Unsere Angebote für Vereine:

    DATENSCHUTZ IM VEREIN

    Mit der Einführung der europäischen Datenschutzgrundverordnung DSGVO im Mai 2018 hat sich für Vereine die Anzahl der zu beachtenden Vorschriften in etwa vervierfacht. Viele Vereinsverantwortliche fühlen sich seitdem mit der Umsetzung der umfangreichen Vorgaben überfordert. Wird der Datenschutz jedoch vernachlässigt, kann das den Verein teuer zu stehen kommen. Es drohen Abmahnungen und hohe Bußgelder. Doch Datenschutz ist leichter gesagt als praktiziert. Nur weil etwas nicht ausdrücklich verboten ist, ist es datenschutzrechtlich auch erlaubt. Jede Verarbeitung personenbezogener Daten muss vielmehr auf einer Rechtsgrundlage basieren. Eine individuelle und rechtssichere Beratung von Fachanwälten für Ihre spezifischen Fragen rund um den Datenschutz in Ihrem Verein leisten wir im Rahmen unseres Vereins-Schutzbriefs.

    Das Wichtigste auf einen Blick

    • Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, die sich aus der DSGVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergibt.
    • Der Verein darf nur solche personenbezogenen Daten seiner Mitglieder erheben und verarbeiten, die für die Verfolgung des Vereinsziels sowie für die Mitgliederbetreuung und -verwaltung erforderlich sind.
    • Der Verein muss technische und organisatorische Maßnahmen ergreifen, um die DSGVO umzusetzen. Das bedeutet auch, dass Vereinsmitglieder und Dritte ihre Zustimmung zur Datenverarbeitung geben müssen, Widerspruch einlegen können, Einsicht in die Daten verlangen können, den Verwendungszweck erfragen können, die Daten berichtigen oder unter Umständen sperren lassen können.
    • Beschäftigen sich mindestens 10 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten, ist der Verein verpflichtet einen internen oder externen Datenschutzbeauftragten zu benennen.
    • Im Falle der Auftragsdatenverarbeitung durch einen externen Dienstleister darf der Verein notwendige Daten weitergeben, ist aber nach wie vor für deren DSGVO-konforme Verarbeitung durch den Auftragnehmer verantwortlich und haftet ggf. für dessen Fehlverhalten.
    • Die Veröffentlichung personenbezogener Daten im Internet durch den Verein ist grundsätzlich nur mit ausdrücklicher Einwilligung des Mitglieds zulässig, die der Verein nach den Vorgaben der DSGVO auch entsprechend dokumentieren muss.

    Was ist Datenschutz?

    Sie kaufen online ein, Sie buchen eine Reise, Sie nutzen Apps auf dem Smartphone, Sie streamen Filme und Musik, posten auf Instagram, schließen eine Versicherung ab oder treten einem Verein bei. In allen Fällen übermitteln Sie wertvolle Daten zu Ihrer Person, Ihren Lebensumständen, Interessen und Gewohnheiten, die vor allem für die Wirtschaft von hohem Wert sind. Unternehmen nutzen diese Informationen, um Produkte und Services an Kundenwünsche anzupassen, aber auch um neue Kunden zu werben. Werden diese Daten unverschlüsselt weiterverarbeitet, sind die Informationen möglicherweise für Dritte frei verfügbar. Auf diese Weise kann es leicht zum Datenmissbrauch kommen. Es ist also wichtig, Daten zu schützen

    Datenschutz ist der Schutz der personenbezogenen Daten eines jeden Einzelnen vor unerlaubter Erhebung, Verarbeitung und Weitergabe. Ziel ist es, das allgemeine Persönlichkeitsrechts, also die Grundrechte und Grundfreiheiten der betroffenen natürlichen Personen zu schützen. Datenschutzgesetze legen fest, in welcher Form und in welchem Umfang Daten geschützt werden müssen. In Deutschland und der EU wird dies unter anderem durch die Datenschutzgrundverordnung DSGVO geregelt.

    Was sind personenbezogene Daten?

    Durch die DSGVO sollen vor allem personenbezogene Daten vor Missbrauch geschützt werden. Damit sind alle Informationen gemeint, die einen Menschen und dessen Lebensumstände beschreiben, ihn also „identifizierbar“ machen. Art. 4 Nr. 1 der DSGVO stellt klar, dass alle Angaben, die Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität von natürlichen Personen ermöglichen, als personenbezogene Daten gelten. Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen.

    Das können beispielsweise Namen und Telefonnummern sein. Aber auch Informationen zum Aussehen, das Kfz-Kennzeichen, die IP-Adresse oder auch weniger eindeutige Informationen, wie beispielsweise die Trainingszeiten oder die Fahrtroute zum Vereinsgelände können dazu beitragen, eine Person zu identifizieren und zählen daher zu den personenbezogenen Daten.

    Einige sensible Daten, die z.B. Rückschlüsse auf die Herkunft, politische und religiöse Überzeugung, sexuelle Orientierung oder die Gesundheit zulassen, gelten dabei als besonders schützenswert. Ihre Verarbeitung ist ohne Einwilligung grundsätzlich untersagt.

    Nicht von der DSGVO geschützt werden übrigens Angaben über Verstorbene, wie etwa in einem Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf einer Liste der Verstorbenen.

    Beispiele für personenbezogene Daten

    Name Haarfarbe / Augenfarbe Einkommen
    Adresse Größe und Gewicht Steuerdaten
    Geburtsdatum Persönliche Interessen Vertrags- und Besitz-
    Alter Mitgliedschaften Verhältnisse
    Familienstand Datum des Vereinsbeitritts Identifikationsnummer
    Staatsangehörigkeit Sportliche Leistungen Sozialversicherungsnr.
    Beruf Platzierungen Personalausweisnummer
    Parteimitgliedschaft Auszeichnungen Sexuelle Orientierung
    Konfession Verletzungen Trainingszeiten
    E-Mail-Adresse Krankheiten Kurspläne
    IP-Adresse Zeugnisse Intoleranzen
    Überzeugungen Bankdaten Kleidergröße
    Kfz-Kennzeichen Steuernummer Schuhgröße

    Was ist mit Datenverarbeitung gemeint?

    In der DSGVO wird einheitlich der Begriff Datenverarbeitung verwendet, anstatt zum Beispiel konkret von Erheben, Erfassen, Verwenden, Verbreiten, Abgleichen etc. zu sprechen. Datenverarbeitung beinhaltet alles, was mit den personenbezogenen Daten in Ihrem Verein passiert, also jede Form der Verwendung und Nutzung der Informationen, angefangen beim Erfassen neuer Mitglieder über das Ordnen, Speichern, Aktualisieren oder Löschen der Datensätze bis hin zur Verwendung z.B. für den Newsletter-Versand, die Vertragsgestaltung oder das Aufsetzen von Meldungen an Verbände und andere Organisationen. Dabei spielt es keine Rolle, ob die Daten digital oder analog verarbeitet werden.

    Wann ist die Datenverarbeitung generell zulässig?

    Die Datenverarbeitung durch den Verein ist immer dann zulässig, wenn dies vereinsintern die Mitglieder- und Vereinsverwaltung betrifft und zur Erfüllung der Vereinszwecke unbedingt erforderlich ist, bzw. ohne die Verarbeitung ein geregeltes Funktionieren des Vereins nicht möglich wäre. Aber Vorsicht: Das betrifft nicht automatisch alle Daten. Maßgeblich ist hier, was in der Satzung steht. Sieht der Satzungszweck z.B. für den Mitgliedsbeitrag keinen Bankeinzug vor, dürfen vom Vereinsmitglied auch keine Kontodaten (ohne freiwillige Einwilligung) erhoben werden.

    Wichtig: Der Vorstand sollte unbedingt für eine adäquate Absicherung sorgen, denn für Fehler bei Datenschutz & Co. haften Verein und Vorstand – der Vorstand sogar mit dem Privatvermögen. Im Rahmen des Vereins-Schutzbriefs bietet das DEUTSCHE EHRENAMT Ihrem Verein und Ihnen als persönlich haftenden Vorstand den notwendigen Versicherungsschutz, Rechtsberatung inkl. Überprüfung der Satzung sowie steuerrechtliche Beratung und die Betreuung unseres Expertenteams bei der Vereinsführung.

    Die Auftragsdatenverarbeitung

    Die Datenverarbeitung muss nicht immer durch den Verein selbst erfolgen. Im Rahmen der Auftragsdatenverarbeitung können personenbezogene Vereinsdaten durch einen externen Auftragnehmer gespeichert und genutzt werden. Das ist zum Beispiel der Fall, wenn der Verein vertraglich einen Buchhalter oder ein Steuerbüro beschäftigt oder seine Homepage durch einen selbstständigen Webdesigner pflegen lässt. In diesen Fällen darf der Verein die notwendigen Daten weitergeben, ist aber nach wie vor für die DSGVO-konforme Verarbeitung durch den Auftragnehmer verantwortlich und haftet ggf. für dessen Fehlverhalten.

    Vereine, die mit externen Dienstleistern zusammenarbeiten, sollten sicherstellen, dass diese alle datenschutzrechtlichen Vorgaben einhalten.

    Kurz-Check zur Auftragsdatenverarbeitung

    • Wurde der Dienstleister (Auftragsverarbeiter) sorgfältig ausgewählt?
    • Wurden die Regelungen zum Datenschutz in eine entsprechende vertragliche Vereinbarung aufgenommen?
    • Hat der Auftragsverarbeiter seine konkreten Datenschutzmaßnahmen (am besten vertraglich) ausreichend dargestellt?
    • Hat der Verein die Datenschutzmaßnahmen des Dienstleisters kontrolliert?
    • Bei Beendigung des Vertrages: Müssen nach Ende der Vertragsbeziehungen Unterlagen zurückgegeben und Daten gelöscht werden?

    DSGVO-Konforme Datenverarbeitung im Verein

    ERHEBUNG VON DATEN DURCH DEN VEREIN

    Tritt ein neues Mitglied dem Verein bei, stellt es dafür zunächst einen Aufnahme- bzw. Mitgliedsantrag oder eine Beitrittserklärung. Der Verein darf über den Antrag nur die Daten erheben, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder notwendig sind. Dazu zählen grundsätzlich der Name, die Anschrift und meist auch das Geburtsdatum. Angaben zur Bankverbindung kann der Verein zum Beispiel nur verlangen, wenn laut Satzung die Zahlung des Mitgliedsbeitrags per Bankeinzug erfolgt. Muss sich der Verein z.B. aus Fürsorgegründen gegen bestimmte Risiken versichern, dürfen auch weitere, für die Versicherung notwendige Daten erhoben werden. Wichtig ist, im Antragsformular auf die Datenerhebung und –nutzung ausreichend hinzuweisen. (Hinweispflicht nach Art. 13 DSGVO)

    Achtung: Die vom Verein erhobenen Daten dürfen nicht automatisch auch von dem Dachverband verarbeitet werden, dem der Verein angehört. Das ist nur erlaubt, wenn das Vereinsmitglied auch der anderen Vereinigung ausdrücklich und aufgrund eigener Erklärung beitritt. Es genügt nicht, dass der Verein selbst Mitglied eines anderen Vereins oder Dachverbands ist.

    Der Verein darf auch Daten von vereinsfremden Personen erheben, z.B. von Gästen, Zuschauern, fremden Spielern oder Teilnehmern an Lehrgängen und Wettkämpfen. Das ist aber nur dann zulässig, wenn der Verein ein berechtigtes Interesse nachweisen kann und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Meist betrifft das nur Daten, die für eine eindeutige Identifizierung erforderlich und ausreichend sind, d.h. Name, Vorname, Anschrift und Geburtsdatum, nicht jedoch Personalausweis- oder Passnummer.

    Ein Beispiel: Beim Verkauf von Eintrittskarten etwa für ein Fußballspiel kann es zulässig sein, Daten zur Identifizierung von vereinsfremden Personen zu erheben, um abzuklären, ob gegen sie ein Stadionverbot verhängt wurde oder ob sie als gewaltbereit anzusehen sind.

    Vereine sind hingegen datenschutzrechtlich nicht berechtigt, bei Dritten ohne deren Einwilligung Erkundigungen oder Kontrollen vorzunehmen, selbst wenn sich die Vereinigung, zum Beispiel ein Tierschutzverein oder ein Zuchtverband, solches zum satzungsmäßigen Ziel gesetzt hat.

    Datensicherung im Verein

    Der Verein kann Daten mittels herkömmlicher Karteien und Register oder automatisiert auf einem Computer oder Server speichern. Die Vorgaben der DSGVO unterscheiden nicht zwischen analoger und digitaler Datenverarbeitung. In beiden Fällen muss auch die Sicherung der Daten den datenschutzrechtlichen Anforderungen genügen.

    Dabei geht es sowohl um die technische als auch die organisatorische Datensicherung. Zu prüfen sind zum Beispiel die Verschlüsselung von Daten, die Belastbarkeit und Vertraulichkeit von Systemen aber auch der Zugang zu EDV-Räumen, die Vergabe und Geheimhaltung von Zugangsdaten, eine sichere Kommunikation, regelmäßige Updates etc.

    Konkrete Maßnahmen werden in der DSGVO nicht vorgegeben. Diese liegen jeweils im Ermessen des Vereines, der die Pflicht hat, die in seiner Obhut befindlichen Daten vor Eingriffen Unbefugter und vor Verlust zu schützen. In Art. 32 Abs. 1 DSGVO werden Mindestanforderungen wie Pseudonymisierung, Verschlüsselung und Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten genannt sowie Maßnahmen zur schnellen Wiederherstellung von Systemen bei technischen Zwischenfällen.

    Kurz-Check zur Datensicherheit

    • Arbeitet der Verein hinsichtlich Datenschutz und Datensicherheit mit der richtigen Software?
    • Haben Sie klare Regeln zum DSGVO-konformen Umgang mit Daten aufgestellt und an die Vereinsmitarbeiter kommuniziert?
    • Werden besonders vertrauliche Daten besonders geschützt und ist der Zugriff durch Dritte ausgeschlossen?
    • Haben Sie für die Integrität Ihres Systems gesorgt, d.h. bleiben Daten unverändert und korrekt und können nicht verloren gehen? (Risiko des Datenverlusts)
    • Ist der Internetauftritt des Vereins sicher und ist das auch ersichtlich? (z.B. durch die Verschlüsselung von Zahlungsvorgängen und klare transparente Sicherheitsrichtlinien)
    • Führen Sie regelmäßige Datensicherheitskontrollen im Verein durch?

    Datennutzung durch den Verein

    Die Vereinssatzung regelt, wer wofür zuständig ist. Nach diesen Zuständigkeiten richtet sich auch die jeweilige Datennutzung. Das bedeutet, jeder Funktionsträger darf nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten oder nutzen. So darf etwa der Vorstand auf alle Mitgliederdaten zugreifen, wenn er diese zur Aufgabenerledigung benötigt, während es in der Regel für den Kassierer genügt, wenn er die für den Einzug der Mitgliedsbeiträge relevanten Angaben kennt. Dabei dürfen die Daten grundsätzlich nur zur Verfolgung des Vereinszwecks bzw. zur Betreuung und Verwaltung von Mitgliedern genutzt werden.

    Neben der allgemeinen Mitgliederverwaltung nutzen Vereine personenbezogene Daten in der Regel auch für Werbe- und Marketingmaßnahmen. Auf diese Weise können neue Mitglieder, Sponsoren und Spendengelder gewonnen werden, die dem Verein einen gesunden Mitgliederbestand sowie genügend finanzielle Mittel sichern. Die Nutzung der Daten von Vereinsmitgliedern für Spendenaufrufe und für Werbung ist laut DSGVO grundsätzlich erlaubt, sofern der Verein dadurch die eigenen satzungsgemäßen Ziele erreichen kann.

    Der Verein darf aber auch Kontaktdaten ihm bekannter Dritter für seine Werbezwecke nutzen. Das können zum Beispiel Personen sein, die Eintrittskarten für Aufführungen oder Spiele erwerben oder die Angebote des Vereins auch ohne Mitgliedschaft nutzen. In dem Fall muss der Verein aber berechtigte Interessen an der Nutzung der Daten bzw. die Einwilligung der Adressaten nachweisen können. Diese können der Nutzung ihrer Daten für Werbezwecke jedoch jederzeit widersprechen. Das muss der Verein respektieren.

    Übermittlung von Daten durch den Verein

    Unter Datenübermittlung im Sinne der DSGVO versteht man die Weitergabe von personenbezogenen Daten innerhalb des Vereins oder an Dritte. Dazu gehört auch jede Art von Veröffentlichung, z.B. der Zeitungsartikel über den Turniersieg oder der Bericht über das Vereinsfest im Internet, aber auch die Mannschaftsaufstellung am „Schwarzen Brett“ oder im Vereinsblatt.

    Sofern es für die Verwaltung und Betreuung der Mitglieder erforderlich ist, können deren Daten grundsätzlich weitergegeben werden. Darüber hinaus darf der Verein die Daten von Mitgliedern und Dritten nur übermitteln, wenn er bzw. der Empfänger daran ein berechtigtes Interesse hat und es dem Vereinszweck dient. Auch dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem nicht entgegenstehen. In der Regel gilt aber die Öffentlichkeitsarbeit des Vereins als berechtigtes Interesse.

    Wichtig ist also, was in der Satzung formuliert ist. Wenn die Öffentlichkeitsarbeit – zur Außendarstellung und Gewinnung neuer Mitglieder – als wichtiger Bestandteil des Vereinszwecks gilt, kann der Verein z.B. auf seiner Homepage oder in sozialen Medien über öffentliche Vereinsveranstaltungen berichten. Die betroffenen Personen, also Zuschauer, Mitwirkende oder Sorgeberechtigte von Minderjährigen, müssen in dem Fall mit der Veröffentlichung von Berichten und Fotos rechnen. Bei rein internen Vereinsveranstaltungen hingegen bedarf es einer Einwilligung der betroffenen Personen, wenn der Verein Informationen veröffentlichen will.

    Sobald schutzwürdige Belange der Betroffenen einer Veröffentlichung entgegenstehen, wird es kritisch. Deswegen sollte jedes Vereinsmitglied rechtzeitig informiert werden, was wann wo auf welchem Wege der Öffentlichkeit bekannt gemacht wird, damit der Veröffentlichung widersprochen werden kann.

    Grundsätzlich gilt: Für die Veröffentlichung eines Fotos, auf dem Personen eindeutig erkennbar sind und die kein zeitgeschichtliches Ereignis oder eine Versammlung zeigen, benötigt man immer die Einwilligung der erkennbaren Personen (Recht am eigenen Bild) – egal, ob es sich um eine interne oder öffentliche Situation handelt.

    LÖSCHUNG VON DATEN DURCH DEN VEREIN

    Nach DSGVO hat jedes Vereinsmitglied das Recht auf Löschung bzw. das Recht auf das Vergessenwerden seiner personenbezogenen Daten wenn

    • sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind,
    • die betroffene Person ihre Einwilligung widerruft oder Widerspruch gegen die Verarbeitung einlegt,
    • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
    • die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist

    Das bedeutet auch, dass der Verein nach Beendigung einer Mitgliedschaft alle Daten des ehemaligen Mitglieds löschen und auch bei eventuellen Auftragsverarbeitern sowie dem Dachverband und allen weiteren Stellen die Löschung anweisen muss. Dabei gilt die Faustregel, dass eine Löschung erst geboten, aber dann auch tatsächlich vorzunehmen ist, wenn der Verein nach dem Austritt eines Mitgliedes nicht mehr mit Rückfragen wegen der erloschenen Mitgliedschaft rechnen muss.

    Die erforderlichen Regelungen zu Speicherfristen sowie zur Sperrung und Löschung von Daten können auch außerhalb der Satzung in einer Datenschutzordnung bzw. in einer gesonderten Datenlöschkonzeption festgelegt werden. 

    Datenschutz auf der Vereinswebsite / im Internet

    Um sich selbst darzustellen, Werbung in eigener Sache zu betreiben aber auch, um schnell und flexibel zu informieren, ist das Internet für Vereine und Verbände unverzichtbar. Allerdings birgt es datenschutzrechtlich auch hohe Risiken für die betroffenen Vereinsmitglieder. Werden ihre personenbezogenen Daten im Internet ohne Passwortschutz veröffentlicht, werden sie damit quasi an Jedermann weitergegeben. Das ist in vielerlei Hinsicht problematisch, denn im Internet können die Informationen

    • unkontrolliert weltweit verbreitet werden
    • nur sehr schwer oder gar nicht gelöscht werden
    • von jedem recherchiert und ausgewertet werden
    • ungewollt von Dritten für Zwecke der Profilbildung und Werbung genutzt werden
    • in Staaten abgerufen werden, die keine mit der DSGVO vergleichbaren Schutzbestimmungen kennen
    • leicht gefälscht werden

    Schon die harmlose Information, dass jemand eine bestimmte Sportart ausübt, lässt Rückschlüsse auf eine bestimmte Altersgruppe zu oder bescheinigt ihm ein unfallträchtiges Hobby. Das ist u.U. für Arbeitgeber oder die Werbeindustrie relevant und kann kaum wieder aus dem Netz gelöscht werden. Deswegen ist die Veröffentlichung personenbezogener Daten durch einen Verein im Internet grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat.

    Bestimmte Informationen über Vereinsmitglieder, wie z.B. Spielergebnisse und persönliche Leistungen, Mannschaftsaufstellungen, Ranglisten oder Torschützen können allerdings ausnahmsweise auch ohne Einwilligung kurzzeitig ins Internet eingestellt werden, wenn die Betroffenen darüber informiert sind und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der Veröffentlichung im Einzelfall überwiegen. 

    Organisatorische Schritte zum Datenschutz

    Der Datenschutzbeauftrage im Verein

    Der Verein ist verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen, wenn mindestens zehn Personen im Verein regelmäßig mit der automatisierten (digitalen) Verarbeitung personenbezogener Daten beschäftigt sind. Als DSB kann eine externe Person oder ein Vereinsmitglied benannt werden, das weder dem Vorstand angehört, noch mit der regelmäßigen Datenverarbeitung im Verein betraut ist. Der DSB hat primär eine beratende Funktion und soll in diesem Rahmen bei der Umsetzung einer DSGVO-konformen Vereinsarbeit unterstützen.

    Die Datenschutzrichtlinien

    Den Verein ist verpflichtet, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich festzulegen. Entsprechende Datenschutzregelungen können entweder in die Vereinssatzung aufgenommen oder in gesonderten Datenschutzrichtlinien (Datenschutzordnung, Datenverarbeitungsrichtlinien) definiert werden.

    Dabei ist jeweils konkret festzulegen,

    • welche Daten (z.B. Name, Vorname, Adresse, E-Mail-Adresse usw.)
    • welcher Personen (z.B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen)
    • für welche Zwecke verwendet werden,
    • ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen.

    Im Interesse der Rechtssicherheit sollten Vereine darauf achten, die abstrakten Vorgaben der DSGVO soweit wie möglich zu konkretisieren und auf die Besonderheiten und Bedürfnisse des Vereins in Form von eindeutigen Regelungen anzupassen.  

    Verzeichnis von Verarbeitungstätigkeiten

    Alle Vereine mit regelmäßiger Mitgliederverwaltung und Beitragsabrechnung müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen. Das ist in der Regel überschaubar und gibt im Wesentlichen einen Überblick über die im Rahmen der Vereinstätigkeit vorgenommene Datenverarbeitung. Bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten können sich Vereine an zahlreichen Musterverzeichnissen orientieren. 

    Datenschutz-Verpflichtung für Beschäftigte im Verein

    Alle Beschäftigten des Vereins, die mit personenbezogenen Daten umgehen, müssen vom Verein informiert und dahingehend schriftlich verpflichtet werden, dass die Verarbeitung der personenbezogenen Daten durch sie nach den Grundsätzen der DSGVO erfolgt.

    Für Neubeschäftigte muss die Verpflichtung vor Aufnahme der Tätigkeit erfolgen, also bevor die verpflichtete Person zum ersten Mal mit personenbezogenen Daten in Kontakt kommt. Es bietet sich daher an, die Unterschrift zur Kenntnisnahme der Vertraulichkeitsvereinbarung zusammen mit der Unterschrift des Arbeitsvertrages einzuholen.

    Bereits im Verein beschäftigte Mitarbeiter können die Verpflichtung im Zuge der Umsetzung der DSGVO unterzeichnen, z.B. im Rahmen einer Schulung zum Datenschutz, aber auch ohne besonderen Anlass.

    Die DSGVO schreibt keine bestimmte Form der Verpflichtung vor. Aus Gründen der Nachweisbarkeit sollte jedoch ein entsprechendes Dokument verwendet werden Auf diesem sollten neben dem eigentlichen Inhalt der Verpflichtung auch Ort, Datum und die Unterschriften des Vereinsverantwortlichen und des zu Verpflichtenden festgehalten werden. 

    DSGVO-Checkliste für Vereine

    • Rechtsgrundlage zur Verarbeitung von Mitgliederdaten

    Personenbezogene Daten dürfen nur dann erhoben, gespeichert und verarbeitet werden, wenn es eine gesetzliche Grundlage gibt, die aus der DSGVO bzw. ergibt oder eine Einwilligung des Mitglieds vorliegt. Davon abweichende Regelungen zum Datenschutz in der Satzung haben keine Wirkung.

    • Speicherung von personenbezogenen Daten

    Prinzipiell sollten nur Daten erhoben, gespeichert und verarbeitet werden, die auch für den jeweiligen Zweck erforderlich sind. Gespeichert werden die Daten nur so lange, wie sie auch benötigt werden – unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen.

    • Datensicherheit

    Der Verein hat alle praktischen Sicherheitsmaßnahmen ergriffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.

    • Datenschutzbeauftragter

    Sind mehr als 10 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist der Verein gesetzlich verpflichtet einen Datenschutzbeauftragten zu bestellen.

    • Verzeichnis über Verarbeitungstätigkeiten

    Hier sollte unter anderem aufgeführt sein, wer für welchen Verarbeitungsbereich zuständig ist und Zugang zu welchen Daten hat. Auch der Zweck der Datenverarbeitung muss jeweils aufgeführt werden (siehe Art. 30 DSGVO). Dabei gilt es sicherzustellen, dass nur diejenigen einen Zugang zu den Daten haben, die ihn auch zu Verarbeitungszwecken benötigen.

    • Information der Mitglieder zur Datenverarbeitung

    Vereine informieren neue Mitglieder am besten schon bei der Aufnahme schriftlich über die Datenverarbeitung im Verein. Langjährige Mitglieder können über ein gesondertes Schreiben über Änderungen in Kenntnis gesetzt werden. Die Information durch den Verein muss zwar nicht von den jeweiligen Mitgliedern unterschrieben werden, kann aber als rechtliche Absicherung des Vereins dienen.

    • Verpflichtung der datenbezogenen Arbeit nach DSGVO

    Ein jeder, der im Verein mit personenbezogenen Daten arbeitet, hat sich an die Richtlinien der Datenschutzgrundverordnung zu halten und ist entsprechend vorher darüber aufzuklären. Die Verpflichtung muss vom Vereinsmitglied unterzeichnet werden.

    • Auftragsverarbeitungsverträge mit Drittdienstleistern

    Nutzt der Verein z.B. eine Cloud-Lösung, so werden die Daten von Drittanbietern weiterverarbeitet. In den Dienstleistervertrag sollten deshalb Regelungen zu Datenschutz aufgenommen werden. Der Verein sollte zudem die Datenschutzmaßnahmen des Auftragsverarbeiters kontrollieren.

    • Benachrichtigungspflicht des Vereins

    Bei einer Gefährdung der Datensicherheit muss gemäß Art. 34 DSGVO das Mitglied benachrichtigt werden, wenn eine Gefahr für die Persönlichkeitsrechte besteht. In diesem Fall muss der Verein innerhalb von 72h auch die Aufsichtsbehörde benachrichtigen. Der Verein muss entsprechende Prozesse einrichten, um Probleme in der Datensicherheit sofort zu erkennen.

    • Risiko der Datenverarbeitung

    Wie hoch ist das Risiko der Datenverarbeitung im Verein? Dies gilt es ebenfalls zu prüfen und falls notwendig, entsprechend eine Datenschutz-Folgeabschätzung durchzuführen.

    Jetzt absichern mit dem Vereins-Schutzbrief des DEUTSCHEN EHRENAMTS
    Jetzt absichern mit dem Vereins-Schutzbrief des DEUTSCHEN EHRENAMTS

    Im Rahmen des Vereins-Schutzbriefs bieten wir Ihrem Verein und Ihnen als persönlich haftenden Vorstand den notwendigen Versicherungsschutz (Vereinshaftpflicht, Veranstalterhaftpflicht, Vermögensschadenhaftpflicht, D&O sowie optional Rechtsschutz), Rechtsberatung inkl. Überprüfung der Satzung, Steuerrechtsberatung sowie umfassendes Wissen zur Vereinsführung. Im Komplettpaket aus einer Hand.

    Schon ab 299 € im Jahr

    Benedetto – das kostenfreie E-Magazin

    Mit diesem E-Magazin informieren wir Sie jeden Monat über aktuelle und saisonale Themen. Profitieren Sie von unserem gesammelten Wissen und finden Sie bspw. Antworten auf Rechtsfragen sowie hilfreiche Tipps für Ihre Vereinsarbeit. Möchten Sie informiert werden, ab wann die neue Ausgabe online ist, melden Sie sich zum Newsletter an. Zur aktuellen Ausgabe

    Newsletter Anmeldung

    Ja, bitte senden Sie mir jeden Monat die Info zur aktuellen Ausgabe von Benedetto.


    Ich habe die Datenschutzbestimmungen zur Kenntnis genommen 

    Kontakt

    DEUTSCHES EHRENAMT
    Mühlfelder Straße 20
    82211 Herrsching
    T+49(8152)9994170
    F+49(8152)9994177
    E service@deutsches-ehrenamt.de



    Haben Sie Fragen?
    Kontaktieren Sie uns
    Haben Sie Fragen?
    Telefonkontakt
    Telefonkontakt
    Service zwischen 8:00 Uhr - 17:00 Uhr
    E-Mail-Kontakt
    E-Mail-Kontakt

    Kontaktformular

    • Bitte wählen...
    • Herr
    • Frau

    Kein Antrag gewählt

    Sie haben bisher kein Produkt gewählt.