Datenschutz im Verein – praktisch erklärt

Logo Datenschutz im Ehrenamt

Basiswissen

Euer Verein weiß, dass etwas getan werden muss, hat aber bisher nichts oder nur sehr wenig in Sachen Datenschutz unternommen. Aber wo anfangen? Nachfolgend stellen wir vor, wie euer Verein schrittweise in Richtung der Erfüllung der datenschutzrechtlichen Vorgaben vorgehen kann.

1

VerschaffT EUCH einen Überblick über die Vorgänge in eurem Verein, bei denen personenbezogene Daten verarbeitet werden. Dokumentiert die Ergebnisse gleich in dem Verzeichnis der Verarbeitungstätigkeiten: Wir stellen euch dafür eine Vorlage zur Verfügung. (mehr unter Verarbeitungstätigkeiten)

2

BeschäftigT EUCH mit der Zulässigkeit der Verarbeitung von personenbezogenen Daten. Nehmt die einzelnen Verarbeitungen unter die Lupe und prüft, auf welcher rechtlichen Grundlage diese erfolgen dürfen. (mehr unter Rechtsgrundlagen)

3

InformierT EURE Vereinsmitglieder transparent über die Verarbeitungen ihrer personenbezogenen Daten. (mehr unter Informationspflichten)

Warum muss unser Verein den Datenschutz beachten?

Grundsätzliches

In der Vereinsarbeit werden in der Regel viele personenbezogene Daten verarbeitet. Einige Beispiele dafür sind Name, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Kontodaten, Fotos eurer Mitglieder oder die Zuordnung zu einer Mannschaft.

Diese Daten werden auf vielfältige Weise verarbeitet: Mitglieder erhalten Einladungen zur Mitgliederversammlung und Newsletter, zahlen ihren Mitgliedsbeitrag per Bankeinzug; die Website zeigt Fotos von Vereinsaktivitäten; Dachverbände und Sponsoren interessieren sich für die Mitglieder.

Vereine müssen hierbei die gesetzlichen Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) einhalten.

Dabei spielt es keine Rolle, wie groß euer Verein ist, ob gemeinnützig, eingetragen oder nicht rechtsfähig. Ebenso ist es irrelevant, ob euer Verein rein ehrenamtlich verwaltet und geleitet wird und wie groß die finanziellen Mittel eures Vereins sind. Die Datenschutz-Grundverordnung ist auf alle Vereine anwendbar.

Im Datenschutz geht es um mehr als den technischen Schutz von Daten: Es geht um den Schutz der Grundrechte der Personen, dessen Daten euer Verein verarbeitet. Daher spielt die Größe und Organisationsform eures Vereins auch nur eine untergeordnete Rolle. Oberster Maßstab im Datenschutz sind stets die Risken für die betroffenen Personen, welche je nach Tätigkeitsfeld eures Vereins unterschiedlich ausfallen können.

Rechtsgrundlagen

Für jede Verarbeitung von personenbezogenen Daten in eurem Verein ist eine Rechtsgrundlage erforderlich. Das sieht die Datenschutz-Grundverordnung (DSGVO) so vor.
Diese Rechtsgrundlagen können sein: Begründung und Durchführung eines Vertrags, Erfüllung des Vereinszwecks, berechtigtes Interesse oder eine bestehende rechtliche Verpflichtung. Was zu beachten ist, klären wir in diesem Kapitel.

Welche Rechtsgrundlagen gelten denn konkret für unseren Verein bei der Verarbeitung von personenbezogenen Daten? Warum braucht unser Verein diese überhaupt?

Sobald in eurem Verein personenbezogene Daten verarbeitet werden, braucht dieser eine Rechtsgrundlage für die Verarbeitung. Dabei gehen viele Vereine irrtümlich davon aus, dass für die Verarbeitung der Mitgliederdaten zwingend eine Einwilligung erforderlich wäre. Dem ist nicht so.

Vereine können in folgenden Fällen personenbezogene Daten auch ohne Einwilligung verarbeiten:

  • Wenn die Daten für die Begründung und Durchführung eines Vertrags erforderlich sind. Die Mitgliedschaft in einem Verein ist ein solcher Vertrag zwischen dem Mitglied und dem Verein.
    Beispiel Nachname und Vorname des Mitglieds, Anschrift und Bankverbindung, um die Mitgliederverwaltung und Abbuchung der Mitgliedsbeiträge durchzuführen.
  • Ist die Verarbeitung zur Erfüllung des Vereinszwecks erforderlich, ist der Umgang mit personenbezogenen Daten erlaubt. So können unter Umständen Rechnungsdaten, Daten von Spendern und Sponsoren, Spielerdaten auf dieser Grundlage verarbeitet werden. Die Vereinsziele, für welche die Mitgliederdaten genutzt werden können, ergeben sich aus der Vereinssatzung und sie ergänzende Regelungen
    Beispiel die Vereinsordnung.
  • Der Verein hat ein berechtigtes Interesse an der Datenverarbeitung.
    Beispiel Der Musikverein gibt die Konfektionsgrößen einiger Mitglieder weiter, damit Vereinskleidung gekauft werden kann. Der Fußballverein erfasst, wer Eintrittskarten kauft, um Stadionverbote durchzusetzen.
  • Es besteht eine rechtliche Verpflichtung, die die Datenverarbeitung erforderlich macht.
    Beispiel Rechnungen und andere Unterlagen müssen über einen bestimmten Zeitraum aufbewahrt werden.

Unser Verein verarbeitet bestimmte personenbezogene Daten, weil ein „berechtigtes Interesse“ daran besteht. Einige Mitglieder sind damit nicht einverstanden. Was tun?

Die betroffenen Mitglieder haben das Recht, Widerspruch einzulegen. Dabei müssen sie besondere persönliche Gründe vorbringen, die gegen die Verarbeitung ihrer Daten sprechen. Wenn diese Gründe schwerer wiegen als das Interesse des Vereins, die Daten zu verarbeiten, dürfen diese Daten nicht verarbeitet werden.

Beispiel Der Verein veröffentlicht Fotos von Vereinsaktivitäten, auf denen Personen erkennbar sind, auf seiner Website. Dies ist unter Umständen von dem berechtigten Interesse gedeckt. Ein Vereinsmitglied legt Widerspruch ein, weil es von einem Stalker verfolgt wird. In diesem Fall wiegt das Schutzinteresse des Vereinsmitglieds schwerer; seine Fotos müssen von der Website entfernt werden.

Wann ist eine Einwilligung für die Verarbeitung erforderlich?

Eine Einwilligung der betroffenen Person muss in den Fällen eingeholt werden, in denen die Verarbeitung weder zur Durchführung des Mitgliedsvertrags noch aufgrund berechtigter Interessen des Vereins oder einer rechtlichen Verpflichtung (z.B. Aufbewahrungspflichten) erforderlich ist.

Beispiel Dies ist in der Regel bei Fotoaufnahmen und/oder Einstellen der Fotos auf die Vereinswebseite der Fall. Auch für das Aufbewahren von Daten nach Ende der Mitgliedschaft ist unter Umständen eine Einwilligung erforderlich.

Welche Voraussetzungen muss eine Einwilligung erfüllen?

Es ist unbedingt darauf zu achten, dass die betroffene Person die Einwilligung freiwillig erteilt, das heißt, die Einwilligung muss ohne Zwang abgegeben werden. Die Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden.

Die betroffene Person muss über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht informiert werden.

Es gilt auch zu beachten, dass so genannte Blankoeinwilligungen, in denen das Mitglied in alle möglichen Datenverarbeitungsvorgänge einwilligt, nicht zulässig sind.

Muss mein Verein die Einwilligung schriftlich einholen?

Die DSGVO sieht kein Schriftformerfordernis vor, d.h. die Einwilligung kann schriftlich, elektronisch oder mündlich erfolgen.

Generell empfiehlt es sich, schriftliche Einwilligungen mit eigenhändiger Unterschrift der betroffenen Personen einzuholen. Der Verein muss nämlich nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Dies ist Art. 7 Abs. 1 DSGVO ausdrücklich vor. Denkt bitte daran, dass die Einwilligungen auch entsprechend aufbewahrt werden müssen.

Ist für besonders sensible Daten immer eine Einwilligung erforderlich?

Besonders schützenswerte Daten, wie unter anderem Gesundheitsdaten, politische Meinungen, religiöse Überzeugung, Migrationshintergrund, Gewerkschaftszugehörigkeit dürfen nur aufgrund einer ausdrücklich erteilten Einwilligung oder aufgrund einer gesetzlichen Befugnis verarbeitet werden.

Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist ein hilfreiches Werkzeug, um einen Überblick über die Verarbeitungstätigkeiten eures Vereins zu bekommen. Es sollte also nicht als lästige Formalie gesehen werden, sondern ist ein gutes Instrument, um beispielsweise bei Betroffenenanfragen schnell reagieren zu können.

Was ist das?

Bei dem Verzeichnis von Verarbeitungstätigkeiten handelt es sich um eine Auflistung aller Vorgänge in dem Verein, bei denen personenbezogene Daten verarbeitet werden.

Beispiel Die Aufnahme neuer Mitglieder ist ein Vorgang, bei dem personenbezogene Daten (unter anderem der Name und die Adresse des neuen Mitglieds) verarbeitet werden. Dieser Vorgang muss in das Verzeichnis der Verarbeitungstätigkeiten eingetragen werden.

Warum muss unser Verein dieses Verzeichnis erstellen?

Die DSGVO verpflichtet Vereine als Verantwortliche im Sinne des Datenschutzrechts, ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen.

Welche Angaben muss das Verzeichnis enthalten?

Das Verzeichnis der Verarbeitungstätigkeiten muss unter anderem Angaben zu dem Verantwortlichen, falls vorhanden auch zu dem Datenschutzbeauftragten, enthalten. Welche personenbezogenen Daten von euren Mitgliedern, ggf.  von Beschäftigten und Dritten, verarbeitet euer Verein genau? Der Zweck der Verarbeitung sollte auch näher geschildert werden. Es müssten zudem Angaben gemacht werden, wer diese personenbezogene Daten – außer eurem Verein – noch einsehen kann bzw. erhält.

Jede Verarbeitung eures Vereins (Mitgliederverwaltung, Lohnabrechnung, Betrieb der Vereinswebseite, Veröffentlichung von Fotos auf der Webseite usw.) sollte im Verzeichnis einzeln aufgeführt werden.

Beispiel Für die Beitragsverwaltung ist es erforderlich, dass euer Verein die Bankverbindung eurer Mitglieder erfasst. Diese Erfassung ist zum Zwecke der Vereinsfinanzierung erforderlich. Dabei werden unter Umständen Daten an den Steuerberater eures Vereins weitergeleitet.  Es sollten neben den vorstehenden Angaben auch die Löschfristen (10 Jahre gesetzliche Aufbewahrungsfrist) mit in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.

Datenschutzbeauftragte (DSB)

Euer Verein muss unter Umständen eine:n Datenschutzbeauftragte:n benennen. Nachfolgend erfahrt ihr unter anderem, welche Aufgaben ein:e DSB hat und ob diese vom Vereinsvorstand übernommen werden kann.

Welche Aufgaben haben Datenschutzbeauftragte?

Die Aufgaben Datenschutzbeauftragter umfassen unter anderem die Überwachung der Einhaltung des Datenschutzes, die Beratung des Vorstands hinsichtlich der datenschutzrechtlichen Pflichten, die Zusammenarbeit mit der Aufsichtsbehörde.

Wichtig ist zu beachten, dass Datenschutzbeauftragte nicht für den Datenschutz verantwortlich sind. Der Vorstand muss sich also auch bei Benennung einer:s Datenschutzbeauftragten weiterhin darum kümmern, dass der Datenschutz im Verein umgesetzt wird.

Dürfen die Aufgaben des Datenschutzbeauftragten vom Vereinsvorstand vorgenommen werden?

Nein. Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutzbeauftragten nicht von dem Vorstand des Vereins wahrgenommen werden.

Müssen Datenschutzbeauftragte Mitglied oder Mitarbeiter des Vereins sein?

Nein, dies ist nicht erforderlich. Auch externe Datenschutzbeauftragte können benannt werden.

Da Datenschutzbeauftragte über ausreichendes Fachwissen verfügen müssen, ist es in vielen Fällen sogar vorteilhaft, externe Datenschutzbeauftragte zu benennen.

Wann muss unser Verein eine:n Datenschutzbeauftragte:n benennen?

Euer Verein muss unter anderem eine:n Datenschutzbeauftragte:n benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.

Bei umfangreicher Verarbeitung von besonders sensiblen personenbezogenen Daten, wie zum Beispiel Gesundheitsdaten in Selbsthilfegruppen, ist ebenfalls ein:e Datenschutzbeauftragte:r zu benennen.

Bei umfangreicher, regelmäßiger und systematischer Überwachung von betroffenen Personen, wie dies zum Beispiel bei Videoüberwachung in Fußballstadien der Fall ist, ist auch kritisch zu prüfen, ob die Benennung eines:r Datenschutzbeauftragten erfolgen muss.

Wo findet unser Verein externe Datenschutzbeauftragte?

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. kann eurem Verein bei der Suche nach einem:r externen Datenschutzbeauftragten unterstützen.

Nähere Informationen findest Du unter https://www.bvdnet.de/datenschutzbeauftragten-finden/

Verantwortliche

Das Datenschutzrecht sieht vor, dass es in eurem Verein eine Person (natürliche oder juristische) geben muss, die sicherstellt, dass das Datenschutzrecht eingehalten wird.

Wer ist für die Einhaltung des Datenschutzes in unserem Verein verantwortlich?

Der gesetzliche Vertreter des Vereins ist Verantwortlicher im Sinne der DSGVO.

Gemäß § 26 Bürgerliches Gesetzbuch (BGB) hat der Vorstand die Stellung eines gesetzlichen Vertreters. Der Vorstand muss also sicherstellen, dass die personenbezogenen Daten in Ihrem Verein rechtmäßig verarbeitet werden.

Dabei kann der Vorstand die Umsetzung des Datenschutzes im Verein delegieren. Verantwortlich im datenschutzrechtlichen Sinne ist jedoch auch in diesem Fall weiterhin der Vorstand.

Rechte der Betroffenen

Der Datenschutz schützt die Vereinsmitglieder, Beschäftigten, Lieferanten usw. bei der Verarbeitung ihrer personenbezogenen Daten. Vor diesem Hintergrund stehen den betroffenen Personen umfangreiche Rechte zu.

Welche Rechte haben die Mitglieder unseres Vereins im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten?

Ihren Vereinsmitgliedern stehen bei Verarbeitung ihrer personenbezogenen Daten verschiedene Rechte zu:

  • Recht auf Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Widerspruch gegen die Verarbeitung
  • sowie ein Recht auf Datenübertragbarkeit

Ihr Mitglied hat ebenfalls das Recht, seine Einwilligung jederzeit zu widerrufen. Es hat zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.

Ihr Verein muss die Mitglieder über diese Rechte informieren.

Informationspflichten

Euer Verein hat umfangreiche Informationspflichten. Das heißt, eure Vereinsmitglieder, Beschäftigten, Lieferanten usw. müssen umfassend über ihre Rechte – wie beispielweise das Recht auf Löschung oder auf Widerruf – informiert werden.

Dies ist erforderlich, damit die betroffenen Personen in die Lage versetzt werden, ihre Rechte auszuüben.

Wie informiert unser Verein seine Mitglieder im Sinne der DSGVO?

Die DSGVO sieht umfassende Informationspflichten vor: Vereine müssen nicht nur transparent über die so genannten Betroffenenrecht informieren, sondern auch darüber, welche Daten ihrer Mitglieder oder Dritter auf welcher Rechtsgrundlage, zu welchem Zweck und wie lange verarbeitet werden.

Bei Aufnahme von neuen Mitgliedern müssen diese umfassend über alle Verarbeitungen ihrer personenbezogenen Daten informiert werden. Hierbei kann ein Hinweis auf die Datenschutzerklärung auf der Vereinswebseite erfolgen.

Eine Bestätigung der Kenntnisnahme oder gar eine Einwilligung in die Datenschutz-Informationen seitens der betroffenen Person ist nicht erforderlich.

Welchen Inhalt müssen die Datenschutz-Informationen haben?

Die Inhalte der Datenschutz-Informationen ergeben sich aus Art. 13 und Art. 14 DSGVO.

Neben der Angabe des im Verein für die Datenverarbeitung Verantwortlichen sind Informationen zu den Zwecken der Verarbeitung und den entsprechenden Rechtsgrundlagen erforderlich. Werden Daten an Dritte weitergegeben, sind auch darüber nähere Angaben zu machen. Besonderes Augenmerk sollte auf den Hinweis auf die Betroffenenrechte gerichtet werden. Daneben sind noch weitere Angaben erforderlich.

Es empfiehlt sich, die Datenschutz-Informationen unter Zuhilfenahme von Mustern zu erstellen, die jedoch unbedingt auf die jeweilige Situation in eurem Verein angepasst werden sollten.

Unser Verein betreibt eine Vereinswebseite. Müssen Informationen zum Datenschutz auch auf der Webseite veröffentlicht werden?

Ja, der Verein als Betreiber einer Webseite muss eine Datenschutzerklärung auf die Webseite stellen. Im Vergleich zu den Datenschutz-Informationen für Mitglieder können diese deutlich umfangreicher sein. Wie umfangreich, hängt von den technischen Gegebenheiten Ihrer Webseite ab.

Zusätzlich zu den Informationen darüber, welche Nutzerdaten der Verein erhebt und wie diese verwendet werden, sind dies zum Beispiel Informationen über:

  • Bereitstellung der Website und Erstellung von Logfiles
  • Kontaktformular und E-Mail-Versand
  • Einsatz von Cookies
  • Nutzung von Web-Analyse-Tools
  • Nutzung von Social-Plug-Ins
  • Verschlüsselung bei der Datenübertragung
  • Übertragung von Daten in Drittländer außerhalb des EWR

Newsletter-Anmeldung: Datenschutz im Ehrenamt