Auch in Vereinen spielt die DSGVO eine Rolle
Der Umgang mit personenbezogenen Daten ist auch in Vereinen an der Tagesordnung – Einladungen werden verschickt, Beiträge eingezogen, Mitglieder geehrt. Aus diesem Grund sollte der Vereinsvorstand sich auch dringend mit dem Datenschutz im Rahmen seiner Tätigkeit beschäftigen.
Prinzipiell leiden fast alle Vereine heutzutage unter der mühevollen Suche nach geeigneten, ehrenamtlichen „Funktionären“, die sich in ihrer knappen Freizeit auch noch um Angelegenheiten eines ortsansässigen Vereins kümmern. Als Konsequenz lastet die regelmäßige Vereinsarbeit auf immer weniger Schultern. Dennoch sind auch Vereine von der DSGVO betroffen.
Vereinsmitglieder verfügen über bedeutsame Rechte
Grundsätzlich sind Vereinsmitglieder mit den gleichen Rechten ausgestattet wie alle übrigen Bürger, deren personenbezogene Daten erhoben werden. Die umfassenden Umsetzungspflichten, die dadurch für einen Vereinsvorstand entstehen, unterscheiden sich kaum von denen, die Unternehmen und andere Institutionen durch die DSGVO betreffen.
Generell muss nicht davon ausgegangen werden, dass ausgerechnet Vereine als Erste in den Blick von Datenschutzbehörden oder Kanzleien geraten, dennoch sollten sie hinsichtlich der DSGVO auf keinen Fall untätig bleiben. Denn bereits ein unzufriedenes Vereinsmitglied könnte sehr viel Aufwand und Ärger verursachen, wenn es Datenschutzverstöße anprangert.
Eigentlich sind die Anforderungen an den Vereinsvorstand noch überschaubar, außerdem bieten übergeordnete Institutionen wie Landesverbände, Landesdatenschutzbehörden oder Stiftungen Hilfestellungen an, damit die aktive Vereinsarbeit nicht zu sehr eingeschränkt werden muss, um die DSGVO umzusetzen.
Die richtige Vorgehensweise für Vereine
Die sächsische Datenschutzaufsichtsbehörde stellt beispielsweise eine Auflistung der wichtigsten Grundlagen und notwendigen Bearbeitungen für Vereinsvorstände beziehungsweise Datenschutzbeauftragte von Vereinen bereit. Die wesentlichen Punkte im Überblick:
Verantwortlichkeit
Als für den Datenschutz verantwortlich gelten die gesetzlichen Vertreter des Vereins, das sind normalerweise der Vorstand oder auch mehrere Vorstandsmitglieder.
Benennung eines Datenschutzbeauftragten
Sobald zehn oder mehr Personen regelmäßig mit personenbezogenen Daten beschäftigt sind, muss, wie auch in Unternehmen, ein interner oder externer Datenschutzbeauftragter bestellt werden.
Verzeichnis von Verarbeitungstätigkeiten
In einem Verarbeitungsverzeichnis muss jeder Verein auflisten, wo und wie in einer Datenbank oder in analogen Mitgliedsverzeichnissen Daten erhoben und verarbeitet werden und in welcher Form die Daten anderen übermittelt werden. Dazu gehören regelmäßige Vorgänge wie die Vereinsinformationen auf der Webseite, die Veröffentlichung von Ergebnissen oder ein vereinseigener Newsletter.
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung ist dann von essenzieller Wichtigkeit, wenn die Datenverarbeitung ein äußerst hohes Risiko hinsichtlich der Rechte einzelner oder aller Mitglieder darstellt. Dies gilt beispielsweise für Ratings, Scorings oder sonstige Beurteilungen von Vereinsmitgliedern, die veröffentlicht oder anderweitig zugänglich gemacht werden. In solchen Fällen muss besonders sensibler Datenschutz angewendet werden.
Einwilligungen
Liegen bereits Einwilligungen für den Umgang mit den Daten der Mitglieder vor, ist es trotzdem sicherer, alle Mitglieder um eine aktuelle Einwilligung gemäß DSGVO zu bitten. In dieser Einwilligung sollte explizit alles aufgelistet sein, was im Verein an Datentransfer stattfindet. Ein wichtiger Punkt ist dabei beispielsweise die Veröffentlichung von personenbezogenem Bild- und Textmaterial auf der Vereins-Webseite.
Informationspflichten
Jeder Verein ist dazu verpflichtet, seine Mitglieder in gebotener Weise hinsichtlich der Verarbeitung personenbezogener Daten zu unterrichten. Enthalten sein müssen in dieser Information die Art und Weise, der Zweck und die Dauer der Datenverarbeitung. Üblich für diese Information ist etwa ein gesondertes Merkblatt, das allen Vereinsmitgliedern geschickt wird. Alternativ ist auch ein Vermerk in der Satzung ausreichend.
Auftragsverarbeiter
In der Regel haben kleine Vereine keine eigene Geschäftsstelle und kooperieren stattdessen mit externen Dienstleistern fürs Adressmanagement oder einen regelmäßigen Newsletter. Mit diesen sollte ein DSGVO-konformer Vertrag geschlossen werden, der verdeutlicht, dass die externen Zuarbeiter ihrerseits die DSGVO einhalten und ausschließlich auf Anweisung des Vereins handeln.
Löschung von Daten
Sobald ihre Mitgliedschaft endet, haben Vereinsmitglieder ein Recht darauf, ihre Daten aus der Vereinsdatei löschen zu lassen. Das setzt im Wesentlichen voraus, dass nicht andere Gesetze eine Speicherung über die Dauer der Mitgliedschaft hinaus ausdrücklich vorschreiben.
Szenario für den Fall von Datenverlust
Im Fall einer Datenpanne muss der Verein dies binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde melden. Für diesen Fall muss ein Notfallkonzept entwickelt werden, das eine regelmäßige Überprüfung beinhaltet und die Frage beantwortet, wer den Datenschutzverstoß wo zu melden hat.
Sicherer Umgang mit Daten
Oftmals werden in Vereinen ja Daten auf Privat-PCs ehrenamtlicher Mitglieder verarbeitet. Damit dies DSGVO-konform geschieht, muss der Verein für sichere Serverlösungen und passwortgeschützte Zugänge sorgen. Analoge Datenspeicher – etwa Aktenschränke – müssen verschließbar und nur durch befugte Personen einsehbar sein.
Mit der Umsetzung der o. g. Punkte ist der Verein auf jeden Fall schon mal in wesentlichen Punkten auf der sicheren Seite. Damit ist allerdings keine rechtssichere Umsetzung der DSGVO abgeschlossen. Vielmehr sollte der Verein seine Datenschutzvorkehrungen von einem Experten regelmäßig überprüfen lassen.
Hier bloggt Ihre Redaktion.