In der täglichen Arbeit eines Vereins werden viele personenbezogene Daten verarbeitet. Meistens sind das Name, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Kontodaten und Fotos der Mitglieder. Aber auch die Zuordnung zu einer Mannschaft oder die Veröffentlichung von Wettkampf-Ergebnissen fallen unter den Datenschutz.
Natürlich müssen auch Vereine die Regeln der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) einhalten. Kurz und einfach erklärt gilt das für alle Vereine, unabhängig davon, ob der Verein gemeinnützig, eingetragen oder rechtsfähig ist. Beim Datenschutz im Verein geht es vor allem um die Grundrechte der Mitglieder. Wenn du den Datenschutz vernachlässigst, kann das teuer werden. Verstöße werden nämlich mit Abmahnungen und hohen Bußgeldern sanktioniert. Aber keine Sorge: Hier findest du das Wichtigste einfach erklärt.
Die Einwilligung zur Verarbeitung personenbezogener Daten muss freiwillig und ohne Zwang gegeben werden. Der Verein muss seine Mitglieder über den Zweck der Datenverarbeitung und über das Widerrufsrecht informieren. Die Mitglieder können ihre Einwilligung im Nachhinein und ohne Angabe von Gründen widerrufen. Generelle Einwilligungen für alle möglichen Vorgänge sind nicht zulässig.
Wir empfehlen, die Einwilligung immer schriftlich einzuholen. Laut DSGVO kann die Einwilligung auch mündlich erfolgen. Der Verein muss aber im Extremfall nachweisen, dass eine Einwilligung für die Verarbeitung personenbezogener Daten vorliegt. Deshalb solltest du immer darauf achten, dass die Einwilligung samt Unterschrift vorliegt und auch entsprechend aufbewahrt wird.
Besonders sensible Daten dürfen nur mit einer ausdrücklich erteilten Einwilligung weitergegeben werden. Das ist der Fall bei besonders schützenswerten Daten, wie Gesundheitsdaten, Angaben zu politischen oder religiösen Überzeugungen sowie Angaben zu Migrationshintergrund oder Gewerkschaftszugehörigkeit.
Natürlich gibt es wie immer auch Ausnahmen von der Regel:
1. Der Verein braucht keine Einwilligung zur Verarbeitung der Daten, wenn es um den Mitgliedschaftsvertrag geht. Die Verarbeitung personenbezogener Daten wie Name, Anschrift und Bankverbindung ist für die Begründung und Durchführung des Vertrags erforderlich und deshalb zulässig.
2. Der Verein braucht keine Einwilligung zur Verarbeitung der Daten, wenn er ein berechtigtes Interesse an der Datenverarbeitung hat. Einfach erklärt besteht ein berechtigtes Interesse dann, wenn beispielsweise ein Sportverein die Kleidergrößen der Mitglieder weitergibt, um Kleidung zu kaufen.
3. Der Verein braucht keine Einwilligung zur Verarbeitung der Daten, wenn eine rechtliche Verpflichtung besteht. Das ist der Fall, wenn Rechnungen oder andere Unterlagen für eine bestimmte Zeit aufbewahrt werden müssen.
Mitglieder haben immer das Recht, Widerspruch gegen die Verarbeitung der Daten einzulegen, auch wenn aus Sicht des Vereins ein berechtigtes Interesse besteht. Dabei müssen die Mitglieder besondere Gründe angeben, die gegen die Verarbeitung der Daten sprechen. Wenn diese Gründe relevanter sind als das Interesse des Vereins für die Verarbeitung, muss dem Widerspruch stattgegeben werden.
Beispiel aus der Praxis kurz und einfach erklärt: Ein Verein veröffentlicht Fotos einer Veranstaltung auf seiner Website. Darauf sind Personen erkennbar. Eines der Mitglieder wird von einem Stalker verfolgt und legt deshalb Widerspruch ein. In diesem Fall müssen die Fotos gelöscht werden, weil der Schutz des Mitglieds wichtiger ist als das Interesse des Vereins.
Alle Vereine mit regelmäßiger Mitgliederverwaltung und Beitragsabrechnung müssen ein Verzeichnis über ihre Verarbeitungstätigkeiten führen. So kannst du auch im Nachhinein alle Datenverarbeitungen jederzeit übersichtlich nachvollziehen und beispielsweise schnell auf Anfragen von Mitgliedern reagieren. Dabei musst du auf keine bestimmte Form achten. Du kannst dich einfach an einem Musterverzeichnis orientieren. Kurz und einfach erklärt, sind folgende Angaben relevant:
Postalische, elektronische und telefonische Erreichbarkeit des Verantwortlichen und des Datenschutzbeauftragten.
Alle gesetzlich geregelten Aufbewahrungs- und Löschfristen, aber auch selbst festgelegte Fristen.
Grundsätzlich braucht man einen Datenschutzbeauftragten erst ab 20 Mitarbeitern. Unter bestimmten Umständen müssen aber auch kleinere Vereine einen Datenschutzbeauftragten bestellen.
Kurz und einfach erklärt ist das der Fall, wenn besonders sensible personenbezogene Daten verarbeitet werden. Ein Beispiel dafür sind Gesundheitsdaten in Selbsthilfegruppen. Allerdings nur, so steht es in der DSGVO, wenn diese Verarbeitung in umfangreichem Maße stattfindet. Umfangreich bezieht sich hier auf die Zahl der betroffenen Personen, das Datenvolumen oder die Dauer der Datenverarbeitung.
Das Gleiche gilt für die regelmäßige und systematische Überwachung von Personen. Wir denken da beispielsweise an Videoüberwachungen in Fußballstadien. Hier solltest du auch bei kleinen Vereinen überlegen, ob du einen Datenschutzbeauftragten bestellen solltest.
Kurz und einfach erklärt, muss ein Datenschutzbeauftragter den Datenschutz überwachen. Das heißt, er muss darauf achten, dass alle Vorschriften im Zusammenhang mit dem Datenschutz eingehalten werden. Dazu gehört, dass er den Vorstand zu seinen Pflichten berät. Er sensibilisiert und schult aber auch die Mitarbeiter des Vereins. Wir möchten betonen, dass der Datenschutzbeauftragte nicht für den Datenschutz verantwortlich ist.
Verantwortlich im Sinne der DSGVO ist eine natürliche oder juristische Person. Im Falle eines Vereins also meistens der Vorstand. Dabei kann der Vorstand die damit verbundenen Aufgaben zwar delegieren, bleibt aber im Sinne des Datenschutzes weiterhin verantwortlich.
Der Datenschutz schützt nicht nur Mitarbeiter, sondern auch Mitglieder, Auftragsverarbeiter, Lieferanten und Websitebesucher bei der Verarbeitung von personenbezogenen Daten. Betroffene haben kurz und einfach erklärt folgende Datenschutzrechte:
Ein Verein muss alle Betroffenen über diese Rechte informieren.
Wenn ein Verein personenbezogene Daten erhebt und verarbeitet, muss er die Betroffenen darüber informieren. Die Informationspflicht ergibt sich aus der DSGVO. Dort sind auch Inhalt und Umfang der Informationspflicht verankert. Kurz und einfach erklärt sind das 1. Angaben zu den Verantwortlichen der Datenverarbeitung, 2. Informationen zu dem Zweck der Verarbeitung und 3. Informationen zu den Rechtsgrundlagen.
Wenn der Verein Daten an Dritte weitergibt, muss er ebenfalls ausdrücklich darüber informieren. Wichtig ist auch, dass die Datenschutzrechte der Betroffenen deutlich benannt werden. Das Thema der Informationspflicht ist sehr komplex, deshalb empfehlen wir dir, dich an entsprechende Muster zu halten. Die Muster solltest Du immer auch auf die individuellen Gegebenheiten deines Vereins anpassen.
Du möchtest weniger Verwaltungsstress und mehr Vereinsleben? Dann brauchst du eine datenschutzkonforme Vereinssoftware. Hier kannst du KURABU 30 Tage kostenfrei testen.
