Ob Mitgliederliste, Kontaktdaten oder Informationen über die Gesundheit ihrer Sportler – ganz ohne Daten kommt ein Verein nicht aus. Natürlich liegt es in Ihre Interesse, die Daten Ihrer Mitglieder zu schützen – doch was gehört alles dazu, wo liegen Ihre Rechte und Pflichten? STC hat die wichtigsten Informationen für Sie zusammengestellt.
Ab dem 25. Mai 2018 wird in ganz Europa die EU-Datenschutzgrundverordnung (DSGVO) gültig. Diese ersetzt in Deutschland das Bundesdatenschutzgesetz (BDSG). Die Grundprinzipien, nach denen personenbezogene Daten behandelt werden müssen, ändern sich durch die DSGVO nur geringfügig. Sie lauten:
Unter welchen Umständen dürfen Sie Daten speichern?
Die DSGVO listet folgende rechtmäßige Bedingungen für das Speichern personenbezogener Daten:
1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
- Art. 6 DSGVO
Für viele Vereine dürfte es am einfachsten sein, als Rechtsgrundlage für das Verarbeiten von Daten die Erlaubnis der Mitglieder einzuholen. Auch hierbei müssen Sie allerdings auf einige Aspekte achten, ohne die die Einwilligung nicht rechtskräftig ist.
Folgende Aspekte müssen beachtet werden, damit die Einwilligung zum Speichern und Verarbeiten personenbezogener Daten rechtskräftig ist:
Die Arbeit mit Kindern und Jugendlichen ist vielerorts ein bedeutender, wenn nicht der wesentliche Bestandteil der Vereinsarbeit. Datenschutzrechtlich ist die Gesetzeslage hier nicht eindeutig: Für „Dienste der Informationsgesellschaft“ ist das Mindestalter, in dem Jugendliche eine Einwilligung erteilen dürfen, sechzehn Jahre. Unter diese Dienste kann z.B. der Beitritt zu einem Verein fallen, sofern er über das Internet abgewickelt wird. Jugendliche unter sechzehn Jahren benötigen in Deutschland zusätzlich die Einwilligung ihrer gesetzlichen Vertreter. Hierbei hat der Verantwortliche darauf zu achten, dass die Einwilligung dennoch im Sinne des Kindes geschieht.
Unsere Empfehlung: Die Gesetzeslage ist nicht endgültig klar, was Einwilligungen zur Datenverarbeitung bei Jugendlichen angeht. Im Einzelfall spielen hier auch Reife und Einsichtsfähigkeit der betroffenen Personen eine Rolle. Daher sichern Sie sich am besten ab, wenn Sie, soweit möglich, bei allen Minderjährigen Mitgliedern auch eine Einwilligung der gesetzlichen Vertreter einfordern.
Auch, wenn Sie durch Einwilligung oder andere Rechtsgrundlagen das Recht haben, Daten Ihrer Mitglieder zu speichern und zu verarbeiten, sollten Sie sich über die weiteren Rechte der Dateninhaber bewusst sein. Die wichtigsten Rechte, die für Sie als Verantwortliche natürlich Pflichten bedeuten, sind:
Wichtig: An wen dürfen Mitgliederlisten gehen?
In vielen Vereinen ist es gang und gäbe, dass Mitgliederlisten kursieren, mit deren Hilfe man untereinander in Kontakt bleibt. Datenschutzrechtlich begeben Sie sich hier aber auf dünnes Eis: Während Funktionsträger wie Geschäftsführer und Vorsitzende des Vereins als Verantwortliche gelten, sind andere Mitglieder und auch der Dachverband als außenstehende Dritte zu behandeln. Das bedeutet: Wenn Sie eine Mitgliederliste mit Kontaktdaten an alle Mitglieder verteilen oder an den Dachverband weiterleiten möchten, brauchen Sie hierfür die explizite Erlaubnis aller Betroffenen.
Es reicht nicht, nur die Gesetzesgrundlage zum Sammeln von Daten zu beachten: Auch, wenn Sie die Daten ordnungsgemäß erhoben haben, müssen Sie dafür Sorge tragen, dass diese angemessen geschützt werden. Welche Maßnahmen Sie hierfür ergreifen sollten, erfahren Sie hier.
Ein Sportverein hat auf die körperliche Gesundheit und die Sicherheit seiner Mitglieder zu achten. Daher ist es selbstverständlich, dass in einigen Sportvereinen – z.B., wenn Rehasport angeboten wird – Gesundheitsdaten von Mitgliedern verarbeitet werden. Verantwortliche Trainer und Betreuer von Minderjährigen müssen zudem ein Führungszeugnis vorlegen, damit bestimmte Straftatbestände ausgeschlossen werden können. Sowohl Gesundheitsdaten als auch polizeiliche Führungszeugnisse sind natürlich besonders privat und müssen geschützt werden. Aber wie genau?
Gesundheitsdaten gelten laut DSGVO als besondere Kategorie von Daten und dürfen somit grundsätzlich nicht gesammelt oder verarbeitet werden. Von dieser Regelung gibt es eine Reihe von Ausnahmen, beispielsweise, wenn Das Leben einer Person in Gefahr ist. Da die Ausnahmen auf Vereine eher nicht zutreffen, sollten Sie, bevor Sie Gesundheitsdaten sammeln, in jedem Fall die ausdrückliche Einverständnis der jeweiligen Mitglieder sammeln.
Vorsicht: Als Gesundheitsdaten gelten alle Daten, die Rückschlüsse über den Gesundheitszustand einer Person zulassen. Das bedeutet, dass schon die Information über die Teilnahme an einem Reha-kurs als besonders schützenswert gilt und anders behandelt werden muss als beispielsweise Kontaktdaten.
Grundsätzlich dürfen Daten über strafrechtliche Verurteilungen unter den gleichen Bedingungen gesammelt werden wie alle anderen personenbezogenen Daten; sie gelten nicht als besondere Kategorie. Allerdings ist das Erfassen dieser Daten nur unter behördlicher Aufsicht und nach dem Recht des jeweiligen Mitgliedsstaates erlaubt. In Deutschland bedeutet das: Es darf nur Einsicht genommen werden, wenn dies vonnöten ist, um eine Person rechtskräftig von einer Tätigkeit auszuschließen – um also zu prüfen, ob ein potentieller Betreuer in der Vergangenheit wegen bestimmter Sexualstraftaten verurteilt wurde und nun nicht länger befugt ist, Minderjährige zu betreuen.
Hierbei darf lediglich festgehalten werden:
Sollte nach der Einsicht keine Tätigkeit aufgenommen werden, hat der Verantwortliche auch diese Daten unverzüglich zu löschen. Wird eine Tätigkeit aufgenommen, so beträgt die Frist zur Löschung drei Wochen nach Beendigung der Tätigkeit.
Falls es trotz aller Vorsicht zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist also das Rundumpaket aller benötigten Absicherungen für Cyberfälle.
Weitere Informationen zu Cyber-Risiken und deren Absicherung sowie Ihr persönliches Versicherungsangebot finden Sie hier.
Einen Überblick darüber, was genau die DSGVO auch für Unternehmen und Privatpersonen bedeutet, finden Sie hier. Haben Sie noch weitere Fragen, suchen genauere Informationen oder möchten wissen, wie Sie sich und Ihren Verein am besten gegen Datenverlust absichern? Melden Sie sich bei uns! Füllen Sie einfach das untenstehende Formular aus, wir melden uns bei Ihnen – einfach und unkompliziert.