Handlungs­empfehlungen zur Umsetzung der DSGVO in Vereinen

Adressat:

Vereine und Verbände (unerheblich, ob sie im Vereinsregister eingetragen sind)

Wer ist für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) verantwortlich?

Verantwortlicher für die Einhaltung des Datenschutzes ist der gesetzliche Vertreter des Vereins. Also in den meisten Fällen ein Vorstand oder mehrere Vorstände gemeinsam (§ 26 BGB).

Was ist zu tun?

Vereine und Verbände benötigen für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies kann entweder eine gesetzliche Vorschrift oder die Einwilligung der betroffenen Person sein. Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung und sie ergänzende Regelungen vorgegeben ist. Alle persönlichen Daten des Mitglieds, die somit zur »Abwicklung dieses Verhältnisses« erforderlich sind, dürfen gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO verarbeitet werden. Daneben kommen für Verarbeitungsvorgänge, die nicht mit der eigentlichen Durchführung der Vereinsmitgliedschaft zusammenhängen, je nach Art der Verarbeitung die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO (zum Beispiel bei der Anfertigung von Fotoaufnahmen) oder die berechtigten Interessen des Artikel 6 Absatz 1 Buchstabe f DSGVO (zum Beispiel bei Veröffentlichung von persönlichen Daten der Mitglieder, das heißt im Internet, über Vereinszeitschriften etc.) in Betracht.

Im Folgenden finden Sie in Kurzform (nicht abschließende) Handlungsempfehlungen:

1. Internen Datenschutzbeauftragten benennen
Eine Benennung ist verpflichtend, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Datenschutzbeauftragter ist jedenfalls dann zu benennen, wenn Angaben beispielsweise zur Gesundheit oder zur politischen Meinung oder zur Bewertung der Person durch den Verein verarbeitet werden (Artikel 37 Absatz 1 Buchstabe c DSGVO). Genau wie bei Unternehmen wirkt ein Datenschutzbeauftragter im Verein auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Es ist nicht möglich, dass der Vorstand im Sinne des § 26 BGB gleichzeitig die Funktion des Datenschutzbeauftragten übernimmt (Interessenkonflikt, Artikel 38 Absatz 6 Satz 1 DSGVO).

2. Verzeichnis von Verarbeitungstätigkeiten erstellen (vgl. Artikel 30 DSGVO)
Gemäß Artikel 30 DSGVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Zwar besteht bei Verantwortlichen, die weniger als 250 Mitarbeiter beschäftigen, eine Ausnahme von der Verzeichnisführungspflicht. Diese Ausnahme gilt jedoch nicht, wenn die Verarbeitung nicht nur gelegentlich oder eine Verarbeitung sensibler Daten im Sinne von Artikel 9 oder Art 10 DSGVO erfolgt. Die Verwaltung der Mitgliedsbeiträge, die Veröffentlichung von Fotos der Mitglieder oder die regelmäßige Unterrichtung der Mitglieder mittels eines Newsletters per E-Mail stellen im Regelfall eine solche regelmäßige Verarbeitung dar. Im Regelfall ist damit von größeren Vereinen auch ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

3. Eventuell Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) vornehmen
Die Pflicht zur Vornahme einer Datenschutz-Folgeabschätzung dürfte bei Vereinen und Verbänden nur in seltenen Fällen bestehen, etwa dann, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ein solches Risiko kann angenommen werden, wenn systematische Bewertungen persönlicher Art (Rating, Scoring…) vorgenommen werden. Das Ziel einer Datenschutz-Folgenabschätzung besteht darin, das hohe Risiko zu identifizieren und durch geeignete technisch-organisatorische Maßnahmen zu minimieren.

4. Zuständigkeiten für Informationen bei Datenverlust festlegen
Artikel 33 und 34 DSGVO verpflichten Verantwortliche dazu, im Falle einer Verletzung des Schutzes personenbezogener Daten (zum Beispiel bei einem Datenleck) dies der zuständigen Datenschutzaufsichtsbehörde – soweit möglich innerhalb von 72 Stunden – zu melden, wenn der Vorfall ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In diesem Fall sind betroffene Personen zu benachrichtigen.

5. Vorhandene Einwilligungen überprüfen
Insbesondere muss gemäß Artikel 7 Absatz 3 der Datenschutz-Grundverordnung die betroffene Person vor Abgabe der Einwilligung darüber in Kenntnis gesetzt werden, dass der Widerruf ihrer Einwilligung nur die Datenverarbeitung ab diesem Zeitpunkt betrifft. Weiterhin muss der Verantwortliche gemäß Artikel 7 Absatz 1 DSGVO die Einwilligung nachweisen können (siehe hierzu auch die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO).
Insbesondere die Veröffentlichung personenbezogener Daten im Internet bedarf einer ausdrücklichen Einwilligung. In diesen Fällen sollten die Vereinsmitglieder, bei Minderjährigen ihre Sorgeberechtigten, eine entsprechende Einwilligungserklärung unterzeichnen.

6. Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach den Artikeln 13 und 14 Datenschutz-Grundverordnung sicherstellen
Aus Gründen der Transparenz von Datenverarbeitungsvorgängen muss ein Verein bei der erstmaligen Erhebung personenbezogener Daten der betroffenen Person die Gelegenheit geben die in Artikel 13 der Datenschutz-Grundverordnung genannten Umstände zur Kenntnis zu nehmen. Diese umfassen unter anderem die Dauer der Datenspeicherung und das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde. Eine solche Information kann zum Beispiel durch ein Merkblatt erfolgen. Der Verein muss nur nachweisen, dass er die Informationen nach den Artikeln 13 oder 14 DSGVO zur Verfügung gestellt hat. Dementsprechend bedarf es ausdrücklich keiner schriftlichen Bestätigung der Mitglieder über die Aushändigung oder gar die Kenntnisnahme dieser Informationen.

7. Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit Auftragsverarbeitern gemäß den Artikeln 28 und 29 der Datenschutz-Grundverordnung eingehalten werden
Insbesondere kleine Vereine bedienen sich zur Adressverwaltung externer Dienstleister. Kennzeichnend für die Auftragsverarbeitung ist, dass der Auftragsverarbeiter gegenüber dem Verantwortlichen weisungsabhängig ist. Seitens des Vereins dürfen nur Auftragsverarbeiter eingesetzt werden, die eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung gewährleisten (vgl. Artikel 28 Absatz1 DSGVO). Für Vereine wird in der Regel in Betracht kommen, dass die verbindliche Vereinbarung über die Auftragsverarbeitung auf der Grundlage eines Vertrages erfolgt (Artikel 28 Absatz 3 DSGVO).

8. Sicherheit personenbezogener Daten
Der Verein kann personenbezogene Daten mittels herkömmlicher Karteien oder automatisiert speichern (vgl. Art 2 Absatz 1 DSGVO). Nach Artikel 32 DSGVO sind bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören unter anderem aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups und der Einsatz eines aktuellen Virenscanners. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können. Dies gilt in gleicher Weise für im privaten Umfeld aufbewahrte Unterlagen wie zum Beispiel Papierdokumente (abschließbarer Schrank, o. Ä.).

9. Löschen von Daten
Sobald keine gesetzliche Grundlage (zum Beispiel steuerliche Aufbewahrungspflichten) mehr für die weitere Speicherung personenbezogener Daten besteht oder sie zur Abwicklung der Mitgliedschaft (zum Beispiel bei Beitragsrückständen) nicht mehr benötigt werden, sind sie unwiederbringlich zu löschen.