Der Experten-Blog im Datenschutz

Datenschutz im Verein, wie am besten umsetzen?

Datenschutz im Verein, wie am besten umsetzen?

Das Vereinswesen zählt zu den Branchen, die nicht erst seit Geltung der DSGVO hohen Nachholbedarf im Datenschutz und in der Digitalisierung aufweisen. Das hat vielfältige Gründe. Zum einen sind besonders gemeinnützige Vereine in den vergangenen Jahren in finanzielle Schieflagen geraten. Zum anderen hat sich die Situation in Krisenzeiten verschlechtert und Fördermittel im Bereich der Digitalisierung sind Mangelware. Besonders Vereine haben jedoch häufig sensible Verarbeitungsvorgänge und die Einhaltung des Datenschutzes ist eine der originären Pflichten der Geschäfts- und Vereinsführung. Wir wollen in diesem Beitrag einen näheren Blick auf den Datenschutz im Verein werfen und eine Möglichkeit zeigen, wie man ihn am besten umsetzen kann.

Welche Besonderheiten für Vereine gelten

Für die Datenverarbeitung durch Vereine ist besonders die Vereinsmitgliedschaft von Bedeutung, die eine vertragliche Grundlage zur Datenverarbeitung darstellt (Art. 6 Abs. 1 lit. b DSGVO). Auf der Basis können Daten verarbeitet werden, die unmittelbar den Vereinszielen dienen und sich aus der Vereinssatzung ergeben. Hauptgegenstand der Vereinssatzung ist im Regelfall jedoch nicht der Datenschutz, so dass sich für Vereine eine gesonderte Datenschutzordnung anbietet, auf die sich die Satzung bezieht. Das hat den Vorteil, dass Satzungsänderungen bei Änderungen im Datenschutz nicht erforderlich werden und ein klarer Leitfaden vorliegt, den Datenschutz praktisch umzusetzen. Es geht somit um Verarbeitungstätigkeiten und Verfahrensweisen, die zur Durchführung der Mitgliedschaft erforderlich und durch Vereinsziele gedeckt sind.

Inhalt einer Datenschutzordnung 

Die Datenschutzordnung entspricht inhaltlich in weiten Teilen dem Verzeichnis der Verarbeitungstätigkeiten für die jeweiligen Vereinsziele. Gegenstand ist somit regelmäßig die Verarbeitung von Stamm- und Kontaktdaten des Mitglieds (z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten) sowie die Daten zur Mitgliederverwaltung, insbesondere der Beitragsverwaltung. Gesondert ausgewiesen werden auch Abläufe über die Vereinsprotokolle und den Ort deren Veröffentlichung, wie auch die Mitgliederlisten und die Einsichtnahme der Vereinsversammlungen (z. B. Abstimmungsfähigkeit). Besonders für Sportvereine ist die Verarbeitung im Zusammenhang der Teilnahme an Wettbewerben wichtig (z. B. Teilnehmerlisten, Ranglisten und Aufstellungen), wozu auch die Veröffentlichung von Ergebnissen gehört. Verfahrensweisen für Einladungen und Informationen in Bezug auf die Vereinstätigkeit sind zu regeln (z. B. Einladungen zu Mitgliederversammlungen). Bei den technischen und organisatorischen Maßnahmen kommt es darüber hinaus auf die Berechtigungen an, beispielsweise welche Funktionsträger und/oder Abteilungen Zugriff auf welche Mitgliedsdaten erhalten (Zuständigkeiten). Aus der Zuständigkeit werden zudem Regelungen abgeleitet, was die Weitergabe von Daten an die Mitglieder durch Funktionsträger und umgekehrt betrifft, wie auch die Erreichbarkeit und Zuständigkeit der Funktionsträger (z. B. Kontaktdaten auf der Webseite).

Datenübermittlung und Verbandstätigkeit

Die Vereinsziele erfordern in der Regel entsprechende Übermittlungen von Mitgliederdaten, bei denen vorab festgelegt wird welche Übermittlungen erforderlich sind. Hierbei sind regelmäßig Informationen über Vereinsmitglieder an andere Mitglieder und Dritte zu berücksichtigen (z. B. bei Wettbewerben/Teilnehmerlisten, Ehemaligen-Verein). Dritter kann auch ein vorhandener Dachverband oder ein Versicherungsträger sein, dem zugunsten des Vereins oder Mitglieds Daten übermittelt werden. Diese Anforderungen können nach Vereinszweck und Branche sehr unterschiedlich ausfallen. Nicht zuletzt sind die Speicherdauer und Datenkategorien festzulegen sowie über die Rechte Betroffener zu informieren.

Gegenstand der Datenschutzordnung sind regelmäßig etwa auch Jahrbücher, die Presse- und Öffentlichkeitsarbeit sowie die Verarbeitung zu Zwecken von Jubiläen und Ehrungen.

 

Besondere Risikobereiche

Die Datenschutzordnung bezieht sich somit auf die satzungsmäßigen Kerntätigkeiten des Vereins. Es sind zudem gesonderte Rechtsgrundlagen und Risikobereiche zu berücksichtigen. Eine Einwilligung ist etwa für die Verarbeitung zu Zwecken von Rabattaktionen und Kooperationen (z. B. Fitnessstudios, Versicherungen), die Weitergabe von Stamm- und Kontaktdaten zu Werbezwecken oder sonstige, eigene Zwecke Dritter einzuholen. Hierbei sind die Bedingungen einer Einwilligung nach der Datenschutz-Grundverordnung zu berücksichtigen (Art. 6 Abs. 1 lit. a und Art. 7 DSGVO).

Besondere Rechtsunsicherheiten treten meist im Rahmen der Aufnahme und Veröffentlichung von Fotos sowie der Vereins-Webseite/Präsenzen in sozialen Medien auf. Besondere Risiken für die Rechte und Freiheiten Betroffener bestehen zudem bei der Abfrage und Einsichtnahme von Führungszeugnissen und der Beaufsichtigung von Schutzbefohlenen. Auch die Verarbeitung von sensiblen Gesundheits- oder Fitnessdaten, wie auch Daten im Bereich inklusiver und integrativer Vereinszwecke, können mit hohen Risiken der Verarbeitung verbunden sein und unabhängig von der Personenzahl zu einer Benennungspflicht eines Datenschutzbeauftragten führen.


Mit Rocketlegal.de im Datenschutz durchstarten

Wer schreibt hier?

Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.

Externer Datenschutz-beauftragter

ab 150 EUR im Monat

inklusive DSMS und Webseiten-Audit

Externer Datenschutz

Stets aktuelle News in unserem Datenschutz Experten-Blog.

Rocketlegal | Datenschutz-Blogim Blogverzeichnis Bloggerei.de
Blogtotal
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste
Blogverzeichnis von Trusted Blogs
RSS-Feed für Abonnenten und Verzeichnisse

© 2022 Rocketlegal.de ImpressumDatenschutzerklärungAGNB

Im