DSGVO: Auch Vereine müssen die Vorgaben einhalten

Einwilligungserklärung zur Verarbeitung personenbezogener Daten als Dreh- und Angelpunkt.

Illustration: Absmeier

Die neuen gesetzlichen Regelungen der Datenschutzgrundverordnung (DSGVO) trifft auch Vereine. Denn auch sie gehen mit personenbezogenen Daten um, ganz gleich ob es der Mitgliedsantrag des Vereins, das Anmeldeformular für Wettkämpfe oder das Patenschaftsformular für Tiere im Tierheim ist.

»Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutzgrundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten«, rät Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP (www.psw-group.de).

Einwilligung der Mitglieder zur Verwendung der persönlichen Daten unabdingbar

Welche personenbezogenen Daten ein Verein erhalten darf, regelt die Vereinssatzung. Allerdings sind Vereine in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.

»Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden«, erklärt der Experte.

Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf der Website und auf sozialen Netzwerken. Auch hier dürfen personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem muss der Verein diese Einwilligung entsprechend dokumentieren.

»Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen«, so Christian Heutger. Ohne Einwilligung zulässig sind ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen. Auch darf der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen.

»Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes »berechtigtes Interesse« daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden«, weißt Heutger hin und räumt ein: »Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenen Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs haben laut DSGVO ein Recht auf Vergessenwerden.«

Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, wird es kompliziert. Denn hier spielt auch das Kunsturhebergesetz eine Rolle: Fotos und Videos dürfen erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden. »Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden«, so Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er zudem, die Einwilligung der Eltern einzuholen.

Einwilligungserklärungen können Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings muss diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein. Vorangekreuzte Checkboxen sind nicht zulässig.

 

Auch darauf sollten Vereine achten:

 

Datensparsamkeit

Die DSGVO verlangt nicht nur, dass Daten nur »für festgelegte, eindeutige und legitime Zwecke« erhoben werden. Die Datenverarbeitung muss zudem »auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein«.

Informationspflichten

Die Datenschutzgrundverordnung verpflichtet Vereine dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten.

Technische und organisatorische Maßnahmen

Datensicherheit muss mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Das betrifft die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Websiteverschlüsselung), aber auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). »Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen wurden«, bringt es Heutger auf den Punkt und rät: »Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.«

Auftragsdatenverarbeitung

Auch Vereine nutzen Drittanbieter: Entweder lagern die Daten in der Cloud, liegen auf Servern eines Anbieters oder werden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen.

Datenschutzfolgeabschätzung

Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssen sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssen sie deshalb »vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten« durchführen.

Meldepflichten

Auch Vereine unterliegen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssen unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. »Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutzmeldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt«, rät Heutger.

Datenschutzbeauftragter

Vereine, die mindestens 10 Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssen einen Datenschutzbeauftragten benennen. »Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen«, so Heutger.

 

Weitere Informationen unter: https://www.psw-group.de/blog/die-datenschutz-grundverordnung-fuer-vereine/4950

 


 

Noch nicht bereit für die EU-DSGVO? In 7 Schritten startklar

DSGVO gilt auch für stoffliche Dokumente: Toxische Papiere gefährden Datenschutz

DSGVO: Tipps für die Vorbereitung

Unbemerkt im Schatten der DSGVO – Handlungsbedarf bei der NIS-Richtlinie

Leitfaden zum User- & Rechte-Management im Kontext der EU-DSGVO

DSGVO: 4 Schritte für Nachzügler

In 5 Schritten die DSGVO meistern: KMUs sollten Prioritäten setzen

Weitere Artikel zu