Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (DS-GVO) wirksam.
In vielen Unternehmen und Vereinen wurde bereits während der zweijährigen Übergangsfrist alles Nötige veranlasst, um die Anforderungen des neuen Datenschutzrechts fristgesetzt umzusetzen. Jedoch ist in vielen kleineren Vereinen – insbesondere in Sportvereinen – nicht ausreichend bekannt geworden, dass sie ebenfalls betroffen sind und gewisse Anforderungen erfüllt werden müssen.
Laut DS-GVO wird kein Unterschied zwischen großen und kleinen Unternehmen oder wirtschaftlich arbeitenden Unternehmen und ideellen Vereinen gemacht. Zudem sind sowohl gemeinnützige Vereine als auch Vereine, die in das Vereinsregister eingetragen sind (e.V.) in Bezug auf Art. 4 Abs. 7 DS-GVO als Verantwortlicher anzusehen und somit den entsprechenden Pflichten unterlegen.
Was bedeutet dies nun im Genauen für kleine Vereine, die lediglich durch ehrenamtliche Mitglieder geführt werden?
Welchen Pflichten unterliegen sie?
Zunächst ist zu prüfen, ob ein Datenschutzbeauftragter benannt werden muss.
Dazu ist – sowohl im Unternehmen als auch im Verein – zu schauen, wie viele Personen regelmäßigen Umgang mit personenbezogenen Daten haben. Sind dies weniger als 10 Personen, so ist kein Datenschutzbeauftragter zu bestellen. In den meisten kleineren Vereinen wird sich diese Zahl auf einige wenige Mitglieder bzw. Vorstandsmitglieder beschränken, sodass kein Datenschutzbeauftragter bestellt werden muss.
In jedem Falle muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden und den Informations- und Auskunftspflichten nachgekommen werden. Des Weiteren ist die Löschung von Daten durchzuführen und alle nötigen Vereinbarungen zur Auftragsverarbeitung müssen abgeschlossen werden. Bei Vorfällen in Form von Datenschutzverletzungen sind diese meldepflichtig.
Das Verzeichnis von Verarbeitungstätigkeiten ist in einem kleinen (Sport-)Verein relativ überschaubar. Typische Tätigkeiten, die hier aufgeführt werden müssen sind:
- Mitgliederverwaltung
- Ggf. Betrieb einer Webseite
- Öffentlichkeitsarbeit
- Beitragsverwaltung
Selbstverständlich ist in jedem Verein individuell zu schauen, ob noch weitere Tätigkeiten mit aufgenommen werden müssen. Wird beispielsweise ein Newsletter versendet, ist dies als Tätigkeit im Verzeichnis von Verarbeitungstätigkeiten mit aufzuführen und eine entsprechende Einwilligung der Empfänger einzuholen.
Bei den Informations- und Auskunftspflichten ist es nötig, die Mitglieder über die Datenverarbeitung zu informieren. Die entsprechenden Informationen können beispielsweise dem Beitrittsantrag angefügt werden. Bei Veranstaltungen und Festen ist durch entsprechende Hinweise über mögliche Bildaufnahmen zu informieren.
Zudem ist bei Betrieb einer Webseite und/oder dem Auftritt in einem sozialen Netzwerk wie Facebook eine Datenschutzerklärung zu erstellen und einzubinden. Ebenso ist zu beachten, dass ein eingetragener Verein, sowie Vereine, die „geschäftsmäßig handeln“, ebenfalls der Impressumspflicht unterliegen.
Eine weitere Pflicht ergibt sich aus Art. 32 DSGVO: Die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten im Verein.
Dies sind doch einige Punkte, die von Ihnen als Vereinsvorstand beachtet werden müssen. Jedoch sind sie nicht verpflichtet, sich diese Dinge komplett selbst zu erarbeiten. Von verschiedenen Stellen sind im Internet gute und brauchbare Vorlagen für Vereine zu finden. Bei offenen Fragen zur Vorgehensweise und Erstellung der entsprechenden Dokumente empfehlen wir z.B. die Seite: „https://www.lda.bayern.de/de/faq.html“
Dort sind die 10 häufigsten Fragen, die an die Aufsichtsbehörde bzgl. des Datenschutzes im Verein gestellt wurden, beantwortet und es liegen beispielhafte Vorlagen zu den zu erstellenden Dokumenten bereit.