Datenschutz im Verein

Die 2018 in Kraft getretene Datenschutzgrundverordnung sorgt dafür, dass sich auch Vereine bei der Verarbeitung von personenbezogenen Daten an die Regeln und Vorgaben der DSGVO sowie möglichen Ergänzungen durch das Bundesdatenschutzgesetz halten müssen.

Dies bedeutet vor allem eine erweiterte Dokumentations- und Nachweispflicht, um der in Art. 5 Abs 2 DSGVO erklärten Rechenschaftspflicht zu genügen. Wie in bereits vorherigen Blogposts darauf eingegangen, muss die Recht- und Verhältnismäßigkeit sowie die Einhaltung der datenschutzrechtlichen Grundsätze dokumentiert werden und nachweisbar sein.

Zusätzlich gilt auch die Informations- und Auskunftspflicht gegenüber denjenigen, deren Daten verarbeitet werden, damit insbesondere auch den Vereinsmitgliedern. Der Umfang der Informationspflicht unterscheidet sich je nach Erhebung der Daten. Es stellt sich als sehr nützlich heraus, hierfür organisatorische Abläufe zu schaffen, um dieser Pflicht ohne größeren Aufwand angemessen nachzukommen.

Generell sollten Vereine technische und organisatorische Maßnahmen festlegen und auch durchführen, um sicherstellen zu können, dass die Datenverarbeitung gemäß der DSGVO erfolgt und der Verein auch seiner Nachweispflicht nachkommen kann. Zusätzlich sind meist noch weitere datenschutzrechtliche Maßnahmen erforderlich, um ein gewisses Schutzniveau zu erreichen. Auch hier gilt es, einen hohen Standard zu schaffen, indem man diejenigen schult und sensibilisiert, die personenbezogene Daten verarbeiten und klare, transparente Abläufe schafft. Beispielsweise ist es hilfreich, die datenschutzrechtlich relevanten Verarbeitungsvorgänge in der Vereinssatzung oder einer Datenschutzordnung festzuhalten. Hier sollte dann klargestellt werden, welche Daten zu welchen Zwecken verarbeitet werden, wer diese Daten an wen (beispielsweise auch dritte Stellen) übermitteln darf, wer auf welche Daten Zugriff hat und unter welchen Voraussetzungen eine zulässige Datenverarbeitung erfolgt.

Wie bereits in einem vorherigen Blogpost erläutert, ist die Datenverarbeitung entweder mit der Einwilligung der betroffenen Person in die Verarbeitung oder einer sonstigen gesetzlichen Grundlage erlaubt. Grundsätzlich wird die Datenverarbeitung zur Mitgliederverwaltung und -betreuung zulässig sein (auf Grundlage des Art. 6 DSGVO), allerdings gibt es einige Ausnahmen, beispielsweise die Weitergabe der Daten an Dritte. Ist ein Verarbeitungsschritt nicht mit den eigentlichen Zwecken der Datenverarbeitung des Vereins vereinbar, so benötigt es die Einwilligung des Betroffenen.

Dabei ist natürlich zu beachten, dass bei jeder Datenverarbeitung die Datenschutzgrundsätze zu beachten sind. Das bedeutet, dass die Daten nur zu dem Zweck verarbeitet werden dürfen, für jenen sie auch erhoben wurden (Zweckbindungsgrundsatz) und auf das minimalst zur Zweckerfüllung mögliche Maß beschränkt werden sollten (Datenminimierung). Es bietet sich daher an, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, in dem im Vorfeld dokumentiert wird, zu welchem Zweck die Datenverarbeitung stattfindet.

Für viele Vereine stellt sich neben diesen vielen organisatorischen Aufgaben die Frage, ob sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Genauer wird diese Frage im Blogpost „Wer benötigt einen Datenschutzbeauftragten?“ geklärt. Vereinfacht gilt aber, dass ein Datenschutzbeauftragter auch im Verein verpflichtend wird, sobald mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder es sich bei der Kerntätigkeit des Vereins um die umfangreiche Verarbeitung besonders sensibler Daten (z.B. Selbsthilfevereinen) handelt. Allgemein schadet es allerdings nicht, einen Datenschutzbeauftragten zu bestellen, da dieser auch in den auf den Verein zukommenden Aufgaben unterstützt und einen zentralen Ansprechpartner darstellt.