Überspringen zu Hauptinhalt

Datenschutz für Vereine – Hat mein Verein Handlungsbedarf?

Linda Koch

Das viel verteufelte Thema DSGVO hat in Deutschland, wenn nicht sogar Europa, für mehr Verunsicherung als Vertrauen gesorgt. Was viele hierbei nicht wissen ist, dass das Thema ein wirklicher Segen für uns sein kann, wenn man es richtig anpackt.

Lassen Sie mich daher gern die wichtigsten Punkte rund um das Thema „Datenschutz im Verein“ erläutern, mit Vorurteilen aufräumen und Euch zeigen, dass das Thema euch und Eurem Verein durchaus helfen kann.

Worum geht es in der Datenschutzgrundverordnung?

Seit dem 25. Mai 2018 gibt es in der gesamten Europäischen Union die einheitlich geltende Datenschutzgrundverordnung, kurz DSGVO. Diese Verordnung löst das bisher geltende Bundesdatenschutzgesetz ab und brachte eine Vereinheitlichung und Verbesserung der EU-weiten, sehr unterschiedlichen Datenschutzgesetze. Zu vor bestand ein tatsächliches Chaos, was es vielen Vereinen und Verbänden quasi unmöglich machte, sich mit Partnervereinen auszutauschen oder gar Daten gemeinsam zu pflegen.

Der große Unterschied zwischen der DSGVO und seinem Vorgänger liegt hauptsächlich im Vokabular. Vorher hat man die Auftragsdatenverarbeitung beispielsweise Auftragsverarbeitung genannt.

Wieso betrifft meinen Verein der Datenschutz überhaupt?

Die DSGVO ist immer dann relevant, wenn personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Personenbezogene Daten sind solche, anhand welcher man eine bestimmte Person identifizieren kann. Dies ist bei einem Namen, einer Kundennummer, Adressen aber auch Kontodaten. Nicht greifen tut die DSGVO, sobald eine Identifizierung einer bestimmten Person nicht mehr möglich ist.

Arbeitet Ihr Verein mit personenbezogenen Daten, fällt von der Erhebung bis hin zum Löschen dieser, die Arbeit unter das Gesetz der DSGVO. Wichtig ist hierbei auch, dass Ihr die Daten nur verarbeiten dürft, wenn eine rechtliche Grundlage dafür besteht.

Wenig überraschend ist hierbei auch, dass in den allermeisten Vereinen mit den Gesetzen der DSGVO in Berührung kommen.

Wer ist in meinem Verein verantwortlich für die Umsetzung der DSGVO?

Im Verein ist grundsätzlich der Vorstand verantwortlich für die Einhaltung der DSGVO und somit auch für die Einführung der datenschutzrechtlichen Maßnahmen. Gibt es in Eurem Verein einen Datenschutzbeauftragten, kann intern, als auch extern sein, ist dieser für die Umsetzung und Überwachung verantwortlich. 

Was wenn ich in meinem Verein noch nichts für die DSGVO umgesetzt habe?

Keine Angst, Ihr seid bei weitem nicht die Letzten. Dennoch solltet ihr das Thema sehr ernst nehmen, denn der Welpenschutz beim Thema DSGVO ist verflogen, sodass Strafen mittlerweile schneller und härter werden umgesetzt.

Wenn Ihr die DSGVO noch nicht komplett umgesetzt habt empfiehlt es sich die außenwirksamen Bereiche zuerst anzugehen und dann die interner abzusichern.

Geht in diesem Fall am besten wie folgt vor:

  • Datenschutzrechtliche Informationspflichten auf der Internetseite anpassen (siehe unten)
  • Datenschutzrechtliche Einwilligungserklärungen überarbeiten (siehe unten). Das heißt, wenn Sie neue Daten aufnehmen, muss Ihr Mitglied aktiv dieser Erhebung zustimmen
  • Einen Datenschutzbeauftragten bestellen, wenn bei der Verarbeitung personenbezogener Daten mehr als 20 Personen beteiligt sind. Den Datenschutzbeauftragten können Sie intern benennen oder einen externen Berater hinzuholen. In beiden Fällen müssen Sie dem Datenschutzbeauftragten der Landesdatenschutzbehörde melden

Des Weiteren solltet Ihr die übrigen Maßnahmen durchführen:

  • Ein Verzeichnis über die Verarbeitungstätigkeiten einführen/erneuern
  • Informationspflichten erfüllen (siehe unten) gegenüber den Mitgliedern, Mitarbeitern und allen Teilnehmern, deren Daten ich verarbeite
  • Auftragsverarbeitungsverträge abschließen/erneuern
  • Und ganz wichtig: Stellt unbedingt einen groben Notfallplan auf, wie mit Datenschutzverstößen umgegangen wird.

Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Das Verzeichnis der Verarbeitungstätigkeiten gibt Euch und den Mitgliedern Transparenz über die Verarbeitung personenbezogener Daten. Außerdem dient Euch das Verzeichnis auch als rechtliche Absicherung.

In dem Verzeichnis der Verarbeitungstätigkeiten werden alle Verarbeitungsvorgänge erfasst, in welchen Ihr personenbezogene Daten verarbeitet. In Vereinen ist dies meist die Mitgliederverwaltung oder Buchhaltung.

Zu jedem dieser Prozesse solltet Ihr folgendes erläutern können:

  • Für welchen Zweck werden die Daten verarbeitet?
  • Welche Daten werden verarbeitet?
  • Auf welcher rechtlichen Grundlage werden die Daten verarbeitet
  • Ggf. an wen werden die Daten übermittelt?
  • Welche Maßnahmen werden für den Schutz der Daten getroffen?

Keine Angst, falls Ihr Euch jetzt fragt, wie so ein Verzeichnis auszusehen hat, findet Ihr diese unter unseren Downloads.

Was sind die datenschutzrechtlichen Informationspflichten, die oben genannt wurden?

Für die maximale Transparenz bei Betroffenen, wie Mitgliedern, Dienstleistern, Mitarbeitern oder Nutzern, gibt es umfassende Informationspflichten für Vereine. Diese sind vor Allem für die Internetseite Eures Vereines und die Werbung/Aufnahme neuer Mitglieder erforderlich.

Die datenschutzrechtlichen Informationspflichten verpflichtet Euch als Verein, die Mitglieder umfassend darüber zu informieren, wenn Ihr deren personenbezogene Daten wie etwa Namen oder Mail-Adressen verarbeitet.

Muss ich mich als Verein um die Sicherheit der Daten kümmern?

Ja das müsst Ihr definitiv. Ihr seid verpflichtet für einen angemessenen Schutz der Daten zu sorgen. Das heißt der Schutz vor unbefugten Zugriffen auf die Daten, ein immer aktueller Virenschutz, regelmäßige Sicherheitsupdates von Betriebssystemen und elektronischen Datenverarbeitungssystemen (EDV).

Wenn Ihr Verträge mit dritten eingeht wie beispielsweise ein Programm zum Newsletter-Versand, solltet Ihr zudem immer einen Auftragsverarbeitungsvertrag abschließen, um sicherzugehen, dass die Daten auch wirklich nur für den vorgesehenen Zweck genutzt werden. Kommt es dann zu Verstößen bei Euren Dienstleistern und dieser hat sich nicht an die DSGVO gehalten oder an Euren Auftragsverarbeitungsvertrag, so seid ihr abgesichert und aus der Haftung.

Was muss ich als Vereinsverantwortlicher jetzt machen?

Der Aufwand ist überschaubar, wenn Ihr bereits gut aufgestellt wart. Kleine Anpassungen solltet ihr bei den Informationspflichten unternehmen. Des Weiteren solltet Ihr das Verzeichnis über die Verarbeitungstätigkeiten anpassen und die Verträge über die Auftragsverarbeitung prüfen. Macht Euch bitte genauso mit den Dokumentations- und Nachweispflichten der DSGVO vertraut, um im schlimmsten Fall eine ordnungsgemäße Datenverarbeitung nachweisen zu können. Die Anleitungen dazu findet Ihr ja bereits in diesem Artikel.

Wie sieht die DSGVO bei Loxonet aus?

Datenschutz hat bei uns natürlich oberste Priorität und wir können stolz unser Konzept mit Ihnen teilen. Schauen Sie doch gerne einmal in unserem Beitrag zum Thema Datenschutz vorbei und lernen Sie unseren Sicherheitsstandards kennen.

Linda Koch

Linda Koch

Werden Sie Teil einer starken und schnell wachsenden Community

Erhalten Sie spannenden, relevanten Content und wertvolle Tipps, wie Sie Ihre Organisation auf ein neues Level bringen.

imageimageimageimageimageimage

Beliebteste Beiträge

Entdecken Sie Ihre digitale Zukunft

Testen Sie jetzt 30 Tage kostenlos. Ohne Angaben von Zahlungsmitteln. Ohne automatische Verlängerung.

Probieren Sie es kostenlos aus
imageimageimageimageimageimage