Daten­schutz im Verein

Ein Ver­ein muss den Daten­schutz beach­ten, wenn er per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Mit­glie­der- und Beschäf­tig­ten­da­ten fal­len daher unter die­sen Schutz. Die Nut­zung die­ser Infor­ma­tio­nen ist in der Regel zur Erfül­lung der Ver­eins­zie­le zulässig.

Per­so­nen­be­zo­ge­ne Daten dür­fen nur dann ver­ar­bei­tet, d. h. auch gespei­chert wer­den, wenn es eine gesetz­li­che Grund­la­ge gibt, die aus der Daten­schutz-Gesetz­ge­bung (z. B. DSGVO). Dies kann eine Ein­wil­li­gung, ein Ver­trag, ein Gesetz oder ein berech­tig­tes Inter­es­se des Ver­ei­nes sein.

Typi­scher­wei­se besteht eine Bestell­pflicht für Ver­ei­ne, bei denen mehr als 20 Beschäf­tig­te mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten betraut wer­den. Das trifft nicht für alle Ver­ei­ne zu.

Eine Bestell­pflicht kann sich jedoch auch bei einer gerin­gen Anzahl von Beschäf­tig­ten erge­ben – wenn Sie beson­ders sen­si­ble Daten, wie z. B. Gesund­heits­da­ten verarbeiten. 

Infor­mie­ren Sie sich, wenn Sie nicht sicher sind, was man dar­un­ter ver­steht. Dies könn­te sein, wenn Sie Tätig­kei­ten aus­üben, die eine Daten­schutz-Fol­ge­ab­schät­zung not­wen­dig machen oder wenn Sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung vornehmen.

Die Auf­ga­ben des Daten­schutz­be­auf­trag­ten sind in der DSGVO fest­ge­legt. Neben der Unter­rich­tung und Bera­tung des Ver­eins muss er die Ein­hal­tung der rele­van­ten Daten­schutz­ge­set­ze überwachen.

Er berät auch bei  Daten­schutz-Fol­gen­ab­schät­zun­gen und kom­mu­ni­ziert mit den betrof­fe­nen  Per­so­nen und den Aufsichtsbehörden,

Die Arbeit des Daten­schutz­be­auf­trag­ten ist so abwechs­lungs­reich, wie komplex.

In die­sem sich noch ste­tig ver­än­der­ten Rechts­ge­biet emp­fiehlt es sich, einen erfah­re­nen Daten­schutz­be­auf­trag­ten zu bestel­len, um die Umset­zung zügig und fach­ge­recht umzusetzen.

Mit mei­ner lang­jäh­ri­gen Erfah­rung brin­ge ich auch Ihren Ver­ein pra­xis­nah und wirt­schaft­lich in die­sen The­men vor­an. Mein typi­scher Auf­ga­ben­be­reich umfasst unter ande­rem fol­gen­de Bereiche:

• - Durch­füh­rung einer Bestands­auf­nah­me – Erstel­lung eines prio­ri­sier­ten Akti­ons­pla­nes für wei­te­re Aktivitäten
• - Prü­fung und ggf. Aktua­li­sie­rung Ihrer bis­her erar­bei­te­ten Unterlagen
• - Bera­tung in sämt­li­chen daten­schutz­re­le­van­ten Themengebieten
• - Unter­stüt­zung bei der Erstel­lung Ihrer Doku­men­ta­ti­on, wie z. B. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, Infor­ma­ti­ons­pflich­ten oder die Betroffenenanfragen
• - Erfül­lung der Rol­le des Daten­schutz­be­auf­trag­ten für ihren Golf­ver­ein gem. Art. 39 DSGVO
• - Prü­fung und Doku­men­ta­ti­on Ihrer Auf­trags­ver­ar­bei­ter gem. Art. 28 DSGVO
• - Prü­fung Ihrer Online-Auf­trit­te auf Geset­zes­kon­for­mi­tät und Erstel­lung der Infor­ma­ti­ons­pflich­ten und Datenschutzhinweise
• - Erstel­lung von Richt­li­ni­en und Anwei­sun­gen zur Infor­ma­ti­ons­si­cher­heit und zum Datenschutz

Wenn Sie Dienst­leis­ter beauf­tra­gen und die­se per­so­nen­be­zo­ge­nen Daten im Kern ver­ar­bei­ten, dann müs­sen Sie diver­se Punk­te beachten.

Neben dem Abschluss einer Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung  müs­sen Sie den Auf­trags­ver­ar­bei­ter auf Eig­nung vor­ab und dann regel­mä­ßig prü­fen. Dies müs­sen Sie gegen­über den Auf­sichts­be­hör­den auch nach­wei­sen kön­nen. Die­ses The­ma ist recht umfang­reich, wird aber ger­ne auch bei Ver­ei­nen vernachlässigt. 

Ver­ei­ne müs­sen nach­wei­sen kön­nen, dass ihre Daten­ver­ar­bei­tun­gen daten­schutz­kon­form sind (die sog. „Rechen­schafts­pflicht“). Die Doku­men­ta­ti­ons­pflicht soll dies sicher­stel­len und das bedeu­tet, dass eine Doku­men­ta­ti­on aller Ver­ar­bei­tungs­tä­tig­kei­ten erfol­gen muss. Der Vor­stand soll­te min­des­tens fol­gen­de Pflich­ten umset­zen und nach­wei­sen können:

• - Inven­tur der Verarbeitungstätigkeiten
• - Erfül­lung von Betrof­fe­nen­rech­te, wie z. B. Rech­te auf Aus­kunft, Berich­ti­gung und Löschung
• - Trans­pa­ren­te Dar­stel­lung der Daten­ver­ar­bei­tun­gen (Infor­ma­ti­ons­pflich­ten) gegen­über den betrof­fe­nen Per­so­nen (z. B. Inter­es­sen­ten, Mit­glie­dern oder  Geschäftspartner)
• - Doku­men­ta­ti­on der tech­ni­sche und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs)
• - Ver­trags­ma­nage­ment mit Auf­trags­ver­ar­bei­tungs­ver­ar­bei­tern einschl. der vor­he­ri­gen und regel­mä­ßi­gen Eignungsprüfung
• - Pro­zes­se zur Hand­ha­bung von Daten­schutz­ver­let­zun­gen („Daten­pan­ne”)
• - Ein­hal­tung der Daten­schutz­grund­sät­ze, d. h. Trans­pa­renz, Zweck­bin­dung, Daten­mi­ni­mie­rung, Rich­tig­keit, Spei­cher­be­gren­zung, Ver­trau­lich­keit und Nach­weis­pflicht pro Verarbeitungstätigkeit
• - Ver­pflich­tung auf Ver­trau­lich­keit und Schu­lung der Beschäf­tig­ten (auch Ehrenamtlichen) 

Wei­te­re typi­sche Daten­ver­ar­bei­tun­gen müs­sen eben­falls beach­tet wer­den, wie z. B. 

• - Nut­zung von Mit­glie­der­da­ten für die Ver­wal­tung einschl. der Beiträge
• - Erstel­lung und Ver­tei­lung von Vereinsprotokollen
• - Erstel­lung von Mit­glie­der­lis­ten und ‑ein­sicht­nah­men im Zusam­men­hang mit Versammlungen
• - Pla­nung, Durch­füh­rung und Nach­be­rei­tung von Wett­be­wer­ben im Ver­ein (Anmel­dun­gen, Teil­neh­mer­lis­ten, Ver­öf­fent­li­chung von Rang­lis­ten, Ergeb­nis­sen und Aufstellungen)
• - Ver­ar­bei­tung / Ver­öf­fent­li­chung von Daten der Funktionsträger 
• - Nut­zung von Daten Dritter
• - Nut­zung der Daten des Ver­eins für Spen­den­auf­ru­fe und Werbung
• - Daten­über­mitt­lung an Vereinsmitglieder
• - Bekannt­ga­be zur Wahr­neh­mung sat­zungs­mä­ßi­ger Mitgliederrechte
• - Mit­tei­lun­gen in Aus­hän­gen und Vereinspublikationen
• - Daten­über­mitt­lung an Dach­ver­bän­de und ande­re Vereine
• - Daten­über­mitt­lung an Spon­so­ren und Fir­men zu Wer­be­zwe­cken, u. a. auch an Versicherungen
• - Ver­öf­fent­li­chun­gen im Inter­net und im geschütz­ten Ver­eins­be­reich, z. B. zur Berichterstattung
• - Ertei­lung von Aus­künf­ten per­so­nen­be­zo­ge­ner Daten an die Pres­se und sons­ti­ge Massenmedien
• - Über­mitt­lung von Daten für Zwe­cke der Wahlwerbung
• - Über­mitt­lung von Mit­glie­der­da­ten an die Gemeindeverwaltung
• - Daten­über­mitt­lung an den Arbeit­ge­ber eines Mit­glieds und an die Versicherung
• - Ver­eins­do­ku­men­ta­tio­nen (z. B. Jahrbücher)
• - Ver­ar­bei­tung von Daten mit ggf. Ver­öf­fent­li­chung von Jubi­lä­en, Gra­tu­la­tio­nen und Ehrungen