Vermeiden Sie Fehler: Datenschutz im Verein richtig gemacht
Die Datenschutz-Grundverordnung (DSGVO) hat auch für Vereine neue Anforderungen mitgebracht. Viele Vereine kämpfen mit der Unsicherheit, welche Maßnahmen tatsächlich notwendig sind, um diese strengen Anforderungen zu erfüllen. Ohne das richtige Know-how steigt das Risiko von Fehlern – und damit auch die Gefahr teurer Bußgelder.
Wir helfen Ihnen, den Datenschutz einfach und rechtssicher umzusetzen.
Was müssen Vereine beim Datenschutz beachten?
Da Vereine regelmäßig personenbezogene Daten verarbeiten, gilt auch für diese uneingeschränkt die DSGVO. Somit sind sämtliche datenschutzrechtliche Pflichten umzusetzen. Dazu zählt beispielsweise die Prüfung der Rechtsgrundlage für Fotoaufnahmen und deren Veröffentlichung im Internet. Außerdem müssen Vereine Ihren Informationenpflichten gem. Art. 13, 14 DSGVO nachkommen. Das bedeutet vor allem, dass Mitgliedern bei Aufnahme in den Verein Datenschutzinformationen bereitgestellt werden, welche über die geplanten Verarbeitungen, Rechtsgrundlagen, die geplante Speicherdauer der Daten und weitere Punkte aufklären. Zusätzlich ist es auch für Vereine erforderlich, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, sowie Auftragsverarbeitungstätigkeiten mit Dienstleistern, welche personenbezogene Daten im Auftrag verarbeiten, abzuschließen.
Unterschiede zu anderen Branchen
Vor allem in Sportvereinen spielt der Kinder- und Jugendschutz aufgrund der oft hohen Anzahl jüngerer Mitglieder eine Rolle. Datenschutzrechtlich ist bei der Verarbeitung personenbezogener Daten von Minderjährigen besondere Aufmerksamkeit gefragt. Insbesondere die haupt- und ehrenamtlichen Vereinsmitarbeiter müssen diesbezüglich sensibilisiert werden. In der Regel kann ein minderjähriges Mitglied keine Einwilligungen erteilen, sodass hierfür die Erziehungsberechtigten herangezogen werden. Dies spielt insbesondere bei Fotoaufnahmen eine Rolle.
Eine weitere Herausforderung kann die Kommunikation innerhalb des Vereins darstellen. Was darf per E-Mail versendet werden? Wofür benötigt man eine Einwilligung? Was darf im Internet, auch auf Social-Media-Seiten des Vereins, dargestellt werden?
Oftmals kommt zuerst eine Interessensabwägung in Betracht. Bei dieser wägt der Verein ab, ob ein vorwiegendes berechtigtes Interesse des Vereins besteht, die Daten wie geplant zu verarbeiten oder ob das Interesse der betroffenen Personen überwiegt. Hier zwei Beispiele:
Ein Newsletter per E-Mail wird in der Regel nur auf Basis einer Einwilligung möglich sein. Dies gilt insbesondere dann, wenn der Newsletter an Nicht-Mitglieder versendet wird, um den Verein zu bewerben. Würde man die Newsletter ohne Einwilligung versenden, könnte dies eine ungewollte Belästigung per E-Mail darstellen.
Ein Sportverein möchte Fotos von Sport-Veranstaltungen veröffentlichen. In der Regel ist dies auf Basis des berechtigten Interesses möglich, welches daran besteht, über das sportliche Geschehen des Vereins zu berichtigen. Dabei dürfen nicht gezielt einzelne Personen im Mittelpunkt der Aufnahme stehen (wie bspw. ein Foto von einem Torwart beim Fußball). Vielmehr geht es darum, den Fokus auf das gesamte Spielgeschehen an sich zu setzen. Werden auch Minderjährige abgebildet, so ist in jedem Fall die Einwilligung der Erziehungsberechtigten einzuholen, das berechtigte Interesse des Vereins überwiegt in diesem Fall nicht. Diese Frage wurde in einem FAQ der Baden-Württembergischen Datenschutzbehörde geklärt: https://www.baden-wuerttemberg.datenschutz.de/faq-veroeffentlichung-von-fotos-speziell-fuer-vereine/
So vermeiden Sie Datenschutzverstöße in Vereinen
Die Vereinskommunikation ist eine häufige Quelle für datenschutzrechtliche Fehler in Vereinen. Sowohl die Kommunikation zwischen haupt- und ehrenamtlichen Mitarbeitern als auch mit den Vereinsmitgliedern spielt hierbei eine Rolle.
Haupt- und ehrenamtliche Mitarbeiter sind Teil des Verantwortlichen, also des Vereins. Dies betrifft insbesondere die Nutzung von E-Mails und Postfächern. Ein häufiger Fehler ist, Mitarbeitern die Nutzung privater E-Mailpostfächer für die Vereinskommunikation zu erlauben. Das ist ausdrücklich nicht zu empfehlen.
Löschpflichten nicht umsetzbar:
Der Verein hat oft rechtliche Vorgaben, E-Mails nach einer bestimmten Zeit zu löschen. Liegen diese jedoch in privaten Postfächern der Mitarbeiter, kann der Verein das nicht sicherstellen.
Datenschutzverstoß möglich:
Die Nutzung privater E-Mailpostfächer kann einen Datenschutzverstoß darstellen. Dies könnte Sanktionen durch die zuständige Datenschutzbehörde zur Folge haben.
Eine E-Mail muss nach 3 Jahren gelöscht werden. Wie soll das Vereinsmanagement dies gewährleisten, wenn die E-Mail in einem privaten Postfach liegt?
In der Praxis fast unmöglich.
Um dies zu vermeiden, sollten Vereine sowohl haupt- als auch ehrenamtlichen Mitarbeitern eigene E-Mailpostfächer zur Verfügung stellen und die Nutzung privater E-Mailadressen für Vereinszwecke ausdrücklich untersagen.
Ähnlich verhält es sich auch bei der Kommunikation über Messenger, gerne genommen ist WhatsApp. Auch hier sollten klare, vereinsinterne Regelungen geschaffen werden, welche Messenger durch haupt- und ehrenamtliche Mitarbeiter in welchem Umfang genutzt werden dürfen. Dazu eigenen sich beispielsweise Messenger-Richtlinien, die allen Mitarbeitern gut zugänglich sind und als verbindliche Anweisung des Vereinsmanagements kommuniziert wurden.
Leistungen rund um den Datenschutz im Verein
Für Vereine gelten die gleichen Vorgaben, ab wann ein Datenschutzbeauftragter zu benennen ist, wie für Unternehmen auch. Unabhängig davon, ob die rechtliche Pflicht der Benennung eines Datenschutzbeauftragten besteht, muss der Datenschutz aber in jedem Fall gelebt und umgesetzt werden.
Klassische Leistungen die ein Datenschutzbeauftragter, egal ob intern oder extern, in einem Verein erbringen sollte sind:
Beratung zu individuellen Datenschutzfragen
Unterstützung bei der Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten (kurz: VVT)
Unterstützung bei der Erstellung und Pflege von Datenschutzinformationen für Webseiten (oft auch „Datenschutzerklärung“ genannt)
Datenschutzschulungen der haupt- und ehrenamtlichen Mitarbeiter
Unterstützung bei Betroffenenanfragen, beispielsweise Auskunftsersuchen von ehemaligen Vereinsmitgliedern
Unterstützung bei der Bewertung, ob Auftragsverarbeitungsverträge (kurz: AVV) mit eingesetzten Dienstleistern erforderlich sind, sowie die Prüfung dieser Verträge. Ein klassisches Beispiel sind Software as a Service Lösungen (kurz: SaaS), bei dem personenbezogenen Daten verarbeitet werden.
Beratung bei der Durchführung von potentiellen Datenschutz-Folgenabschätzungen (kurz: DSFA)
Typische Datenschutz-Irrtümer in Vereinen
Klarstellung: Alle personenbezogenen Daten, nicht nur besonders sensible Daten wie Gesundheitsdaten, unterliegen dem Datenschutz. Das betrifft zum Beispiel auch Namen, Adressen oder E-Mail-Adressen.
Klarstellung: Die DSGVO gilt für alle Organisationen, die personenbezogene Daten verarbeiten, also auch für Vereine, Stiftungen oder gemeinnützige Organisationen, sowie für öffentliche Stellen.
Klarstellung: Eine Einwilligung ist nur eine von mehreren Rechtsgrundlagen. Daten dürfen auch ohne Einwilligung verarbeitet werden, wenn es zum Beispiel gesetzlich vorgeschrieben ist oder für die Erfüllung eines Vertrages notwendig ist.
Fragen zum Datenschutz im Verein
Wer darf die Mitgliedsliste einsehen?
Die Einsicht in die Mitgliedsliste ist auf Personen beschränkt, die den Zugriff zur Erledigung ihrer Aufgaben benötigen. Ganz klar zu nennen ist hier der Vorstand, der die Liste für die grundlegende Vereinsorganisation oder Mitgliedsbeiträge braucht. Auch Trainer im Sportverein haben ein berechtigtes Interesse, da sie die Mitgliedsdaten für die Vorbereitung von Trainingseinheiten oder die Anwesenheitskontrolle benötigen.
Allerdings ist diese Frage schwer pauschal zu beantworten. In Einzelfällen kann es abweichende Regelungen geben. Für eine umfassende Rechssicherheit ist deshalb die Beratung einen Datenschutzbeauftragten entscheidend.
Wichtig ist, dass der Zugriff immer auf das notwendige Maß beschränkt bleibt und die Daten nur für den vorgesehenen Zweck genutzt werden.
Braucht mein Verein einen Datenschutzbeauftragten?
Hier gelten die gleichen Anforderungen, wie für Unternehmen und nicht öffentliche Stellen. Grundlage für die Beantwortung dieser Frage ist Art. 37 DSGVO. Demnach ist ein Datenschutzbeauftragter insbesondere dann zu benennen, wenn die Kerntätigkeit Ihres Vereins in der umfangreichen und systematischen Überwachung von Personen oder in der umfangreichen Verarbeitung besonderer Datenkategorien (beispielsweise Gesundheitsdaten) liegt. In aller Regel wird dies nicht der Fall sein. In Deutschland gilt durch das BDSG derzeit zusätzlich die Regelung, dass ein Datenschutzbeauftragter benannt werden muss, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Dies gilt auch für Vereine.
Wer ist im Verein für den Datenschutz verantwortlich?
Der Verein an sich als juristische Person stellt den datenschutzrechtlichen Verantwortlichen dar. Dieser wird i.d.R. durch eine oder mehrere natürliche Personen, wie Geschäftsführung oder Vereinsvorstand, vertreten.
Was muss ich datenschutzrechtlich bei Fotos im Verein beachten?
Grundsätzlich sollten Sie immer kritisch hinterfragen, ob Fotoaufnahmen und deren Veröffentlichung wirklich notwendig sind. In Sport-Vereinen können Fotoaufnahmen im Rahmen des berechtigten Interesses denkbar sein, solange keine einzelnen Personen im Fokus der Aufnahme stehen oder Minderjährige Personen abgebildet werden. In allen anderen Fällen ist in der Regel die Einwilligung der abgebildeten Personen erforderlich. Dies gilt zum Beispiel auch, wenn Sie Ihre haupt- und ehrenamtlichen Mitarbeiter namentlich und mit Foto über Ihre Webseite darstellen wollen. Wichtig ist auch, dass diese Einwilligung widerrufbar ist. Wenn also eine abgebildete Person die Einwilligung widerruft, muss entweder das Foto entfernt werden oder die Person darauf unkenntlich gemacht werden. Ist bereits ein Abdruck in Printmedien, wie Flyern oder Broschüren, erfolgt, kann davon ausgegangen werden, dass die Nutzung bereits gedruckter Exemplare auf Basis einer Interessenabwägung weiter zulässig ist. Bei neuen Auflagen sollte allerdings darauf geachtet werden, dass Personen, die ihre Einwilligung widerrufen haben, nicht mehr mit abgedruckt werden.