DATENSCHUTZ IM VEREIN

Mit der Einführung der europäischen Datenschutzgrundverordnung DSGVO im Mai 2018 hat sich für Vereine die Anzahl der zu beachtenden Vorschriften in etwa vervierfacht. Viele Vereinsverantwortliche fühlen sich seitdem mit der Umsetzung der umfangreichen Vorgaben überfordert. Wird der Datenschutz jedoch vernachlässigt, kann das den Verein teuer zu stehen kommen. Es drohen Abmahnungen und hohe Bußgelder. Doch Datenschutz ist leichter gesagt als praktiziert. Nur weil etwas nicht ausdrücklich verboten ist, ist es datenschutzrechtlich auch erlaubt. Jede Verarbeitung personenbezogener Daten muss vielmehr auf einer Rechtsgrundlage basieren. Eine individuelle und rechtssichere Beratung von Fachanwälten für Ihre spezifischen Fragen rund um den Datenschutz in Ihrem Verein leisten wir im Rahmen unseres Vereins-Schutzbriefs.

Das Wichtigste auf einen Blick

  • Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, die sich aus der DSGVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergibt.
  • Der Verein darf nur solche personenbezogenen Daten seiner Mitglieder erheben und verarbeiten, die für die Verfolgung des Vereinsziels sowie für die Mitgliederbetreuung und -verwaltung erforderlich sind.
  • Der Verein muss technische und organisatorische Maßnahmen ergreifen, um die DSGVO umzusetzen. Das bedeutet auch, dass Vereinsmitglieder und Dritte ihre Zustimmung zur Datenverarbeitung geben müssen, Widerspruch einlegen können, Einsicht in die Daten verlangen können, den Verwendungszweck erfragen können, die Daten berichtigen oder unter Umständen sperren lassen können.
  • Beschäftigen sich mindestens 10 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten, ist der Verein verpflichtet einen internen oder externen Datenschutzbeauftragten zu benennen.
  • Im Falle der Auftragsdatenverarbeitung durch einen externen Dienstleister darf der Verein notwendige Daten weitergeben, ist aber nach wie vor für deren DSGVO-konforme Verarbeitung durch den Auftragnehmer verantwortlich und haftet ggf. für dessen Fehlverhalten.
  • Die Veröffentlichung personenbezogener Daten im Internet durch den Verein ist grundsätzlich nur mit ausdrücklicher Einwilligung des Mitglieds zulässig, die der Verein nach den Vorgaben der DSGVO auch entsprechend dokumentieren muss.

Was ist Datenschutz?

Sie kaufen online ein, Sie buchen eine Reise, Sie nutzen Apps auf dem Smartphone, Sie streamen Filme und Musik, posten auf Instagram, schließen eine Versicherung ab oder treten einem Verein bei. In allen Fällen übermitteln Sie wertvolle Daten zu Ihrer Person, Ihren Lebensumständen, Interessen und Gewohnheiten, die vor allem für die Wirtschaft von hohem Wert sind. Unternehmen nutzen diese Informationen, um Produkte und Services an Kundenwünsche anzupassen, aber auch um neue Kunden zu werben. Werden diese Daten unverschlüsselt weiterverarbeitet, sind die Informationen möglicherweise für Dritte frei verfügbar. Auf diese Weise kann es leicht zum Datenmissbrauch kommen. Es ist also wichtig, Daten zu schützen

Datenschutz ist der Schutz der personenbezogenen Daten eines jeden Einzelnen vor unerlaubter Erhebung, Verarbeitung und Weitergabe. Ziel ist es, das allgemeine Persönlichkeitsrechts, also die Grundrechte und Grundfreiheiten der betroffenen natürlichen Personen zu schützen. Datenschutzgesetze legen fest, in welcher Form und in welchem Umfang Daten geschützt werden müssen. In Deutschland und der EU wird dies unter anderem durch die Datenschutzgrundverordnung DSGVO geregelt.

Was sind personenbezogene Daten?

Durch die DSGVO sollen vor allem personenbezogene Daten vor Missbrauch geschützt werden. Damit sind alle Informationen gemeint, die einen Menschen und dessen Lebensumstände beschreiben, ihn also „identifizierbar“ machen. Art. 4 Nr. 1 der DSGVO stellt klar, dass alle Angaben, die Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität von natürlichen Personen ermöglichen, als personenbezogene Daten gelten. Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen.

Das können beispielsweise Namen und Telefonnummern sein. Aber auch Informationen zum Aussehen, das Kfz-Kennzeichen, die IP-Adresse oder auch weniger eindeutige Informationen, wie beispielsweise die Trainingszeiten oder die Fahrtroute zum Vereinsgelände können dazu beitragen, eine Person zu identifizieren und zählen daher zu den personenbezogenen Daten.

Einige sensible Daten, die z.B. Rückschlüsse auf die Herkunft, politische und religiöse Überzeugung, sexuelle Orientierung oder die Gesundheit zulassen, gelten dabei als besonders schützenswert. Ihre Verarbeitung ist ohne Einwilligung grundsätzlich untersagt.

Nicht von der DSGVO geschützt werden übrigens Angaben über Verstorbene, wie etwa in einem Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf einer Liste der Verstorbenen.

Beispiele für personenbezogene Daten

Name Haarfarbe / Augenfarbe Einkommen
Adresse Größe und Gewicht Steuerdaten
Geburtsdatum Persönliche Interessen Vertrags- und Besitz-
Alter Mitgliedschaften Verhältnisse
Familienstand Datum des Vereinsbeitritts Identifikationsnummer
Staatsangehörigkeit Sportliche Leistungen Sozialversicherungsnr.
Beruf Platzierungen Personalausweisnummer
Parteimitgliedschaft Auszeichnungen Sexuelle Orientierung
Konfession Verletzungen Trainingszeiten
E-Mail-Adresse Krankheiten Kurspläne
IP-Adresse Zeugnisse Intoleranzen
Überzeugungen Bankdaten Kleidergröße
Kfz-Kennzeichen Steuernummer Schuhgröße

Was ist mit Datenverarbeitung gemeint?

In der DSGVO wird einheitlich der Begriff Datenverarbeitung verwendet, anstatt zum Beispiel konkret von Erheben, Erfassen, Verwenden, Verbreiten, Abgleichen etc. zu sprechen. Datenverarbeitung beinhaltet alles, was mit den personenbezogenen Daten in Ihrem Verein passiert, also jede Form der Verwendung und Nutzung der Informationen, angefangen beim Erfassen neuer Mitglieder über das Ordnen, Speichern, Aktualisieren oder Löschen der Datensätze bis hin zur Verwendung z.B. für den Newsletter-Versand, die Vertragsgestaltung oder das Aufsetzen von Meldungen an Verbände und andere Organisationen. Dabei spielt es keine Rolle, ob die Daten digital oder analog verarbeitet werden.

Wann ist die Datenverarbeitung generell zulässig?

Die Datenverarbeitung durch den Verein ist immer dann zulässig, wenn dies vereinsintern die Mitglieder- und Vereinsverwaltung betrifft und zur Erfüllung der Vereinszwecke unbedingt erforderlich ist, bzw. ohne die Verarbeitung ein geregeltes Funktionieren des Vereins nicht möglich wäre. Aber Vorsicht: Das betrifft nicht automatisch alle Daten. Maßgeblich ist hier, was in der Satzung steht. Sieht der Satzungszweck z.B. für den Mitgliedsbeitrag keinen Bankeinzug vor, dürfen vom Vereinsmitglied auch keine Kontodaten (ohne freiwillige Einwilligung) erhoben werden.

Die Auftragsdatenverarbeitung

Die Datenverarbeitung muss nicht immer durch den Verein selbst erfolgen. Im Rahmen der Auftragsdatenverarbeitung können personenbezogene Vereinsdaten durch einen externen Auftragnehmer gespeichert und genutzt werden. Das ist zum Beispiel der Fall, wenn der Verein vertraglich einen Buchhalter oder ein Steuerbüro beschäftigt oder seine Homepage durch einen selbstständigen Webdesigner pflegen lässt. In diesen Fällen darf der Verein die notwendigen Daten weitergeben, ist aber nach wie vor für die DSGVO-konforme Verarbeitung durch den Auftragnehmer verantwortlich und haftet ggf. für dessen Fehlverhalten.

Vereine, die mit externen Dienstleistern zusammenarbeiten, sollten sicherstellen, dass diese alle datenschutzrechtlichen Vorgaben einhalten.

Kurz-Check zur Auftragsdatenverarbeitung

  • Wurde der Dienstleister (Auftragsverarbeiter) sorgfältig ausgewählt?
  • Wurden die Regelungen zum Datenschutz in eine entsprechende vertragliche Vereinbarung aufgenommen?
  • Hat der Auftragsverarbeiter seine konkreten Datenschutzmaßnahmen (am besten vertraglich) ausreichend dargestellt?
  • Hat der Verein die Datenschutzmaßnahmen des Dienstleisters kontrolliert?
  • Bei Beendigung des Vertrages: Müssen nach Ende der Vertragsbeziehungen Unterlagen zurückgegeben und Daten gelöscht werden?

DSGVO-Konforme Datenverarbeitung im Verein

ERHEBUNG VON DATEN DURCH DEN VEREIN

Tritt ein neues Mitglied dem Verein bei, stellt es dafür zunächst einen Aufnahme- bzw. Mitgliedsantrag oder eine Beitrittserklärung. Der Verein darf über den Antrag nur die Daten erheben, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder notwendig sind. Dazu zählen grundsätzlich der Name, die Anschrift und meist auch das Geburtsdatum. Angaben zur Bankverbindung kann der Verein zum Beispiel nur verlangen, wenn laut Satzung die Zahlung des Mitgliedsbeitrags per Bankeinzug erfolgt. Muss sich der Verein z.B. aus Fürsorgegründen gegen bestimmte Risiken versichern, dürfen auch weitere, für die Versicherung notwendige Daten erhoben werden. Wichtig ist, im Antragsformular auf die Datenerhebung und –nutzung ausreichend hinzuweisen. (Hinweispflicht nach Art. 13 DSGVO)

Achtung: Die vom Verein erhobenen Daten dürfen nicht automatisch auch von dem Dachverband verarbeitet werden, dem der Verein angehört. Das ist nur erlaubt, wenn das Vereinsmitglied auch der anderen Vereinigung ausdrücklich und aufgrund eigener Erklärung beitritt. Es genügt nicht, dass der Verein selbst Mitglied eines anderen Vereins oder Dachverbands ist.

Der Verein darf auch Daten von vereinsfremden Personen erheben, z.B. von Gästen, Zuschauern, fremden Spielern oder Teilnehmern an Lehrgängen und Wettkämpfen. Das ist aber nur dann zulässig, wenn der Verein ein berechtigtes Interesse nachweisen kann und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Meist betrifft das nur Daten, die für eine eindeutige Identifizierung erforderlich und ausreichend sind, d.h. Name, Vorname, Anschrift und Geburtsdatum, nicht jedoch Personalausweis- oder Passnummer.

Ein Beispiel: Beim Verkauf von Eintrittskarten etwa für ein Fußballspiel kann es zulässig sein, Daten zur Identifizierung von vereinsfremden Personen zu erheben, um abzuklären, ob gegen sie ein Stadionverbot verhängt wurde oder ob sie als gewaltbereit anzusehen sind.

Vereine sind hingegen datenschutzrechtlich nicht berechtigt, bei Dritten ohne deren Einwilligung Erkundigungen oder Kontrollen vorzunehmen, selbst wenn sich die Vereinigung, zum Beispiel ein Tierschutzverein oder ein Zuchtverband, solches zum satzungsmäßigen Ziel gesetzt hat.

Datensicherung im Verein

Der Verein kann Daten mittels herkömmlicher Karteien und Register oder automatisiert auf einem Computer oder Server speichern. Die Vorgaben der DSGVO unterscheiden nicht zwischen analoger und digitaler Datenverarbeitung. In beiden Fällen muss auch die Sicherung der Daten den datenschutzrechtlichen Anforderungen genügen.

Dabei geht es sowohl um die technische als auch die organisatorische Datensicherung. Zu prüfen sind zum Beispiel die Verschlüsselung von Daten, die Belastbarkeit und Vertraulichkeit von Systemen aber auch der Zugang zu EDV-Räumen, die Vergabe und Geheimhaltung von Zugangsdaten, eine sichere Kommunikation, regelmäßige Updates etc.

Konkrete Maßnahmen werden in der DSGVO nicht vorgegeben. Diese liegen jeweils im Ermessen des Vereines, der die Pflicht hat, die in seiner Obhut befindlichen Daten vor Eingriffen Unbefugter und vor Verlust zu schützen. In Art. 32 Abs. 1 DSGVO werden Mindestanforderungen wie Pseudonymisierung, Verschlüsselung und Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten genannt sowie Maßnahmen zur schnellen Wiederherstellung von Systemen bei technischen Zwischenfällen.

Kurz-Check zur Datensicherheit

  • Arbeitet der Verein hinsichtlich Datenschutz und Datensicherheit mit der richtigen Software?
  • Haben Sie klare Regeln zum DSGVO-konformen Umgang mit Daten aufgestellt und an die Vereinsmitarbeiter kommuniziert?
  • Werden besonders vertrauliche Daten besonders geschützt und ist der Zugriff durch Dritte ausgeschlossen?
  • Haben Sie für die Integrität Ihres Systems gesorgt, d.h. bleiben Daten unverändert und korrekt und können nicht verloren gehen? (Risiko des Datenverlusts)
  • Ist der Internetauftritt des Vereins sicher und ist das auch ersichtlich? (z.B. durch die Verschlüsselung von Zahlungsvorgängen und klare transparente Sicherheitsrichtlinien)
  • Führen Sie regelmäßige Datensicherheitskontrollen im Verein durch?

Datennutzung durch den Verein

Die Vereinssatzung regelt, wer wofür zuständig ist. Nach diesen Zuständigkeiten richtet sich auch die jeweilige Datennutzung. Das bedeutet, jeder Funktionsträger darf nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten oder nutzen. So darf etwa der Vorstand auf alle Mitgliederdaten zugreifen, wenn er diese zur Aufgabenerledigung benötigt, während es in der Regel für den Kassierer genügt, wenn er die für den Einzug der Mitgliedsbeiträge relevanten Angaben kennt. Dabei dürfen die Daten grundsätzlich nur zur Verfolgung des Vereinszwecks bzw. zur Betreuung und Verwaltung von Mitgliedern genutzt werden.

Neben der allgemeinen Mitgliederverwaltung nutzen Vereine personenbezogene Daten in der Regel auch für Werbe- und Marketingmaßnahmen. Auf diese Weise können neue Mitglieder, Sponsoren und Spendengelder gewonnen werden, die dem Verein einen gesunden Mitgliederbestand sowie genügend finanzielle Mittel sichern. Die Nutzung der Daten von Vereinsmitgliedern für Spendenaufrufe und für Werbung ist laut DSGVO grundsätzlich erlaubt, sofern der Verein dadurch die eigenen satzungsgemäßen Ziele erreichen kann.

Der Verein darf aber auch Kontaktdaten ihm bekannter Dritter für seine Werbezwecke nutzen. Das können zum Beispiel Personen sein, die Eintrittskarten für Aufführungen oder Spiele erwerben oder die Angebote des Vereins auch ohne Mitgliedschaft nutzen. In dem Fall muss der Verein aber berechtigte Interessen an der Nutzung der Daten bzw. die Einwilligung der Adressaten nachweisen können. Diese können der Nutzung ihrer Daten für Werbezwecke jedoch jederzeit widersprechen. Das muss der Verein respektieren.

Übermittlung von Daten durch den Verein

Unter Datenübermittlung im Sinne der DSGVO versteht man die Weitergabe von personenbezogenen Daten innerhalb des Vereins oder an Dritte. Dazu gehört auch jede Art von Veröffentlichung, z.B. der Zeitungsartikel über den Turniersieg oder der Bericht über das Vereinsfest im Internet, aber auch die Mannschaftsaufstellung am „Schwarzen Brett“ oder im Vereinsblatt.

Sofern es für die Verwaltung und Betreuung der Mitglieder erforderlich ist, können deren Daten grundsätzlich weitergegeben werden. Darüber hinaus darf der Verein die Daten von Mitgliedern und Dritten nur übermitteln, wenn er bzw. der Empfänger daran ein berechtigtes Interesse hat und es dem Vereinszweck dient. Auch dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem nicht entgegenstehen. In der Regel gilt aber die Öffentlichkeitsarbeit des Vereins als berechtigtes Interesse.

Wichtig ist also, was in der Satzung formuliert ist. Wenn die Öffentlichkeitsarbeit – zur Außendarstellung und Gewinnung neuer Mitglieder – als wichtiger Bestandteil des Vereinszwecks gilt, kann der Verein z.B. auf seiner Homepage oder in sozialen Medien über öffentliche Vereinsveranstaltungen berichten. Die betroffenen Personen, also Zuschauer, Mitwirkende oder Sorgeberechtigte von Minderjährigen, müssen in dem Fall mit der Veröffentlichung von Berichten und Fotos rechnen. Bei rein internen Vereinsveranstaltungen hingegen bedarf es einer Einwilligung der betroffenen Personen, wenn der Verein Informationen veröffentlichen will.

Sobald schutzwürdige Belange der Betroffenen einer Veröffentlichung entgegenstehen, wird es kritisch. Deswegen sollte jedes Vereinsmitglied rechtzeitig informiert werden, was wann wo auf welchem Wege der Öffentlichkeit bekannt gemacht wird, damit der Veröffentlichung widersprochen werden kann.

Grundsätzlich gilt: Für die Veröffentlichung eines Fotos, auf dem Personen eindeutig erkennbar sind und die kein zeitgeschichtliches Ereignis oder eine Versammlung zeigen, benötigt man immer die Einwilligung der erkennbaren Personen (Recht am eigenen Bild) – egal, ob es sich um eine interne oder öffentliche Situation handelt.

LÖSCHUNG VON DATEN DURCH DEN VEREIN

Nach DSGVO hat jedes Vereinsmitglied das Recht auf Löschung bzw. das Recht auf das Vergessenwerden seiner personenbezogenen Daten wenn

  • sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind,
  • die betroffene Person ihre Einwilligung widerruft oder Widerspruch gegen die Verarbeitung einlegt,
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  • die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist

Das bedeutet auch, dass der Verein nach Beendigung einer Mitgliedschaft alle Daten des ehemaligen Mitglieds löschen und auch bei eventuellen Auftragsverarbeitern sowie dem Dachverband und allen weiteren Stellen die Löschung anweisen muss. Dabei gilt die Faustregel, dass eine Löschung erst geboten, aber dann auch tatsächlich vorzunehmen ist, wenn der Verein nach dem Austritt eines Mitgliedes nicht mehr mit Rückfragen wegen der erloschenen Mitgliedschaft rechnen muss.

Die erforderlichen Regelungen zu Speicherfristen sowie zur Sperrung und Löschung von Daten können auch außerhalb der Satzung in einer Datenschutzordnung bzw. in einer gesonderten Datenlöschkonzeption festgelegt werden. 

Datenschutz auf der Vereinswebsite / im Internet

Um sich selbst darzustellen, Werbung in eigener Sache zu betreiben aber auch, um schnell und flexibel zu informieren, ist das Internet für Vereine und Verbände unverzichtbar. Allerdings birgt es datenschutzrechtlich auch hohe Risiken für die betroffenen Vereinsmitglieder. Werden ihre personenbezogenen Daten im Internet ohne Passwortschutz veröffentlicht, werden sie damit quasi an Jedermann weitergegeben. Das ist in vielerlei Hinsicht problematisch, denn im Internet können die Informationen

  • unkontrolliert weltweit verbreitet werden
  • nur sehr schwer oder gar nicht gelöscht werden
  • von jedem recherchiert und ausgewertet werden
  • ungewollt von Dritten für Zwecke der Profilbildung und Werbung genutzt werden
  • in Staaten abgerufen werden, die keine mit der DSGVO vergleichbaren Schutzbestimmungen kennen
  • leicht gefälscht werden

Schon die harmlose Information, dass jemand eine bestimmte Sportart ausübt, lässt Rückschlüsse auf eine bestimmte Altersgruppe zu oder bescheinigt ihm ein unfallträchtiges Hobby. Das ist u.U. für Arbeitgeber oder die Werbeindustrie relevant und kann kaum wieder aus dem Netz gelöscht werden. Deswegen ist die Veröffentlichung personenbezogener Daten durch einen Verein im Internet grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat.

Bestimmte Informationen über Vereinsmitglieder, wie z.B. Spielergebnisse und persönliche Leistungen, Mannschaftsaufstellungen, Ranglisten oder Torschützen können allerdings ausnahmsweise auch ohne Einwilligung kurzzeitig ins Internet eingestellt werden, wenn die Betroffenen darüber informiert sind und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der Veröffentlichung im Einzelfall überwiegen. 

Organisatorische Schritte zum Datenschutz

Der Datenschutzbeauftrage im Verein

Der Verein ist verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen, wenn mindestens zehn Personen im Verein regelmäßig mit der automatisierten (digitalen) Verarbeitung personenbezogener Daten beschäftigt sind. Als DSB kann eine externe Person oder ein Vereinsmitglied benannt werden, das weder dem Vorstand angehört, noch mit der regelmäßigen Datenverarbeitung im Verein betraut ist. Der DSB hat primär eine beratende Funktion und soll in diesem Rahmen bei der Umsetzung einer DSGVO-konformen Vereinsarbeit unterstützen.

Die Datenschutzrichtlinien

Den Verein ist verpflichtet, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich festzulegen. Entsprechende Datenschutzregelungen können entweder in die Vereinssatzung aufgenommen oder in gesonderten Datenschutzrichtlinien (Datenschutzordnung, Datenverarbeitungsrichtlinien) definiert werden.

Dabei ist jeweils konkret festzulegen,

  • welche Daten (z.B. Name, Vorname, Adresse, E-Mail-Adresse usw.)
  • welcher Personen (z.B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen)
  • für welche Zwecke verwendet werden,
  • ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen.

Im Interesse der Rechtssicherheit sollten Vereine darauf achten, die abstrakten Vorgaben der DSGVO soweit wie möglich zu konkretisieren und auf die Besonderheiten und Bedürfnisse des Vereins in Form von eindeutigen Regelungen anzupassen.  

Verzeichnis von Verarbeitungstätigkeiten

Alle Vereine mit regelmäßiger Mitgliederverwaltung und Beitragsabrechnung müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen. Das ist in der Regel überschaubar und gibt im Wesentlichen einen Überblick über die im Rahmen der Vereinstätigkeit vorgenommene Datenverarbeitung. Bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten können sich Vereine an zahlreichen Musterverzeichnissen orientieren. 

Datenschutz-Verpflichtung für Beschäftigte im Verein

Alle Beschäftigten des Vereins, die mit personenbezogenen Daten umgehen, müssen vom Verein informiert und dahingehend schriftlich verpflichtet werden, dass die Verarbeitung der personenbezogenen Daten durch sie nach den Grundsätzen der DSGVO erfolgt.

Für Neubeschäftigte muss die Verpflichtung vor Aufnahme der Tätigkeit erfolgen, also bevor die verpflichtete Person zum ersten Mal mit personenbezogenen Daten in Kontakt kommt. Es bietet sich daher an, die Unterschrift zur Kenntnisnahme der Vertraulichkeitsvereinbarung zusammen mit der Unterschrift des Arbeitsvertrages einzuholen.

Bereits im Verein beschäftigte Mitarbeiter können die Verpflichtung im Zuge der Umsetzung der DSGVO unterzeichnen, z.B. im Rahmen einer Schulung zum Datenschutz, aber auch ohne besonderen Anlass.

Die DSGVO schreibt keine bestimmte Form der Verpflichtung vor. Aus Gründen der Nachweisbarkeit sollte jedoch ein entsprechendes Dokument verwendet werden Auf diesem sollten neben dem eigentlichen Inhalt der Verpflichtung auch Ort, Datum und die Unterschriften des Vereinsverantwortlichen und des zu Verpflichtenden festgehalten werden. 

DSGVO-Checkliste für Vereine

  • Rechtsgrundlage zur Verarbeitung von Mitgliederdaten

Personenbezogene Daten dürfen nur dann erhoben, gespeichert und verarbeitet werden, wenn es eine gesetzliche Grundlage gibt, die sich etwa aus der DSGVO bzw. der Satzung des Vereins ergibt. Eine entsprechende Einwilligung kann über den Mitgliedervertrag oder bei Änderungen über ein gesondertes Informationsschreiben eingeholt werden.

  • Speicherung von personenbezogenen Daten

Prinzipiell sollten nur Daten erhoben, gespeichert und verarbeitet werden, die auch für den jeweiligen Zweck erforderlich sind. Gespeichert werden die Daten nur so lange, wie sie auch benötigt werden – unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen.

  • Datensicherheit

Der Verein hat alle praktischen Sicherheitsmaßnahmen ergriffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.

  • Datenschutzbeauftragter

Sind mehr als 10 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist der Verein gesetzlich verpflichtet einen Datenschutzbeauftragten zu bestellen.

  • Verzeichnis über Verarbeitungstätigkeiten

Hier sollte genau aufgeführt sein, wer für welchen Verarbeitungsbereich zuständig ist, um so immer im Blick zu haben, wer Zugang zu welchen Daten hat. Dabei gilt es sicherzustellen, dass nur diejenigen einen Zugang zu den Daten haben, die ihn auch zu Verarbeitungszwecken benötigen.

  • Information der Mitglieder zur Datenverarbeitung

Vereine informieren neue Mitglieder am besten schon bei der Aufnahme schriftlich über die Datenverarbeitung im Verein. Langjährige Mitglieder können über ein gesondertes Schreiben über Änderungen in Kenntnis gesetzt werden. Die Information durch den Verein muss von den jeweiligen Mitgliedern unterschrieben werden, nur dann gilt sie als rechtliche Absicherung des Vereins.

  • Verpflichtung der datenbezogenen Arbeit nach DSGVO

Ein jeder, der im Verein mit personenbezogenen Daten arbeitet, hat sich an die Richtlinien der Datenschutzgrundverordnung zu halten und ist entsprechend vorher darüber aufzuklären. Die Verpflichtung muss vom Vereinsmitglied unterzeichnet werden.

  • Auftragsverarbeitungsverträge mit Drittdienstleistern

Nutzt der Verein z.B. eine Cloud-Lösung, so werden die Daten von Drittanbietern weiterverarbeitet. In den Dienstleistervertrag sollten deshalb Regelungen zu Datenschutz aufgenommen werden. Der Verein sollte zudem die Datenschutzmaßnahmen des Auftragsverarbeiters kontrollieren.

  • Benachrichtigungspflicht des Vereins

Bei einer Gefährdung der Datensicherheit haben die Mitglieder das Recht, innerhalb von 72 Stunden benachrichtigt zu werden. Der Verein muss entsprechende Prozesse einrichten, um Probleme in der Datensicherheit sofort zu erkennen und die Betroffenen innerhalb der Frist zu benachrichtigen.

  • Risiko der Datenverarbeitung

Wie hoch ist das Risiko der Datenverarbeitung im Verein? Dies gilt es ebenfalls zu prüfen und falls notwendig, entsprechend eine Datenschutz-Folgeabschätzung durchzuführen.

Jetzt absichern mit dem Vereins-Schutzbrief des DEUTSCHEN EHRENAMTS
Jetzt absichern mit dem Vereins-Schutzbrief des DEUTSCHEN EHRENAMTS

Im Rahmen des Vereins-Schutzbriefs bieten wir Ihrem Verein und Ihnen als persönlich haftenden Vorstand den notwendigen Versicherungsschutz (Vereinshaftpflicht, Veranstalterhaftpflicht, Vermögensschadenhaftpflicht, D&O sowie optional Rechtsschutz), Rechtsberatung inkl. Überprüfung der Satzung, Steuerrechtsberatung sowie umfassendes Wissen zur Vereinsführung. Im Komplettpaket aus einer Hand.

Schon ab 299 € im Jahr

Benedetto – das kostenfreie E-Magazin

Mit diesem E-Magazin informieren wir Sie jeden Monat über aktuelle und saisonale Themen. Profitieren Sie von unserem gesammelten Wissen und finden Sie bspw. Antworten auf Rechtsfragen sowie hilfreiche Tipps für Ihre Vereinsarbeit. Möchten Sie informiert werden, ab wann die neue Ausgabe online ist, melden Sie sich zum Newsletter an. Zur aktuellen Ausgabe

Newsletter Anmeldung

Ja, bitte senden Sie mir jeden Monat die Info zur aktuellen Ausgabe von Benedetto.

Kontakt

DEUTSCHES EHRENAMT
Mühlfelder Straße 20
82211 Herrsching
T+49(8152)9994170
F+49(8152)9994177
E service@deutsches-ehrenamt.de



Haben Sie Fragen?
Kontaktieren Sie uns
Haben Sie Fragen?
Telefonkontakt
Telefonkontakt
Service zwischen 8:00 Uhr - 17:00 Uhr
E-Mail-Kontakt
E-Mail-Kontakt

Kontaktformular

  • Bitte wählen...
  • Herr
  • Frau

Kein Antrag gewählt

Sie haben bisher kein Produkt gewählt.