Die neue Datenschutz-Grundverordnung - Was ist für Vereine wichtig?

Urheber: Trueffelpix - fotolia

Ab dem 25.05.2018 gelten europaweit die Vorschriften und Maßgaben nach der neuen Datenschutz-Grundverordnung (DSGVO). Selbstverständlich gilt die DSGVO nicht nur für kommerzielle Unternehmen, sondern auch für Vereine und Verbände.
Vereine sollten somit anfangen, sich mit den neuen Vorgaben der DSGVO vertraut zu machen sowie notwendige Anpassungen vorzunehmen. Bei Nichtbeachtung oder Verstößen können nach der neuen Rechtslage drastische Bußgeldstrafen drohen.
Viele Grundsätze, die auch aus dem Bundesdatenschutzgesetz (BDSG) bekannt sind und Gültigkeit haben, bleiben auch in der DSGVO erhalten.
Für Vereine besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn in der Regel mehr als neun Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Selbstverständlich besteht auch weiterhin die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen.
Der Datenschutzbeauftragte muss gemäß Art. 37 Abs. 8 DSGVO der jeweiligen zuständigen Aufsichtsbehörde gemeldet werden.
Das frühere Verfahrensverzeichnis findet man in modifizierter Form und unter dem Begriff "Verarbeitungsverzeichnis" in Art. 30 DSGVO wieder. In diesem Verzeichnis müssen alle sämtlichen Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten bestehen, aufgeführt und genau beschrieben werden.
Für Vereine und Verbände ist jetzt die Zeit gekommen, um zu prüfen, an welcher Stelle der Verein noch Anpassungs-, Änderungs- und Erarbeitungsbedarf hat, damit der Übergang auf die neue Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz reibungslos gemeistert werden kann.
Hat der Verein Auftragsverarbeiter, d.h. Unternehmen, die in seinem Auftrag personenbezogene Daten verarbeiten, ist es verpflichtend Verträge der Auftragsdatenverarbeitung den neuen Regelungen der DSGVO anzupassen.

Hinweis:

Jeder Verein sollte zunächst genau hinterfragen, wann, wie und in welchen Bereichen mit personenbezogenen Daten umgegangen wird. Entscheidend ist also, welche Prozesse hängen mit der Erhebung, Verarbeitung, Speicherung und Löschung von personenbezogenen Daten zusammen.

  • Bestellung eines Datenschutzbeauftragten
  • Erstellung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO)
  • Vereinbarungen zur Auftragsdatenverarbeitung mit externen Dritten
  • Überarbeitung von Einwilligungserklärungen

Als Hilfestellung dient die Internetseite des "Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit" unter www.tlfdi.de, die Mustervordrucke und weitere wichtige Informationen zum Thema erhält.

Datenschutz

Mit den folgenden Erläuterungen sollen Vereinsfunktionäre und -mitglieder über datenschutzrechtliche Rahmenbedingungen für den Umgang mit personenbezogenen Daten bei der Vereinsarbeit informiert werden.

Will der Verein Informationen über seine Mitglieder (z.B. im Internet) veröffentlichen, ist die vorherige schriftliche Einwilligung des Betroffenen erforderlich. Dabei sollte ein formularmäßiger Vordruck zweierlei berücksichtigen:
1) Das eintretende Mitglied gibt diese Erklärung freiwillig ab und kann sie jederzeit widerrufen. Es kann den Umfang der zu veröffentlichenden Daten auch von vornherein beschränken.
2) Dem Mitglied muss die Tragweite seiner Erklärung bewusst sein, das ist nur der Fall, wenn es weiß, welche seiner Daten in das Internet gestellt werden. Bsp: Spielerprofil bei Fußball.de
Vereine sollten gerade bei der Nutzung des neuen Mediums Internet sehr sorgfältig überlegen, welche personenbezogenen Informationenzur Selbstdarstellung im Internet wirklich notwendig sind. Das Internet bietet für die Vereine große Chancen zur Selbstdarstellung, aber auch Risiken für die betroffenen Vereinsmitglieder. Daneben sind zahlreiche Fragen der Internetsicherheit zu berücksichtigen. Der Adressatenkreis im Internet ist nahezu unbegrenzt und einmal in das world wide web gestellte Daten sind preisgegeben, da die Daten weltweit, d.h. auch in Staaten mit niedrigerem Datenschutzniveau abrufbar sind. Zudem ist auf die generellen Risiken, wie die weit reichende Verknüpfbarkeit, die mangelnde Vertraulichkeit und die Möglichkeit der inhaltlichen Veränderung hinzuweisen.

Für eigene Zwecke des Vereins kann der Verein personenbezogene Daten verarbeiten, wenn dies dem Vereinszweck oder einem Vertragsverhältnis mit den jeweils betroffenen Personen entspricht. Darüber hinaus ist ihm die Verarbeitung personenbezogener Daten dann erlaubt, wenn sie zur Wahrung eines berechtigten Interesses des Vereins erforderlich ist oder wenn es sich um allgemein zugängliche Daten handelt und kein Grund zu der Annahme besteht, dass die Betroffenen überwiegende schutzwürdige Interessen am Ausschluss der Verarbeitung oder Nutzung haben.
Für fremde Zwecke darf ein Verein personenbezogene Daten übermitteln oder nutzen, soweit dies zur Wahrung berechtigter Interessen eines Dritten oder zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Für Zwecke der Werbung oder der Markt- und Meinungsforschung können die in § 28 Abs. 3 Nr. 3 BDSG aufgeführten Daten (z.B. Zugehörigkeit zu einer Personengruppe, wie etwa Mitglied eines Sportvereins,Name, Anschrift, Geburtsjahr) listenmäßig übermittelt werden, soweit der Betroffene eingewilligt hat. In allen diesen Fällen ist die Übermittlung oder Nutzung der Daten nur zulässig, wenn bei pauschaler Abwägung kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der betroffenen Personen entgegenstehen. Wenn die Verarbeitung oder Nutzung personenbezogener Daten nicht auf eine der vorstehenden Regelungen gestützt werden kann, ist sie nur zulässig, wenn der Betroffene eingewilligt hat.

Wenn Mitglieder im Einzelfall den Verein um Auskunft über Daten anderer Mitglieder ersuchen (etwa um eine Bekanntschaft zu pflegen), beurteilt sich die Zulässigkeit der Datenübermittlung danach, ob das auskunftsersuchende Vereinsmitglied ein berechtigtes Interesse an der Kenntnis der Daten hat und ob bei pauschaler Abwägung keine schutzwürdigen Interessen der betroffenen Mitglieder der Datenübermittlung entgegenstehen. Dabei kommt es auf die Umstände des konkreten Falles an.

Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorganisation – beispielsweise einem Bundes- oder Landesverband– zu übermitteln, sollte dies in der Vereinssatzung geregelt werden.

In vielen Vereinen ist es üblich, personenbezogene Informationenn am Schwarzen Brett auszuhängen oder in Vereinsblättern bekanntzugeben. Der Vereinsvorstand darf grundsätzlich nicht ohne Einwilligung seiner Mitglieder Adressen am Schwarzen Brett aushängen, wenn die Kenntnisnahme durch Vereinsfremde erfolgen kann.

Ansprechpartner

Annemarie Brendel

Gesellschaftliche Verantwortung / Öffentlichkeitsarbeit
Thüringer Fußball-Verband e.V.
Augsburger Str. 10
99091 Erfurt
0361 / 34767 - 202
www.tfv-erfurt.de