DS-GVO für Vereine auf den Punkt gebracht

Was jetzt zwingend zu tun ist!

von

Malte Jörg Uffeln

Rechtsanwalt (Zulassung ruht nach § 47 BRAO), Mag.rer.publ., Mediator(DAA), MentalTrainer, Lehrbeauftragter

Ringstraße 26, 36396 Steinau an der Straße

www.maltejoerguffeln.de

 

 

Die Datenschutz-Grundverordnung (DS-GVO) der EU gilt ab dem 25.5.2018.

Informationen zur DS-GVO gibt es in Hülle und Fülle gedruckt und im World Wide Web.

Datenschutzaufsicht gegenüber gemeinnützigen Vereinen ist „noch“ Missbrauchsaufsicht, was bedeutet, dass die zuständigen Datenschutzbehörden im Falle von möglichen Verstößen gegen Bestimmungen des Datenschutzrechts selbige prüfen und dann ggf. tätig werden und Abhilfe verlangen bzw. die notwendigen Maßnahmen zur Gewährleistung der Datensicherheit anordnen. In den nächsten Jahren wird es aber hier Veränderungen geben. Die Datenaufsicht wird sich wa ndeln vom situativen Eingreifen zur systematischen Kontrolle.

Grundsätzlich haben Vereine die Bestimmungen der DS-GVO und des weiter geltenden Bundesdatenschutzgesetzes (BDSG) zu beachten und auf ihre Einhaltung zu drängen.

Sechs zentrale Punkte haben sich seit 1.1.2018 herauskristallisiert, die zwingend geklärt bzw. beachtet werden müssen. Dieser Aufsatz soll Vereinen eine Hilfe bei der Umsetzung der DS-GVO in der Vereinspraxis sein.

 

Punkt 1: Verantwortlichkeiten im Vorstand definieren und klären!

In der Aufbau- und Ablauforganisation eines Vereins ist zu klären, wer im Vorstand für den Aufgabenbereich Datenschutz und Datensicherheit verantwortlich ist.

 

Dies kann erfolgen durch

  • Aufgabenzuweisungsbeschluss des Vorstandes,
  • im Rahmen eines Geschäfts- und Aufgabenverteilungsplans oder
  • in einer Geschäftsordnung

 

Das für den Datenschutz und Datensicherheit verantwortliche Vorstandsmitglied sollte dann auch für die Überwachung der Aufgabenerledigung des Webmasters des Vereins sowie – im Falle der nicht notwendigen Bestellung eines Datenschutzbeauftragten - die Einhaltung aller datenschutzrechtlichen Bestimmungen verantwortlich sein.

 

Erfolgt indes keine Aufgabenzuweisung, dann ist der Vorstand nach § 26 BGB stets für die Einhaltung des Datenschutzes und die Gewährleistung der Datensicherheit im Verein verantwortlich.

 

Der Vorstand muss also für eine Eigenkontrolle Sorge tragen.

 

 

Punkt 2: Einwilligungserklärung prüfen und evtl. neu fassen!

Jeder Verein sollte seine Beitrittserklärungen (Beitrittserklärungsformulare) prüfen vor dem Hintergrund des Art. 6 DS-GVO (Rechtmäßigkeit der Datenverarbeitung) und sodann „ neu“ fassen.

 

Muster Einwilligungserklärung

Ich bin damit einverstanden, dass meine Daten von dem Verein zu folgenden Zwecken erhoben, verarbeitet und genutzt sowie an (…) weitergegeben bzw. übermittelt und dort ebenfalls zu den folgenden Zwecken verarbeitet und genutzt werden:

(...Zwecke...inklusive der Angabe wie lange die Daten aufgehoben werden)

 

Ich bin darauf hingewiesen worden, dass die im Rahmen der vorstehend genannten Zwecke erhobenen persönlichen Daten meiner Person unter Beachtung der DS-GVO vom 25.5.2018 (Datenschutz-Grundverordnung der Europäischen Union) erhoben, verarbeitet, genutzt und übermittelt werden.

 

Ich bin zudem darauf hingewiesen worden, dass die Erhebung, Verarbeitung und Nutzung meiner Daten auf freiwilliger Basis erfolgt. Ferner, dass ich mein Einverständnis ohne für mich nachteilige Folgen/ mit der Folge, dass (…), verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen kann. Meine Widerrufserklärung werde ich richte ich an den Verein unter folgender Adresse:

 

Im Fall des Widerrufs werden mit dem Zugang meiner Widerrufserklärung meine Daten sowohl von dem Verein als auch bei (…) gelöscht.

 

 

Auf einem Beitrittsformular sollte dann auch eine SEPA-Lastschriftklausel enthalten sein.

 

Muster SEPA-Lastschriftmandat

Ich ermächtige (Wir ermächtigen) [Name des Zahlungsempfängers], Zahlungen von meinem (unserem) Konto mittels Lastschrift einzuziehen. Zugleich weise ich mein (weisen wir unser) Kreditinstitut an, die von [Name des Zahlungsempfängers] auf mein (unser) Konto gezogenen Lastschriften einzulösen.

 

Hinweis: Ich kann (Wir können) innerhalb von acht Wochen, beginnend mit dem Belastungsdatum, die Erstattung des belasteten Betrages verlangen. Es gelten dabei die mit meinem (unserem) Kreditinstitut vereinbarten Bedingungen.

 

 

Punkt 3: Datenschutzklausel in der Satzung verankern/prüfen!

Jeder Verein sollte in seiner Satzung eine Datenschutzklausel verankern.

Diese kann mit einer Bildrechte-/Urheberklausel kombiniert werden.

 

Muster Datenschutzklausel

§ ... Persönlichkeitsrechte, Datenschutz

Mit dem Beitritt eines Mitglieds nimmt der Verein seine Adresse, sein Alter und seine Bankverbindung auf. Diese Informationen werden in dem vereinseigenen EDV-System gespeichert. Jedem Vereinsmitglied wird dabei eine Mitgliedsnummer zugeordnet. Die personenbezogenen Daten werden dabei durch geeignete technische und organisatorische Maßnahmen vor der Kenntnisnahme Dritter geschützt. Vorstandsmitglieder des Vereins sind im Rahmen geltender Beschlüsse des Vorstandes befugt personenbezogene Daten des Mitglieds ausschließlich und alleine für Vereinszwecke auf privaten passwortgeschützten PCs zu verarbeiten. Das Mitglied stimmt dieser Art und Weise der Verarbeitung durch seine Mitgliedschaft im Verein zu. Diese Zustimmung ist jederzeit widerruflich durch schriftlichen Widerruf an den Vorstand.

 

Sonstige Informationen und Informationen über Nichtmitglieder werden von dem Verein grundsätzlich intern nur verarbeitet, wenn sie zur Förderung des Vereinszweckes nützlich sind (z.B. Speicherung von Telefon- und Faxnummern einzelner Mitglieder) und keine Anhaltspunkte bestehen, dass die betroffene Person ein schutzwürdiges Interesse hat, das der Verarbeitung entgegensteht.

 

Als Mitglied des ….-verbandes ist der Verein verpflichtet, seine Mitglieder an den …. im Rahmen der jährlichen Bestandserhebung zu melden. Übermittelt werden dabei Name, Geburtsdatum, Adresse und Kontaktdaten (Telefon, Fax, E-Mail); bei Mitgliedern mit besonderen Aufgaben (z.B. Vorstandsmitglieder) zusätzlich die Bezeichnung ihrer Funktion im Verein im Rahmen der gültigen Beschlüsse des ….

 

Der Verein informiert über Print – und Telemedien sowie sozialen Medien und auf seiner Homepage www.…. regelmäßig über besondere Ereignisse. Das einzelne Mitglied kann jederzeit gegenüber dem Vorstand einer solchen Veröffentlichung widersprechen. Im Falle des Widerspruches unterbleiben in Bezug auf das widersprechende Mitglied weitere Veröffentlichungen. Personenbezogene Daten des widersprechenden Mitglieds werden von der Homepage des Vereins entfernt. Der Verein benachrichtigt unverzüglich …. (Namen der Verbände einsetzen, denen der Verein angehört) von dem Widerspruch des Mitglieds.

 

Der Vorstand macht besondere Ereignisse des Vereinslebens, insbesondere die …. am schwarzen Brett des Vereins in …. und in seiner Vereinszeitung bekannt. Dabei können personenbezogene Mitgliederdaten veröffentlicht werden. Das einzelne Mitglied kann jederzeit gegenüber dem Vorstand einer solchen Veröffentlichung widersprechen. Im Falle des Widerspruches unterbleibt in Bezug auf das widersprechende Mitglied eine weitere Veröffentlichung am schwarzen Brett und in der Vereinszeitung des Vereins.

 

Beim Austritt, Ausschluss oder Tod des Mitglieds werden die personenbezogenen Daten des Mitglieds archiviert. Personenbezogene Daten des austretenden Mitglieds, die Kassenverwaltung betreffen, werden gemäß der steuergesetzlichen Bestimmungen bis zu zehn Jahre ab der schriftlichen Bestätigung des Austritts durch den Vorstand aufbewahrt.

 

 

Punkt 4: Datenschutzbeauftragter JA oder NEIN?

Jeder Verein muss prüfen, ob er einen Datenschutzbeauftragten (intern oder extern) bestellen muss.

 

Ein Datenschutzbeauftragter muss bestellt werden, wenn sich mehr als neun Personen / mindestens 10 Personen im Verein ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befassen (Art. 37 Abs. 1 DS-GVO, ergänzend § 38 Abs. 1 BDSG neu).

 

Ständig bedeutet nach einer Sichtweise in der juristischen Kommentarliteratur (Platz, Kommentar zum BDSG 2013, S. 203) nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen ( z.B.) monatlich anfällt.

 

Automatisiert bedeutet, dass die Datenverarbeitung unter Einsatz einer DV- Anlage (z.B. Computer, Laptop, Webcam, Foto) erfolgt. Nicht automatisiert bedeutet, dass die Datenverarbeitung in einem Dateisystem erfolgt (Art. 4 Nr. 6 DS-GVO), z.B. in Listen, Tabellen oder - ganz herkömmlich – in Karteikästen.

 

Die große Masse der kleinen und mittleren Vereine dürfte damit aus der Pflicht zur Bestellung eines Datenschutzbeauftragten herausfallen. Mehrspartenvereinen, insbesondere im Sport, wie auch Dachverbände auf Bundes- und Landesebene werden daher einen Datenschutzbeauftragten bestellen müssen.

 

 

Der Datenschutzbeauftragte muss über folgende Qualifikationen verfügen:

  • Fachwissen im Datenschutzrecht und der Datenschutzpraxis
  • Technisches und organisatorisches Fachwissen
  • Kommunikationsfähigkeit

 

Der Vorstand bestellt den Datenschutzbeauftragten in der Regel durch Beschluss mit einfacher Mehrheit.

 

Ein Vorstandsmitglied darf nicht Datenschutzbeauftragter sein.

 

Der Datenschutzbeauftragte ist der Datenschutzaufsichtsbehörde zu melden und auf der Homepage des Vereins zu nennen.

 

Die Aufgaben des Datenschutzbeauftragten lassen sich wie folgt zusammenfassen:

  • Beraten und unterrichten
  • Überwachen und sanktionieren
  • Datenschutzfolgen abschätzen und darüber beraten
  • Ansprechpartner zur Datenaufsichtsbehörde
  • Zusammenarbeit mit Vorstand und Datenschutzaufsicht
  • Risikoabwägung
  • Beraten lassen durch die Datenschutzaufsicht

 

Eine Praxishilfe für Datenschutzbeauftragte finden Sie hier:

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_1.pdf

https://www.lda.bayern.de/media/dk_mindestanforderungen_dsb.pdf

 

Punkt 5: Homepage-Check-Up Datenschutz!

Vereine, die eine Homepage haben, müssen diese unter datenschutzrechtlichen, aber auch urheberrechtlichen Gesichtspunkten überprüfen/checken.

 

Insbesondere die Anbieterkennung (§§ 5,6 TMG) muss korrekt sein.

 

Im Internet gibt es dazu Anbieterkennzeichnungsgeneratoren, die verwendet werden können.

 

Weiterführende Links

http://www.anbieterkennung.de/

http://www.internetfallen.de/Homepagebetreiber/Anbieterkennzeichnung/anbieterkennzeichnung.html

http://www.impressum-generator.de/2016/05/impressum-fuer-vereine/

 

Muster Anbieterkennung

Anbieterkennung(Impressum)

Diese Anbieterkennung gilt auch für die Profile unseres Vereins auf den folgenden sozialen Netzwerken:

Angaben gemäß § 5 TMG:

SV Musterdorf e.V.

Musterstraße 000

999000 Musterdorf

Gesetzliche Vertreter:

(Name)

(Mailadresse)

Telefon:

Fax:

Der Verein ist eingetragen beim Vereinsregister des Amtsgerichts … unter VR- Nr.:

Steuer- ID-Nr.:

Datenschutzbeauftragter:

 

 

PUNKT 6 Verarbeitungsverzeichnis fortlaufend führen DS-GVO Ordner anlegen!

Art. 30 DS-GVO verlangt auch von Vereinen das Führen eines Verzeichnisses über die konkreten Verarbeitungstätigkeiten.

 

Dokumentationspflichten bestehen in folgenden Fällen:

  • dokumentierte Weisungen
  • verzeichnete Verarbeitungstätigkeiten
  • Verletzungen des Schutzes personenbezogener Daten
  • Abwägungen

 

Nachweispflichten bestehen in folgenden Fällen:

  • Einhaltung der Verarbeitungsprozesse
  • Einwilligungen
  • Unbegründetheit von Anträgen
  • Erfassung der Verarbeitung
  • Einhaltung der DS-GVO
  • Kontrolle

 

Die Verletzung dieser Pflichten ist bußgeldbewehrt (Bußgelder bis zu 10.000.00,00 € / 20.000.000.,00 € bei Unternehmen bis zu 2% des weltweiten Umsatzes).

 

Weiterführender Link / MUSTER eines Verarbeitungsverzeichnisses:

https://www.datenschutz-praxis.de/fachnews/datenschutzkonferenz-bietet-muster-fuer-verarbeitungsverzeichnis/

https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf

 

Legen Sie sich in jedem Fall ihren DS-GVO-Ordner an und dokumentieren Sie darin ihre Datenverarbeitungsprozesse wie bspw.

  • Einwilligungen
  • Beitragseinzüge
  • Versendete Newsletter
  • E-Mail- Einladungen zur Mitgliederversammlung
  • Werbe-E-Mails