Direkte Kontaktaufnahme: 02663 9150619|info@stc-makler.de

Datenschutz für Vereine

Home/Allgemein, News Gewerbe/Datenschutz für Vereine

Datenschutz für Vereine

© 1.FFC Montabaur/ STC GmbH

Datenschutz für Vereine –

So schützen Sie die Daten Ihrer Mitglieder.

Ob Mitgliederliste, Kontaktdaten oder Informationen über die Gesundheit ihrer Sportler – ganz ohne Daten kommt ein Verein nicht aus. Natürlich liegt es in Ihre Interesse, die Daten Ihrer Mitglieder zu schützen – doch was gehört alles dazu, wo liegen Ihre Rechte und Pflichten? STC hat die wichtigsten Informationen für Sie zusammengestellt.

.

1. Die DSGVO und ihre Grundprinzipien

Ab dem 25. Mai wird in ganz Europa die EU-Datenschutzgrundverordnung (DSGVO) gültig. Diese ersetzt in Deutschland das Bundesdatenschutzgesetz (BDSG). Die Grundprinzipien, nach denen personenbezogene Daten behandelt werden müssen, ändern sich durch die DSGVO nur geringfügig. Sie lauten:

  • Verbot der Datenerhebung mit Erlaubnisvorbehalt: Sie dürfen personenbezogene Daten grundsätzlich nur dann speichern und verarbeiten, wenn Sie über eine Rechtsgrundlage verfügen, die Ihnen dies erlaubt.

Unter welchen Umständen dürfen Sie Daten speichern?

Die DSGVO listet folgende rechtmäßige Bedingungen für das Speichern personenbezogener Daten:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 – Art. 6 DSGVO

  • Datenrichtigkeit: Die Daten, die Sie speichern, müssen sachlich richtig und aktuell gehalten werden.
  • Zweckbindung: Sie dürfen Daten nur zu dem gleichen Zweck verwerten, zu dem Sie sie erhoben und eine Einverständnis eingeholt haben.
  • Datensparsamkeit: Sie dürfen nur so viele Daten erheben und verarbeiten, wie Sie tatsächlich und zu dem angegebenen Zweck benötigen.
  • Neue Maßstäbe für Datensicherheit: Die DSGVO verlangt, dass Sie erhobene Daten auf angemessene Art und Weise schützen. Was “angemessen” bedeutet, hängt von folgenden Faktoren ab:

Stand der Technik und Implementierungskosten

Art, Umfang, Umstände und Zweck der Verarbeitung

Schwere des Risikos für die Rechte der betroffenen Person, d.h. Sensibilität der Daten

Welche Maßnahmen genau angebracht sind, ist also wie so oft Abwägungssache. Wenn nötig, sollten Sie sich also zu diesem Punkt von Experten beraten lassen.

.

2. Die Einwilligung zum Speichern von Daten

Für viele Vereine dürfte es am einfachsten sein, als Rechtsgrundlage für das Verarbeiten von Daten die Erlaubnis der Mitglieder einzuholen. Auch hierbei müssen Sie allerdings auf einige Aspekte achten, ohne die die Einwilligung nicht rechtskräftig ist.

.

2.1 Wie hat die Einwilligung auszusehen?

Folgende Aspekte müssen beachtet werden, damit die Einwilligung zum Speichern und Verarbeiten personenbezogener Daten rechtskräftig ist:

  • Form: Obwohl die Einwilligung laut DSGVO nicht zwingend schriftlich erfolgen muss, ist diese Form zu empfehlen. Der Grund: Sie sind als Verantwortlicher Rechenschaftspflichtig. Das bedeutet, dass Sie im Streitfall oder im Fall von Datenverlust nachweisen müssen, dass Sie die Erlaubnis zum Erfassen der Daten hatten.
  • Die Einwilligung muss für einen oder mehrere bestimmte Zwecke erfolgen. Sie dürfen Daten also nicht „nur so“ erfassen.
  • Die Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein. Falls in derselben Erklärung noch andere Sachverhalte bearbeitet werden, muss die Einwilligung zur Datenverarbeitung von diesen klar getrennt sein.
  • Die betreffende Person muss die Einwilligung jederzeit widerrufen können. Sie muss über dieses Recht informiert werden und der Widerruf muss ebenso einfach sein wie das Erteilen der Erlaubnis.
  • Die Einwilligung muss freiwillig erfolgen. Das bedeutet auch, dass Sie keine Leistungen von der Einwilligung abhängig machen dürfen, außer, die Daten sind zum Erfüllen der Leistungen nötig.

.

2.2 Wichtig: Daten von Minderjährigen

Die Arbeit mit Kindern und Jugendlichen ist vielerorts ein bedeutender, wenn nicht der wesentliche Bestandteil der Vereinsarbeit. Datenschutzrechtlich ist die Gesetzeslage hier nicht eindeutig: Für „Dienste der Informationsgesellschaft“ ist das Mindestalter, in dem Jugendliche eine Einwilligung erteilen dürfen, sechzehn Jahre. Unter diese Dienste kann z.B. der Beitritt zu einem Verein fallen, sofern er über das Internet abgewickelt wird. Jugendliche unter sechzehn Jahren benötigen in Deutschland zusätzlich die Einwilligung ihrer gesetzlichen Vertreter. Hierbei hat der Verantwortliche darauf zu achten, dass die Einwilligung dennoch im Sinne des Kindes geschieht.

Unsere Empfehlung: Die Gesetzeslage ist nicht endgültig klar, was Einwilligungen zur Datenverarbeitung bei Jugendlichen angeht. Im Einzelfall spielen hier auch Reife und Einsichtsfähigkeit der betroffenen Personen eine Rolle. Daher sichern Sie sich am besten ab, wenn Sie, soweit möglich, bei allen Minderjährigen Mitgliedern auch eine Einwilligung der gesetzlichen Vertreter einfordern.

.

3. Die Rechte der Betroffenen

Auch, wenn Sie durch Einwilligung oder andere Rechtsgrundlagen das Recht haben, Daten Ihrer Mitglieder zu speichern und zu verarbeiten, sollten Sie sich über die weiteren Rechte der Dateninhaber bewusst sein. Die wichtigsten Rechte, die für Sie als Verantwortliche natürlich Pflichten bedeuten, sind:

  • das Recht auf Auskunft: Sie müssen Ihre Mitglieder darüber informieren, welche Daten Sie zu welchen Zwecken nutzen. Zudem dürfen Ihre Mitglieder diese Informationen jederzeit erfragen.
  • das Recht auf Berichtigung: Ihre Mitglieder dürfen jederzeit von Ihnen verlangen, dass unvollständige oder falsche Daten berichtigt werden.
  • das Recht auf Löschung: Sollten die Daten nicht länger benötigt werden (z.B. bei Austritt aus dem Verein), so haben Betroffene ein „Recht auf Vergessenwerden“. Das bedeutet: Fällt der Grund für die Datenspeicherung weg, müssen diese gelöscht werden.
  • das Recht auf Datenübertragbarkeit: Sollte ein Mitglied es verlangen, so müssen Sie als Verantwortlicher in der Lage sein, die erhobenen Daten in gegliederter elektronischer Form an eine andere Stelle (z.B. einen anderen Verein) zu übertragen.
  • das Widerspruchsrecht: Ihre Mitglieder dürfen der Verarbeitung ihrer Daten jederzeit widersprechen.

©STC Research

Wichtig: An wen dürfen Mitgliederlisten gehen?

In vielen Vereinen ist es gang und gäbe, dass Mitgliederlisten kursieren, mit deren Hilfe man untereinander in Kontakt bleibt. Datenschutzrechtlich begeben Sie sich hier aber auf dünnes Eis: Während Funktionsträger wie Geschäftsführer und Vorsitzende des Vereins als Verantwortliche gelten, sind andere Mitglieder und auch der Dachverband als außenstehende Dritte zu behandeln. Das bedeutet: Wenn Sie eine Mitgliederliste mit Kontaktdaten an alle Mitglieder verteilen oder an den Dachverband weiterleiten möchten, brauchen Sie hierfür die explizite Erlaubnis aller Betroffenen.

.

4. Welche Maßnahmen sollten Vereine jetzt umsetzen?

Es reicht nicht, nur die Gesetzesgrundlage zum Sammeln von Daten zu beachten: Auch, wenn Sie die Daten ordnungsgemäß erhoben haben, müssen Sie dafür Sorge tragen, dass diese angemessen geschützt werden. Welche Maßnahmen Sie hierfür ergreifen sollten, erfahren Sie hier.

  • Ergreifen technischer und organisatorischer Maßnahmen: Grundsätzlich haben Sie dem Stand der Technik und der Sensibilität der Daten entsprechende Maßnahmen zu treffen, die gewährleisten, dass keine personenbezogenen Daten verloren gehen oder in falsche Hände geraten können.
  • Erstellen von Verarbeitungsverzeichnissen: Ab 250 Mitarbeitern ist ein Unternehmen verpflichtet, ein Verzeichnis anzulegen, in dem sämtliche Datenverarbeitung gespeichert wird. Auch, wenn Ihr Verein deutlich geringere Mitarbeiterzahlen aufweist, ist es dennoch sinnvoll, ein solches Verzeichnis anzulegen. Damit sichern Sie sich im Fall von Streitigkeiten ab.
  • Benennung eines Datenschutzbeauftragten: Es sollte einen Datenschutzbeauftragten geben, der sowohl intern als Experte als auch bei Fragen von Extern Ansprechpartner ist.
  • Erstellen einer Datenschutzordnung: Jeder Verein sollte sowohl eine Datenschutzklausel in die Satzung aufnehmen als auch über eine spezielle Datenschutzordnung verfügen. In dieser sollte geklärt sein, welche Daten wie verarbeitet werden, wer darauf Zugriff hat sowie welche technischen Voraussetzungen erfüllt werden.
  • Schulung des Personals: Nicht nur die Technik, auch das Personal muss den Ansprüchen der DSGVO entsprechen: Alle Mitarbeiter, die in Kontakt mit personenbezogenen Daten kommen, sollten verpflichtet und darin geschult sein, das Datengeheimnis zu wahren.
  • Datenschutzerklärungen: Mit Eintreten der DSGVO sollte jedes Unternehmen und auch jeder Verein, der über einen Internetauftritt verfügt, seine Datenschutzerklärung grundsanieren. Welchen Anforderungen sie entsprechen muss, erfahren Sie unter DSGVO – Was ist das?.
  • Benachrichtigungspflichten: Sollte es trotz aller Vorsichtsmaßnahmen zu Datendiebstahl oder -verlust kommen, so hat der verein die Pflicht, diesen unverzüglich der betroffenen Person und der entsprechenden Aufsichtsbehörde zu melden.

.

3. Besondere Datenkategorien

Ein Sportverein hat auf die körperliche Gesundheit und die Sicherheit seiner Mitglieder zu achten. Daher ist es selbstverständlich, dass in einigen Sportvereinen – z.B., wenn Rehasport angeboten wird – Gesundheitsdaten von Mitgliedern verarbeitet werden. Verantwortliche Trainer und Betreuer von Minderjährigen müssen zudem ein Führungszeugnis vorlegen, damit bestimmte Straftatbestände ausgeschlossen werden können. Sowohl Gesundheitsdaten als auch polizeiliche Führungszeugnisse sind natürlich besonders privat und müssen geschützt werden. Aber wie genau?

.

3.1 Gesundheitsdaten

Gesundheitsdaten gelten laut DSGVO als besondere Kategorie von Daten und dürfen somit grundsätzlich nicht gesammelt oder verarbeitet werden. Von dieser Regelung gibt es eine Reihe von Ausnahmen, beispielsweise, wenn Das Leben einer Person in Gefahr ist. Da die Ausnahmen auf Vereine eher nicht zutreffen, sollten Sie, bevor Sie Gesundheitsdaten sammeln, in jedem Fall die ausdrückliche Einverständnis der jeweiligen Mitglieder sammeln.

Vorsicht: Als Gesundheitsdaten gelten alle Daten, die Rückschlüsse über den Gesundheitszustand einer Person zulassen. Das bedeutet, dass schon die Information über die Teilnahme an einem Reha-kurs als besonders schützenswert gilt und anders behandelt werden muss als beispielsweise Kontaktdaten.

.

3.2 Führungszeugnis

Grundsätzlich dürfen Daten über strafrechtliche Verurteilungen unter den gleichen Bedingungen gesammelt werden wie alle anderen personenbezogenen Daten; sie gelten nicht als besondere Kategorie. Allerdings ist das Erfassen dieser Daten nur unter behördlicher Aufsicht und nach dem Recht des jeweiligen Mitgliedsstaates erlaubt. In Deutschland bedeutet das: Es darf nur Einsicht genommen werden, wenn dies vonnöten ist, um eine Person rechtskräftig von einer Tätigkeit auszuschließen – um also zu prüfen, ob ein potentieller Betreuer in der Vergangenheit wegen bestimmter Sexualstraftaten verurteilt wurde und nun nicht länger befugt ist, Minderjährige zu betreuen.

Hierbei darf lediglich festgehalten werden:

  • Dass Einsicht genommen wurde,
  • Das Datum des Führungszeugnisses,
  • Ob eine Straftat nach Sozialgesetzbuch VIII §72a Absatz 1 vorliegt.

Sollte nach der Einsicht keine Tätigkeit aufgenommen werden, hat der Verantwortliche auch diese Daten unverzüglich zu löschen. Wird eine Tätigkeit aufgenommen, so beträgt die Frist zur Löschung drei Wochen nach Beendigung der Tätigkeit.

.

4. Was tun im Schadenfall?

Falls es trotz aller Vorsicht zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist also das Rundumpaket aller benötigten Absicherungen für Cyberfälle.

©STC Research

Weitere Informationen zu Cyber-Risiken und deren Absicherung sowie Ihr persönliches Versicherungsangebot finden Sie hier.

.

5. Weitere Infos

Einen Überblick darüber, was genau die DSGVO auch für Unternehmen und Privatpersonen bedeutet, finden Sie hier. Haben Sie noch weitere Fragen, suchen genauere Informationen oder möchten wissen, wie Sie sich und Ihren Verein am besten gegen Datenverlust absichern? Melden Sie sich bei uns! Füllen Sie einfach das untenstehende Formular aus, wir melden uns bei Ihnen – einfach und unkompliziert.

Ihr Name (Pflichtfeld):

Ihre E-Mail-Adresse (Pflichtfeld):

Ihre Telefonnummer:

Zeitpunkt des gewünschten Rückrufs:

Betreff:

Ihre Nachricht:

captcha

Bitte geben Sie den Code ein:


Quellen:

www.dsgvo-gesetz.de (eingesehen am 22.02.2018)