Vereine und DSGVO – diese Datenschutz-Maßnahmen sollten Sie mindestens ergreifen

Auch bei Vereinen bestimmt der Umgang mit personenbezogenen Daten das ehrenamtliche Tagesgeschäft. Und daher muss der Vereinsvorstand sich auch dringend mit dem Datenschutz seiner Mitglieder beschäftigen – auch wenn dies eine zusätzliche Belastung bedeutet.

Grundsätzlich leiden Vereine ja heute schon allerorts darunter, dass kaum noch ehrenamtliche »Funktionäre« zu finden sind, die sich in ihrer knappen Freizeit um die Belange eines ortsansässigen Vereins kümmern. Das hat zur Folge, dass die aktive Vereinsarbeit auf immer weniger Schultern lastet. Dennoch sind auch Vereine von der DSGVO betroffen.

Auch Vereinsmitglieder haben umfangreiche Rechte

Die Mitglieder eines Vereins sind grundsätzlich mit denselben Rechten ausgestattet wie jede andere Personengruppe, deren Namen und persönliche Daten gespeichert und verarbeitet werden. Daraus ergeben sich für den Vereinsvorstand zahlreiche Umsetzungspflichten, die sich kaum von dem unterscheiden, was Unternehmen in Sachen Datenschutz zu leisten haben.

Auch wenn grundsätzlich nicht damit zu rechnen ist, dass Vereine als erste Institutionen in den Fokus von Datenschutzbehörden oder Abmahnkanzleien rücken, sollten sie ihren aus der DSGVO resultierenden Pflichten schnellstens nachkommen. Denn schon ein erbostes Mitglied könnte andernfalls für echte Scherereien sorgen.

Im Grunde genommen sind die Anforderungen an den Vereinsvorstand noch überschaubar, außerdem bieten übergeordnete Institutionen wie Landesverbände, Landesdatenschutzbehörden oder Stiftungen Hilfestellungen an, damit die aktive Vereinsarbeit nicht zu sehr eingeschränkt werden muss, um die DSGVO umzusetzen.

Die wichtigsten Maßnahmen für Vereine

Eine Auflistung der wichtigsten Grundlagen und dringenden to-dos für Vereinsvorstände beziehungsweise Datenschutzbeauftragte von Vereinen bietet beispielsweise die sächsische Datenschutzaufsichtsbehörde. Die wesentlichen Punkte im Überblick:

Verantwortlichkeit

Grundsätzlich ist der gesetzliche Vertreter des Vereins auch für den Datenschutz verantwortlich, das sind in der Regel ein Vorstand oder mehrere Vorstandsmitglieder.

Benennung eines Datenschutzbeauftragten

Wie auch in Unternehmen muss ein externer oder interner Datenschutzbeauftragter bestellt werden, wenn zehn oder mehr Personen regelmäßig mit personenbezogenen Daten beschäftigt sind.

Verzeichnis von Verarbeitungstätigkeiten

Der Verein muss in einem Verarbeitungsverzeichnis aufführen, wo und wie in der EDV oder in analogen Mitgliedsverzeichnissen Daten erhoben, verarbeitet und Dritten zugänglich gemacht werden. Dazu gehören beispielsweise die regelmäßige Unterrichtung der Vereinsmitglieder, Veröffentlichungen von Fotos und Spielberichten oder auch der Versand regelmäßiger Newsletter.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung wird nötig, wenn die Datenverarbeitung im Verein ein besonders hohes Risiko für die Rechte einzelner oder aller Mitglieder bedeutet. Das ist zum Beispiel der Fall, wenn der Verein Ratings, Scorings oder sonstige Beurteilungen über Vereinsmitglieder veröffentlicht oder zugänglich macht. In diesem Fall müssen gesonderte Kriterien definiert werden, die den Schutz der Betroffenen möglichst umfassend sicherstellen.

Einwilligungen

Auch wenn bereits diverse Einwilligungen vorliegen, ist es ratsam, die Vereinsmitglieder noch einmal einwilligen zu lassen und so eine Bestätigung einzuholen, die alles abdeckt, was innerhalb des Vereins an personenbezogenen Daten veröffentlicht wird. Ein zentraler Punkt ist dabei beispielsweise die Veröffentlichung von personenbezogenem Bild- und Textmaterial auf der Vereins-Webseite.

Informationspflichten

Der Verein hat die Pflicht, seine Mitglieder hinreichend über den Umgang mit deren Daten zu informieren. Darin müssen die Art und Weise, der Zweck und die Dauer der Datenspeicherung erläutert werden. Dies kann über ein gesondertes Merkblatt geschehen, das allen Vereinsmitgliedern zugänglich gemacht wird, oder über einen entsprechenden, einsehbaren Vermerk in der Vereinssatzung.

Auftragsverarbeiter

Vor allem kleine Vereine ohne eigene Geschäftsstelle arbeiten oft mit externen Dienstleistern – etwa für den Newsletter oder die Webseite – zusammen. Mit diesen Dienstleistern muss ein aktueller Vertrag aufgesetzt werden, in dem die Dienstleister garantieren, nur auf Weisung des Vereins zu agieren und ihrerseits Datenschutz gemäß DSGVO zu betreiben.

Löschung von Daten

Vereinsmitglieder haben ein Recht darauf, aus der Vereinsdatei gelöscht zu werden, sobald ihre Mitgliedschaft endet. Das setzt natürlich voraus, dass nicht andere Gesetze eine Speicherung über die Dauer der Mitgliedschaft hinaus ausdrücklich vorschreiben.

Szenario für den Fall von Datenverlust

Der Verein wäre im Fall eines Datenverlusts dazu verpflichtet, diesen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde zu melden. Dazu sollte im Verein ein Prozedere definiert werden. Dies muss eine regelmäßige Abfrage des Datenschutz-Status-Quo beinhalten wie eine Regelung, wer einen eventuellen Datenverlust in welcher Form wo zu melden hat.

Sicherheit aller gespeicherten Daten

Gerade in Vereinen sind, wie eingangs erwähnt, ja oft Privatpersonen mit dem Datenaustausch beschäftigt, teilweise mit dem heimischen PC. Der Verein sollte auf technisch aktuellem Niveau sicherstellen, dass tatsächlich nur die beauftragten Personen Zugriff auf Datenbanken haben, idealerweise durch ein passwortgeschütztes Rechtesystem. Sonstige Datenspeicherorte wie etwa Karteiablagen müssen angemessen vor unberechtigtem Zugriff geschützt werden.

Fazit

Mit diesen Maßnahmen tragen die Verantwortlichen im Verein dafür Sorge, dass wesentliche Bestandteile der DSGVO im Verein gemäß der Verordnung umgesetzt werden. Selbstverständlich bedeutet dies allein keine Rechtssicherheit. Daher ist es ratsam, seitens des Vorstands professionelle Hilfe ins Boot zu holen, um die durchgeführten Maßnahmen regelmäßig auf ihre Rechtssicherheit zu überprüfen.