Datenschutz im Verein
Ein Verein kommt mit personenbezogenen Daten seiner Mitglieder in unterschiedlichen Bereichen in Kontakt.
Bei jeder Erhebung, Speicherung und Verarbeitung müssen die Vorschriften der DS-GVO eingehalten werden. In welcher Art und Weise dies in einem Verein rechtmäßig und angemessen erfolgen kann, erfahren Sie in diesem Artikel.
Das Wichtigste auf einen Blick
1. Datenschutz im Verein
Bei Vereinen müssen neben der Einhaltung und Durchsetzung der allgemeinen daten-schutzrechtlichen Vorschriften noch einige andere Maßnahmen getroffen werden.
Zum einen sind die Aufgaben im Bereich des Datenschutzes klar abzugrenzen und bestimmten Funktionsträgern zuzuordnen.
Weiterhin ist für jede Datenverarbeitung eine Rechtsgrundlage erforderlich. Diese ergibt sich in der Regel aus dem Mitgliedervertrag oder aus Art. 6 Abs. 1 lit. a) (Einwilligung des Betroffenen), aus lit. b) (Erforderlichkeit für die Vertragserfüllung) oder aus lit. f) (Überwiegen von berechtigtem Interesse).
1.1 Schriftliche Aufgabenfestlegung in der Satzung oder einer Datenschutzordnung
Die Zuständigkeiten werden entweder in der Satzung des Vereins oder gesondert in Form einer Datenschutzordnung festgehalten.
Hierbei ist die Einhaltung einiger inhaltlicher Punkte zu beachten:
Es sollte schriftlich festgelegt werden, welche Daten für die Verfolgung der Vereinsziele erforderlich sind. Dies kann unter anderem den Namen, die Adresse oder die Kontaktdaten betreffen.
Die Datenverarbeitung darf nur für den beabsichtigten Zweck erfolgen. Dieser Zweck sollte auch in der Satzung oder der Datenschutzordnung niedergeschrieben werden.
Um Überschneidungen und Unklarheiten zu vermeiden, ist darüber hinaus eine strenge Zuordnung der Aufgaben an Funktionsträger wichtig. Jeder Funktionsträger ist nur für die Erfüllung seiner Aufgaben zuständig und darf nur bei dieser Handlung personenbezogene Daten erheben, speichern und verarbeiten.
1.2 Veröffentlichung von Mitgliederdaten
Mitgliederdaten könnten an andere Mitglieder, im Internet oder für Werbezwecke an Dritte übermittelt werden. Allgemein ist diese Art der Veröffentlichung personenbezogener Daten verboten.
Etwas anderes gilt, wenn der Verwendungszweck der Datenerhebung in eben diesem Datenaustausch oder -zugriff besteht, oder die betroffene Person in die Veröffentlichung eingewilligt hat. Nicht vergessen werden darf, dass eine Einwilligung widerrufen werden kann.
Liegt eine Einwilligung vor, so dürfen Mitgliederlisten an andere Vereinsangehörige ausgehändigt werden.
Die Einwilligung sollte bereits bei Abschluss des Mitgliedsvertrages eingeholt und anschließend für die Beweisführung verwahrt werden.
Daneben könnten Daten rund um den Verein im Internet veröffentlicht werden.
Das Internet bietet eine Möglichkeit, den Verein zu präsentieren. Eine Veröffentlichung von personenbezogenen Daten im Internet ist jedoch grundsätzlich unzulässig, da sie eine Übermittlung an einen unbegrenzten Personenkreis darstellt.
Möglich ist hingegen eine Übermittlung von Daten in einem passwortgeschützten Intranet.
Die betroffenen Personen müssen in beiden Fällen in die Veröffentlichung einwilligen.
In Bezug auf Werbezwecke und Spendenaufrufe könnte der Erlaubnistatbestand des berechtigten Interesses eingreifen.
Wie bereits erwähnt, führt neben der Einwilligung der Mitglieder auch ein berechtigtes Interesse des Vereins oder Dritter zu einer datenschutzrechtlich erlaubten Veröffentlichung. Dies ist jedoch nur möglich, wenn dem kein schutzwürdiges Interesse der Mitglieder des Vereins entgegensteht.
Ein Verein hat das erhebliche Interesse, neue Mitglieder oder Spenden zu generieren. Die Beibehaltung oder Erhöhung der Anzahl der Vereinsmitglieder und die Sicherstellung finanzieller Mittel sind für Vereine sehr wichtig, da Mitglieder die Basis des Vereins darstellen und diesen ausmachen.
Nutzt ein Verein Mitgliederdaten für Spendenaufrufe und Werbung zur Erreichung eigener Vereinsziele, so besteht hier in der Regel ein berechtigtes Interesse, welches die Schutzbedürftigkeit der betroffenen Personen überwiegen kann.
Etwas anderes gilt bei der Nutzung von Mitgliederdaten für die Werbung Dritter. Hier ist die Einwilligung der Mitglieder erforderlich. Ohne diese Einwilligung ist die Werbung grundsätzlich unzulässig.
Allgemein können Mitglieder den meisten Arten der Veröffentlichung widersprechen. Die betroffene Person kann den Widerspruch bereits bei dem Abschluss des Mitgliedervertrags vornehmen.
1.3. Löschung von Mitgliederdaten
Um datenschutzkonform mit Mitgliederdaten umzugehen, muss auch in einem Verein ein Löschkonzept entwickelt werden.
Alle personenbezogenen Daten müssen gelöscht werden, wenn der Zweck der Erhebung nicht mehr besteht. Hierfür sind regelmäßige Kontrollen erforderlich.
Bei einem Verein muss die Löschung der Daten spätestens bei einem Vereinsaustritt vorgenommen werden. Zu beachten sind jedoch die gesetzlichen Aufbewahrungspflichten. Es können beispielsweise handels- oder steuerrechtliche Pflichten für die Aufbewahrung von Daten bestehen.
2. Checkliste
Um den Anforderungen des Datenschutzrechtes gerecht zu werden, sind – neben der Einhaltung der allgemeinen Vorschriften der DS-GVO – folgende Punkte in Bezug auf den Schutz von Daten in Vereinen zu beachten:
- Erforderliche Rechtsgrundlage zur Verarbeitung personenbezogener Daten
- Nach der DS-GVO dürfen personenbezogene Daten nur erhoben, gespeichert oder verarbeitet werden, wenn hierfür eine Rechtsgrundlage besteht. Diese ergibt sich meistens aus Art. 6 DS-GVO.
- Der einfachste Weg zur Schaffung einer Rechtsgrundlage ist die Einholung der Einwilligung im Mitgliedervertrag in Form einer Unterschrift.
- Einhaltung der Informationspflichten
- Die von der Datenverarbeitung betroffene Person ist darüber zu informieren, welche ihrer Daten wie lange und für welchen Zweck gespeichert und verarbeitet werden.
- Außerdem ist eine datenschutzrechtliche Aufklärung vorzunehmen.
- Dem Mitgliedervertrag ist ein Informationsschreiben beizulegen, das folgende Hinweise enthält:
- Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters.
- Wenn bestellt, die Kontaktdaten des Datenschutzbeauftragten.
- Genaue Angaben der Zwecke der Verarbeitung.
- Rechtsgrundlage der Verarbeitung.
- Etwaiges Vorliegen berechtigten Interesses i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO.
- Empfänger oder Kategorie von weitergegebenen Daten.
- Absicht über einen Datentransfer in ein Drittland.
- Speicherdauer der personenbezogenen Daten.
- Belehrung über Betroffenheitsrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung).
- Hinweise auf jederzeitiges Widerrufsrecht der Einwilligung.
- Hinweise auf Beschwerderecht bei einer Aufsichtsbehörde.
- Zweckgebundenheit des Umgangs mit personenbezogenen Daten
Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten darf nur und ausschließlich für den vorgesehenen und kommunizierten Zweck erfolgen. Über Zweckänderungen sind die Mitglieder nicht nur zu Informieren – es muss eine neue Einwilligung eingeholt werden oder ein anderer Zulässigkeitstatbestand des Art. 6 der DS-GVO vorliegen.
- Verarbeitungsverzeichnis
In einem Verarbeitungsverzeichnis wird aufgeführt, welche Daten zu welchem Zweck wie und von wem verarbeitet werden und wer Zugang zu diesen Daten hat. Außerdem können regelmäßige Kontrollen eingetragen werden.
- Ausarbeitung eines Löschkonzepts
Personenbezogene Daten dürfen nur solange gespeichert werden, wie der vorgesehene Zweck besteht. Entfällt der Zweck oder tritt ein Mitglied aus dem Verein aus, so muss eine Löschung erfolgen. Es sind regelmäßige Kontrollen und die Beachtung der gesetzlichen Aufbewahrungspflichten erforderlich.
- Risikoabschätzung und Sicherheit der Datenverarbeitung
Bei jeder Datenverarbeitung ist das Risiko dieser für die personenbezogenen Daten zu berücksichtigen. Falls notwendig, ist eine Datenschutz-Folgeabschätzung vorzunehmen. Außerdem sind angemessene technisch-organisatorische Maßnah-men zu etablieren, um die Daten zu schützen.
- Berufung eines Datenschutzbeauftragten
Wenn mehr als 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder regelmäßig besonders sensible Daten nach Art. 9 DS-GVO verarbeiten, so ist ein Datenschutzbeauftragter zu bestellen. Genauere Informationen zu diesem Thema finden Sie in Art. 37 ff. DS-GVO, in § 38 BDSG und in unserem Artikel „Der Datenschutzbeauftragte“. (Link einfügen)
- Verträge mit externen Dienstleistern
Wird ein externer Dienstleister beauftragt und kommt dieser mit personenbezogenen Daten in Kontakt (beispielsweise ein Cloud-Dienst im Bereich der Datenspeicherung), so ist mit diesem ein Vertrag abzuschließen, in dem der datenschutzrechtkonforme Umgang mit den Daten geregelt ist.
- Beachtung des Schreibens des Landesdatenschutzbeauftragen für den Daten-schutz im Verein nach der Datenschutzgrundverordnung
Beispiel Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
3. Fazit
In einem Verein ist eine Vielzahl von datenschutzrechtlichen Vorgaben bei der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten zu beachten und umzusetzen.
Daneben sind einige Maßnahmen zu treffen.
Eine mögliche Maßnahme ist die Aufführung von Funktionsträgern in der Vereinssatzung oder in einer gesonderten Datenordnung.
Auch die Informationen der Vereinsmitglieder über den Zweck, den Umfang und die Dauer der Datennutzung sind relevant, um eine datenschutzkonforme Verarbeitung vorzunehmen.
Die Maßnahmen können zwar umfangreich sein, sind aber zugleich unabdinglich, um Bußgelder zu vermeiden.
Haben Sie Fragen zu den Vorschriften oder benötigen Sie Hilfe bei der Umsetzung dieser?
Wir stehen Ihnen gerne mit Rat und Tat zur Seite.
Ähnliche spannende Beiträge
DSGVO, TTDSG & Cookies
Informieren Sie sich über die Rechtssicherheit, die das neue Gesetz in Bezug auf Cookies sowohl für Unternehmen als auch für Verbraucher bringt.
DSGVO: Private E-Mail Nutzung am Arbeitsplatz
Private E-Mail Nutzung am Arbeitsplatz. Zulässigkeit nach DSGVO? Alle Informationen für die Praxis + was Arbeitgeber beachten sollten.
Art 32 DSGVO
Art 32 DSGVO behandelt die technisch-organisatorischen Maßnahmen. Wir informierenm Sie, wie diese umgesetzt werden müssen.
Art 26 DSGVO
Art 26 DSGVO behandelt die gemeinsame Verantwortlichkeit von Unternehmen und Auftraggebern. Wir informieren Sie über alles Wichtige.
Kein Schmerzensgeld für verspätete Datenauskunft
Löschung durch Anonymisierung: Alles zu den Voraussetzungen und Anforderungen. Datenschutzexperten informieren.
Bewerber und DSGVO-Betroffenenrechte
Nach der DSGVO sind Unternehmen bereits verpflichtet, Prozesse rund um die Verarbeitung der Rechte der betroffenen Personen im Einklang mit dem Datenschutzrecht zu gestalten.