. Überwachung der Mitarbeiter, die personenbezogene Daten verarbeiten
  4. Zuweisung von Zuständigkeiten der Mitarbeiter, Schulung dieser bezüglich ihrer Aufgabenbereiche und Überprüfung deren Verarbeitung personenbezogener Daten
  5. Ansprechpartner für Neuerungen und Streitfragen
  6. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO
  7. Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese bei auftretenden Fragen

 

5. Fazit

Der Vereinsalltag zieht eine Vielzahl von datenschutzrechtlichen Fragestellungen mit sich. Besonders kleine und mittlere Vereine befürchteten zum Zeitpunkt des Inkrafttretens der DSVO im Mai 2018 einen bürokratischen Mehraufwand und drohende Bußgelder aufgrund von falscher Umsetzung.
 

Die Aufsichtsbehörden der Länger reagierten mit Unterstützung in Form von Veröffentlichungen, die bei der Umsetzung unterstützen sollen. Einige davon finden Sie hier:

 

Baden-Württemberg: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Bayern: Bayerisches Landesamt für Datenschutzaufsicht

Bremen: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen

Hessen: Hessischer Beauftragter für Datenschutz und Informationsfreiheit

Mecklenburg-Vorpommern: Landtag Mecklenburg-Vorpommern u.a. in Zusammenarbeit mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit

Niedersachsen: Die Landesbeauftragte für den Datenschutz Niedersachsen

Nordrhein-Westfalen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Rheinland-Pfalz: Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz

Saarland: Unabhängiges Datenschutzzentrum Saarland

Sachsen: Sächsischer Datenschutzbeauftragter

Schleswig-Holstein: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

Auch die Bestellung eines professionell ausgebildeten Datenschutzbeauftragten kann viele aufkommenden Sorgen und Probleme lösen.

Weitere Leistungen vom VereinsGuide24

Finanzierung

für ein vielfältiges Vereinsleben

Bei einer zielführenden Finanzierung für Vereine & Verbände stellen sich viele Fragen. Wir haben Antworten!

 

mehr erfahren »

Digitalisierung

für mehr Zeit für die wichtigen Dinge

Die Vereinsarbeit ist in den letzten Jahren komplexer geworden. Wir begleiten Sie im Prozess der Digitalisierung.

 

mehr erfahren »

Versicherungen

Umfassender Versicherungsschutz

Wir informieren Sie darüber, welche Versicherungen Sie wirklich benötigen.

 

mehr erfahren »

E-MailKontakt
Kontakt – VereinsGuide24