DSGVO für Vereine – dieses Thema hat 2018 so einige Webseitenbetreiber ins Schwitzen gebracht. Die europäische Datenschutzgrundverordnung findet seit dem 25. Mai 2018 unmittelbare Anwendung (sie trat schon im Mai 2016 in Kraft).
In diesem Beitrag möchten wir euch einen Überblick über das Thema DSGVO – Datenschutzgrundverordnung für Vereine geben und euch wichtige und hilfreiche Quellen zusammenstellen, die helfen können, ein wenig Licht ins Dunkle zu bringen.
Achtung: Obwohl wir die verlinkten Artikel sorgsam überprüft haben, übernehmen wir für deren Inhalte keinerlei Gewähr!
DSGVO für Vereine: Warum überhaupt eine Datenschutzgrundverordnung?
Das Hauptanliegen der EU für eine Datenschutzgrundverordnung (englisch: General Data Protection Regulation (GDPR)) ist es, den Verbrauchern größere Kontrolle über die Verwendung ihrer Daten zu gewähren und ihre Rechte hinsichtlich Datenschutz zu verstärken.
Datenschutz ist eines unserer Grundrechte. Gerade in Zeiten des digitalen Wandels, in denen Daten immer schneller erfasst, gespeichert und verarbeitet werden können, ist es wichtig, zu gewährleisten, dass mit diesen persönlichen Daten sorgsam umgegangen wird. Die bisherige Richtlinie stammt nämlich aus dem Jahr 1995. Wenn wir uns vor Augen halten, wie viel sich seitdem in digitaler Hinsicht geändert hat, wird uns allen schnell deutlich, warum die DSGVO ihre Notwendigkeit findet.
Die erlassene Verordnung sorgt dafür, dass es europaweit keine Ausnahmen mehr geben wird. So schafft die EU eine Vereinheitlichung des Gesetzeslagen. Etwas genauer über die Ziele und die wichtigsten Grundfragen kannst du dich in den folgenden Artikeln informieren (Das offizielle PDF zur Verordnung findest du übrigens zum Beispiel hier).
Grundsätzliche Informationen zum Thema DSGVO – Links:
- Buhl Data Service GmbH: Datenschutz-Kompakt 2018 Übersicht der wichtigsten Anforderungen aus EU-Datenschutzgrundverordnung (EUDSGVO) und dem Bundesdatenschutzgesetz
- BDI – Bundesverband der Deutschen Industrie e.V.: „Die Datenschutzgrundverordnung: Die wichtigsten Fragen und Antworten“
- Mailjet: DSGVO – Das Wichtigste auf einen Blick
- T3n: Was ist die DSGVO? Die 6 wichtigsten Fragen und Antworten
- Binary Butterfly: DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt
DSGVO für Vereine: Sind auch Vereine von der DSGVO betroffen?
Kurz und knackig: Ja.
Im Vereinsleben kommt es an verschiedenen Stellen zur Erhebung und Verarbeitung personenbezogener Daten. Das ist auch grundsätzlich erlaubt, sofern es zur Erfüllung des Vereinszwecks nötig ist. Im Verein handelt es sich meist um persönliche und sachliche Daten zu den Mitgliedern wie Name, Geburtsdatum, Adresse oder Bankverbindung. Solche Personendaten sind durch die DSGVO geschützt vor unberechtigter Nutzung. Daher muss der Vereinsvorstand darauf achten, dass der Verein rechtmäßig mit diesen Daten umgeht.
Um solche Daten überhaupt erheben, speichern und verarbeiten zu dürfen, benötigt der Verein nun die Einwilligung des Mitglieds. Welche Daten erhoben und gespeichert werden, sollte in der Vereinssatzung verankert werden. Diese gilt sozusagen als Vertragsverhältnis zwischen Mitglied und Verein. Sie bestimmt außerdem, welchen Zwecken und Zielen sich der Verein verschreibt. Daten dürfen gesetzmäßig zur Erfüllung genau dieser Zwecke erhoben werden.
Datenschutzbeauftragter
Je nach Art und Größe ist der Datenschutzbeauftragte auch für Vereine vorgeschrieben.
Der Datenschutzbeauftragte hat mehrere Funktionen. Er soll
- kontrollieren, ob die Datenschutzbestimmungen eingehalten werden,
- den Verein über Änderungen und Neuerungen im Datenschutz informieren und
- die Mitglieder des Vereins für den Datenschutz sensibilisieren.
Diese Aufgaben kann der Datenschutzbeauftragte aber nur dann bewältigen, wenn ihr ihn dabei unterstützt. Auf diese Aufgaben gehen wir später noch genauer ein.
Tipp: Auch wenn ihr keinen Datenschutzbeauftragten ernennen müsst (darauf gehen wir noch näher ein), sollte sich eine Person – vorzugsweise ein Vorstandsmitglied – mit dieser Thematik befassen. Wenn es auch nicht so schwierig ist, wie es zunächst erscheint, so muss man sich doch ein wenig in die Materie einarbeiten.
Wann ist ein Datenschutzbeauftragter vorgeschrieben?
Durch die Einführung der europaweit geltenden Datenschutzgrundverordnung (DSGVO) wurde auch das Bundesdatenschutzgesetz (BDSG) den neuen europäischen Vorgaben angepasst. Nach § 38 BDSG muss euer Verein einen Datenschutzbeauftragten ernennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das ist zunächst nicht sehr aussagekräftig. Einige Begriffe müssen näher erläutert werden:
- „Beschäftigt“ heißt nicht, dass es sich hier lediglich um die Personen handelt, die in einem Beschäftigungsverhältnis (Arbeitsverhältnis) zum Verein stehen. Jeder, der sich mit der Erhebung oder Verarbeitung von Daten innerhalb des Vereins beschäftigt, ist hier gemeint.
- „Ständig“ ist eine Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten immer dann, wenn die entsprechenden Aufgaben über einen längeren Zeitraum wahrgenommen werden.
- „Beschäftigung“ bedeutet nicht, dass hier nur die Aufgaben erfasst werden, die am Computer oder Laptop durchgeführt werden. Auch vorbereitende und ergänzende Arbeiten, sowie die Nutzung der Daten gehören dazu.
- „In der Regel“ legt fest, dass unter normalen Umständen 20 Personen mit den Aufgaben befasst sind. Die Voraussetzung ist also auch dann erfüllt, wenn sich kurzfristig weniger als 20 Personen mit den Aufgaben befassen.
Um festzustellen, ob sich in eurem Verein mehr oder weniger als 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten befassen, solltet ihr zunächst prüfen, wer alles Zugang zur EDV des Vereins hat. Dies können beispielsweise sein:
- die Vorstandsmitglieder,
- die Mitarbeiter der Geschäftsstelle,
- die Abteilungs- oder Gruppenleiter,
- die Trainer oder Betreuer,
- die Betreuer eurer Internetseite,
- die Verwalter eurer Social-Media-Plattformen,
- externe Mitarbeiter (z. B. Steuerberater – hier gilt eine Firma als ein Mitarbeiter)
Ihr seht also, dass auch bei kleinen Vereinen schnell mehr als 20 Personen mit den elektronisch gespeicherten Daten umgehen – und der Verein deshalb gezwungen ist, einen Datenschutzbeauftragten zu ernennen.
DSGVO für Vereine: Welche Schritte muss der Verein unternehmen?
- Verarbeitungsverzeichnis
Die Datenschutzbehörden empfehlen Vereinen, ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten zu erstellen. Das dient auch dem Vorstand selbst zur Übersicht und Veranschaulichung, an welchen Stellen tatsächlich Mitgliederdaten erhoben werden. Ein Muster für eine solche Übersicht stellt das Bayrische Landesamt für Datenschutzaufsicht hier zur Verfügung.
2. Rechtsgrundlage für Datenverarbeitung schaffen
Wir haben es bereits angesprochen: Datenverarbeitung im Verein muss auf einer Rechtsgrundlage basieren. Diese kann die Vereinssatzung bieten, welche gewissermaßen als „Vertrag“ für die Mitgliedschaft gilt. Geht es um den Versand von Newslettern oder ähnliche Aktivitäten, sollte zusätzlich eine ausdrückliche Einwilligungserklärung durch das Mitglied vorliegen.
3. Informationspflicht des Vereins
Der Verein hat die Pflicht, die Mitglieder über die Datenverarbeitungsvorgänge im Verein zu informieren und Änderungen mitzuteilen.
4. Nur zweckgebundene Daten erheben
Wichtig ist, nur zweckgebundene Daten zu erfragen. Daten, die keinen bestimmten Zweck (Vereinszweck) erfüllen oder die nicht mehr nötig sind, sollten gelöscht werden.
5. Technik und Verantwortung
Technisch sollte sicher gestellt werden, dass nur Personen des Vereins mit den Daten in Kontakt kommen, die es müssen. Außerdem sollten die Daten natürlich technisch einwandfrei aufbewahrt sein und mit einem System vor unbefugtem Zugang geschützt werden.
6. Widerrufsrecht erfüllen können
Möchte ein Mitglied beispielsweise seine Einwilligungserklärung widerrufen, sollte der Vorstand in der Lage sein, diesem Wiederruf schnellstmöglich nachzukommen.
7. Auftragsverarbeitungsverträge (AVV)
Wenn euer Verein mit Drittanbietern zusammenarbeitet, um Daten zu verwalten (z.B. unserer neuen Vereinslösung MeinVerein Web), dann sollte mit diesen ein AVV (Auftragsverarbeitungsvertrag) geschlossen werden. In MeinVerein Web kann dies z.B. über ein Häkchen in den Einstellungen getan werden. Im Anschluss erhält der Verein einen AV-Vertrag per E-Mail.
8. Datenschutz-Folgeabschätzung durchführen
Mit einer Folgeabschätzung ist eine Risikoanalyse gemeint, die mögliche Folgen der Verarbeitung abschätzt und dokumentiert, damit entsprechende Schutzmaßnahmen eingeleitet werden können.
9. Datenschutzbeauftragte/n bestellen
Ein/e Datenschutzbeauftrage/r muss dann bestellt werden, wenn mehr als 20 Personen ständig in Kontakt mit personenbezogenen Daten kommen und damit arbeiten.
10. Dokumentationspflicht
Wie auch Unternehmen sind Vereine dazu verpflichtet, alle Vorgänge zur Datenverarbeitung zu dokumentieren.
Orientierungshilfen der Landesdatenschutzbeauftragten – Links:
- Schleswig Holstein
- Hessen
- Sachsen
- Saarland
- Rheinland-Pfalz
DSGVO für Vereine – Wo kann ich mir Beratung holen?
Für die meisten Vereinsverwalter sind solche Verordnungen und Gesetze ein Buch mit sieben Siegeln. Deshalb ist es gut und wichtig, sich kompetente Beratung zu holen, wenn man glaubt, es nicht alleine meistern zu können.
Doch Vorsicht! Aktuell ist die Flut der Angebote zur Rechtsberatung bezüglich der DSGVO natürlich groß. Wichtig ist es, sich nicht verunsichern zu lassen, nicht in Panik zu verfallen.
Die Gefahr, auf unseriöse Angebote reinzufallen, die durch gekonnte Panikmache horrende Preise für Datenschutz-Beratung verlangen, ist nicht allzu klein.
Also: Kühen Kopf bewahren, Angebote genau prüfen und im Vorfeld selbst informieren – so gut es eben geht.
Link-Tipps: Beratung & Information
- E-Recht 24: Umfassende und kompetente Beratungsplattform rund um digitales Recht
- Rechtsanwalt Dr. Thomas Schwenke // Blog, Generatoren uvm.
- Mein Datenschutzbeauftragter
- Regina Stoiber – Datenbeschützerin
DSGVO für Vereine – Rund um die Vereinswebsite
Viele Arbeiten, die im Zuge der DSVGO für den Verein anfallen, haben sicherlich auch mit der Vereinswebseite zu tun. Denn dort werden unter Umständen Daten erfasst, was du für die Nutzer der Webseite absolut transparent gestalten musst. Nutzt die Website z.B. ein Kontaktformular, so werden ggf. personenbezogene Daten erfasst. Aber auch Analyse-Tools, wie z.B. Google Analytics sammelt über die Website-Zugriffe persönliche Daten. Hier kannst du mehr zum Thema DSGVO-konforme Vereinswebsite erfahren:
Link-Tipps: DSGVO konforme Websites
- Blogmojo: 12 nützliche Datenschutz-Plugins, um WordPress DSGVO-sicher zu machen
- Datenschutz-Guru: Braucht mein Kontaktformular jetzt eine Checkbox?
- Dr. Thomas Schwenke: MailChimp, Newsletter und die DSGVO – Anleitung für rechtssicheres E-Mail-Marketing
- Blogmojo: Liste mit AV-Verträgen
DSGVO für Vereine: Bloß nicht in Panik geraten!
Viele Vereine geraten aktuell in Panik und wollen gar ihren Verein schließen aus Angst vor saftigen Abmahnungen und Bußgeldern. Natürlich ist die EU-Datenschutzgrundverordnung entsprechend ernst zu nehmen. Doch in Panik zu verfallen hilft aktuell auch nicht weiter. Es gilt: Lieber einen kühlen Kopf bewahren, sich ein wenig Zeit einräumen und umfassend mit dem Thema beschäftigen. Bei Bedarf kompetente Hilfe dazu nehmen und dann nach bestem gewissen die einzelnen Punkte abarbeiten, die zu tun sind!
War der Beitrag hilfreich für Dich?
Vielen Dank für Deine Stimme!
Wenn Du magst, hinterlasse uns gerne noch einen Kommentar.
Du hast mit „Ja“ abgestimmt - Was hat Dir besonders gut gefallen?
Hast Du Verbesserungsvorschläge für uns?
Bevor Du mit Nein abstimmst, bitte erkläre uns, was Dir nicht gefällt:
Das MeinVerein Team
Lerne die Mannschaft hinter WISO MeinVerein kennen.
TOP RATED - Wir wurden ausgezeichnet!
Der Top Rated Badge wird an alle Tools vergeben, die in den letzten drei Monaten mindestens zehn Reviews mit einem durchschnittlichen NPS von mindestens acht erhalten haben.
Mehr erfahren
