Datenschutz im Verein

Seit 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft, mit der Konsequenz, dass auch Vereine sich bei der Verarbeitung von personenbezogenen Daten an die Vorgaben der Grundverordnung halten müssen. Zu beachten sind auch ergänzende Vorschriften des Bundesdatenschutzgesetzes (BSDG), das an die Datenschutz-Grundverordnung angepasst wurde.

Was ändert sich für Vereine?

Für Vereine bedeutet die Datenschutz-Grundverordnung erweiterte Dokumentations- und Nachweispflichten als früher, um der Rechenschaftspflicht zu genügen (Art. 5 Abs. 2 DS-GVO). Dokumentiert und nachgewiesen werden muss demnach die Rechtmäßigkeit der Datenverarbeitung sowie die Einhaltung der datenschutzrechtlichen Grundsätze.

Auch die Informations- und Auskunftspflichten gegenüber denjenigen, die von einer Verarbeitung ihrer Daten betroffen sind, wurden ausgeweitet, insbesondere gegenüber Vereinsmitgliedern (Art. 12 ff. DS-GVO). Der Umfang der Informationspflicht variiert je nachdem, ob die personenbezogenen Daten direkt bei der betroffenen Person erhoben wurden (Art. 13 DS-GVO) oder nicht (Art. 14 DS-GVO). Betroffenen steht ein Auskunftsanspruch gegenüber dem Verein hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DS-GVO). Hierfür sollten organisatorische Vorkehrungen getroffen werden.

Technische und organisatorische Maßnahmen notwendig

Um sicherstellen und nachweisen zu können, dass die Datenverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt, muss der Verein technische und organisatorische Maßnahmen festlegen und durchführen (Art. 24 DS-GVO). Weitere Maßnahmen sind erforderlich, um ein angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Ein Maßnahmenkatalog findet sich in Art. 32 DS-GVO, darunter Maßnahmen wie Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten.

Datenschutzpannen wie Datenlecks, Hacking, gestohlene oder verlorengegangene Datenträger sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der oder dem Landesdatenschutzbeauftragten zu melden (Art. 33 Abs. 1 DS-GVO).

Weiterhin ist es zweckdienlich, die datenschutzrechtlich relevanten Datenverarbeitungsvorgänge des Vereins in der Vereinssatzung oder in einer separaten Datenschutzordnung präzise festzuhalten. Dort sollte dargestellt werden, welche Daten zu welchem Zweck von wem an welche (dritte) Stellen übermittelt werden dürfen, welche Personen auf welche Datenkategorien Zugriff haben und unter welchen Voraussetzungen eine Datenverarbeitung zulässig erfolgen kann.

Rechtmäßigkeit der Datenverarbeitung in Vereinen

Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DS-GVO). Die Datenverarbeitung zur Mitgliederverwaltung und -betreuung wird grundsätzlich zulässig sein (auf Grundlage des Art. 6 Abs. 1 Buchst. b DS-GVO). Übermittelt ein Verein jedoch personenbezogene Daten an Dritte, wird er regelmäßig dann eine Einwilligung des Betroffenen benötigen, wenn dies mit den eigentlichen Zwecken der Datenverarbeitung des Vereins nicht in Einklang gebracht werden kann, etwa bei einer Datenweitergabe zu Werbezwecken.

Datenschutzrechtliche Grundsätze beachten

Bei jeder Datenverarbeitung sind die datenschutzrechtlichen Grundsätze zu beachten. So dürfen die Daten beispielsweise nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind (Zweckbindungsgrundsatz). Die Zwecke der Datenverarbeitung sind dabei im Vorfeld der Verarbeitung konkret in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) zu dokumentieren, um eine objektive Überprüfung der Datenverarbeitung zu ermöglichen. Personenbezogene Daten sind außerdem auf das für die Zweckerreichung erforderliche Maß zu beschränken (Datenminimierung).

Ist die Bestellung eines Datenschutzbeauftragten erforderlich?

Besteht die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonders sensibler Daten, etwa in Selbsthilfevereinen, oder sind dort in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist die Bestellung eines internen oder externen Datenschutzbeauftragten verpflichtend (Art. 37 DS-GVO, § 38 BDSG-neu).

 

Diese Einführung ist auf Basis des Textes „Datenschutz im Verein“ des Unabhängigen Datenschutzzentrums Saarland entstanden. Für ausführlichere Informationen können Sie unter den folgenden Links recherchieren.

 

Weiterführende Links zu diesem Thema


Handreichung „Datenschutz im Verein“ bei der Landesbeauftragten für den Datenschutz Niedersachsen


FAQ für Vereine beim Bayerischen Landesamt für Datenschutzaufsicht


Datenschutz im Verein beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit


FAQ Vereine beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg


Datenschutz im Verein nach der Datenschutz-Grundverordnung (PDF) bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Datenschutz im Verein (Broschüre, Muster) beim Unabhängigen Datenschutzzentrum Saarland


Praxisreihe „Datenschutzbestimmungen praktisch umsetzen“, Nr. 1: Datenschutz bei Vereinen bei dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein