Diesen Artikel als PDF beziehen?
Laden Sie kostenlos den Artikel herunter:
"Datenschutz für Vereine – Freifahrtschein oder regelpflichtig?"


* Pflichtfeld Anmelden

Bitte geben Sie Ihre E-Mail-Adresse ein.

Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Weitere Informationen finden Sie in unserer Datenschutzerklärung: forum-verlag.com/datenschutz Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtigen Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an service@forum-verlag.com.

Vielen Dank für Ihr Interesse !

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt.Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link.Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

Um Ihre Daten abzusenden, sollte mindestens ein Feld befüllt sein. Vielen Dank

Datenschutz für Vereine – Freifahrtschein oder regelpflichtig?

© MQ-Illustrations – stock.adobe.com

Datenschutz und IT

Datenschutz für Vereine – Freifahrtschein oder regelpflichtig?

25.01.23 09:00 | J. Morelli – Online-Redaktion, Forum Verlag Herkert GmbH
GmbH, AG, GbR, Stiftung oder Verein, die DSGVO unterscheidet nicht zwischen Rechtsformen, wenn es um Datenschutz geht. Denn sobald im Rahmen einer Rechtsform eine wirtschaftliche Tätigkeit ausgeübt wird, gilt Art. 4 Nr. 18 DSGVO. Im Falle eines Vereins heißt das, dass alle Mitglieder ein Recht auf den Schutz ihrer persönlichen Daten, ein Recht auf Auskunft und Löschung haben. Inwiefern das zutrifft, hängt aber vom Einzelfall ab. Wie ein solcher Fall aussehen könnte, wer für den Datenschutz verantwortlich ist und wann ein Verein hingegen nicht unter die DSGVO fällt, lesen Sie in unserem Fachartikel.

Inhaltsverzeichnis

  1. Was hat sich für Vereine mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG) geändert?
  2. Möglicher DSGVO-Sonderfall: Vereinssatzung als Rechtsgrundlage der Datenverarbeitung?
  3. Wer ist im Verein für den Datenschutz verantwortlich?
  4. Datenschutz-Checkliste nur für Vereine
  5. Fazit: Datenschutz für Vereine – lieber auf Nummer sicher gehen?

Was hat sich für Vereine mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG) geändert?

Greifen wir die eingangs erwähnte Frage nochmal auf und gehen ins Detail: Wann ist ein Verein DSGVO-pflichtig und wann nicht? Die Antwort ist: wenn er nicht wirtschaftlich tätig ist, greift die DSGVO nicht – was in der Grundannahme für alle gemeinnützigen Vereine gilt. Da eine Grundannahme aber kein Rechtsmittel darstellt, braucht jeder gemeinnützige Verein dennoch einen juristisch belastbaren Nachweis für sein nicht-wirtschaftliches Handeln. Und Vorsicht: Keine Gewinnerzielungsabsicht zu haben, bedeutet nicht zwangsläufig gemeinnützig zu sein.

Fällt ein Verein unter die DSGVO gelten demnach auch deren Grundsätze:

  • Rechtmäßigkeit
  • Transparenz
  • Zweckbindung
  • Datenminimierung/-sparsamkeit
  • Richtigkeit
  • Speicherbegrenzung (Löschung/Sperrung)
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht (Dokumentation)

Nun wurde 2019 mit dem Zweiten Gesetzt zur Anpassung und Umsetzung des Datenschutzrechts (2. DSAnpUG) die DSGVO novelliert. Darin wurde die Benennpflicht eines Datenschutzbeauftragten (DSB) auf die Schwelle von 20 Mitarbeitern gehoben. Das ist insofern problematisch, da dies für viele Vereine damit einhergeht, dass kein Datenschutzbeauftragter bestellt werden müsste und somit ein Verantwortlicher für den Datenschutz meist fehlt.

Möglicher DSGVO-Sonderfall: Vereinssatzung als Rechtsgrundlage der Datenverarbeitung?

Anders als bei allen übrigen Rechtsformen hat die DSGVO vermutlich doch eine Besonderheit hinsichtlich der Vereine, die gerade in aller Munde ist: Gilt generell für alle Unternehmen, die personenbezogene Daten weiterverarbeiten, das sog. Verbot mit Erlaubnisvorbehalt, übernimmt die Vereinssatzung im Falle des Vereins gegenüber seinen Vereinsmitgliedern diese Erlaubnisfunktion. Das heißt, dass Vereinsmittglieder bei Eintritt in den Verein der Satzung und damit der Verarbeitung ihrer persönlichen Daten zustimmen (gemäß Art. 6 Abs. 1 lit. b DSGVO). Das gilt aber nur, wenn die Datenverarbeitung ausschließlich den satzungsgemäßen Zweck des Vereins unterstützt. Das ist beispielsweise dann der Fall, wenn Listen mit Namen und Kontaktdaten der Mitglieder erstellt und gepflegt werden.

„(…) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (…)“ (Art. 6 Abs. 1 lit. b DSGVO)

Bei einer derartigen Auslegung der Litera bleibt jedoch unbeachtet, dass es gemäß § 58 Nr. 1 BGB Vereinen selbst überlassen ist, einen rechtskräftigen Vertrag mit ihren Mitgliedern zu schließen oder eben nicht. D. h. der Vereinsvorstand kann sich bei Nichtbestehen eines Vertrages im Zweifel nicht auf Art. 6 Abs. 1 lit b DSGVO berufen.

Wichtig: Es gibt auch für diesen Fall eine Ausnahme: das Bildmaterial. Denn hier ist die Grenze der Datenschutzkonformität schwimmend. Solange beispielsweise Fotographien nur für die Vereinszeitschrift oder –website angefertigt werden, reicht die satzungsgemäße Zustimmung der Mitglieder aus. Alles was darüber hinausgeht, bedarf aber einer separaten Zustimmung.

Wer ist im Verein für den Datenschutz verantwortlich?

Greift die DSGVO, stellt sich die Frage der Verantwortlichkeit, die häufig nicht einfach vereinsintern zu beantworten ist – insbesondere bei kleinen Verwaltungsstrukturen. Wer übernimmt nun die Verantwortung für den Datenschutz und wann braucht ein Verein einen Datenschutzbeauftragen?

Wie bereits angesprochen wird nicht zwischen einem Verein und einem Unternehmen unterschieden, wenn die DSGVO Gültigkeit besitzt. Dementsprechend gilt auch für Vereine, dass ab einer Anzahl von mindestens 20 Mitarbeitern oder Mitgliedern, die die vereinseigenen personenbezogenen Daten verarbeiten, ein Datenschutzbeauftragter bestellt werden muss (Art. 38 DSGVO). Dabei spielt keine Rolle, ob der Datenschutzbeauftragte interner oder externer Natur ist, er muss bei Arbeitsantritt der zuständigen Aufsichtsbehörde gemeldet werden.

→ Um dessen Arbeit zu erleichtern, erscheint 10 mal im Jahr der "Infodienst Datenschutz für Praktiker" mit aktuellen Entwicklungen der Rechtsprechung und Gesetzgebung sowie Tipps zur Umsetzung der Datenschutzvorschriften.

Jederzeit über die Neuigkeiten im Datenschutz informiert bleiben!

Infodienst Datenschutz für Praktiker

Infodienst Datenschutz für Praktiker
mehr erfahren

Datenschutz-Checkliste für Vereine

Der Gesetzgeber sieht grundsätzlich von genormten Checklisten ab. Dennoch haben diverse Portale und Vereinigungen, wie beispielsweise das Deutsche Ehrenamt, unterschiedliche Checklisten speziell für Vereine erarbeitet. Wir haben für Sie eine Schnittmenge bestehend aus den wichtigsten Punkten herausgearbeitet.

Dementsprechend sollten Vereine bezüglich ihres Datenschutzes auf Folgendes achten:

 ✓

Verarbeitung personenbezogener Mitgliederdaten explizit in die Vereinssatzung mitaufnehmen

Verarbeitungsverzeichnis anlegen (Wer ist für welchen Vorgang zuständig und wo liegen die entsprechenden Daten)

 ✓

Eigene Richtlinie zur Speicherung und Löschung der Daten durch den Vorstand beschließen

 ✓

Datensicherheit beachten (falls möglich nicht mit privaten Endgeräten arbeiten und wenn, dann mit zusätzlich gesicherten externen Datenträgern)

 ✓

Auch bei weniger als 20 Mitarbeitern/ehrenamtlich Tätigen einen internen Datenschutzzuständigen berufen

 ✓

Informationspflicht nachkommen (am besten im Zuge der Mitteilung der Vereinssatzung auch die Informationen zur Datenverarbeitung beilegen)

 ✓

Wird im Verein mit personenbezogenen Daten gearbeitet, müssen sich alle Verantwortlichen, egal ob die Benenngrenze erreicht wurde oder nicht, an die Datenschutzgrundverordnung halten.

 ✓

Besondere Richtlinien und Vorschriften bei der Auftragsdatenverarbeitung durch Drittanbieter beachten

 ✓

Bei Datenpannen gilt die Benachrichtigungspflicht (innerhalb von 3 Tagen muss sowohl die betroffene Person als auch die Aufsichtsbehörde informiert werden)

Fazit: Datenschutz bei Vereinen – lieber auf Nummer sicher gehen?

Zusammenfassend lassen sich zwei Dinge sagen: 1. Ja, es stimmt, dass die Anhebung der Benennschwelle weit weniger Vereine in die Pflicht nimmt, effektiv und nachhaltig für den Datenschutz der eigenen und der Mitgliederdaten zu sorgen. Aber 2. sind die Vereine dadurch nicht gleich davon entbunden für eine sichere Datenerhebung, -weiterverarbeitung, -speicherung und –löschung zu sorgen. Denn bei Datenpannen oder Datenschutzverletzungen drohen nichtsdestotrotz teils hohe Strafen.

Da sich in der Praxis zeigt, dass ein umfassendes Datenschutzkonzept für einen Verein nicht so einfach gestaltet, wie es auf den ersten Blick in unterschiedliche einschlägige Foren den Anschein hat, ist es sicherlich unabhängig von dessen Größe entscheidend von Anfang einen beratenden Datenschutzexperten mit ins Boot zu holen. 

Quellen: www.dsgvo-gesetz.de, www.bgbl.de, www.gesetze-im-internet.de 

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Das könnte Sie auch interessieren

Kommentar schreiben

Die mit einem * markierten Felder sind Pflichtfelder.