Image

Datenschutz im Verein

Seit 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft, mit der Konsequenz, dass auch Vereine sich bei der Verarbeitung von personenbezogenen Daten an die Vorgaben der Grundverordnung halten müssen. Zu beachten sind auch ergänzende Vorschriften des Bundesdatenschutzgesetzes (BSDG), das an die Datenschutz-Grundverordnung angepasst wurde.


Was ändert sich für Vereine?

Für Vereine bedeutet die Datenschutz-Grundverordnung erweiterte Dokumentations- und Nachweispflichten, um der Rechenschaftspflicht zu genügen (Art. 5 Abs. 2 DS-GVO). Dokumentiert und nachgewiesen werden muss die Rechtmäßigkeit der Datenverarbeitung sowie die Einhaltung der datenschutzrechtlichen Grundsätze.

Auch die Informations- und Auskunftspflichten gegenüber den Betroffenen (= Mitgliedern), wurden ausgeweitet. Der Umfang der Informationspflicht variiert je nachdem, ob die personenbezogenen Daten direkt bei der betroffenen Person erhoben wurden (Art. 13 DS-GVO) oder nicht (Art. 14 DS-GVO). Den Betroffenen steht ein Auskunftsanspruch gegenüber dem Verein hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DS-GVO). Hierfür sollten organisatorische Vorkehrungen getroffen werden. Für den Umgang mit solchen Auskunftsersuchen gibt es von den Datenschutzbehörden diverse Empfehlungen.

Technische und organisatorische Maßnahmen notwendig

Um sicherstellen und nachweisen zu können, dass die Datenverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt, muss der Verein technische und organisatorische Maßnahmen festlegen und durchführen (Art. 24 DS-GVO). Weitere Maßnahmen sind erforderlich, um ein angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Ein Maßnahmenkatalog findet sich in Art. 32 DS-GVO, darunter Maßnahmen wie Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten.

Datenschutzpannen wie Datenlecks, Hacking, gestohlene oder verlorengegangene Datenträger sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der oder dem Landesdatenschutzbeauftragten zu melden (Art. 33 Abs. 1 DS-GVO).

Weiterhin ist es zweckdienlich, die datenschutzrechtlich relevanten Datenverarbeitungsvorgänge des Vereins in der Vereinssatzung oder in einer separaten Datenschutzordnung präzise festzuhalten. Dort sollte dargestellt werden, welche Daten zu welchem Zweck von wem an welche (dritte) Stellen übermittelt werden dürfen, welche Personen auf welche Datenkategorien Zugriff haben und unter welchen Voraussetzungen eine Datenverarbeitung zulässig erfolgen kann.

Rechtmäßigkeit der Datenverarbeitung in Vereinen

Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DS-GVO). Die Datenverarbeitung zur Mitgliederverwaltung und -betreuung wird grundsätzlich zulässig sein (auf Grundlage des Art. 6 Abs. 1 Buchst. b DS-GVO). Übermittelt ein Verein jedoch personenbezogene Daten an Dritte, wird er regelmäßig dann eine Einwilligung des Betroffenen benötigen, wenn dies mit den eigentlichen Zwecken der Datenverarbeitung des Vereins nicht in Einklang gebracht werden kann, etwa bei einer Datenweitergabe zu Werbezwecken.

Datenschutzrechtliche Grundsätze beachten

Bei jeder Datenverarbeitung sind die datenschutzrechtlichen Grundsätze zu beachten. So dürfen die Daten beispielsweise nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind (Zweckbindungsgrundsatz). Die Zwecke der Datenverarbeitung sind dabei im Vorfeld der Verarbeitung konkret in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) zu dokumentieren, um eine objektive Überprüfung der Datenverarbeitung zu ermöglichen. Personenbezogene Daten sind außerdem auf das für die Zweckerreichung erforderliche Maß zu beschränken (Datenminimierung).

Ist die Bestellung eines Datenschutzbeauftragten erforderlich?

Besteht die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonders sensibler Daten, etwa in Selbsthilfevereinen, oder sind dort in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist die Bestellung eines internen oder externen Datenschutzbeauftragten verpflichtend (Art. 37 DS-GVO, § 38 BDSG-neu). Es kann sich allerdings als sinnvoll erweisen, für die Herstellung der DSGVO Konformität und deren Einhaltung einen Datenschutzexperten hinzuzuziehen.