Datenschutz im Verein 2022 Muster

Datenschutz Verstehen – Datenschutz umsetzen im Verein

Kurze Zusammenfassung

Für Vereine gilt die europäische Datenschutz-Grundverordnung in vollem Umfang. Viele Vereine schätzen Ihre Lage falsch ein und nehmen an, man müsse keinen Datenschutzbeauftragten (DSB) bestellen und keineswegs Datenschutz betreiben. Dies erweist sich leider als Fehleinschätzung.

Denn es gilt, für alle öffentlichen und nichtöffentlichen Stellen – somit auch für Vereine, wenn sie personenbezogene Daten ganz oder teilweise automatisiert, sowie nicht automatisierte personenbezogenen Daten verarbeiten, müssen die Vorschriften der DSGVO und des BDSG unbedingt eingehalten werden, vgl. Art. 2 Abs. 1 DSGVO i.V.m. § 1 Abs. 1 BDSG. Es besteht folglich für alle Verarbeiter von personenbezogenen Daten das gleiche Recht, egal ob für Vereine, Verbände und andere Institutionen – in welchen ehrenamtliche Mitarbeiter typischerweise tätig sind, sowie für Unternehmen.

Inhalt:

Datenschutz Verein
 

Was müssen Vereine im Datenschutz beachten?

Ebenso wie Unternehmen müssen auch Vereine die strengen Vorgaben der DSGVO erfüllen, wenn es darum geht, personenbezogene Daten zu erheben und zu verarbeiten.

Es gilt: Keine Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage, vgl. Art. 6 und Art. 9 DSGVO.

Typische Beispiele für die Verarbeitung von personenbezogene Daten in Vereinen sind Aufnahmeformulare für Neumitglieder, Einladungen zu Veranstaltungen oder Bekanntmachungen auf der Vereins-Webseite, auf der Social- Media Fanpage oder in der Vereinsbroschüre. Üblicherweise werden hierbei Anschriften, E-Mail-Adressen, Telefonnummern oder auch Bilder von Mitgliedern verarbeitet.

Insbesondere bei der Veröffentlichungen von Bildern der Mitglieder (besonders personenbezogenen Daten gem. Art 9 DSGVO), gelten strenge datenschutzrechtliche Anforderungen. Mitgliederdaten fallen also ohne Weiteres unter die Rubrik (besonders) personenbezogene Daten und sind demnach genauso schützenswert vom Verein zu behandeln und handhaben wie etwa die Beschäftigtendaten eines Unternehmens.

Desweiteren müssen unbedingt die Grundsätze der DSGVO beachtet und eingehalten werden, wenn es um die Verarbeitung von personenbezogenen Daten geht: Die Rechtmäßigkeit und Verarbeitung nach Treu und Glauben, das Transparenzgebot, die Zweckgebundenheit, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung, die Integrität und Vertraulichkeit sowie die Rechtsschaffenspflicht.

Setzt der Verein einen Dienstleister ein, welcher personenbezogene Daten im Namen des Vereins verarbeitet und ist dabei weisungsgebunden, liegt ein Auftragsverarbeitungsverhältnis gem. 28 DSGVO vor. Der Verein ist Auftraggeber und der  Dienstleister Auftragnehmer. Ein solches Auftragsverarbeitungsverhältnis besteht zum Beispiel zwischen dem Verein und dem Hoster der Vereins-Webseite. In dieser Konstellation ist der Abschluss einen Auftragverarbeitungsvertrags (AVV) zwingend erforderlich.

 

Wann muss ein Verein den Datenschutzbeauftragten bestellen?

Bei Einführung der Datenschutzgrund-Verordnung im Mai 2018 musste der Verantwortliche eine Datenschutzbeauftragte oder einen Datenschutzbeauftragter bestellen,, soweit dieser in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftige, vgl. § 38 Abs. 1 BDSG i.V.m. Art. 37 DSGVO.

Eine Gesetzesänderung Ende 2019 hat die Anzahl von 10 Personen auf 20 hochgestuft. Bedeutet nun für den Verein, dass dieser einen DSB benennen und bei der Behörde melden muss, sofern 20 Personen regelmäßig personenbezogene Mitgliederdaten verarbeiten.

Unabhängig von der Personenzahl, welche personenbezogene Daten regelmäßig verarbeitet, ist es unumgänglich einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO besteht – z.B. die Verarbeitung von Gesundheitsdaten.

Führt der Verein Umfragen für diverse Zwecke durch, kann aus Datenschützer-Sichtweise nur empfohlen werden, diese Daten anonym bzw. pseudonymisiert zu verarbeiten. Ist dies nicht gewollt oder aus verschiedenen Gründen nicht möglich, sollte man berücksichtigen, dabei rechtmäßig zu handeln – personenbezogene Daten also nur anhand einer Rechtsgrundlage (z.B. die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO) zu erheben und zu verarbeiten.

Wie muss ein Verein den Datenschutzbeauftragten bestellen?

Der Vereinsvorstand muss seinen DSB bei der jeweiligen Landesbehörde für Datenschutz melden. Jedes deutsche Bundesland verfügt über einen zuständige Einrichtung. Um einen Vereins-DSB ordnungsgemäß zu melden, bedarf es nur weniger Klicks und einiger Angaben zum Verein und selbstverständlich zur Person des DSB im einschlägigen Meldeportal.

Außerdem sollte der Verein im Zuge des Transparenzgebots die Kontaktdaten des Vereins-DSB veröffentlichen, zum Beispiel auf dem Anmeldeformular für Neumitglieder, auf der Webseite, oder der Fanpage im Social Media, etc., damit sich die Betroffenen bei der Ausübung Ihrer Rechte an den richtigen Ansprechpartner wenden können, vgl. Art. 38 Abs. 4 DSGVO.

Wer darf Datenschutzbeauftragter im Verein sein?

Generell kann jeder, der keine leitende Funktion im Verein innehat, DSB werden. Diese Person sollte allerdings auch vertrauensvoll, geeignet und im Datenschutz fortlaufend geschult sein. Besonders beachten muss man dabei, dass der DSB in seinen Stellung und Bewältigung der datenschutzrechtlichen Aufgaben weisungsfrei ist (vgl. Art. 38 Abs. 3 DSGVO), dies würde als Mitglied des Vorstands per se einen Interessenkonflikt darstellen – eine weisungsfreie Stellung wäre kaum realisierbar.

 

Aufgaben des Datenschutzbeauftragten im Verein

Der Datenschutzbeauftragte unterrichtet und berät der Vereinsvorstand, überwacht die Einhaltung der DSGVO und anderer Datenschutzvorschriften und ist darüber hinaus auch für die Zusammenarbeit mit Aufsichtsbehörden der zuständige Ansprechpartner.

Art. 37 Abs. 1 DSGVO stellt ferner klar, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden muss. Der Vereinsvorstand muss zudem den Datenschutzbeauftragten nach Art. 38 Abs. 2 DSGVO unterstützen und erforderliche Ressourcen zur Verfügung stellen. Weitere Aufgaben eines Datenschutzbeauftragten sind in Art. 37 bis Art. 39 DSGVO geregelt.

 

Datenschutzgrundverordnung – Muster für Vereine

Es empfiehlt sich für die verschiedenen Verarbeitungen von personenbezogenen Mitgliederdaten, wie zum Beispiel der Aufnahme neuer Mitglieder, das Anmeldeformular mit dem “datenschutzrechtlichen Stempel” zu versehen. Dies bedeutet, es sollte die Rechtsgrundlage, der Zweck, die Dauer und der Empfänger der personenbezogenen Daten genannt werden. Gegebenenfalls noch die Kontaktdaten des Datenschutzbeauftragten des Vereins.

Einwilligungserklärung im Datenschutz für Vereine

Die Einwilligungserklärung wird immer dann benötigt, wenn keine der Rechtsgrundlagen aus Artikel 6 Abs. 1 lit. b) – f) DSGVO ausreichen, um die Verarbeitung zu tätigen. Hier erhalten Sie ein Muster für eine datenschutzrechtliche Einwilligung für Vereine am Beispiel von Veranstaltungs-Fotos.

Muster Einwilligung für Vereine

Beitrittserklärung im Verein – Muster für Datenschutz

Die Beitrittserklärung ist vermutlich der wichtigste Bestandsteile beim Eintritt in einen Verein. Hier erhalten Sie ein Muster für eine datenschutzkonforme Beitrittserklärung für Vereine.

Muster Beitrittserklärung für Vereine
Menü