Bezirksverband Augsburg
im Diözesanverband Augsburg
Menü

Das neue Datenschutzgesetzt betrifft auch Vereine!

< zurück

Datenschutzgrundverordnung

Was die DSGVO für Vereine bedeutet

Die neue Datenschutzgrundverordnung (DSGVO) trifft auch Vereine. Auch sie müssen schauen, dass der Umgang mit Daten bei ihnen den neuen Anforderungen entspricht. Auf was Vereine achten müssen.

Die Deutschen mögen Vereine. Verein ist Familie, Geselligkeit und Freiheit. Verein verbindet. Und im Verein kennt man sich. Datenschutz? Bislang kein wirkliches Thema, auch wenn schon in der Vergangenheit ab einer gewissen Größe die Vorschriften des Datenschutzes auch auf Vereine anwendbar waren.

Jetzt wird es ernst – für fast alle Vereine. Die Rede ist von den neuen Anforderungen im Datenschutz, die erhebliche Änderungen für Vereine mit sich bringen. Viele Vereine haben die ab dem 25. Mai 2018 geltenden Regeln noch nicht umgesetzt.

Welche Daten müssen Vereine nach DSGVO schützen?

In jedem Verein werden unterschiedlichste, persönliche Daten auf vielfältige Weise erhoben, genutzt und weitergegeben. Dies erfolgt zum Teil aufgrund der satzungsgemäßen Verpflichtungen eines Vereins. Von der Mitgliederliste mit vielen persönlichen Informationen (Name, Anschrift, Alter, Eintrittsdatum, Bankverbindung, etc.) bis hin zu Ergebnissen von Sportveranstaltungen und ähnlichen Ereignissen, ergibt sich ein großer Stamm an Daten und Informationen rund um die Vereinsarbeit.

Nicht selten werden persönliche oder vereinsgebundene Informationen unbedacht veröffentlicht, z.B. über die vereinseigene Webseite. Auch eine mangelhafte Absicherung von Daten im Vereinsheim, die für jedes Vereinsmitglied und sogar Außenstehende zugänglich sind, kann einen Verstoß darstellen und erhebliche Strafzahlungen nach dem Aufdecken mit sich bringen.

Weitere Beispiele aus der Praxis: Weitergabe von Daten der Sportler (Name, Alter, etc.) an einen übergeordneten Verband oder in einer Pressemitteilung an Dritte oder bei Gesundheitssportangeboten die Abfrage sensibler Gesundheitsdaten der Teilnehmer.

Zur Person

Peter Fissenewert ist Rechtsanwalt und Partner der Kanzlei Buse Heberer Fromm. Seine Tätigkeitsschwerpunkte sind das Gesellschaftsrecht, Restrukturierung, Sanierung und Insolvenz sowie Compliance-Beratung und Managerhaftung.

Sensibler Umgang mit Daten gefordert

All dies verlangt von den Vereinen und Verantwortlichen bereits von sich aus einen verantwortungsvollen und sensiblen Umgang mit diesen Daten, zum Schutz der Mitglieder und des Vereins. Seit vielen Jahren bestehen hierzu entsprechende Datenschutzregeln.

Am 25. Mai 2018 tritt nun eine europaweite Neuregelung, die EU-Datenschutzgrundverordnung (EU-DSGVO), in Kraft. Damit werden auch die möglichen Bußgelder deutlich erhöht, weshalb Vereinen dringend anzuraten ist, das Thema Datenschutz genauer zu betrachten und die Regeln zu befolgen.

Viele Vereine bzw. deren Vorstände denken vielleicht, dass die drastischen Strafen der neuen Regelungen den Verein wohl nicht treffen werden, da die Strafen für die Umsätze von Unternehmen vorgesehen seien und Vereine eben keine Unternehmen seien und erst recht keine nennenswerten Umsätze erzielen.

Das ist ein fataler Irrtum. Zum einen ist fast jeder Verein ein „Unternehmen“ im Sinne der Vorschrift, zum andern können auch Strafen verhängt werden, die unabhängig vom Umsatz sind. Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor!

Es wird wohl unwahrscheinlich sein, dass ein Verein mit einer Strafe in Höhe von 20 Mio € verfolgt wird - es sei denn, der Verein hat die Größe eines ADAC - aber auch erheblich geringere Strafen können existenzbedrohend für Verein und Vorstand sein.

Ab wann benötigt ein Verein einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist dann zu bestimmen, wenn in der Regel mindestens zehn Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, also mit Hilfe von Computern die Daten der Vereinsmitglieder erheben, verarbeiten oder nutzen. Hierbei spielt es keine Rolle, ob es sich dabei um Angestellte, freie Mitarbeiter, Voll- oder Teilzeitbeschäftigte, Auszubildende, Leihpersonal, ehrenamtliche Mitarbeiter oder Mitarbeiter von externen Dienstleistern handelt.

Diese Zahl ist schnell erreicht. Meist hat ja nicht nur eine Person mit den Daten zu tun, sondern jeder, der diese Daten auch ändern kann und sei es „nur ganz nebenbei“. Man denke nur an die Veröffentlichung von Newslettern oder sonstigen Mailings, ggf. auch noch mit Fotos von Personen. Selbstverständlich besteht auch weiterhin die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen.

Weitere Anforderungen

Das frühere „Jedermanns-Verfahrensverzeichnis“ wurde in der Datenschutzgrundverordnung nicht mehr berücksichtigt. Hingegen findet man das frühere Verfahrensverzeichnis in modifizierter Form und unter dem Begriff „Verarbeitungsverzeichnis“ in Art. 30 DSGVO wieder.

In diesem Verarbeitungsverzeichnis müssen sämtliche Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, aufgeführt und genau beschrieben werden.

U.a. muss sichergestellt sein, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses im Verein und Verband Berücksichtigung finden.

Die bisherige Pflicht zum Abschluss von Auftragsverarbeitungsverträgen besteht weiterhin fort. Die entsprechende Regelung findet sich, mit weitestgehend ähnlichen Regelungsvoraussetzungen, in Art. 28 DSGVO.

Zukünftig können solche Verträge nicht nur schriftlich, sondern auch elektronisch abgeschlossen werden.

Daneben finden sich an den unterschiedlichsten Stellen in der DSGVO Modifikationen oder Änderungen, z.B. die neuen Grundsätze: Privacy by design, Privacy by default, One-Stop-Shop, Erhöhung der Bußgelder, zusätzliche Voraussetzungen bei Einwilligungen, neue Rechte der Betroffenen.

Jetzt handeln!

Für Vereine und Verbände ist jetzt die Zeit gekommen, um zu prüfen, an welcher Stelle der Verein und Verband noch Anpassungs- und Änderungsbedarf hat, damit der Übergang auf die neuen Gesetze reibungslos erfüllt werden kann.

Neben den genannten Anforderungen sollten die Vereine sicherstellen, dass u.a. folgende Maßnahmen und Aufgaben erfüllt werden:

  • Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO
  • Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung mit externen Dritten gemäß Art. 28 DSGVO
  • Überarbeitung von Einwilligungserklärungen gemäß den Vorgaben der DSGVO
  • Prüfung und Sicherstellung der TOMs (= technischen und organisatorischen Maßnahmen)
  • Erstellung eines Sicherheitskonzeptes
  • Sicherstellung der Betroffenenrechte

Diese Aufzählung stellt lediglich eine exemplarische Aufstellung dar und ist nicht abschließend.

 

Quelle:               

FOCUS-Online-Experte Peter Fissenewert; Dienstag, 08.05.2018, 13:49

 

Weitere Quellen und anhand von Beispielen gut erklärt!

https://www.lfv-bayern.de/aktuelles/datenschutz-im-verein-und-die-neue-datenschutz-grundverordnung/

 

Autor: FOCUS-Online-Experte, Peter Fissenewert
17.06.2018
< zurück