Das Vereinswesen zählt zu den Branchen, die nicht erst seit Geltung der DSGVO hohen Nachholbedarf im Datenschutz und in der Digitalisierung aufweisen. Das hat vielfältige Gründe. Zum einen sind besonders gemeinnützige Vereine in den vergangenen Jahren in finanzielle Schieflagen geraten. Zum anderen hat sich die Situation in Krisenzeiten verschlechtert und Fördermittel im Bereich der Digitalisierung sind Mangelware. Besonders Vereine weisen häufig sensible Verarbeitungsvorgänge auf und die Einhaltung des Datenschutzes ist eine der originären Pflichten der Vereinsführung. Wir wollen in diesem Beitrag einen näheren Blick auf den Datenschutz im Verein werfen und eine Möglichkeit aufzeigen, wie man ihn am besten umsetzen kann.
Für die Datenverarbeitung durch Vereine ist besonders die Vereinsmitgliedschaft von Bedeutung, die eine vertragliche Grundlage zur Datenverarbeitung darstellt (Art. 6 Abs. 1 lit. b DSGVO). Auf der Basis können Daten verarbeitet werden, die unmittelbar den Vereinszielen dienen und sich aus der Vereinssatzung ergeben. Hauptgegenstand der Vereinssatzung ist im Regelfall nicht der Datenschutz, so dass sich für Vereine eine gesonderte Datenschutzordnung anbietet, auf die sich die Satzung bezieht. Das hat den Vorteil, dass Satzungsänderungen bei Änderungen im Datenschutz nicht erforderlich werden und ein klarer Leitfaden vorliegt, wie der Datenschutz praktisch umgesetzt wird. Es geht somit um die Verarbeitungstätigkeiten und Verfahrensweisen, die zur Durchführung der Mitgliedschaft erforderlich und durch Vereinsziele gedeckt sind.
Die Datenschutzordnung weist hohe Schnittmengen mit dem Verzeichnis der Verarbeitungstätigkeiten auf, die den originären Vereinsziele dienen. Gegenstand ist somit regelmäßig die Verarbeitung von Stamm- und Kontaktdaten der Mitglieder (z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten) sowie die Daten zur Mitgliederverwaltung, insbesondere der Beitragsverwaltung. Gesondert ausgewiesen werden auch Abläufe über die Vereinsprotokolle und den Ort deren Veröffentlichung, wie auch die Mitgliederlisten und die Einsichtnahme der Vereinsversammlungen (z. B. Abstimmungsfähigkeit). Besonders für Sportvereine ist die Verarbeitung im Zusammenhang der Teilnahme an Wettbewerben wichtig (z. B. Teilnehmerlisten, Ranglisten und Aufstellungen), wozu auch die Veröffentlichung von Ergebnissen gehört. Verfahrensweisen für Einladungen und Informationen in Bezug auf die Vereinstätigkeit sind zu regeln (z. B. Einladungen zu Mitgliederversammlungen). Bei den technischen und organisatorischen Maßnahmen kommt es darüber hinaus auf die Berechtigungen an, beispielsweise welche Funktionsträger und/oder Abteilungen Zugriff auf welche Mitgliedsdaten erhalten (Zuständigkeiten). Aus der Zuständigkeit werden zudem Regelungen abgeleitet, was die Weitergabe von Daten an die Mitglieder durch Funktionsträger und umgekehrt betrifft, wie auch die Erreichbarkeit und Zuständigkeit der Funktionsträger (z. B. Kontaktdaten auf der Webseite).
Die Vereinsziele erfordern in der Regel entsprechende Übermittlungen von Mitgliederdaten bei denen vorab festgelegt wird, welche Übermittlungen erforderlich sind. Hierbei sind regelmäßig Informationen über Vereinsmitglieder an andere Mitglieder und Dritte zu berücksichtigen (z. B. bei Wettbewerben/Teilnehmerlisten, Ehemaligen-Verein). Dritter kann auch ein vorhandener Dachverband oder ein Versicherungsträger sein, dem zugunsten des Vereins oder Mitglieds Daten übermittelt werden. Diese Anforderungen können nach Vereinszweck und Branche sehr unterschiedlich ausfallen. Nicht zuletzt sind die Speicherdauer und Datenkategorien festzulegen sowie über die Rechte der Betroffenen zu informieren.
Gegenstand der Datenschutzordnung sind regelmäßig etwa auch Jahrbücher, die Presse- und Öffentlichkeitsarbeit sowie die Verarbeitung zu Zwecken von Jubiläen und Ehrungen.
Die Datenschutzordnung bezieht sich somit auf die satzungsmäßigen Kerntätigkeiten des Vereins. Es sind zudem gesonderte Rechtsgrundlagen und Risikobereiche zu berücksichtigen. Eine Einwilligung ist etwa für die Verarbeitung zu Zwecken von Rabattaktionen und Kooperationen (z. B. Fitnessstudios, Versicherungen), die Weitergabe von Stamm- und Kontaktdaten zu Werbezwecken oder sonstige, eigene Zwecke Dritter einzuholen. Hierbei sind die Bedingungen einer Einwilligung nach der Datenschutz-Grundverordnung einzuhalten (Art. 6 Abs. 1 lit. a und Art. 7 DSGVO).
Besondere Rechtsunsicherheiten treten meist im Rahmen der Aufnahme und Veröffentlichung von Fotos sowie der Vereins-Webseite/den Präsenzen in sozialen Medien auf. Besondere Risiken für die Rechte und Freiheiten Betroffener bestehen zudem bei der Abfrage und Einsichtnahme von Führungszeugnissen und der Beaufsichtigung von Schutzbefohlenen. Auch die Verarbeitung von sensiblen Gesundheits- oder Fitnessdaten, wie auch Daten im Bereich inklusiver und integrativer Vereinszwecke, können mit hohen Risiken der Verarbeitung verbunden sein und unabhängig von der Personenzahl zur Benennungspflicht eines Datenschutzbeauftragten führen.
Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.
Externer Datenschutz-beauftragter
ab 150 EUR im Monat
inklusive DSMS und Webseiten-Audit
Stets aktuelle News in unserem Datenschutz Experten-Blog.
