Blog-Layout

Datenschutz im Verein, wie am besten umsetzen?

Der Datenschutz im Verein und DSGVO

 

Das Vereinswesen zählt zu den Branchen, die nicht erst seit Geltung der Datenschutz-Grundverordnung (DSGVO) hohen Nachholbedarf im Datenschutz und in der Digitalisierung aufweisen. Das hat vielfältige Gründe, denn zum Einen sind besonders gemeinnützige Vereine in den vergangenen Jahren in finanzielle Schieflagen geraten. Zum anderen hat sich die Situation in Krisenzeiten verschlechtert und Fördermittel im Bereich der Digitalisierung sind Mangelware. Jedoch weisen Vereine häufig sensible Verarbeitungsvorgänge auf und die Einhaltung des Datenschutzes ist eine der originären Pflichten der Vereinsführung. Wir wollen in diesem Beitrag einen näheren Blick auf den Datenschutz im Verein werfen und eine Möglichkeit aufzeigen, wie man ihn am besten umsetzen kann.

Welche Besonderheiten für Vereine gelten


Für die Datenverarbeitung durch Vereine ist besonders die Vereinsmitgliedschaft von Bedeutung, die eine vertragliche Grundlage zur Datenverarbeitung darstellt (Art. 6 Abs. 1 lit. b DSGVO). Auf der Basis können Daten verarbeitet werden, die unmittelbar den Vereinszielen dienen und sich aus der Vereinssatzung ergeben. Hauptgegenstand der Vereinssatzung ist im Regelfall nicht der Datenschutz, so dass sich für Vereine eine gesonderte Datenschutzordnung anbietet, auf die sich die Satzung bezieht. Das hat den Vorteil, dass Satzungsänderungen bei Änderungen im Datenschutz nicht erforderlich werden und ein klarer Leitfaden vorliegt, wie der Datenschutz praktisch umgesetzt wird. Es geht somit um die Verarbeitungstätigkeiten und Verfahrensweisen, die zur Durchführung der Mitgliedschaft erforderlich und durch Vereinsziele gedeckt sind.


Inhalt einer Datenschutzordnung im Verein


Die Datenschutzordnung weist hohe Schnittmengen mit dem Verzeichnis der Verarbeitungstätigkeiten auf, die den originären Vereinsziele dienen. Gegenstand ist somit regelmäßig die Verarbeitung von Stamm- und Kontaktdaten der Mitglieder (z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten) sowie die Daten zur Mitgliederverwaltung, insbesondere der Beitragsverwaltung. Gesondert ausgewiesen werden auch Abläufe über die Vereinsprotokolle und den Ort deren Veröffentlichung, wie auch die Mitgliederlisten und die Einsichtnahme der Vereinsversammlungen (z. B. Abstimmungsfähigkeit). Besonders für Sportvereine ist die Verarbeitung im Zusammenhang der Teilnahme an Wettbewerben wichtig (z. B. Teilnehmerlisten, Ranglisten und Aufstellungen), wozu auch die Veröffentlichung von Ergebnissen gehört. Verfahrensweisen für Einladungen und Informationen in Bezug auf die Vereinstätigkeit sind zu regeln (z. B. Einladungen zu Mitgliederversammlungen). Bei den technischen und organisatorischen Maßnahmen kommt es darüber hinaus auf die Berechtigungen an, beispielsweise welche Funktionsträger und/oder Abteilungen Zugriff auf welche Mitgliedsdaten erhalten (Zuständigkeiten). Aus der Zuständigkeit werden zudem Regelungen abgeleitet, was die Weitergabe von Daten an die Mitglieder durch Funktionsträger und umgekehrt betrifft, wie auch die Erreichbarkeit und Zuständigkeit der Funktionsträger (z. B. Kontaktdaten auf der Webseite).


Datenübermittlung und Verbandstätigkeit


Die Vereinsziele erfordern in der Regel entsprechende Übermittlungen von Mitgliederdaten bei denen vorab festgelegt wird, welche Übermittlungen erforderlich sind. Hierbei sind regelmäßig Informationen über Vereinsmitglieder an andere Mitglieder und Dritte zu berücksichtigen (z. B. bei Wettbewerben/Teilnehmerlisten, Ehemaligen-Verein). Dritter kann auch ein vorhandener Dachverband oder ein Versicherungsträger sein, dem zugunsten des Vereins oder Mitglieds Daten übermittelt werden. Diese Anforderungen können nach Vereinszweck und Branche sehr unterschiedlich ausfallen. Nicht zuletzt sind die Speicherdauer und Datenkategorien festzulegen sowie über die Rechte der Betroffenen zu informieren.  Gegenstand der Datenschutzordnung sind regelmäßig etwa auch Jahrbücher, die Presse- und Öffentlichkeitsarbeit sowie die Verarbeitung zu Zwecken von Jubiläen und Ehrungen.


Besondere Risikobereiche im Vereinswesen


Die Datenschutzordnung bezieht sich somit auf die satzungsmäßigen Kerntätigkeiten des Vereins. Es sind zudem gesonderte Rechtsgrundlagen und Risikobereiche zu berücksichtigen. Eine Einwilligung ist etwa für die Verarbeitung zu Zwecken von Rabattaktionen und Kooperationen (z. B. Fitnessstudios, Versicherungen), die Weitergabe von Stamm- und Kontaktdaten zu Werbezwecken oder sonstige, eigene Zwecke Dritter einzuholen. Hierbei sind die Bedingungen einer Einwilligung nach der Datenschutz-Grundverordnung einzuhalten (Art. 6 Abs. 1 lit. a und Art. 7 DSGVO).  Besondere Rechtsunsicherheiten treten meist im Rahmen der Aufnahme und Veröffentlichung von Fotos sowie der Vereins-Webseite/den Präsenzen in sozialen Medien auf. Besondere Risiken für die Rechte und Freiheiten Betroffener bestehen zudem bei der Abfrage und Einsichtnahme von Führungszeugnissen und der Beaufsichtigung von Schutzbefohlenen. Auch die Verarbeitung von sensiblen Gesundheits- oder Fitnessdaten, wie auch Daten im Bereich inklusiver und integrativer Vereinszwecke, können mit hohen Risiken der Verarbeitung verbunden sein und unabhängig von der Personenzahl zur Benennungspflicht eines Datenschutzbeauftragten führen.

WhatsApp und die DSGVO im Fokus von Unternehmen

DSGVO-Gefahren, die bei der Nutzung von WhatsApp lauern

13 Sept., 2023
Welche Sanktionsgefahren und DSGVO-Risiken sind bei der Nutzung von WhatsApp im Unternehmen zu beachten? Der Artikel beleuchtet die wichtigsten Aspekte.
Datenschutz ist im digitalen Überwachungszeitalter wichtig

Basics: Was ist Datenschutz und welche Bedeutung hat er?

13 Juni, 2023
Sie suchen einen fundierten Einstieg zum Thema Datenschutz und DSGVO? In diesem Artikel gehen wir auf die grundlegenden Aspekte und Basics ein.
Die Überwachung von Fluggästen nimmt an Fahrt auf

Gläserne Passagiere: 5 wichtige Hinweise zum Datenschutz

10 Apr., 2023
5 wichtige Hinweise zum Datenschutz, die Sie bei der nächsten Urlaubsplanung zum Schutz Ihrer Privatsphäre beachten sollten.
Im Home Office sind viele Aspekte des Datenschutzes zu beachten

New Work und Homeoffice: Und der Datenschutz?

12 Aug., 2022
Worauf sollten Unternehmen und Beschäftigte in Zeiten von New Work und Home Office achten? Ein kurzer Überblick wie Sie Ihr Unternehmen schützen können.
Die Rechtsprechung zum Auskunftsrecht nach der DSGVO ist da

Die DSGVO-Auskunft, Rechtsprechung und Schadenersatz

08 Juni, 2022
Die aktuelle Rechtsprechung zum Auskunftsrecht nach der DSGVO und ihre Auswirkungen in der betrieblichen Praxis im Überblick.
Der Datentransfer zwischen der EU und den USA steht zur Debatte

EU-US Privacy Shield 2.0: Ist das Warten vorbei?

28 März, 2022
Das Privacy Shield 2.0 und der transatlantische Datenschutzrahmen im Überblick. Was enthalten die neuen Rahmenbedingungen zum US-Datentransfer?
Das E-Mail-Marketing findet auf vielen Endgeräten und Kanälen statt

E-Mail-Marketing und DSGVO: Worauf ist zu achten?

21 Feb., 2022
Die rechtlichen Anforderungen im E-Mail-Marketing sind vielfältig. Neben der Einwilligung nach DSGVO zählt auch das Wettbewerbsrecht.
Arbeitsplätze könnten in Zukunft noch intensiver überwacht werden als bisher

Entwurf eines Beschäftigtendatenschutzgesetzes des DGB

11 Feb., 2022
Was enthält der Entwurf für ein Beschäftigtendatenschutzgesetz des DGB? Eine näherer Blick auf die Entwicklung der digitalen Überwachung am Arbeitsplatz .
Das TTDSG setzt Anforderungen der EU-Richtlinie und Rechtsprechung um

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

01 Feb., 2022
Welche Neuerungen zur Einwilligung gelten nach dem TTDSG, was bedeutet das "PIMS" und wie geht es mit der ePrivacy-Verordnung weiter? Wir klären auf.
Google Analytics ist das bekannteste Tool für Webseitenebtreiber

Google-Analytics und DSGVO: Ist der Einsatz rechtswidrig?

21 Jan., 2022
Der US-Datentransfer ist nach der DSGVO und durch Schrems-II-Urteils zunehmend problematisch. Ist auch der Einsatz von Google Analytics rechtswidrig?
Weitere Beiträge
Share by: