Die Datenschutz-Grundverordnung (DSGVO) kommt und jeder Verein erhebt persönliche Daten um zu funktionieren. Doch was bedeutet die neue Verordnung für Deinen Verein und welche Maßnahmen müssen ergriffen werden? Ein ersten Überblick und ein paar Tipps und Tricks dazu erhältst Du hier.
Ein Verein verwaltet viele personenbezogenen Daten. Von Mitgliedsdaten für die Mitgliederverwaltung, Kontodaten von Personen für die Bearbeitung der Zahlungen zum Mitgliedsbeitrag, Spielerdaten die ggf. auch an die Verbände gemeldet werden müssen bis hin zu Daten die Besucher der Webseite digital beim Verein hinterlassen. Und das sind nur einige Beispiele!
Natürlich blickt man als Verein diesem Thema mit Sorge entgegen. Gesetzliche Regelungen sind zumeist schwer lesbar formuliert und die Herausforderung liegt wie immer in der praktischen und auch technischen Umsetzung.
Was gibt es Neues zum Datenschutz und ab wann gilt es?
Bislang unterlag dies in Deutschland dem Bundesdatenschutzgesetz (BDSG). Neu hinzu kommt nun von der europäischen Ebene die Datenschutzgrundverordnung (DSGVO) bzw. vielmehr die EU-Datenschutzgrundverordnung (EU-DSGVO). Es liegt in der Natur der Sache, dass die personenbezogenen Daten im Verein einen sensiblen verantwortungsvollen Umgang verlangen.
Der Datenschutz legt mit seinen Gesetzen und Verordnungen hier nun noch einmal ein besonderes Augenmerk darauf. Für Vereine gelten ab dem 25.05.2018 nun nicht nur die Regularien des Bundesdatenschutzgesetzes, sonder auch der Datenschutzgrundverordnung. Dazu werden auch die entsprechenden Bußgelder drastisch erhöht, so dass jedem Verein zu raten ist sich mit dem Thema Datenschutz intensiv auseinanderzusetzen und natürlich auch die zugehörigen Regeln einzuhalten.
Diese Regeln sind bei der automatisierten, wie aber auch bei der nicht automatisierten Datenverarbeitung von personenbezogenen Daten anzuwenden. Personenbezogene Daten sind alle die Daten, die sich auf eine identifizierte oder identifizierbare natürlich Person beziehen. Und dazu gehören die Namen, Geburtsdaten, Anschriften, Emailadressen, Personalausweisnummern, Sozialversicherungs- und Steueridentifikationsnummern, Krankenversicherungsnummern, Bankdaten, Telefonnummern, IP-Adressen und vieles mehr. Dies geht dann über Schulnoten und Zeugnisse, Besitzmerkmale wie Immobilien- und Fahrzeugbesitz, bis hin zu persönlichen Merkmalen wie die Größe, Gewicht, Geschlecht, aber auch Religionszugehörigkeit und sexuelle Orientierung.
Welche Rechte haben die Personen deren Daten verarbeitet werden?
Technische und organisatorische Maßnahmen müssen gemäß der DSGVO für den Personenkreis derer, deren Daten verarbeitet werden, nachfolgendes ermöglichen:
– Zustimmung geben
– Widerspruch einlegen können
– Einsicht in die Daten verlangen können
– Den Verwendungszweck erfragen können
– Die Daten berichtigen oder auch löschen lassen können
Welche Grundsätze Du in Deinem Verein unbedingt einhalten solltest?
Grundsatz der Zweckbindung und Datenminimierung
Die DSGVO beschreibt einige Grundsätze zu der Verarbeitung personenbezogener Daten, die ihr auch als Verein beachten solltet. Dazu gehört der Grundsatz der Zweckbindung und Datenminimierung, d.h. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Und die Verarbeitung muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das beschreibt der Artikel 5 DSGVO.
Technische und organisatorische Maßnahmen
Auch Vereine müssen dafür Sorge tragen und überprüfen, ob die technischen und organisatorischen Maßnahmen der Datenverarbeitung die Datensicherheit im Verein gewährleisten. Bei allen Verarbeitungsvorgängen muss geprüft werden, ob die Sicherheitsvorkehrungen ausreichend sind. Dazu gehören die Datensicherung, Verschlüsselung, usw. Dies beschreibt der Artikel 24 DSGVO.
Informationspflichten
Der Verein ist verpflichtet, die Personen, deren Daten dort verarbeitet werden, darüber zu informieren. Dies umfasst umfangreiche Informationspflichten. Dies ist im Artikel 13 der DSGVO beschrieben. Dazu gehören Kontaktdaten der Verantwortlichen und des Datenschutzbeauftragten, die Dauer der Speicherung, die Darstellung des Rechtes auf Auskunft und einiges mehr.
Einwilligungserklärungen
Die DSGVO gibt detaillierte Regelungen zu Einwilligungserklärungen der Personen vor, deren personenbezogene Daten verarbeitet werden (Artikel 4). Dabei wird betont, dass dies eine unmissverständlich abgegebene Willensbekundung, bzw. eine eindeutig bestätigende Handlung sein muss. Hier Annahmen bei der Datenerhebung zu treffen ist nicht zulässig. Die Einwilligung hat in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen (Artikel 7 DSGVO). Bei der Gelegenheit solltest Du prüfen, ob vorliegende Einwilligungen noch diesen Anforderungen genügen.
Auftragsdatenverarbeitung
Sobald der Verein jemanden beauftragt die personenbezogenen Daten zu verarbeiten (Mitgliederverwaltung im Internet, Newsletter oder ähnliches), muss durch den Verein auch sichergestellt werden, dass technische und organisatorische Maßnahmen ergriffen werden, um auch hier den Anforderungen der DSGVO gerecht zu werden. Dies erfolgt dann auf Basis eines Vertrages zur Datenverarbeitung (Artikel 18 DSGVO) mit dem Auftragsdatenverarbeiter. Dieses verpflichtet den Verarbeiter die Daten nur für den vereinbarten Zweck zu nutzen. Darüber hinaus müssen die betroffenen Personen (Mitglieder, Interessenten usw.) darüber informiert werden, dass die Daten an diesen Dienstleister weitergeleitet werden.
Verfahrensverzeichnis
Nach Artikel 30 DSGVO sind Organisationen mit mehr als 250 Mitarbeitern verpflichtet, eine Verfahrensverzeichnis bzw. ein Verzeichnis aller Verarbeitungstätigkeiten in ihrer Zuständigkeit zu führen. Dazu gibt es dann aber wiederum eine Ausnahme wenn die Verarbeitung nicht nur gelegentlich erfolgt, was ja im Vereinsalltag dann durchaus der Fall ist.
Datenschutz-Folgeabschätzung
Im Verein ist zu prüfen, ob es risikobehaftete Datenverarbeitungsvorgänge gibt. D.h. die Daten sind besonders sensibel (Beispiel Gesundheitsdaten), so dass die Risiken und Folgen abzuschätzen sind. Zur Bewältigung der Risiken sind dann Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten sicherzustellen und nachzuweisen (Artikel 35 DSGVO).
Meldepflichten
Verletzungen des Schutzes personenbezogener Daten sind unverzüglich und innerhalb 72 Stunden den zuständigen Aufsichtsbehörden zu melden. Mindestinhalte dieser Meldung sind im Artikel 33 der DSGVO dargestellt. Hier benötigt der Verein also jemand der für diesen Fall zuständig ist und sich entsprechend kümmert.
Datenschutzbeauftragter
Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter muss nach Artikel 38 des BDSG benannt werden, wenn mehr als 9 Personen im Verein mit der Verarbeitung von Daten zu tun haben bzw. betraut oder beauftragt sind. Dieser Datenschutzbeauftragte hat jetzt auch die Beratung der Verantwortlichen, die Überwachung der Einhaltung der Verordnung, die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und die Zusammenarbeit mit den Aufsichtsbehörden zu übernehmen. Ob der Datenschutzbeauftragte eine interne oder externe Person ist, bleibt dem jeweiligen Verein überlassen.
Der Landesbeauftragte für Datenschutz in Niedersachsen hat hierzu auch eine Checkliste für Vereine herausgegeben, die Du hier findest.
Als Verein solltet ihr diesen Grundsätzen unbedingt nachkommen und dies auch dokumentieren. Nur so könnt ihr bei Datenschutzverletzungen nachweisen, dass ihr die entsprechenden Regelungen auch eingehalten habt.
"Wer wirklich etwas Gutes tun will, findet einen Weg; die anderen finden eine Ausrede."
Womit fangt ihr in Eurem Verein ganz konkret an?
Ein allererster Schritt ist natürlich immer erst einmal einen Zettel oder eine Liste her zunehmen und alle Datenverarbeitungsvorgänge aufzuschreiben. Dies verschafft Dir erst einmal einen Überblick an welchen Stellen und durch wen Daten verarbeitet und gehalten werden und wo ihr Euer Augenmerk drauf legen müsst.
Konkrete erste weitere Schritte sind dann:
Einrichtung von Zustimmungsverfahren der Mitglieder, damit sie der Datennutzung aktiv zustimmen.
Informieren von Interessenten und Mitgliedern, welche Daten zu welchem Zweck erhoben werden und wer sie verarbeitet.
Dokumentieren der Informations- und Zustimmungsverfahren.
Löschmöglichkeiten von Daten im Verein und auch bei Dienstleistern einrichten.
Schaffen von Möglichkeiten um den Mitgliedern ihre Daten zur Verfügung zu stellen. Dabei dürfen natürlich nur die Personen die Daten bekommen die ein Anrecht darauf haben.
Korrekturmöglichkeiten von falschen bzw. zu korrigierenden Daten schaffen.
Schaffen von Möglichkeiten um Einwände von Interessenten und Mitgliedern gegen die Nutzung und Datennutzungsbeschränkungen zeitnah umzusetzen.
Verstärken von Sicherheitsmaßnahmen zum Schutze der personenbezogenen Daten.
Weitere Prüfung und Einhaltung der Grundsätze zum Datenschutz in Deinem Verein (Datenschutzbeauftragter, Verfahrensverzeichnis, Auftragsdatenverarbeitung, Meldepflichten usw.)
Wie unschwer zu erkennen kann Euch im Verein eigentlich keiner so Recht diese Mühe abnehmen. Nur ihr wisst wo ihr überall welche Daten habt und verwaltet. Es führt leider kein Weg daran vorbei und jemand in Deinem Club muss sich tiefer mit diesem Thema und Eurer Datenhaltung auseinandersetzen. Gewisse Dinge können natürlich auch nicht von einem auf den anderen Tag geregelt werden. Dies geht ja bis hin zu Satzungsänderungen (Datenschutzklausel, Datenschutzerklärung o. ä). Hier ist es wichtig dass ihr dokumentiert, dass ihr dabei seid dieses zu regeln oder beispielsweise Auftragsdatenverarbeiter bereits angeschrieben und aufgefordert habt.
Aber: Das Ganze ist auch eine gute Gelegenheit einmal bei Euch im Verein aufzuräumen. Gibt es Daten die ihr eigentlich nicht mehr braucht, in Eure Webseite integrierte Tools die Daten womöglich weiterleiten aber keiner nutzt oder ähnliche Datensammlungen, dann streicht das doch einfach bei dieser Gelegenheit und sorgt dafür dass ihr nur die Daten erhebt, die ihr wirklich benötigt.
Da wir uns ja hier gerade online im Internet bewegen noch ein weiterer Hinweis. Bitte denkt unbedingt daran Euer Impressum und die Datenschutzhinweise (ein hilfreiches Tool ist der DSGVO Datenschutz-Generator) auf Eurer Vereinswebseite zu aktualisieren. Nicht das Du oder Dein Verein ein Opfer von sogenannten „Abmahnanwälten“ wird. Die werden sich natürlich als Erstes auf die Dinge stürzen, deren Einhaltung bzw. Nicht-Einhaltung von außen zum Beispiel über die Webseite klar erkennbar ist.
Zu guter Letzt noch ein offenes Wort. Klar bringt die DSGVO Neuerungen für den Verein, Änderungen an der Webseite und einige weitere Mühen mit sich. Natürlich sorgen der Datenschutz und bessere Sicherungssysteme dann aber auch dafür, dass es gar nicht erst zu Problemen im Bereich Datenschutz oder Datendiebstahl kommt.
Die gesamte Datenschutzgrundverordnung (DSGVO) findet sich übrigens hier zum Abruf.
Wer von Euch Informationen zur DSGVO lieber hört, kann zum Beispiel den Podcast „DSGVO – an sich ganz easy“ von Klaudia Zotzmann-Koch“ nutzen. Sie erläutert auf einfache Art und Weise die wesentlichen Inhalte, Zusammenhänge und Maßnahmen die auf der Datenschutzgrundverordnung beruhen.
Natürlich helfen hier auch entsprechende Fachbücher weiter:
Das Buch „Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)“ soll einen Überblick über die Datenschutz-Grundverordnung geben. Die Datenschutz-Grundverordnung wird ab dem 25.05.2018 europaweit angewendet. Das Bundesdatenschutzgesetz-Neu löst ab dem 25.05.2018 das bestehende Bundesdatenschutzgesetz in der Bundesrepublik Deutschland ab. Um Dir den Einstieg zu erleichtern wird Gesetzestext zum besseren Verständnis erläutert. Um Euch als Verein einen Einblick in die Thematik zu ermöglichen wird ein Beispiel anhand eines Vereines angeschaut.
Der Bestseller „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket“ herausgegeben vom
Das Taschenbuch „EU DSGVO – DSGVO Checkliste und DSGVO Einführung für Webseiten und Blogger: DSGVO Muster und DSGVO im Marketing. Datenschutzgrundverordnung 2018 für Einsteiger“ von Eugen Grinschuk erklärt, was die DSGVO ist, welche Strafen einen erwarten und was überhaupt zu tun ist. Auch eine DSGVO Checkliste ist vorhanden um die verschiedenen Punkte abzuarbeiten. Außerdem werden auch andere Themen beschrieben wie Social Media Plugins, Google Analytics, Tools, Newsletter, die Verwendung von Adsense & Co und wie dies mit der neuen Datenschutzrichtlinie einhergeht.
Weitere interessante Artikel für Dich auf Vereinsmeier.online:
Neue Einnahmequellen für Deinen Verein
Mehr erreichen mit Zusatzpositionen
Statistiken die Du kennen solltest
Hinweis: Die Beiträge auf dieser Seite dienen lediglich der allgemeinen Bildung und Information – nicht der juristischen Beratung bei rechtlichen Anliegen. Dieser Artikel ersetzt keine Beratung durch einen Rechtsanwalt, Steuerberater oder ähnlicher Beratungsstellen. Die Nutzung erfolgt auf eigene Verantwortung.
Wenn ich ehrenamtlich für einen Verein, in dem ich Mitglied bin, Datenschutzbeauftragter werde, wie sieht es da mit der Haftung aus? Ich habe bisher nur gelesen, dass ein externer Datenschutzbeauftragter Haftet und zwar mit dem gesamten Privatvermögen. Wie ist das bei ehrenamtlicher Tätigkeit im Verein?
Gibt es dazu irgendwo Infos?
Vielen Dank und beste Grüße
Hallo Maria,
zum Thema Haftung der Mitglieder mit dem Privatvermögen gibt es einen Artikel hier bei Vereinsmeier.online (http://vereinsmeier.online/haftung-der-mitglieder-mit-ihrem-vermoegen/).
Gemäß Art. 39 DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der
Einhaltung der datenschutzrechtlichen Regelungen im Verein verantwortlich. Er hat nicht nur eine allein beratende und unterstützende Funktion. Damit geht die Gefahr einer höheren Haftung des Datenschutzbeauftragten einher.
Auf Deine Frage bezogen ist sicherlich der $31 des BGB interessant. Dieser besagt im wesentlichen, dass Du als Vereinsmitglied, welches ehrenamtlich tätig wird, nur für einen Schaden haftest, den Du bei der Wahrnehmung der Dir übertragenen satzungsgemäßen Vereinsaufgaben verursacht hast, wenn Vorsatz oder grobe Fahrlässigkeit vorliegt.