Datenschutz in Vereinen

Seit der Einführung der Europäischen Datenschutzgrundverordnung, kurz DSGVO, mussten sich nicht nur Unternehmen, Behörden oder Institutionen bezüglich des Themas Datenschutz umstellen. Auch Vereine, egal ob gemeinnützig, nicht eingetragen oder nicht rechtsfähig, sind von den verschärften Vorschriften betroffen.

Durch den Mitgliedsantrag werden Name, Adresse, Alter und andere personenbezogene Daten aufgenommen und verarbeitet. Die Aufnahme und Verarbeitung muss zusätzlich den Regelungen des Bundesdatenschutzgesetzes, kurz BSDG, gerecht werden, um die Daten von Vereinsmitgliedern und Beschäftigten entsprechend zu schützen. Dieser Schutz muss immer gewährleistet werden.

Daher sollten Vereine alle Prozesse, die auf der Vereinswebsite und EDV-Abteilung mit personenbezogenen Daten der Mitglieder, Mitarbeiter oder Interessenten zu tun haben, überprüfen und wenn nötig überarbeiten.

Bevor personenbezogene Daten verarbeitet werden dürfen, muss laut Artikel 6 der DSGVO (Rechtmäßigkeit der Datenverarbeitung) die betroffene Person einwilligen oder eine gesetzliche Ermächtigungsgrundlage vorliegen.

Zu Zwecken wie der Mitgliederverwaltung und Mitgliedsbetreuung können die Angaben auf Grundlage des Artikel 6 Abs. 1 b DSGVO verwendet werden.

Die personenbezogenen Daten dürfen aber ohne Einwilligung auf keinen Fall an Dritte weitergegeben werden, wenn diese die Daten für andere Zwecke nutzen.

Beachtet werden müssen außerdem die datenschutzrechtlichen Grundsätze.

Zum einen gibt es den Zweckbindungsgrundsatz.

Dieser besagt, dass die Daten lediglich für die Zwecke verarbeitet werden dürfen, für die sie auch generiert worden sind.

Daher sind die Verwendungszwecke vorher immer in dem Verzeichnis von Verarbeitungstätigen festzuhalten.

Diese Dokumentation der Datenverarbeitung ermöglicht eine objektive Prüfung der durchgeführten Prozesse.

Des Weiteren gibt es den Grundsatz der Datenminimierung, welcher besagt, dass nur so viele personenbezogene Daten erhoben werden sollen, wie zur Erfüllung des Zweckes notwendig sind.

Betroffene haben laut der Datenschutzgrundverordnung einen Anspruch darauf zu wissen, dass personenbezogene Daten erhoben und gespeichert werden.

Zugleich haben sie ein Recht auf den Zugriff auf die angegebenen Daten und auf die Datenübertragung.

Außerdem gilt das Recht auf Vergessenwerden, also auf Löschung ihrer Daten.

Folgende Hinweise sind für die Vertreter von Vereinen nun wichtig:

Neben den schon bestehenden Regelungen müssen Vereine laut Artikel 5 Abs. 2 DSGVO detailliertere Dokumentationen und Nachweise erbringen.

Die erweiterte Dokumentations- und Nachweispflicht bezieht sich hierbei auf die Rechtmäßigkeit der Datenverarbeitung und darauf, ob die datenschutzrechtlichen Grundsätze eingehalten werden.

Sie wurde eingeführt, um der Rechenschaftspflicht zu genügen.

Nach Artikel 12 ff. DSGVO müssen die Personen, deren personenbezogene Daten verarbeitet werden, umfassender über die Art und Weise der Verarbeitung und Speicherung beziehungsweise Löschung ihrer Daten informiert werden.

Wie konkret der Informationspflicht nachgegangen werden muss, hängt davon ab, von wem die Informationen erhoben wurden.

Also, ob die Daten laut Art. 13 DSGVO direkt von der betroffenen Person, oder nach Art. 14 DSVGO von dem Verantwortlichen stammen.

Außerdem wurde auch hier die Nachweispflicht diesbezüglich erweitert, um der Rechenschaftspflicht nachzukommen.

Die betroffenen Personen außerdem haben laut Art. 15 DSGVO das Recht, Auskunft über die erhobenen Daten zu erhalten.

Gemäß Artikel 24 der Datenschutzgrundverordnung muss ein Verein über entsprechende organisatorische und technische Maßnahmen verfügen, um die DSGVO-konforme Datenverarbeitung zu gewährleisten und die Dokumentation ausreichend nachweisen zu können.

Zudem dienen einige dieser Maßnahmen dem Schutz der personenbezogenen Daten, welcher laut Art. 32 Abs. 1 DSGVO gegeben sein muss.

Diese Maßnahmen sind laut Art. 32 der DSGVO „die Pseudonymisierung und Verschlüsselung personenbezogener Daten und die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.

Eine weitere Maßnahme ist „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Außerdem benötigt wird ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Sollte ein Gerät, auf dem sich die personenbezogenen Daten befinden, gehackt, gestohlen oder verloren gehen, muss dies dem Landesdatenschutzbeauftragten gemeldet werden.

Laut Artikel 33 Abs. 1 DSGVO muss die Meldung nach Bekanntwerden sofort getätigt werden, im besten Fall innerhalb von 72 Stunden.

Die Frage nach der Notwendigkeit eines Datenschutzbeauftragten kann nur individuell beantwortet werden.

Sind in dem Verein mehr als 9 Personen durchgehend mittels IT-Systemen mit der Verarbeitung personenbezogener Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden.

Die Anzahl von 9 Personen bezieht sich neben den Angestellten auch auf ehrenamtliche oder freie Mitarbeiter.

Ein Datenschutzbeauftragter muss außerdem ernannt werden, wenn besonders sensible Daten verarbeitet werden.

Diese besonders schützenswerten Daten werden in Artikel 9 oder Artikel 10 der DSGVO definiert.

In diesem Fall ist die Anzahl der Mitarbeiter, die sich ständig mit der Verarbeitung personenbezogener Daten befasst, irrelevant.