Vereine sind in Deutschland sehr weit verbreitet. Ob es sich um einen Sportverein handelt, einen Schützenverein, einen Kulturverein oder gemeinnützige Organisationen, wie Rotary International oder Lions Clubs International. Als Rechtsform hierfür wird regelmäßig ein Verein gewählt.

Am 25. Mai 2018 wird die neue Datenschutzgrundverordnung (DSGVO) anwendbar. Sie soll den Datenschutz in den EU-Mitgliedsländern einheitlich regeln. Da sie nicht nur auf Unternehmen Anwendung findet, sondern auf alle Einrichtungen, die personenbezogene Daten verarbeiten, sind auch Vereine von den neuen Regelungen betroffen.

Die DSGVO enthält in einigen Bereichen wesentlich strengere Anforderungen als die bisherigen Vorschriften, weshalb es höchste Zeit ist, sich mit den neuen Vorschriften und Pflichten vertraut zu machen und die gegebenenfalls erforderlichen Maßnahmen zu ergreifen.

Anwendungsbereich

Doch welche Informationen werden überhaupt als „personenbezogene Daten“ im Sinne der Verordnung verstanden? Nach Art. 4 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Darunter fallen also nicht nur Angaben zu den Mitgliedern des Vereins, wie Name, Adresse, Geburtsdatum oder Kontodaten, sondern auch etwa Wettkampfergebnisse oder Einsatzzeiten, die in vielen Vereinen auch dokumentiert werden. Die meisten Vereine erhalten solche personenbezogene Daten ihrer Mitglieder durch den Mitgliedsantrag oder durch Anmeldeformulare zu Wettkämpfen. Welche Daten durch den Verein erhoben werden dürfen, hängt von den durch die Vereinssatzung definierten Vereinszielen ab. Der Verein darf nur solche personenbezogenen Daten seiner Mitglieder erheben und verarbeiten, die für die Verfolgung des Vereinsziels sowie der Mitgliederbetreuung und -verwaltung erforderlich sind. Verarbeitet werden diese etwa durch die Speicherung oder die Weitergabe an einen übergeordneten Verband.

Deshalb fällt so gut wie jeder Verein in den Anwendungsbereich der DSGVO und muss sich somit an die von dieser vorgegebenen Pflichten halten.

Grundsätze der Datenverarbeitung

Art. 5 DSGVO listet zunächst die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten auf. Die meisten dieser Grundsätze sind zwar nicht neu, wurden jedoch zum Teil modifiziert beziehungsweise strengeren Anforderungen unterworfen. So gilt weiterhin der Grundsatz der Zweckbindung, nach dem personenbezogen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Auch der Grundsatz der „Datenminimierung“ beziehungsweise der „Datensparsamkeit“ besteht fort, nach dem die Datenerhebung auf das notwendige Maß beschränkt werden muss.

Datenschutzbeauftragter

Neu ist auch die Pflicht einen internen oder externen Datenschutzbeauftragten zu benennen nicht. Das gilt für alle Vereine, bei denen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Aufgabe kann jedoch nicht einfach vom Vorstand übernommen werden.
Geändert hat sich jedoch, dass dieser Datenschutzbeauftragte nach Art. 37 Abs. 8 DSGVO der zuständigen Aufsichtsbehörde gemeldet werden muss.

Informationspflichten

Auch neu ist, dass die Informationspflichten der DSGVO wesentlich weiter reichen, als das nach der bisherigen Regelung der Fall gewesen ist.

Art. 13 DSGVO listet detailliert die Informationen auf, die der betroffenen Person zum Zeitpunkt der Erhebung der Daten mitgeteilt werden müssen. Personen deren Daten bereits erhoben wurden müssen die fehlenden Informationen aktiv bis zum 25. Mai 2018 vom Verein mitgeteilt werden.

Verfahrensverzeichnis

Die Anforderungen an die Führung eines Verfahrensverzeichnisses wurden durch die DSGVO deutlich modifiziert. In dem nun nach Art. 30 DSGVO geforderten Verzeichnis müssen sämtliche Prozesse, die im Zusammenhang mit der Verarbeitung personenbezogener Daten bestehen, aufgeführt und genau beschrieben werden. Das Verzeichnis muss zum Beispiel die Zwecke der Verarbeitung nennen und eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten enthalten. Welche weiteren Angaben das Verzeichnis genau enthalten muss ist in Art. 30 DSGVO festgelegt.

Zwar gilt die Vorschrift nach Art. 30 Abs. 5 DSGVO nicht für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Allerdings gibt es hierzu eine Rückausnahme, dass dies nur dann gilt, wenn die Verarbeitung nicht nur gelegentlich erfolgt. Diese Einschränkung der Ausnahme führt dazu, dass der Anwendungsbereich der Norm und damit die Pflicht zur Führung eines Verfahrensverzeichnisses wieder deutlich erweitert wird. Für Vereine bedeutet dies, dass eine nicht nur gelegentliche Verarbeitung personenbezogener Daten stattfindet, wenn sie z.B. regelmäßig Wettkampfergebnisse verarbeiten, Tätigkeitsberichte der Mitglieder verfassen oder in sonstiger Weise personenbezogene Daten verarbeiten. Klarzustellen ist, dass „regelmäßig“ im Sinne der Norm für Unternehmen wohl schon dann erfüllt sein dürfte, wenn Verarbeitungen zu Vergütungen monatlich erfolgen. Hieraus kann man für Vereine schließen, dass eine regelmäßige Verarbeitung dann vorliegen dürfte, wenn diese zumindest monatlich erfolgt.

Einwilligungserklärung

Art. 4 Nr. 11 DSGVO schreibt detailliert Regelungen zur Einwilligungserklärung für die Verarbeitung personenbezogener Daten vor. Danach dürften beispielsweise bereits im Vorhinein angekreuzte Kästchen nicht mehr zulässig sein, da die DSGVO eine unmissverständlich abgegebene Willenserklärung beziehungsweise eine eindeutig bestätigende Handlung als Einwilligung verlangt.

Nach Art. 7 Abs. 2 DSGVO muss in Zukunft die schriftliche Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gefasst sein. Auch bereits erteilte Einwilligungen sollten diesbezüglich überprüft und falls notwendig neu angefordert werden.

Weitere Pflichten und Maßnahmen

Zudem enthält die neue DSGVO noch weiter, zum Teil sehr verstreute, Pflichten für Vereine.

So muss der Verantwortlichen nach Art. 24 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen und sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung gemäß der Verordnung erfolgt ist. Geeignete Sicherheitsvorkehrungen müssen somit getroffen und stets auf dem neuesten Stand gehalten werden.

Wird jemand anders (z.B. ein Hostingunternehmen für die Vereinshomepage) beauftragt die vom Verein erhobenen Daten zu verarbeiten, so muss nach Art. 28 Abs. 1 DSGVO sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Dafür muss ein entsprechender Vertrag nach Art. 28 Abs. 3 DSGVO geschlossen werden. Neu ist dabei, dass solche Verträge nun auch elektronisch geschlossen werden können.
Zudem muss nach Art. 35 DSGVO im Vorfeld eine Datenschutzfolgenabschätzung durchgeführt werden, wenn die Form der Verarbeitung der Daten ein besonders großes Risiko für die Rechte der Betroffenen darstellt. Welchen Inhalt diese Abschätzung auf jeden Fall haben muss regelt Art. 35 Abs. 7 DSGVO.

Sollte es trotz all der Sicherheitsvorkehrungen zur Verletzung des Schutzes personenbezogener Daten kommen, so ist der Verein nach Art. 33 Abs. 1 DSGVO zu Meldung des Vorfalles verpflichtet. Die Meldung muss unverzüglich und binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde erfolgen. Der Mindestinhalt dieser Meldung bestimmt sich nach Art. 33 Abs. 3 DSGVO.

Fazit

Die DSGVO bringt also einige Neuerungen für Vereine im Umgang mit den Daten der Mitglieder. Die Anforderungen sollten stets genau beachtet und eingehalten werden, da im Rahmen der Verordnung auch die Bußgelder für den Fall eines Verstoßenes deutlich erhöht wurden.

Jeder Verein sollte sich deshalb vor Augen führen in welchen Bereichen personenbezogen Daten verarbeitet werden und welche Prozesse damit in Verbindung stehen. Daraufhin sollten die erforderlichen Maßnahmen getroffen und Aufgaben gegebenenfalls neu verteilt werden. Insbesondere ist dabei noch einmal an die Bestellung eines Datenschutzbeauftragten, die Überprüfung von Einwilligungserklärungen und das Anlegen eines Verfahrensverzeichnisses und die Sicherung der Rechte der betroffenen zu erinnern.

Zusätzlich sollte ein besonderes Augenmerk auch auf die Internetseite des Vereins gelegt werden. Denn die DSGVO verlangt auch dort umfangreiche Anpassungen, insbesondere im Rahmen der Datenschutzerklärung sowie der Einholung von Einwilligungen, z.B. für einen Newsletter.