Datenschutz im Verein nach der DSGVO

Am 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Sie bildet nun den rechtlichen Rahmen für die Verarbeitung personenbezogener Daten, und zwar nicht nur für Unternehmen, sondern auch für Privatpersonen und Vereine. Dies hat bei vielen Verantwortlichen für große Verunsicherung gesorgt, nicht zuletzt weil immer wieder von drohenden Bußgeldern und Haftungsrisiken zu lesen war. Bei genauer Betrachtung übernimmt die DSGVO aber viele datenschutzrechtliche Grundsätze, die auch davor schon galten.

Zwischenzeitlich gibt es eine Fülle an Merkblättern und Arbeitshilfen, die von den Landesdatenschutzbehörden und Dachverbänden zur Verfügung gestellt werden. An Informationen mangelt es daher nicht. Wir haben uns deshalb dazu entschlossen, nicht noch weitere, eigene Materialen zur Verfügung zu stellen. Vielmehr haben wir diese Informationsangebote für Sie zusammengestellt und ausgewertet.

1.    Was ist nun zu tun?

Vereinsverantwortliche sollten ihr Augenmerk im Umgang mit personenbezogenen Daten insbesondere auf die folgenden Punkte richten:

Informationspflicht in der Mitgliederverwaltung

Personenbezogene Daten werden durch die Vereine insbesondere im Rahmen der Mitgliederverwaltung verarbeitet. Hier ist bei der Erhebung der Daten, in der Regel im Zusammenhang mit der Beantragung der Mitgliedschaft, der Antragsteller darüber zu informieren, was mit seinen Daten geschieht, also z.B. zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie gespeichert werden. Es reicht hier aber die Information, eine Einwilligung ist nicht erforderlich. Wie eine solche Information ausgestaltet sein kann, entnehmen Sie bitte den nachstehend zum Download bereitgestellten Materialien, insbesondere dem „Praxisratgeber Datenschutz im Verein nach der DS-GVO“. Und ganz wichtig: Bestandsmitglieder müssen nicht nachträglich informiert werden, schon gar nicht ist nachträglich eine Einwilligung einzuholen.

Einwilligungserfordernis

Eine Einwilligung zur Datenverarbeitung wird nur ausnahmsweise dann benötigt, wenn die Verarbeitung der personenbezogenen Daten weder zur Durchführung des Mitgliedsvertrags noch aufgrund berechtigter Interessen des Vereins erforderlich ist. Einfacher ausgedrückt: Möchte der Verein beispielsweise Mitgliederdaten an einen Sponsor für Werbemaßnahmen weitergeben, so benötigt er in diesem Fall eine Einwilligung, da eine solche Verwendung der Daten nichts mit Vereinsaktivitäten und der Mitgliedschaft im engeren Sinne zu tun hat. Aber: Einwilligungserklärungen müssen nicht zwingend schriftlich abgegeben werden, auch mündlich oder solche durch schlüssiges Verhalten sind wirksam – allerdings im Streitfall schwererer nachzuweisen.

Datenschutzbeauftragter

Der Verein hat einen Datenschutzbeauftragen nur dann zu benennen, wenn mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten ständig beschäftigt sind. „Ständig beschäftigt“ ist, wer z. B. permanent Mitgliederverwaltung macht – „nicht ständig beschäftigt“ ist dagegen beispielsweise, wer als Übungsleiter oder Trainer nur mit den Namen seiner Mannschaft umgeht. Ist ein Datenschutzbeauftragter zu benennen, ist dieser dem Landesdatenschutzbeauftragten zu melden: www.baden-wuerttemberg.datenschutz.de/dsb-online-melden/

Verarbeitungsverzeichnis

In jedem Verein, in dem die Verarbeitung personenbezogener Daten nicht nur gelegentlich, sondern regelmäßig stattfindet (z.B. Aktualisierung Mitgliederliste, Versand von Nachrichten an Mitglieder, Einzug von Mitgliedsbeiträgen), ist nach Auffassung und Auskunft des Landesdatenschutzbeauftragten Baden-Württemberg ein Verzeichnis darüber zu führen, welche Verarbeitungstätigkeiten ausgeführt werden. In manchen Kommentierungen zur DSGVO (z.B. Schantz/Wolff) heißt es zwar, dass dies bei weniger als 250 Mitarbeitern nur dann gilt, wenn die Datenverarbeitung die Haupttätigkeit darstellt, was bei Sportvereinen zweifellos nicht der Fall ist. Auch auf nochmalige Nachfrage hielt der Landesdatenschutzbeauftragte Baden-Württemberg aber an seiner strengen Auslegung fest. Das Muster eines solchen Verarbeitungsverzeichnisses finden Sie ebenfalls in dem zum Download bereitgestellten „Praxisratgeber Datenschutz im Verein nach der DS-GVO“.

Datenschutzerklärung auf Websites

Betreiber von Websites sind verpflichtet, eine rechtskonforme Datenschutzerklärung bereitzustellen. Diese Pflicht entfällt nur bei einer rein privaten Nutzung, was bei Vereinen aber nicht der Fall ist. Wie diese Datenschutzerklärung ausgestaltet sein muss, hängt von den Inhalten und der technischen Ausgestaltung ab. Maßgeblich ist also, ob z.B. Cookies/E-Tracking-Funtionen genutzt werden oder auch Social-Media-Kanäle (z.B. facebook, youtube o.ä.) eingebunden sind. Datenschutzerklärungs-Generatoren helfen dabei, eine individuell passende Erklärung zu erstellen. Genutzt werden kann z.B, der Generator der DGD Deutsche Gesellschaft für Datenschutz: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

2.    Woher bekomme ich weitere Informationen?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg:

Deutscher Fußball-Bund:

Württembergischer Landessportbund:

Lockerung beim Datenschutz

Es gibt Erleichterungen beim Thema Datenschutz. Seit dem 21. November 2019 bedarf es der Bestellung eines Datenschutzbeauftragten nur noch dann, wenn mindestens 20 Mitarbeiter – gleich ob haupt- oder ehrenamtlich – mit der Verarbeitung personenebezogener Daten regelmäßig beschäftigt sind. Bisher galt dies schon ab 10 Mitarbeitern.
Die im Rahmen des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU beschlossene Lockerung soll neben Kleinbetrieben inbesondere ehrenamtlich geprägten Vereinen zu Gute kommen. Damit dürfte für die meisten Vereine eine solche Verpflichtung nicht mehr bestehen.
Wer es genauer wissen möchte, findet weitere Informationen hier.