Was Vereine bei der Umsetzung der DSGVO beachten müssen
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich auch im Bereich der Vereinsarbeit, besonders bei der Mitgliederverwaltung, einiges geändert. Was vorher durch das Bundesdatenschutzgesetz (BDSG) geregelt wurde, wird nun primär durch eine EU-Richtlinie reglementiert. Diese ist EU-weit gleich, sie wird aber durch nationale Gesetze konkretisiert und ergänzt. So sind heute das neue BDSG und die DSGVO gemeinsam auch für den Datenschutz im Verein relevant.
Besonders die kleineren Vereine, die auf die ehrenamtliche Mitarbeit ihrer Vereinsmitglieder angewiesen sind, haben an der neuen Verordnung zu knabbern: So sollen die Ehrenamtlichen in ihrer Freizeit nicht nur ihre Vereinsarbeit machen, sondern sich auch noch um den Datenschutz kümmern. Immerhin drohen Fehler nun teuer zu werden – die weithin kolportierten 20 Millionen Euro sind zwar für kleinere Organisationen nicht realistisch, aber die Geldbußen der Aufsichtsbehörde sollen durchaus spürbar sein! Generell haftet der Verein mit seinem Vereinsvermögen, jedoch kann gemäß der DSGVO theoretisch auch der Vereinsvorstand für Verstöße haftbar gemacht werden, denn er ist der offizielle Vertreter des Vereins. Wie stark ehrenamtlich geführte Vereine davon faktisch betroffen sein werden, wird sich in der Praxis noch zeigen müssen. Um den umfangreichen Vorgaben der DSGVO gerecht zu werden, braucht es eine ganze Menge Einarbeitung – kein Wunder also, dass sich viele verunsichert fühlen. Damit Ihr Sport- und Kulturangebot nicht unter einer Bürokratielawine begraben wird, haben wir die wichtigsten Informationen für Sie zusammengefasst.
So schützen Vereine die Daten ihrer Mitglieder
Da nicht nur große Unternehmen, sondern auch Vereine um die Verarbeitung von personenbezogenen Daten (etwa Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adresse etc.) nicht herumkommen und diese im Sinne der DSGVO angemessen zu schützen sind, ist der Datenschutz für Vereine mehr denn je ein wichtiges Thema bei der Mitgliederverwaltung. Wirkliche Unterschiede zwischen der Umsetzung der Datenschutz-Grundverordnung für Unternehmen und dem Datenschutz für Vereine gibt es dabei aber nicht.
Der Datenschutz folgt dem Prinzip des „Verbots mit Erlaubnisvorbehalt“. Hier ist geregelt, dass jede Form der Verarbeitung personenbezogener Daten (also beispielsweise die Erhebung, Speicherung und Weitergabe, aber auch der Abgleich oder die Löschung) prinzipiell erst einmal verboten ist und einer rechtlichen Grundlage bedarf. Diese Rechtsgrundlage schaffen Vereine insbesondere durch Verträge, Vereinssatzungen und entsprechende Einwilligungserklärungen.
Der DSGVO-konforme Datenschutz für Vereine basiert hauptsächlich auf Art. 6 Abs. 1 b). Im Kern steht dort, dass die Datenverarbeitung dann zulässig ist, wenn Sie zur „Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“, erforderlich ist. Solange die Verarbeitung personenbezogener Daten zur Betreuung der Vereinsmitglieder und für die Erreichung der Vereinsziele erforderlich ist, sind diese Maßnahmen im Normalfall durch die DSGVO abgedeckt. Die entsprechenden Vereinsziele müssen in der Satzung stehen, damit diese im Zweifel als Nachweis herangezogen werden kann. Falls noch nicht geschehen, sollten Sie die Vereinssatzung um eine Passage zum Datenschutz ergänzen. So kann eine für die Vereinsmitglieder zugängliche Mitgliederliste durch eine entsprechende Satzung (die etwa auf die Zielsetzung, die Vereinsmitglieder untereinander zu vernetzen, abzielt) geregelt werden. Jedoch muss dies nicht für jeden Verein gelten und ist vom jeweiligen Fall abhängig.
Die Personen, die mit der Be- und Verarbeitungstätigkeit der Mitgliederdaten betraut werden, müssen eine rechtliche Befugnis haben. Gehen zwanzig oder mehr Personen in Ihrem Verein einer Verarbeitungstätigkeit nach, bei der personenbezogene Daten regelmäßig involviert sind, muss der Verein einen Datenschutzbeauftragten ernennen. Besteht in Ihrem Verein ein erhöhtes Risiko bei der Verarbeitung der Mitgliederdaten – etwa weil besonders schützenswerte Datenkategorien wie Gesundheitsdaten für den Vereinszweck verarbeitet werden müssen – sollten Sie, gemäß Art. 35 Datenschutz-Grundverordnung, prüfen, ob Sie eine Datenschutzfolgenabschätzung vornehmen müssen.
Welche Inhalte sollten Vereine in Ihre Datenschutzordnung aufnehmen?
Typische Datenarten, die im Rahmen der Vereinsziele verarbeitet werden, sind z. B. Namen, Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen. Es gilt grundsätzlich das Prinzip der „Datensparsamkeit“ – nur so viele Daten aufzunehmen wie wirklich nötig. Darüber hinaus können weitere Daten verarbeitet werden, wenn es sich etwa um Vereinsprotokolle, Mitgliederlisten, Mitgliederversammlungen oder Dokumentationen (sportlicher) Wettbewerbe (z. B. Teilnehmerlisten, Ranglisten, Aufstellungen oder Ergebnisse) handelt. Im Fall einer Veröffentlichung muss vorher eine Erklärung erfolgen, warum, wo und wie lange diese Daten veröffentlicht werden.
Eine gute Datenschutzordnung muss zudem eine Liste der Betroffenenrechte enthalten:
- Auskunftsrecht (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit (Art. 20)
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21)
- Recht auf Löschung (Art. 17)
- Beschwerderecht bei der Aufsichtsbehörde (Art. 13 Abs. 2 d)
Wann benötigen Vereine eine Einwilligungserklärung Ihrer Mitglieder?
Möchte der Verein über die Vereinsziele hinaus die Daten seiner Mitglieder verarbeiten (etwa, wenn diese Daten zu Werbezwecken an Dritte weitergegeben werden sollen, oder wenn individuelle Profilbilder veröffentlicht werden sollen), so muss eine entsprechende Einwilligungserklärung eingeholt werden. Gemäß Art. 6 Abs. 1 a) darf eine Datennutzung stattfinden, sofern „die betroffene Person […] ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben [hat]“. Auch für den Versand des Vereins-Newsletters muss eine entsprechende Einwilligung eingeholt werden – insbesondere wenn in diesem Newsletter zusätzliche Leistungen des Vereins beworben werden.
Die Vereinsmitglieder müssen zudem auch bei einer Einwilligung darüber informiert werden, zu welchem Zweck die aufgenommenen Daten konkret verwendet werden, um welche Datenarten es sich dabei handelt und über welchen Zeitraum eine Verarbeitung erfolgt. Die Daten dürfen (unter Beachtung der gesetzlichen Aufbewahrungspflicht) nur für die jeweilige Zweckerfüllung genutzt werden. Betroffene Personen können jederzeit von ihrem Widerrufsrecht bezüglich der erteilten Einwilligung Gebrauch machen, die personenbezogenen Daten dürfen dann für diesen Zweck nicht mehr verwendet werden und müssen umgehend gelöscht werden – hier ist übrigens keine separate Löschaufforderung durch den Betroffenen nötig!
Grundsätzlich gilt: Der Einwilligung muss ein informativer Text in leicht verständlicher Sprache vorausgehen. Der Widerruf muss ebenso leicht sein, wie die Einwilligung. Die widerrufende Person muss umgehend über einen erfolgreichen Widerruf informiert werden.
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie im Handumdrehen Ihren Datenschutz!
Datenschutz auf der Vereins-Website?
Auch vor der Vereins-Website macht die DSGVO nicht halt! Führen Sie am besten eine vertiefte Überprüfung der Funktionalitäten und installierten Komponenten zusammen mit einem Fachmann durch. Sie müssen dafür Sorge tragen, dass IPs anonymisiert werden und dass insbesondere bei Datenerhebungen – beispielsweise unter Formularen – auf Ihre Datenschutzinformationen verwiesen wird. Die technische Infrastruktur muss stets auf dem Stand der Technik sein. Dies erreichen Sie u.a. durch ein SSL-Zertifikat, ein Cookie-Opt-in und geschützte Bereiche für Mitglieder mit einer angemessenen Authentifizierungs-Logik. Beachten Sie, dass Ihre Website jederzeit und ohne Ihr Wissen von einer Aufsichtsbehörde geprüft werden kann.
Was müssen Vereine bei der Datenauskunft beachten?
Bei einem Auskunftsersuchen z.B. durch ein Mitglied gilt: Eine mündliche Auskunft ist möglich, nachdem die Identität zweifelsfrei nachgewiesen wurde. Die Information muss dem Vereinsmitglied dabei „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt werden (Art. 12 Abs. 1 Satz 1). Diese angefragten Daten müssen binnen eines Monats ausgehändigt werden (Art 12 Abs. 3), in Ausnahmefällen darf die Bearbeitung auch zwei Monate in Anspruch nehmen. In diesem Fall muss die Fristverlängerung zwar nicht bei Aufsichtsbehörde beantragt, aber das Vereinsmitglied darüber informiert werden. Dieses kann sich dann jedoch bei der Aufsichtsbehörde beschweren oder bei Gericht einen Rechtsbehelf einlegen. Auf Nummer Sicher gehen Sie, wenn Sie Ihren Vereinsmitgliedern einen Fernzugriff auf ihre personenbezogenen Daten einrichten. Dabei ist jedoch zu beachten, dass Unbefugte definitiv keinen Zugriff haben und ausreichende Sicherheitsmaßnahmen ergriffen werden, um dies sicherzustellen.
Mit der DSGVO wurde überdies mit Art. 20 Abs. 1 das Recht auf Datenübertragbarkeit eingeführt, das betroffenen Personen, deren Daten Sie verarbeiten, das Recht einräumt, ihre personenbezogenen Daten maschinenlesbar auf Datenträgern (z. B. CD, DVD, oder USB-Stick) oder als Link zu einem – natürlich sicheren und zertifizierten – Cloudspeicher anzufordern und diese an andere Empfänger übermitteln zu lassen. So ist die Weiterreichung dieser Daten gemäß Art. 20 Abs. 2 an einen anderen Verein möglich, wenn der Betroffene dies wünscht und seine Einwilligung gibt. Dies stellt manche Mitgliederdatenbank-Administratoren sicher vor eine ziemlich große Herausforderung.
Wie können Vereine den gesetzeskonformen Datenschutz im Fall einer Prüfung nachweisen?
Um auf der sicheren Seite zu sein, müssen Sie Ihre Datenverarbeitung sauber dokumentieren. Nur so können Sie im Fall einer Prüfung nachweisen, dass Sie die DSGVO einhalten. Übersichten über verarbeitete Datenkategorien, Empfänger und eingesetzte Dienstleister gehören ebenso dazu wie eine Liste der von Ihnen vorgenommenen Technischen und Organisatorischen Maßnahmen (TOMs) zur Förderung des Datenschutzes.
Sie sollten beispielsweise auch über nennenswerte Datenschutzzwischenfälle gemäß Art 33 DSGVO buchführen. Hier muss u.a. vermerkt werden, dass im Falle einer Verletzung des Schutzes personenbezogener Daten und dem dadurch verursachten Eintritt eines Risikos für die Betroffenen unverzüglich (spätestens binnen 72 Stunden nach Bekanntwerden!) die zuständige Aufsichtsbehörde informiert wurde. Erfolgte die Meldung nicht in dem genannten Zeitraum, so muss eine Begründung geliefert werden.
Last but not least ist gemäß Art. 30 DSGVO ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ anzulegen, das die händischen und automatisierten Datenverarbeitungsvorgänge detailliert dokumentiert. Hier müssen unter anderem Angaben zu dem/den Verantwortlichen (Name und Kontaktdaten) oder dessen Vertreter und zum Datenschutzbeauftragen gemacht werden. Auch muss der Zweck der Verarbeitung festgehalten werden, ebenso wie etwaige Auslandsübertragungen und dafür herangezogene Garantien für ein angemessenes Datenschutzniveau.
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie im Handumdrehen Ihren Datenschutz!
Einführung eines Datenschutzmanagement-Tools für Vereine
Datenschutz ist eine zeitaufwändige und durchaus kostenverursachende – und damit besonders für Vereine sehr belastende – Angelegenheit. Mit Hilfe eines leistungsfähigen aber dabei zugleich handhabbaren Datenschutzmanagement-Tools können Sie diese Prozesse strukturieren, zentralisieren und beschleunigen. Die Datenschutz-Komplettlösung „DSM-Online“ hat u.a. speziell auf Vereine zugeschnittene Features bereits im System hinterlegt. Es handelt sich dadurch um ein Tool von Profis für Nicht-Profis, das Sie Schritt für Schritt durch die Anforderungen der DSGVO führt und Lücken aufzeigt, die Sie schließen müssen. So wissen Sie sofort, was als Nächstes zu tun ist. Das Portal verfügt über eine integrierte Logik, die es Ihnen ermöglicht, Ihren Verein selbstständig und intuitiv datenschutzkonform auszurichten.
- Dank der zentralen Lösung ist es Ihnen möglich, alle den Datenschutz betreffenden Themen und Dokumente zu Ihrem Verein in einem Account zu verwalten.
- Das Zufügen oder Bearbeiten von Organisationseinheiten, Prozessen oder Dienstleistern ist jederzeit und ganz einfach möglich. So können Sie Ihr Konto jederzeit dem tatsächlichen Bedarf Ihres Vereins anpassen.
- Sorgen Sie sich nicht um Geldbußen. Wir unterstützen Sie dabei, diese effektiv zu vermeiden!
- Datenverarbeitung wird mit uns ganz einfach! Erstellen und bearbeiten Sie relevante Dokumente (Risikomatrix, Datenschutzkonzept, Verträge zur Auftragsverarbeitung usw.) direkt im Tool.
- Mit der Transferfunktion können Sie sogar ganz einfach die Einstellungen und Konfigurationen von einem Vereins-Konto auf ein anderes übertragen.
Dank unserer innovativen All-In-One-Lösung ist es ein Heimspiel für Sie, wichtigen Kollegen aus der Vereinsverwaltung einen kostenlosen Zugang bereitzustellen. Die anschaulichen Dashboards geben Ihnen immer und überall nützliche Informationen zum Status des Datenschutzes in Ihrem Verein. Sie haben zudem die Möglichkeit, Aufgabenlisten anzulegen, damit Sie immer den Überblick behalten was noch zu tun ist. Und wenn Sie mit mehreren Leuten zusammenarbeiten, können Sie ganz einfach Aufgaben erstellen und verteilen. Offizielle Dokumente können Sie außerdem ganz einfach mit Ihrem Vereinslogo versehen.
Checkliste für optimalen Datenschutz für Vereine
Wie gehen Sie das Thema nun am besten an? Zunächst sollten Sie sich folgende Fragen stellen:
- Ist die Herkunft der vorliegenden personenbezogenen Daten geklärt?
- Liegen Daten vor, die nicht notwendigerweise (gemäß der Vereinssatzung) hätten abgefragt werden dürfen?
- Auf welcher Rechtsgrundlage wurden die Daten erhoben, und liegen explizite Einwilligungen zur zweckgemäßen Verarbeitung und Nutzung vor wo sie nötig sind?
- Werden alle Prozesse der Verarbeitung personenbezogener Daten sauber protokolliert? (Besser zu viel machen, als zu wenig!)
- Haben wir aktuelle Datenschutzvereinbarungen mit unseren datenverarbeitenden Dienstleistern geschlossen?
- Benötigen wir einen Datenschutzbeauftragten?
- Sind unsere Mitarbeiter und Ehrenamtlichen ausreichend geschult?
- Informieren wir all diejenigen, deren Daten wir verarbeiten, angemessen darüber, wie das vonstatten geht?
Ist unsere Website datenschutzkonform?
Aus den Antworten auf diese wenigen Fragen können Sie bereits erste konkrete Maßnahmen ableiten um das akute Risiko für Ihren Verein zu senken.
Für weitergehende Fragen zum Datenschutz in Ihrem Verein stehen Ihnen die Experten der ituso GmbH gerne zur Verfügung, die Sie sicher durch das „Datenschutz-Dickicht“ der DSGVO führen werden – rufen Sie uns an!