Datenschutz im Verein – Anforderungen und Umsetzung nach der DSGVO

Auch im Verein spielt die DSGVO eine wichtige Rolle.
Kategorien:
, ,

Vereine sind als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO verpflichtet, alle datenschutzrechtlichen Anforderungen zu erfüllen und deren Einhaltung nachzuweisen (Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht). Die Umsetzung stellt insbesondere kleinere, ehrenamtlich organisierte Vereine regelmäßig vor erhebliche praktische Herausforderungen. Die nachfolgenden Ausführungen fassen die wesentlichen Pflichten im Verein zusammen.

Rechtmäßigkeit der Datenverarbeitung

Die zentrale Rechtsgrundlage für die Datenverarbeitung im Verein ist Art. 6 Abs. 1 lit. b DSGVO – die Erfüllung des Vereinsvertrages, konkretisiert durch die Vereinssatzung. Daneben können berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO) oder Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO) die Verarbeitung rechtfertigen. Letztere sind insbesondere dann erforderlich, wenn Daten über die Zwecke der Mitgliedschaft hinaus verarbeitet oder veröffentlicht werden (z.B. Fotos, Geburtstagslisten, Spendenaufrufe per E-Mail). Die Einwilligung muss freiwillig, informiert, eindeutig, zweckgebunden und jederzeit widerrufbar sein. Sie muss schriftlich oder elektronisch dokumentiert werden und darf sich nicht in allgemeinen Erklärungen verstecken.

Bei der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) – z.B. Gesundheitsdaten – ist regelmäßig eine ausdrückliche Einwilligung erforderlich. Dies betrifft typischerweise Selbsthilfegruppen, Gewerkschaften oder religiöse Vereinigungen.

Organisationsverantwortung im Verein

Der Vereinsvorstand hat sowohl rechtlich als auch tatsächlich für die Einhaltung der datenschutzrechtlichen Vorgaben einzustehen (§ 26 Abs. 1 S. 2 BGB i.V.m. Art. 24 DSGVO). Er hat geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechtmäßigkeit der Datenverarbeitung sicherzustellen.

Dies schließt auch die Delegation von Aufgaben ein, wobei die datenschutzkonforme Umsetzung sichergestellt sein muss. Auch bei einer Delegation bleibt die Gesamtverantwortung beim Vorstand.

Vertraulichkeit und Informationspflichten

Alle im Verein mit der Verarbeitung personenbezogener Daten betrauten Personen sind auf die Vertraulichkeit zu verpflichten. Zwar enthält die DSGVO keine dem § 5 BDSG a.F. entsprechende Regelung, jedoch ist eine dokumentierte Verpflichtung auf die datenschutzrechtlichen Grundsätze des Art. 5 Abs. 1 DSGVO erforderlich.

Darüber hinaus ist sicherzustellen, dass die betroffenen Personen – insbesondere Mitglieder, ehrenamtlich Tätige und Dienstleister – über die Verarbeitung ihrer Daten gem. Art. 13 und 14 DSGVO informiert werden. Diese Informationspflichten sollten in das Beitrittsformular integriert werden, wobei sich bei bereits bestehenden Mitgliedschaften eine nachträgliche Information empfiehlt.

Sicherheit der Verarbeitung im Verein

Die Sicherheit der Verarbeitung personenbezogener Daten ist ein zentraler Grundsatz der Datenschutz-Grundverordnung. Nach Art. 32 DSGVO sind Verantwortliche – also auch Vereine – verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind regelmäßig zu überprüfen und gegebenenfalls anzupassen.

Technische Schutzmaßnahmen sind z.B.: Verschlüsselung gespeicherter und übertragener Daten (z.B. Transport- und Ende-zu-Ende-Verschlüsselung bei E-Mails), Passwortschutz und Zwei-Faktor-Authentifizierung beim Zugriff auf Mitgliederdaten, regelmäßige Sicherheitsupdates und Virenschutzsoftware, getrennte Benutzerkonten bei gemeinsam genutzten Systemen, automatische Sperrmechanismen bei Inaktivität.

Zu den organisatorischen Maßnahmen im Verein gehören unter anderem: ein klar geregeltes Berechtigungs- und Rollenkonzept für die Datennutzung, die Schulung von Vorstandsmitgliedern und Ehrenamtlichen im sicheren Umgang mit personenbezogenen Daten, die Erstellung eines Datenschutz- und IT-Sicherheitskonzeptes, die Festlegung von Meldewegen bei Datenschutzvorfällen, schriftliche Regelungen zur Nutzung privater Geräte („Bring Your Own Device“) sowie deren Kontrolle.
Darüber hinaus sind auch Back-up-Konzepte, die Protokollierung von Zugriffen sowie Löschkonzepte für nicht mehr benötigte Daten als Bestandteile der Datenschutzorganisation zu verstehen.

Lese-Tipp: Newsletter zwischen DSGVO und ePrivacy – Einwilligung nicht immer erforderlich

Rechte der betroffenen Personen

Vereine haben interne Verfahren zu etablieren, die eine zügige, vollständige und datenschutzkonforme Bearbeitung von Anfragen betroffener Personen sicherstellen. Dies umfasst insbesondere die Einrichtung einer zentralen Anlaufstelle für Datenschutzanliegen, die Schulung zuständiger Personen sowie die Dokumentation eingehender Anfragen und deren Bearbeitungsschritte.

Gemäß Art. 15 DSGVO haben betroffene Personen ein Recht auf Auskunft über die zu ihrer Person gespeicherten Daten. Dieses Auskunftsrecht erstreckt sich unter anderem auf die Zwecke der Verarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden oder werden, die geplante Speicherdauer oder die Kriterien für deren Festlegung sowie das Bestehen weiterer Betroffenenrechte. Auch über die Herkunft der Daten (sofern sie nicht beim Betroffenen erhoben wurden) und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling ist zu informieren.

Darüber hinaus haben Betroffene unter bestimmten gesetzlichen Voraussetzungen das Recht auf:


Vereine sind verpflichtet, diese Rechte fristgerecht – in der Regel innerhalb eines Monats – zu erfüllen und die betroffene Person über die erfolgten Maßnahmen zu informieren. Werden Anträge abgelehnt, ist dies zu begründen und über das Beschwerderecht bei der Datenschutzaufsichtsbehörde zu informieren.

Datenschutzbeauftragter und Verzeichnis von Verarbeitungstätigkeiten im Verein

Ein Datenschutzbeauftragter ist zu bestellen, wenn mindestens 20 Personen regelmäßig personenbezogene Daten automatisiert verarbeiten (§ 38 BDSG). Dabei sind auch ehrenamtlich und nebenamtlich Tätige mitzuzählen. Besteht keine Benennungspflicht, kann eine freiwillige Benennung bei besonderen Risiken empfehlenswert sein, z. B. bei Selbsthilfegruppen oder politischen Vereinen.

Jeder Verein muss zudem ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO führen. Dieses muss alle regelmäßigen Datenverarbeitungsprozesse enthalten, insbesondere die Mitgliederverwaltung, die Beitragsabrechnung oder den Betrieb einer Website. Die Ausnahme nach Art. 30 Abs. 5 DSGVO kommt in der Praxis kaum zum Tragen, da Vereine regelmäßig dauerhaft personenbezogene Daten verarbeiten.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Dies ist bei der typischen Tätigkeit eines Vereins eher selten der Fall, könnte jedoch dann relevant werden, wenn:

  • umfangreiche Gesundheitsdaten in Selbsthilfegruppen erhoben und verarbeitet werden,
  • systematisches Tracking oder Videoüberwachung durchgeführt wird,
  • besonders sensible Datenkategorien mit KI- oder Profilingverfahren analysiert werden.


Liegt eine Pflicht zur DSFA vor, muss diese vor Beginn der Datenverarbeitung erfolgen und dokumentiert werden. Zudem sind hierbei auch die Maßnahmen zur Risikominderung zu benennen und ggf. die Aufsichtsbehörde zu konsultieren, wenn keine Risikominderung erreicht werden kann.

Vereine sollten im Zweifelsfall prüfen lassen, ob eine DSFA erforderlich ist und zur Absicherung eine strukturierte Risikobewertung durchführen. Für viele Standardverarbeitungen – wie die Mitgliederverwaltung oder die Beitragsabrechnung – besteht hingegen in der Regel keine Pflicht zur Durchführung einer DSFA.

Gemäß Art. 32 DSGVO sind geeignete technische und organisatorische Maßnahmen zur Sicherung der Datenverarbeitung umzusetzen. Hierzu zählen insbesondere Verschlüsselung, Berechtigungskonzepte, die Trennung von verbandlichen und privaten Datenbeständen und ein wirksames Management von Endgeräten, die auch im Home Office genutzt werden. Darüber hinaus wird ein IT-Sicherheitskonzept empfohlen. Der Versand personenbezogener Daten per E-Mail sollte zumindest transportverschlüsselt erfolgen, bei besonders sensiblen Daten ist eine Ende-zu-Ende-Verschlüsselung empfehlenswert. Bei der Nutzung privater Geräte ist auf eine Klassifizierung und Trennung der Daten, z. B. durch getrennte Benutzerkonten, zu achten.

Veröffentlichung von Vereins-Informationen

Im Fall der Veröffentlichung personenbezogener Daten – etwa von Namen, Funktionen, Bildern oder Geburtstagen – ist in aller Regel eine dokumentierte Einwilligung einzuholen. Dies gilt insbesondere bei:

  • Einzel- und Gruppenfotos bei Veranstaltungen,
  • Ergebnislisten von Turnieren oder Wettkämpfen,
  • Nennung von Ehrenmitgliedschaften oder Jubiläen,
  • Veröffentlichung von Sitzungsprotokollen oder Ansprechpartnern auf der Webseite.


Für Fotos gelten ergänzend die §§ 22, 23 KUG. Diese erlauben zwar in bestimmten Fällen eine Veröffentlichung ohne Einwilligung (z.B. bei Bildern von Versammlungen oder zeitgeschichtlichen Ereignissen), jedoch bestehen insbesondere bei der digitalen Verbreitung erhebliche Rechtsunsicherheiten. Im Verbandskontext sollte daher grundsätzlich eine Einwilligung eingeholt werden, die eindeutig, freiwillig und widerruflich sein muss.

Besondere Vorsicht ist auch bei der Weitergabe an Dienstleister geboten: Wird ein externer Dritter nicht nur unterstützend tätig, sondern verarbeitet die Daten im Auftrag, liegt regelmäßig eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor – dies erfordert einen gesonderten Vertrag.

Aus Gründen der Nachvollziehbarkeit und Rechenschaftspflicht sollte jede Datenübermittlung – insbesondere im Internet – intern dokumentiert werden, um bei Beschwerden oder Prüfungen durch Aufsichtsbehörden nachweisen zu können, dass die datenschutzrechtlichen Anforderungen eingehalten wurden.

Datenübermittlungen an Dritte – insbesondere an Dachverbände, verbandsnahe Organisationen, externe Dienstleister oder die Öffentlichkeit über Webseiten – bedürfen einer gesetzlichen Grundlage. Die Veröffentlichung personenbezogener Daten im Internet stellt eine Datenübermittlung im Sinne der DSGVO dar und ist regelmäßig nur auf der Grundlage einer Einwilligung zulässig. Gleiches gilt für Fotos, Sitzungsprotokolle und Ergebnislisten, sofern keine Ausnahme nach dem Kunsturhebergesetz (§§ 22, 23 KUG) greift. Sicherheitshalber sollte die Einwilligung in jedem Fall dokumentiert werden – insbesondere bei Einzel- und Gruppenfotos.

Auftragsverarbeitung und Webseite

Wird ein externer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Dies ist beispielsweise bei der Beauftragung von IT-Dienstleistern, Steuerberatern oder Hosting-Anbietern der Fall.

Auf der Website des Vereins muss eine Datenschutzerklärung gemäß DSGVO leicht zugänglich und auf jeder Unterseite abrufbar sein. Diese muss unter anderem Angaben zur verantwortlichen Stelle, zum Datenschutzbeauftragten (sofern bestellt), zu den Zwecken, den Rechtsgrundlagen, den Speicherfristen und den Betroffenenrechten enthalten. Cookie-Consent-Banner und transparente Informationen zu Tracking- und Analysetools sind ebenfalls verpflichtend.

Soziale Medien

Von der Nutzung von Facebook-Fanpages und anderen sozialen Netzwerken ist nach aktueller Rechtslage abzuraten, da diese die datenschutzrechtlichen Anforderungen der DSGVO – insbesondere hinsichtlich gemeinsamer Verantwortlichkeit und Drittlandübermittlungen – regelmäßig nicht erfüllen. Bei zwingender Nutzung sind zusätzliche technische Maßnahmen (z. B. Zweiklicklösungen) zu treffen.

Quelle: Datenschutz im Verein nach der DSGVO

Sie brauchen Unterstützung bei der Umsetzung im Verein? Wir bieten praxisnahe Datenschutzberatung und digitale Lösungen an – effizient, verständlich und rechtssicher.

Nehmen Sie Kontakt zu uns auf – wir helfen weiter!
☎️ +49 (228) 926165-100
📧  info@2b-advice.com

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge