Datenschutz

Fünf wichtige Infos, um den Datenschutz-Horror zu überleben

Datenschutz-Grundverordnung – meist kein Wort, welches dich und deinen Verein zum Lächeln bringt. Vielmehr löst die DSGVO seit 2018 bei vielen Vereinen Kopfschmerzen aus. Aber ist dieses wichtige Thema wirklich so kompliziert? Worauf müsst ihr achten? Braucht euer Verein einen Datenschutzbeauftragten? Was passiert wenn ihr die Verordnung nicht einhaltet? Wir haben alle wichtigen Infos kurz und knapp für euch zusammengefasst.

Inhaltsverzeichnis

Was genau ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union und ist in Deutschland im Bundesdatenschutzgesetz geregelt. Im Wesentlichen will der Gesetzgeber mit der DSGVO dafür sorgen, dass jede*r mehr Kontrolle über den Umgang der eigenen Daten hat.

Die Regelungen sind also vor allem zum Schutz eurer Interessen da. Die Neuordnung des Datenschutzes kam im Jahr 2018 durch die Europäische Union, da es insbesondere für Unternehmen schlichtweg zu mühselig war, sich in jedem europäischen Land mit neuen Regelungen auseinander zu setzen zu müssen. Aus diesem Grund gilt die Verordnung einheitlich für jedes Land der EU. Seit Mai 2018 ist jeder, der persönliche Daten von EU-Bürgern sammeln, speichern oder verwenden möchte, dazu verpflichtet, die DSGVO einzuhalten. Wer das nicht tut, riskiert zum Teil drastische Strafen. Wenn ihr als Verein die Daten eurer Mitglieder verwendet, müsst ihr dafür sorgen, dass den entsprechenden Personen folgendes ermöglicht wird:

  • Sie müssen ihre Zustimmung erteilen können
  • Sie können die Einsicht in ihre Daten verlangen
  • Sie können hinterfragen, wofür ihre Daten verwendet werden
  • Sie können Widerspruch gegen die Sammlung ihrer persönlichen Daten einlegen
  • Sie können die Daten berichtigen und löschen lassen

Was bedeutet das für unseren Verein?

Mit der Einführung der DSGVO hat sich für Vereine und Verbände vieles verändert. Denn jeder Verein erhebt automatisch persönliche Daten der Mitglieder, um Mitgliedschaften abzuschließen, Beiträge zu kassieren, u.v.m. Wichtig ist, dass:

  • ihr dabei immer kritisch hinterfragt, ob die Speicherung und Verarbeitung personenbezogener Daten zwingend notwendig ist,
  • alle betroffenen Mitglieder ihre Einwilligung zur Verarbeitung geben, insbesondere dort wo die Verarbeitung über das berechtigte Interesse des Vereins hinausgeht (bspw. zur Erstellung eines vereinsweiten Mitgliederverzeichnisses),
  • ihr als Verein bei jeder Entscheidung oder Handlung, bei der personenbezogen Daten gespeichert oder verarbeitet werden, die DSGVO im Hinterkopf behaltet,
  • ihr eine Verarbeitung der Daten durch externe Dienstleister über eine Vereinbarung zur Auftragsverarbeitung regelt.

Alle Daten, die gespeichert und verarbeitet werden, sollten mit dem jeweiligen Zweck in einer separaten Datenschutzverordnung oder der Vereinssatzung festgehalten werden. Dadurch seid ihr transparent und eure Mitglieder haben jederzeit die Möglichkeit nachzuschauen, welche Daten von ihnen erhoben werden.
Hier ein Beispiel wie dies im Verein Karlsruher Lemminge geregelt ist.

Jedes Mitglied eures Vereins, welches Zugriff auf sensiblen Daten hat, sollte zudem eine Verschwiegenheitserklärung unterschreiben. So könnt ihr sichergehen, dass die Daten vertraulich behandelt werden. Grundsätzlich ist es sinnvoller, als Verein weniger Daten freizugeben – also nur die Daten, die ihr auch wirklich zur Verarbeitung der Vereinszwecke braucht.

Kleiner Tipp: Achtet unbedingt darauf, ob die Programme und Apps, die ihr nutzt, dem Datenschutz entsprechen.

Welche Rechte habe ich als Vereinsmitglied?

Die Einführung der DSGVO kommt mit vielen Pflichten für den Verein. Da die Verordnung zum Schutz der natürlichen Einzelperson und ihrer Grundrechte und -freiheiten gedacht ist, habt ihr als Vereinsmitglied einige Rechte auf die ihr bestehen könnt:

  • Als Mitglied habe ich das Recht darüber informiert zu werden, dass meine Daten gesammelt, gespeichert oder weiterverwendet werden (zum Beispiel in einer Datenschutzverordnung, wenn der Mitgliedschaftsantrag unterschrieben wird).
  • Nach dem Ende meiner Mitgliedschaft habe ich als Mitglied das Recht die Löschung meiner Daten zu verlangen (gilt auch für Auftragsverarbeiter und Dachverbände).
  • Als Mitglied habe ich das Recht, auf meine eigenen persönlichen Daten zuzugreifen, sowie diese an mich selbst übertragen zu lassen.
  • Ich habe das Recht falsche, fehlerhafte oder alte Daten richtigstellen zu lassen.
  • Ich kann verlangen, dass meine Daten gespeichert, aber nicht für fremde Zwecke verwendet werden dürfen.
  • Ich kann mich gegen die Verwendung meiner Daten für Marketingzwecke aussprechen, wie zum Beispiel einem Newsletter.
  • Bei Gefährdung der Datensicherheit haben ich das Recht (innerhalb von 72 Stunden) benachrichtigt zu werden.

Wenn euch Privatsphäre im Verein besonders wichtig ist, dann macht eure Mitglieder offensiv auf ihre Rechte aufmerksam.

Berechtigtes Interesse… ?

Oft stehen sich das Recht eines Mitglieds auf Zustimmung oder Löschung und euer berechtigtes Interesse auf Verarbeitung und Speicherung der Daten des Mitglieds gegenüber.
So kann ein bestehendes Mitglied bspw. kein Recht auf Löschung seiner Kontaktdaten verlangen, so lange ihr ein berechtigtes Interesse habt, diese Daten für Abrechnungszwecke der noch offenen Mitgliedsbeiträge aufzubewahren.

Etwas drastischer wird das berechtigte Interesse am Beispiel des Verkehrszentralregisters in Flensburg deutlich: so könnt ihr als Bürger mit Bezug auf den Datenschutz nicht darauf pochen, dass eure eventuell vorhandenen Punkte in Flensburg gelöscht werden, da der Staat auch hier ein berechtigtes Interesse hat, eure Daten im Zweifelsfall auch gegen euren Willen zu speichern.
Weitere Infos zum berechtigten Interesse findet ihr unter https://www.dr-datenschutz.de/

Auftragsverarbeitungsvertrag – muss das sein?

Artikel 28 der DSGVO legt fest, dass ihr bei einer externen Verarbeitung von personenbezogenen Daten eine gesonderte Vereinbarung zwischen euch und dem verarbeitenden Unternehmen vorliegen muss.
Es kommt oft vor, dass Vereine externe Dienstleister mit Projekten beauftragen, wie zum Beispiel einem Newsletter oder einer Vereinsapp.

Solltet ihr als Verein Aufträge durch externe Dienstleister erfüllen lassen, dann müsst ihr mit ihnen unbedingt eine Vereinbarung über die Auftragsdatenverarbeitung abschließen.
Mit dieser Vereinbarung stellt ihr sicher, dass der externe Dienstleister die gesammelten Daten nur für die angegebenen Zwecke verwendet. Er darf sie nicht anderweitig speichern oder weitergegeben. Außerdem müsst ihr alle betroffenen Personen darüber informieren, dass ihre Daten gesammelt und weitergegeben werden.

Der Abschluß der Vereinbarung ist ein gutes Beispiel dafür, dass durch die Neuregelung in der DSGVO tatsächlich auch Dinge einfacher geworden sind. Nach früherem deutschem Recht musste ein entsprechender Vertrag zur Auftragsdatenvereinbarung individuell zwischen Verein und Datenverarbeiter in üblicher Vertragsform mit doppelter Ausführung und Unterschrift geschlossen werden. Durch die Neuregelung in der DSGVO genügt es nun eine elektronische Vereinbarung.

Es reicht daher wenn der Auftragsverarbeiter entsprechende Regeln in seine AGB mit aufgenommen hat oder diese als separate Vereinbarung zum Download bereitstellt. Als Verein habt ihr eure Pflicht getan, wenn ihr diese Regelungen auf Konformität prüft und das Dokument bei euch sicher elektronisch oder ausgedruckt aufbewahrt. Klubraum bspw. bietet seine Bedingungen zur Auftragsverarbeitung hier zum Download an.

Braucht unser Verein einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter kann eine Person sein, die in eurem Verein tätig ist oder jemand, der extern angestellt wird, um zu überwachen und sicher zu stellen, dass der Datenschutz eingehalten wird.
Die Hauptaufgaben bestehen hauptsächlich aus:

  • Ansprechpartner sein für den Vorstand, die Mitarbeiter*Innen und Mitglieder*Innen in allen Fragen rund um den Umgang mit den gesammelten persönlichen Daten.
  • Den Verein über bestehende datenschutzrechtliche Pflichten aufzuklären und dafür zu sorgen, dass diese eingehalten werden.
  • Führung eines Verarbeitungsverzeichnis, um den Überblick zu behalten.
  • Ansprechpartner sein, wenn es um Anfragen der Betroffen oder Behörden geht.
  • Beratung und Unterstützung der Vereine bei der Durchführung der Datenschutz Folgenabschätzung nach Art. 35 der DSGVO.

In der Regel braucht ein Verein keinen Datenschutzbeauftragten. Er wird nur in Ausnahmefällen benötigt. Ausnahmefälle sind, wenn:

  • in eurem Verein ständig zehn oder mehr Personen mit der Verarbeitung sog. personenbezogener Daten beschäftigt sind (bspw. bei sehr großen Vereinen wie dem ADAC)
  • das Kerngeschäft eures Vereins, also dessen Haupttätigkeit, in der umfangreichen Verarbeitung sog. sensibler Daten liegt. Dies könnte der Fall sein, wenn euer Verein in der Palliativ-Medizin oder Pflege tätig ist.

Weitere Informationen findet ihr unter: https://www.dsgvo-verstehen-bayern.de/

Was passiert, wenn die DSGVO nicht eingehalten wird?

“Ach, so viel Aufwand – ich lass es einfach. Was soll da schon passieren?”


Natürlich wird nicht jeder Verein haargenau kontrolliert – bei einer Missachtung kann das aber ganz schön teuer werden.
Wer haftet bei einem Verstoß gegen die DSGVO? Grundsätzlich haftet bei einem Verstoß der Verein als Gesamtes. Liegt seitens des Vorstands (bzw. eines Vorstandsmitglieds) jedoch ein vorsätzliches oder grobfahrlässiges Fehlverhalten vor, so kann auch dieser mit seinem Privatvermögen zur Haftung gebracht werden. Wenn bei euren Mitgliedern oder einem Teilnehmer einer Vereinsveranstaltung wegen eines Datenschutzverstoßes ein Schaden entsteht, so hat diejenige einen Anspruch auf Schadensersatz gegenüber des Vereins. Euer Verein muss also für den Schaden aufkommen.

Liegt aber der Fehler wegen Missachtung des Vertrags bei einem Auftragsverarbeiter, dann haften Verein und Auftragsverarbeiter zunächst gesamtschuldnerisch, d.h. der Geschädigte kann seinen Schaden sowohl beim Verein als auch beim Auftragsverarbeiter geltend machen. Euer Verein hat jedoch die Möglichkeit eventuell an ihn gerichtete Ansprüche im Innenverhältnis gegenüber dem Auftragsverarbeiter einzufordern, sofern die Schuldfrage entsprechend nachgewiesen werden kann.
Mehr dazu unter https://www.dr-datenschutz.de/.

Die EU hat die Bußgelder bei Missachtung bewußt so gewählt hat, dass diese eine abschreckende Wirkung entfalten. Wir empfehlen euch daher die Datenschutzfragen ernst zu nehmen, aber auch nicht in Panik zu verfallen.

Fazit

Die DSGVO macht die Verwaltung eures Verein nicht gerade einfacher. Sie sorgt für mehr Arbeit und zusätzliche Bürokratie. Die Einführung hat aber auch viel Gutes, da dadurch das Grundrecht auf Datenschutz in allen EU Mitgliedsstaaten einheitlich gestärkt wird. Wenngleich noch nicht alle Ziele erreicht und alle Unklarheiten beseitigt worden sind, darf man nicht vergessen, dass die DSGVO den Datenschutzstandard für uns alle weltweit vorantreibt. Wenn ihr die Regeln so gut es geht beachtet und mit den Daten vertraulich umgeht, habt ihr nichts zu befürchten. Weitere Infos findet ihr auf der offiziellen DSGVO Seite: https://dsgvo-gesetz.de/

Wir haben etwas vergessen oder ihr habt weitere Fragen oder Anregungen zum Artikel? Dann schreibt uns einfach an [email protected] oder nutzt die Kommentarfunktion unterhalb dieses Artikels.

Beitrag teilen

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert