Für wen gilt die DS-GVO?

Gilt die Datenschutz-Grundverordnung auch für Vereine?

Ja. Jeder Verein, der personenbezogene Daten verarbeitet, ist betroffen – auch gemeinnützige, nicht eingetragene oder nicht rechtsfähige Vereine. Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist ein „Verantwortlicher“ im datenschutzrechtlichen Sinne. Dieser ist insbesondere dafür verantwortlich, dass er die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) einhält. Vereine sind aber in der Regel nicht von allen Pflichten betroffen, die das (neue) Datenschutzrecht vorsieht.

Was sind personenbezogene Daten?

Gemäß Art. 4 Nr. 1 DS-GVO sind alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind zum Beispiel neben Namen, Anschrift, E-Mail-Adresse, Geschlecht und Geburtsdaten auch die Mitgliedschaft im Verein als solche, die Zuordnung zu einer Mannschaft oder Gruppe, oder Ergebnisse beim Ablegen des Sportabzeichens. Auch Fotos, die Personen abbilden, enthalten personenbezogene Daten und sind als solche ein personenbezogenes Datum, da mit ihrer Hilfe Personen eindeutig identifiziert werden können.

Was ist unter Datenverarbeitung zu verstehen?

Unter Datenverarbeitung ist jeder Umgang mit personenbezogenen Daten, wie z.B. das Erheben, die Speicherung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung sowie das Löschen gemeint (Art. 4 Abs. 2 DS-GVO). Vereine verarbeiten regelmäßig personenbezogene Daten ihrer Mitglieder und ggf. auch sonstiger Personen.

Beispiele für die Verarbeitung personenbezogener Daten durch Verei

  • Abbuchung von Mitgliedsbeiträgen
  • Einladung zur Mitgliederversammlung
  • Veröffentlichung von Wettkampfergebnissen
  • Weitergabe von Mitgliedsdaten an übergeordnete Verbände
  • Zusammenarbeit mit Sponsoren

Für wen im Verein gilt die Datenschutz-Grundverordnung konkret?

Verantwortlicher für die Einhaltung des Datenschutzes ist der gesetzliche Vertreter des Vereins, also in den meisten Fällen der Vorstand (§ 26 Bürgerliches Gesetzbuch). Dieser muss sicherstellen, dass der Verein und seine Funktionäre rechtskonform mit personenbezogenen Daten umgehen.

 Ist ein Verein Teil einer mehrstufigen Vereinsorganisation, hängen die datenschutzrechtlichen Verpflichtungen von der Ausgestaltung im Innenverhältnis ab. Je selbständiger und weisungsfreier ein Verein ist, desto mehr Verantwortung trägt er bzw. sein Vorstand bei der Umsetzung von Rechtsvorschriften. In bestimmten Konstellationen kann auch eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegen.

Drohen dem Vorstand Strafen bei einem Datenschutzverstoß?

Die Verordnung ist bereits am 25. Mai 2016 in Kraft getreten und wurde am 25. Mai 2018 direkt anwendbares Recht. Damit hatten alle Betroffenen zwei Jahre Vorbereitungszeit. Vereine haben die Verordnung zu beachten und die Datenschutzaufsichtsbehörden kontrollieren dies. Sie haben dazu zahlreiche Untersuchungs- und Abhilfebefugnisse und können diese auch mit Zwangsmitteln durchsetzen.

Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung, wie etwa unrechtmäßige Datenverarbeitungen oder die Nichtbeachtung der Dokumentations- oder Informationspflichten, können Schadensersatzansprüche von Betroffenen nach sich ziehen und mit Bußgeldern geahndet werden (Art. 82 und 83 DS-GVO). Daher sollten die Prozesse in den Vereinen sobald wie möglich an die neuen gesetzlichen Vorgaben angepasst werden.

In der Regel haftet der Vorstand. Ist ein Datenschutzbeauftragter bestellt und hat dieser falsch oder gar nicht beraten, kann der Vorstand diesen im Innenverhältnis haftbar machen.

Wer haftet, wenn der Auftragsverarbeiter gegen das Datenschutzrecht verstößt?

Grundsätzlich haftet der Auftragsverarbeiter selbst. Bei der Auswahl des Auftragnehmers ist der Auftraggeber aber verpflichtet darauf zu achten, nur mit solchen Auftragsverarbeitern zusammenzuarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Trifft den Auftraggeber hier bereits ein Auswahlverschulden, kann auch dieser haftbar gemacht werden.

Wer kontrolliert die Einhaltung der Datenschutz-Grundverordnung?

Die Einhaltung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten der Europäischen Union durch unabhängige Aufsichtsbehörden überwacht und durchgesetzt. In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer. Die BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, die Gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Länder zuständig. Für Vereine mit Hauptsitz in Rheinland-Pfalz ist dies der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Eine Übersicht über die Aufsichtsbehörden und deren Kontaktdaten findet sich auf der Website der BfDI. Die Aufsichtsbehörden der Mitgliedstaaten arbeiten bei der Überwachung und Durchsetzung der Datenschutz-Grundverordnung eng zusammen. Sie leisten sich gegenseitige Amtshilfe und können gemeinsame Maßnahmen durchführen.

Müssen Abmahnungen befürchtet werden?

Abmahnungen wegen eines Datenschutzverstoßes sind zwar nicht ausgeschlossen, aber voraussichtlich nicht in der Masse zu erwarten, wie es in den Medien zuweilen beschrieben wird. Abmahnungen sind ein Instrument zur Selbstregulierung des Wettbewerbs nach dem Gesetz gegen den unlauteren Wettbewerb (UWG). Das heißt, dass als Empfänger einer Abmahnung nur die Vereine in Betracht kommen, die vorrangig wirtschaftliche Interessen wahrnehmen oder erwerbswirtschaftlich tätig sind, z.B. indem sie Dienstleistungen anbieten, die üblicherweise gegen Entgelt erbracht werden. Das dürfte auf die meisten Vereine, insbesondere die kleineren, nicht zutreffen.

Weitere Voraussetzung für die Abmahnung wegen Datenschutzrechts ist, dass der Verstoß gegen eine datenschutzrechtliche Vorschrift gleichzeitig eine Verletzung des Wettbewerbsrechts darstellt, in der ein Mitbewerber einen Wettbewerbsnachteil für sich sieht. Welche der datenschutzrechtlichen Bestimmungen hierfür relevant sind, wird die Zeit zeigen.

Die Einhaltung des Wettbewerbsrechts unterliegt nicht der Kontrolle des Landesbeauftragten für den Datenschutz. Er darf zu diesem Rechtsgebiet auch nicht beraten. Es handelt sich um ein rein zivilrechtliches Themengebiet.

Einwilligung und andere Rechtsgrundlagen

Was hat es mit der Einwilligungserklärung auf sich?

Für jede Verarbeitung personenbezogener Daten benötigt man eine Rechtsgrundlage. Häufig besteht diese in einem Gesetz oder einem Vertrag. Ist dies nicht der Fall, kann die Einwilligungserklärung als Rechtsgrundlage dienen. An sie werden bestimmte Wirksamkeitsvoraussetzungen gestellt.

Wofür benötigt man KEINE Einwilligungserklärung?

Für die meisten Datenverarbeitungsvorgänge in einem Verein benötigt man keine Einwilligungserklärung. Rechtsgrundlage ist in der Regel der Mitgliedschaftsvertrag zwischen dem Mitglied und dem Verein, welcher zustande kommt, wenn das Mitglied den Beitrittsantrag stellt und dieser vom Vorstand angenommen wird. Dieser Vertrag ist Rechtsgrundlage für die Verwendung der Mitgliedsdaten z.B. zur Einladung zur Mitgliederversammlung, Erstellung und Versendung der Beitragsrechnung, Anmeldung zum Wettkampf oder zur Meldung bei der Versicherung des Vereins, also für alle Vorgänge, die unmittelbar mit dem Vereinszweck zusammenhängen. Der Vereinszweck ist in der Vereinsatzung beschrieben. Das neue Mitglied hat mit dem Beitritt zum Verein der Vereinssatzung, dem Vereinszweck und somit der Datenverarbeitung im Rahmen des Vereinszwecks zugestimmt.

Wird eine Einwilligungserklärung für das Versenden von Newslettern, Zeitschriften oder auch Gratulationspost durch den Verein benötigt?

In der Regel ist auch für die Versendung von Newslettern, Zeitschriften oder Gratulationspost durch den Verein an seine Mitglieder keine Einwilligungserklärung erforderlich. Für die Versendung solcher Post durch Unternehmen gelten nach § 7 Gesetz gegen den unlauteren Wettbewerb strengere Maßstäbe. Diese Vorschrift ist jedoch für Vereine nicht anwendbar, solange sie nicht geschäftlich handeln. 

Vereine können sich daher als Rechtsgrundlage auf das sog. "berechtigte Interesse" nach Art. 6 Abs. 1 lit. f DS-GVO stützen. Das heißt, die Zusendung ist auch ohne Einwilligungserklärung des Mitglieds erlaubt, sofern davon auszugehen ist, dass das Mitglied kein überwiegendes Interesse daran hat, diese Post nicht zu erhalten. Dies dürfte unwahrscheinlich, aber nicht ganz ausgeschlossen sein. Jedes Mitglied muss daher die Möglichkeit haben, jederzeit der weiteren Zusendung zu widersprechen. Auf diese Möglichkeit ist mit der versendeten Information hinzuweisen. Sie kennen den Satz sicher von anderen Newsletter-Abos: "Wenn Sie diesen Newsletter nicht mehr erhalten möchten, können Sie ihn unter dem folgenden Link oder der folgenden Adresse jederzeit abbestellen…"

Strengere Maßstäbe sind bei Nicht-Mitgliedern anzusetzen, die ggf. ebenfalls Vereins-Newsletter oder -Zeitschriften erhalten. Diese haben nicht der Vereinssatzung, dem Vereinszweck und den damit einhergehenden berechtigten Interessen, zugestimmt. Von Nicht-Mitgliedern ist daher fast immer eine Einwilligungserklärung einzuholen.

Benötigt man eine Einwilligungserklärung für vereinsinterne Nachrufe?

Keine Einwilligungserklärung außerdem ist für die Verwendung personenbezogener Daten im Rahmen eines Nachrufes erforderlich, es sei denn, es geht um die Veröffentlichung von Fotos. Gemäß § 22 Kunsturhebergesetz bedarf es nach dem Tode des Abgebildeten bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten.

Wofür wird regelmäßig eine Einwilligungserklärung benötigt?

Personenbezogene Daten besonderer Kategorien - wie beispielsweise Gesundheitsdaten, politische Meinungen etc. - dürfen grundsätzlich nur mit Einwilligung der betroffenen Person oder aufgrund einer ausdrücklichen gesetzlichen Befugnis verarbeitet werden (Art. 9 Abs. 1 und 2 DS-GVO, § 22 Bundesdatenschutzgesetz (BDSG)).

Dürfen Spendenaufrufe an die Mitglieder versendet werden?

Handelt es sich um einen Förderverein, dessen originärer Vereinszweck es ist, Spenden für ein bestimmtes Projekt oder eine bestimmte Einrichtung zu versenden, ergibt sich die Rechtsgrundlage aus dem Vereinszweck. Eine Einwilligungserklärung ist dann also ausnahmsweise nicht erforderlich. 

Ruft ein Verein zu Spenden zur Aufrechterhaltung der eigenen Vereinstätigkeit auf, kann hierfür in den meisten Fällen die gesetzliche Rechtsgrundlage der Wahrnehmung des berechtigten Vereinsinteresses herangezogen werden, ggf. sogar gegenüber Nicht-Mitgliedern. 

In allen anderen Fällen, also insbesondere vereinszweckfremde Spendenaufrufe, bedürfen der Einwilligungserklärung des Empfängers.

Was sind die Voraussetzungen für eine wirksame Einwilligung nach der Europäischen Datenschutz-Grundverordnung?

An die Wirksamkeit einer Einwilligungserklärung sind bestimmte Voraussetzungen geknüpft.

Sie muss insbesondere freiwillig und informiert erfolgen und ist darüber hinaus zweckgebunden, d.h. pauschale Einwilligungserklärungen – wie etwa „Ich willige in jedwede Verarbeitung meiner personenbezogenen Daten durch den Verein ein.“ – sind nicht rechtswirksam. Die Einwilligungserklärung kann jederzeit widerrufen werden. Darauf ist der Einwilligende ausdrücklich hinzuweisen.

Mit der Datenschutz-Grundverordnung ist es nicht mehr erforderlich, dass die Einwilligung schriftlich mit Unterschrift zu erfolgen hat. Sie ist nun grundsätzlich formfrei möglich. Der Verein muss jedoch in der Lage sein, das Vorliegen einer Einwilligung nachzuweisen. Denkbar ist eine Nachweisbarkeit z.B. bei einer Einwilligung per E-Mail oder auch online per Mausklick.

Bereits vor Geltung der Datenschutz-Grundverordnung erteilte Einwilligungen gelten fort, wenn „die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht". Die Bedingungen für die Fortgeltung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert

Mehr zu den Voraussetzungen einer wirksamen Einwilligungserklärung finden Sie hier. Ein Muster für eine Einwilligungserklärung stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg auf seiner Website zur Verfügung.

Können Kinder und Jugendliche selbst eine wirksame Einwilligung abgeben?

Grundsätzlich ist die Erteilung der Einwilligung in die Verarbeitung personenbezogener Daten eines Kindes nur durch den Träger der elterlichen Verantwortung zulässig. Ausnahmen ergeben sich aus den allgemeinen Bestimmungen des Bürgerlichen Gesetzbuches (§§ 106 ff. BGB). Handelt es sich um ein Angebot von Diensten der Informationsgesellschaft (z.B. die Verwendung eines Messenger-Dienstes zur vereinsinternen Kommunikation), können Kinder ab 16 Jahren wirksam ihre Einwilligung hierzu erteilen (Art. 8 DS-GVO). Die Einwilligung in die Verwendung eines Messenger-Dienstes zur vereinsinternen Kommunikation kann in der Regel im Beitritt zur Chat-Gruppe gesehen werden.

Dürfen im Rahmen der Vereinstätigkeit soziale Netzwerke oder Messenger-Dienste genutzt werden?

Die Nutzung sozialer Netzwerke ist datenschutzrechtlich nicht völlig ausgeschlossen. Es gibt jedoch eine Reihe von Punkten, die zu beachten sind. Bei der Wahl des Anbieters sollte Wert gelegt werden auf eine Ende-zu-Ende-Verschlüsselung, Datenspeicherung in Europa, keine Datenweitergabe an Dritte durch den Anbieter, Privatsphäre-Einstellungsmöglichkeiten (wie z.B. Nichtanzeige der Rufnummer, Verweigern des Zugriffs auf gespeicherte Bilder, auf das Telefonbuch oder auf die GPS-Daten), Möglichkeit Daten zu löschen). Es gibt gute Alternativen zu WhatsApp, wie etwa Threema, SIMSme oder Hoccer. In jedem Fall sollten die Mitglieder regelmäßig daran erinnert werden, in Gruppenchats sorgsam mit ihren eigenen Daten und denen anderer umzugehen.

Solange der gewählte Anbieter nicht alle datenschutzrechtlichen Anforderungen erfüllt, sollte den Mitgliedern ein alternativer Kommunikationsweg zumindest angeboten werden, wie z.B. Telefon, SMS, verschlüsselter E-Mail-Verkehr, damit sie über die Nutzung frei entscheiden können.

Weiterführende Informationen zu sozialen Netzwerken

Auf welcher Rechtsgrundlage dürfen Beschäftigtendaten verarbeitet werden?

Auch die Verarbeitung der personenbezogenen Daten von Beschäftigten, wie z.B. von Trainern oder Personal für die Mitgliederverwaltung, ist nur dann zulässig, wenn es eine Rechtsgrundlage dafür gibt. Wie im alten Datenschutzrecht (§ 32 BDSG-alt), gibt es auch im neuen Recht eine gesetzliche Grundlage hierfür (§ 26 BDSG-neu). Demnach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung erforderlich ist, wie z.B. im Rahmen des Bewerbungsverfahrens, für die Gehaltsabrechnung, für die Meldung zur Sozialversicherung, für Auslagenerstattungen oder auch durch Bekanntgabe von Name und ggf. Kontaktdaten von Funktionsträgern oder Sekretariatskräften an die Vereinsmitglieder.

Muss der Vorstand von Mitgliedern und Beschäftigten Unterschriften einholen?

In den Fällen, in denen die Datenverarbeitung eine Einwilligungserklärung erfordert, muss der Vorstand im Fall der Fälle das Vorliegen einer solchen Einwilligungserklärung für den konkreten Zweck nachweisen können. Ein bestimmtes Formerfordernis gibt es nicht. Der Nachweis kann also zum Beispiel sowohl mit einem unterschriebenen Dokument als auch lediglich mit einer elektronisch gespeicherten E-Mail erfolgen. 

Das gleiche gilt für die Erbringung des Nachweises der Erfüllung der Informationspflichten. Im Unterschied zur Einwilligungserklärung ist hier allerdings keine inhaltliche Zustimmung durch den Empfänger erforderlich, es genügt z.B. die Empfangsbestätigung. 

Im Rahmen des Beschäftigungsverhältnisses Angestellter oder auch ehrenamtlich Tätiger ist tatsächlich eine Unterschrift erforderlich. Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der Datenschutz-Grundverordnung zu erfolgen hat. Hinweise hierzu und ein Muster stellt das Bayerische Landesamt für Datenschutzaufsicht zur Verfügung.

Datenverarbeitung

Dürfen Mitgliederdaten auf dem heimischen Computer gespeichert werden?

Dies ist grundsätzlich erlaubt, solange die Mitgliederdaten gegen unbefugten Zugriff und Datenverlust geschützt sind. Standardmaßnahmen zum Schutz der Daten sind etwa (Liste ist nicht abschließend):

  • vorzugsweise ein lokales Speichermedium verwenden, wie etwa einen USB-Stick oder eine externe Festplatte
  • Speichermedium mit Passwort oder Schlüssel sichern ein Rollenberechtigungskonzept für Vereins-Ordner und Benutzerkonten implementieren, falls mehrere Personen Zugriff auf den Computer haben
  • Daten verschlüsseln
  • ggf. Datentransport verschlüsseln
  • Pseudonymisierung der Daten, soweit möglich
  • gute Sicherheitssoftware (z.B. Virenscanner, Firewall)
  • aktuelles Betriebssystem und aktueller Browser
  • Sicherheitsupdates zeitnah installieren
  • regelmäßige Backups
  • Löschkonzept (z.B. zu der Frage, wie Daten endgültig gelöscht werden können)
In welcher Form dürfen personenbezogene Daten gespeichert werden?

Personenbezogene Daten dürfen grundsätzlich in jedweder Form gespeichert werden, also z.B. elektronisch auf dem Computer, einer externen Festplatte oder auf einem USB-Stick, oder auch handschriftlich in einem Karteikartensystem. Wichtig ist, dass die Daten, wo auch immer sie gespeichert sind, sicher sind. Datensicherheit kann unter anderem durch verschließbare Aktenschränke, das Einrichten eines Passworts oder Dateiverschlüsselung erreicht werden. Je mehr dieser Komponenten verwendet werden, desto sicherer sind die Daten verwahrt.

Wann sind die Daten zu löschen?

Personenbezogene Daten sind grundsätzlich dann zu löschen, wenn keine Rechtsgrundlage für die Speicherung mehr besteht oder der Verwendungszweck erloschen ist. Wenn ein Mitglied den Verein verlässt und der Mitgliedschaftsvertrag damit beendet wird, entfällt dieser als Rechtsgrundlage für die Datenverarbeitung. Aufgrund gesetzlicher Vorgaben sind einige Daten dennoch weiter aufzubewahren (z.B. steuerliche Aufbewahrungspflicht, datenschutzrechtliche Nachweispflicht). Die technischen Möglichkeiten der Einschränkung der Verarbeitung (vormals bekannt als "sperren" der Daten) sind zu nutzen. Die Daten sind spätestens dann zu löschen, wenn auch die gesetzlichen Aufbewahrungsfristen abgelaufen sind.

Wie kann nachgewiesen werden, dass Daten gelöscht wurden?

Da der Nachweis einer Datenlöschung unter Umständen erneut zur Verarbeitung personenbezogener Daten führen würde, ist in der Regel die folgende Vorgehensweise ausreichend: 

Die Ausgestaltung eines Löschvorgangs sollte im Rahmen eines Löschkonzepts schriftlich dokumentiert sein. Aus dem Konzept sollte ersichtlich sein, dass der Datenbestand regelmäßig auf die Einhaltung der Aufbewahrungsfristen und Löschansprüche geprüft wird und etwaige Löschvorgänge gemäß der im Konzept dokumentierten technischen und organisatorischen Vorgaben durchgeführt werden. Außerdem ist die Verfahrensweise bei der Inanspruchnahme der Betroffenenrechte nach Art. 17 Abs. 1 Datenschutz-Grundverordnung ("Recht auf Vergessenwerden") ebenfalls festzulegen und schriftlich zu dokumentieren. 

Bezüglich des Löschens von Daten innerhalb einer bestehenden Datensicherung ist es ausreichend sicherzustellen, dass die möglicherweise nur noch in der Datensicherung vorhandenen personenbezogenen Daten im Rahmen der Datensicherungsstrategie nach einem festgelegten Zeitpunkt aus allen Backups entfernt werden. Die Datensicherungsstrategie sollte im Rahmen eines entsprechenden Konzeptes schriftlich dokumentiert sein. Datenträger bzw. deren Inhalte sind sicher aufzubewahren und nur Berechtigten im Rahmen ihrer Aufgabenerfüllung zugänglich zu machen. 

So kann auf die regelmäßige Dokumentation einzelner Löschvorgänge verzichtet und die erneute Verarbeitung personenbezogener Daten im Rahmen eines Löschvorgangs vermieden werden.

Dürfen Daten zu statistischen Zwecken gespeichert werden?

Soweit die zu statistischen Zwecken gespeicherten Daten keine Rückschlüsse auf einzelne Personen zulassen, also anonymisiert sind, handelt es sich nicht mehr um personenbezogene Daten. Eine Speicherbegrenzung gibt es somit nicht.

Welche Datenschutzrechte können Vereinsmitglieder und andere Personen gegenüber dem Vorstand geltend machen?

Jeder, dessen personenbezogene Daten durch den Verein verarbeitet werden, hat sog. Betroffenenrechte, die er dem Vorstand gegenüber geltend machen kann. Dazu zählen u.a. das Recht auf Auskunft über die gespeicherten personenbezogenen Daten, das Recht auf Berichtigung der Daten, das Recht auf Datenlöschung, soweit der Verein nicht gesetzlich zur weiteren Speicherung verpflichtete ist, und das Recht auf Widerspruch gegen die Verwendung bestimmter Daten (siehe Art. 15 - 23 Datenschutz-Grundverordnung). Der Verein muss technisch und organisatorisch in der Lage sein, geltend gemachte Betroffenenrechte zeitnah umzusetzen.

Veröffentlichung und Weitergabe personenbezogener Daten und Fotos

Darf ein Verein personenbezogene Daten demnächst überhaupt noch weitergeben?

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn eine Rechtsgrundlage dafür vorliegt. Die Veröffentlichung und die Weitergabe sind auch Datenverarbeitungen. Der Mitgliedschaftsvertrag ist eine solche Rechtsgrundlage. Er erlaubt die Weiterleitung der Mitgliedsdaten innerhalb des Vorstandes oder an andere Vereinsmitglieder, die mit der Mitgliederverwaltung betraut sind. 

Werden die Daten im Rahmen eines Auftragsverarbeitungsvertrages an eine externe Stelle weitergeleitet, bedarf diese Datenweiterleitung keiner gesonderten Rechtsgrundlage. Der Auftragnehmer kann sich auf die Rechtsgrundlage des Auftraggebers stützen, also den Mitgliedschaftsvertrag. 

Bei der Weiterleitung von Mitgliedsdaten eines eigenständigen Einzelvereins an den Dachverein handelt es sich um eine Weitergabe an Dritte, die eine gesonderte Rechtsgrundlage erfordert. Falls die Weiterleitung an den Dachverein im Rahmen der Vereinstätigkeit häufig vorkommt, kann die Rechtsgrundlage dadurch geschaffen werden, dass hierzu eine ausdrückliche Regelung in der Vereinssatzung aufgenommen wird, die mit dem Beitritt des Mitglieds in den Verein Bestandteil des Mitgliedschaftsvertrags wird. 

Die Weitergabe durch Vereinsmitglieder untereinander ist nur dann erlaubt, wenn es im Rahmen der Vereinstätigkeit erforderlich ist (z.B. Mitteilung der Teamaufstellung oder der Einteilung in bestimmte Wettkampfklassen an Co-Mitglieder) oder wenn es etwa Teil des Vereinszwecks ist, eine besondere persönliche Verbundenheit zwischen den Vereinsmitgliedern herzustellen und zu pflegen. Die Weitergabe von Mitgliedsdaten an Vereinsmitglieder zur weiteren Verwendung für die Mitglieder untereinander sollte mit dem Hinweis erfolgen, dass diese nur für Vereinszwecke genutzt werden dürfen.

Dürfen Daten noch per E-Mail verschickt werden?

Eine E-Mail ist vergleichbar mit einer Postkarte. Die Möglichkeit, dass unbefugte Dritte mitlesen, kann nicht ganz ausgeschlossen werden. Vereine sind nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) aber verpflichtet, die personenbezogenen Daten durch geeignete und angemessene Maßnahmen zu schützen. Grundsätzlich empfehlen wir deshalb, E-Mails mit personenbezogenen Daten nur verschlüsselt zu senden. Bei der Nutzung von E-Mail-Verteilern sollte außerdem immer die BCC-Funktion, auch Blindkopie-Funktion genannt, verwendet werden.

Darf zu besonderen Anlässen offiziell gratuliert werden?

Eine Grußkarte zu besonderen Anlässen darf an die betroffene Person auf der Grundlage von Art. 6 Abs. 1 lit. f DS-GVO gesendet werden. Auf der gleichen Rechtsgrundlage ist die Veröffentlichung personenbezogener Daten mit einem Bezug zum Verein – wie Eintritte, Austritte, Spenden, Geburtstage und Jubiläen – zulässig, wenn dem Verein keine schutzwürdigen Belange des Betroffenen bekannt sind, die dem entgegenstehen und wenn die Veröffentlichung vereinsintern erfolgt, also nicht z.B. im Internet. Es empfiehlt sich, beim Eintritt in den Verein darauf aufmerksam zu machen, welche Ereignisse üblicherweise am "Schwarzen Brett" oder im Vereinsblatt veröffentlicht werden und Möglichkeiten des Widerspruchs aufzuzeigen. 

Informationen aus dem persönlichen Lebensbereich eines Vereinsmitglieds (z.B. Eheschließungen, Geburt von Kindern, Abschluss von Schul- und Berufsausbildungen) dürfen jedoch nur veröffentlicht werden, wenn das Mitglied ausdrücklich seine Einwilligung hierzu erklärt hat.

Dürfen zum Zwecke der Ehrung personenbezogene Daten von Mitgliedern an den Dachverband gegeben werden?

Liegt keine Einwilligungserklärung vor, muss eine Interessenabwägung erfolgen. Für den Prüfungsvorgang, ob die Voraussetzungen für eine besondere Ehrung vorliegen, dürfen die Mitgliedsdaten im Regelfall an den Dachverband weitergeleitet werden. Auf diese Verfahrensweise sollte in der Satzung und im Informationsblatt zur Datenverarbeitung hingewiesen werden. Soll eine öffentliche Ehrung im Rahmen einer Veranstaltung erfolgen,  ist die betroffene Person noch einmal ausdrücklich auf ihr Widerspruchsrecht hinzuweisen, für den Fall, dass sie nicht teilnehmen oder auch erst gar nicht namentlich erwähnt werden möchte.

Dürfen zum Zwecke der Ehrung personenbezogene Daten von Mitgliedern an den Dachverband gegeben werden?

Liegt keine Einwilligungserklärung vor, muss eine Interessenabwägung erfolgen. Für den Prüfungsvorgang, ob die Voraussetzungen für eine besondere Ehrung vorliegen, dürfen die Mitgliedsdaten im Regelfall an den Dachverband weitergeleitet werden. Auf diese Verfahrensweise sollte in der Satzung und im Informationsblatt zur Datenverarbeitung hingewiesen werden. Soll eine öffentliche Ehrung im Rahmen einer Veranstaltung erfolgen,  ist die betroffene Person noch einmal ausdrücklich auf ihr Widerspruchsrecht hinzuweisen, für den Fall, dass sie nicht teilnehmen oder auch erst gar nicht namentlich erwähnt werden möchte.

Unter welchen Voraussetzungen dürfen Fotos und andere personenbezogene Daten am Schwarzen Brett, in der Vereinszeitschrift, im Newsletter, auf der Website oder in sozialen Medien veröffentlicht werden?

Die Datenschutz-Grundverordnung führt zu keinen wesentlichen Veränderungen der bisherigen Rechtslage im Umgang mit Fotografien. Wie bisher dürfen Fotos nur verarbeitet werden, wenn die betroffene Person eingewilligt hat oder eine Rechtsgrundlage dies erlaubt (Art. 6 Abs. 1 DS-GVO). Dabei ist es unerheblich, wie viele Personen auf dem Bild abgelichtet sind. Es sei denn, die Anzahl ist so groß, dass die einzelne Person nicht identifiziert werden kann, weil z.B. die Gesichtszüge nicht scharf zu erkennen sind.

Für die genannten Veröffentlichungsorte gibt es unterschiedliche Voraussetzungen. Als Rechtsgrundlage kommen in Betracht die Einwilligungserklärung gemäß Art. 6 Abs. 1 lit. a DS-GVO und die gesetzliche Grundlage nach Art. 6 Abs. 1 lit. f DS-GVO, wenn ein berechtigtes Interesse des Vereines vorliegt und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Für bestimmte Situationen hat der deutsche Gesetzgeber in § 23 Kunsturhebergesetz das Ergebnis der Interessenabwägung vorweggenommen. Diese Vorschrift besteht auch unter der Datenschutz-Grundverordnung fort. In den meisten Fällen muss der Verein bzw. der Vorstand die Interessenabwägung nach bestem Wissen und Gewissen selbst vornehmen. Mithilfe eines Informationskonzepts kann der Verein die Erwartbarkeit der Datenverarbeitung steigern, welche als ein Pluspunkt in der Waagschale für die Interessen des Vereins wirkt (siehe Erwägungsgrund 47 zur DS-GVO). Beispiel: Je mehr der Verein im Vorfeld einer Veranstaltung darüber informiert, dass geplant ist, Veranstaltungsfotos in einem Newsletter zu veröffentlichen (z.B. bereits auf der Eintrittskarte, außerdem gut sichtbar am Eingang des Veranstaltungsorts), desto eher kann ein Überwiegen des Vereinsinteresses angenommen werden, da der jeweilige Veranstaltungsteilnehmer dennoch – sozusagen wissentlich – die Veranstaltung besuchte.

Solange die Veröffentlichung in Vereinskreisen stattfindet, also z.B. am Schwarzen Brett, überwiegt in der Regel das Vereinsinteresse. So auch, wenn die Vereinszeitschrift oder der Newsletter ausschließlich an Vereinsmitglieder ausgegeben werden oder Fotos auf der Vereinswebsite lediglich im geschützten Mitgliederbereich angesehen werden können. Bei der Veröffentlichung im Newsletter oder im geschützten Mitgliederbereich auf der Website empfiehlt sich ein ausdrücklicher Hinweis, dass die Weiterleitung des Newsletters oder von Fotos an Nicht-Mitglieder aus datenschutzrechtlichen Gründen nicht zulässig ist. Da die Interessenabwägung immer das Risiko birgt, dass im Einzelfall doch das Interesse der abgebildeten Person an der Nicht-Veröffentlichung überwiegen könnte, sollte bereits in der Satzung sowie im Informationsblatt zur Datenverarbeitung auf die vereinsübliche Veröffentlichungspraxis hingewiesen und Widerspruchsmöglichkeiten hiergegen aufgezeigt werden.

Bei der Veröffentlichung auf einer Website oder in sozialen Medien, die für jedermann zugänglich ist, ist es hingegen in der Regel erforderlich, dass die abgebildete Person in die Veröffentlichung eingewilligt hat, es sei denn, sie ist nicht identifizierbar (z.B. wegen Unschärfe der Ablichtung). Ein entsprechendes Einwilligungsformular kann dem Neumitglied z.B. gleich im Anhang zum Mitgliedsantrag ausgehändigt werden.

Bei der Veröffentlichung von Fotos, auf denen Kinder abgebildet sind, ist besondere Vorsicht geboten. In diesem Fall ist bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO wegen der besonderen Schutzbedürftigkeit von Kindern ein höherer Maßstab beim Überwiegen des Vereinsinteresses anzusetzen. Um möglichen Konflikten und Beschwerden aus dem Weg zu gehen, ist die Einholung der Einwilligungserklärung bei den Eltern gleich zu Beginn der Mitgliedschaft sinnvoll.

Geht es um die Veröffentlichung von Fotos, die im Rahmen einer Vereinsveranstaltung geschossen wurden, die für jedermann zugänglich war (z.B. Karnevalssitzung, Fußballturnier), sind nicht nur die Datenschutzrechte der Mitglieder, sondern auch die der Gäste betroffen. Wenn bereits auf der Eintrittskarte und zusätzlich am Eingang auf das Veröffentlichungsvorhaben hingewiesen wurde, dürfte gegen die Veröffentlichung am Schwarzen Brett, in der Vereinszeitschrift und in einem vereinsinternen Newsletter nichts einzuwenden sein. Für die Veröffentlichung auf einer Website oder in sozialen Medien dürfte hingegen in aller Regel eine Einwilligungserklärung erforderlich sein, es sei denn, dass es sich bei der Veranstaltung um ein Großereignis handelt, bei welchem die Gäste offensichtlich mit der Veröffentlichung über die Vereinsgrenzen hinaus rechnen müssen.

In jedem Fall gilt, wenn eine Person gegen die vielleicht zunächst rechtmäßige Veröffentlichung widerspricht, muss das Foto gelöscht werden. Es sei denn, es handelt sich um eine Person der Zeitgeschichte und das öffentliche Interesse am Erhalt des Fotos überwiegt.

Weitere Informationen dazu, was im Zusammenhang mit Einwilligungserklärungen zu beachten ist, sowie ein Muster finden Sie hier.

Pflichten der Verantwortlichen

Worin unterscheiden sich Informationspflicht des Verantwortlichen, die Datenschutzerklärung und Einwilligungserklärung?

Die Einwilligungserklärung ist das aktiv abgegebene Einverständnis der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten zu einem ganz bestimmten Zweck, für den es keine gesetzliche oder vertragliche Grundlage gibt (z.B. Veröffentlichung von Fotos im Vereins-Newsletter). Die Einwilligung kann jederzeit widerrufen werden, wodurch die konkrete Datenverarbeitung für die Zukunft unzulässig wird, weil es keine Rechtsgrundlage mehr dafür gibt.

Die Informationspflicht des Verantwortlichen ist Ausfluss des Transparenzgebots. Der Verantwortliche soll z.B. darüber informieren, welche Daten auf welcher Rechtsgrundlage, zu welchem Zweck und wie lange verarbeitet werden und welche Rechte man als betroffene Person hinsichtlich der Datenverarbeitung hat. Es handelt sich also nur um eine Unterrichtung. Die betroffene Person muss nicht hierin einwilligen oder die Kenntnisnahme bestätigen. Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 Datenschutz-Grundverordnung (DS-GVO) muss der Verantwortliche aber nachweisen können, dass er der Informationspflicht nachgekommen ist. Bei einem per E-Mail versendetem Informationsblatt kann dies z.B. über einen Auszug aus dem Gesendet-Ordner dokumentiert werden. 

Die Datenschutzerklärung ist Teil der Informationspflicht für Verantwortliche, sie ist jedoch lediglich für Webseitenbetreiber relevant. Oftmals ist die Datenschutzerklärung sehr viel umfangreicher als das Informationsblatt zur Datenverarbeitung außerhalb eine Website, da der Webseitenbetreiber neben den Informationen darüber, welche Nutzerdaten er erhebt und wie diese verwendet werden, auch genaue Angaben zur Weiterleitung der Daten an soziale Netzwerke, dem Einsatz von Cookies, der Speicherung von Log-Dateien und zur Verschlüsselung bei der Datenübertragung machen muss.

Besteht eine Informationspflicht des Verantwortlichen gegenüber Bestandsmitgliedern?

Grundsätzlich nein, es sei denn, es werden neue Daten eines Bestandsmitglieds erhoben, z.B. wegen einer Adressänderung.

Wie muss die Information erfolgen?

Die Information muss in einer leicht zugänglichen Form erfolgen. Je nachdem, wie die Vereinskommunikation üblicherweise erfolgt, kommt eine Information z.B. per E-Mail, per Newsletter, über die Website, über ein Mitgliederportal oder per Post in Betracht. Der Hinweis auf diese Information muss aber so ausgestaltet sein, dass für jeden die Wichtigkeit der Kenntnisnahme dieser Information erkennbar ist. Die Information selbst muss leicht auffindbar sein. Bitte beachten Sie, dass bei Neumitgliedern die Information zum Zeitpunkt der Datenerhebung, also zum Beispiel beim Ausfüllen des Mitgliedsantrags, erfolgen muss. Wenn dies handschriftlich auf gedrucktem Papier erfolgt, muss das Informationsblatt ebenfalls in ausgedruckter Form vorliegen. Das Neumitglied darf dann nicht auf das Internet verwiesen werden. Weitere Informationen u.a. auch zum Inhalt der Information finden Sie im Kurzpapier Nr. 10. Zur Information über eine ggf. durchgeführte Videoüberwachung lesen Sie bitte auch das Kurzpapier Nr. 15.

Was ist ein Auftragsverarbeitungsvertrag und mit wem muss ich einen solchen abschließen?

Ein Auftragsverarbeiter ist – kurz gesagt – eine Stelle, die personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeitungsvertrag ist der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter, der ggf. gemäß Art. 28 DS-GVO geschlossen werden muss. Anwendungsfälle sind z.B., wenn Dienstleister die Beitrags- und Gehaltsabrechnung, die Aktenvernichtung oder den Druck der Vereinszeitschrift im Auftrag durchführen, oder die Mitgliederverwaltung unter Nutzung einer Cloud-Lösung stattfindet. Besonderheiten können gelten, wenn der Auftragnehmer seinen Sitz außerhalb der Europäischen Union hat.

Kein Auftragsverarbeitungsvertrag ist erforderlich, wenn Sie ein Finanzinstitut beauftragten, Zahlungsabwicklungen vorzunehmen. Die Datenverarbeitung beruht dann auf einer Vertragsgrundlage, nämlich einem Zahlungsabwicklungsvertrag. Auf dieser Grundlage darf das Finanzinstitut alle Daten verarbeiten, die zur Erfüllung dieses Vertrages erforderlich sind. Dies ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO. Es ist daher grundsätzlich nicht erforderlich, mit einem Kreditinstitut oder Finanzdienstleister zusätzlich einen Vertrag zur Auftragsverarbeitung abzuschließen. Das gleiche gilt z.B. für den Briefversand durch Postdienstleister. Auch wenn Steuerberater für Vereine tätig werden, liegt grundsätzlich keine Auftragsverarbeitung vor.

Weitere Informationen zur Auftragsverarbeitung

In welchen Fällen hat der Vorstand eine Meldepflicht gegenüber der Aufsichtsbehörde?
  • In dem Fall, dass ein Datenschutzbeauftragter zu bestellen ist, ist dieser einschließlich Kontaktdaten der zuständigen Aufsichtsbehörde z.B. über das Online-Meldeformular zu melden.
  • Meldepflichtige Datenpannen sind der zuständigen Aufsichtsbehörde über das Online-Meldeformular zu melden.
  • Das Verzeichnis der Verarbeitungstätigkeiten ist der Aufsichtsbehörde nur auf Anfrage zur Verfügung zu stellen.
Was ist bei einer Datenpanne zu tun?

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten. Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko. Die Datenpanne ist unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde zu melden. Es sollte vereinsintern festgelegt werden, wer im Verein für die Meldung verantwortlich ist und welcher Prozess hierbei zu beachten ist, insbesondere wie die ordnungsgemäße Meldung zu dokumentieren ist. Selbstverständlich ist bei einer noch andauernden Datenpanne diese schnellstmöglich abzustellen und es sind Maßnahmen zu ergreifen, die eine erneute Datenpanne dieser Art verhindern.

Datenschutzbeauftragte/r

Braucht jeder Verein künftig einen Datenschutzbeauftragten?

Grundsätzlich gilt hier: Wer bisher einen Datenschutzbeauftragten bestellen musste, muss dies in der Regel auch weiterhin. Allgemeine Aussagen darüber hinaus sind schwierig, denn große und kleine Vereine sind in vielen verschiedenen Feldern tätig.

Es ist daher jeweils im Einzelfall zu prüfen, ob nach den Vorgaben des Art. 37 Datenschutz-Grundverordnung (DS-GVO) oder § 38 Bundesdatenschutzgesetz (BDSG) ein Datenschutzbeauftragter zu bestellen ist. Sportvereine oder Vereine, die Gesundheitsdaten verarbeiten, kann etwa eine Pflicht nach Art. 37 Abs. 1 lit. c DS-GVO treffen, da ihre Kerntätigkeit möglicherweise in der Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO liegt. Zudem besteht eine Benennungspflicht nach § 38 Abs. 1 Satz 1 BDSG-neu, wenn regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Gezählt wird pro Kopf, unabhängig davon, ob jemand ehrenamtlich oder nur in Teilzeit beschäftigt ist. Entscheidend ist die "ständige" Beschäftigung mit der Datenverarbeitung. Dies wiederum ist ein auslegungsbedürftiger Begriff und bezieht sich nach erster Einschätzung nicht allein auf die Anzahl der Tage oder Stunden pro Woche, sondern voraussichtlich auch auf den Umfang der verarbeiteten Daten.

Unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten empfiehlt es sich, dass es im Verein zumindest eine Ansprechperson gibt, die sich in Fragen des Datenschutzes auskennt. Auch die freiwillige Bestellung eines Datenschutzbeauftragten ist möglich und zu empfehlen. Wird kein Datenschutzbeauftragter bestellt, muss der Vorstand die Einhaltung datenschutzrechtlicher Vorschriften sicherstellen.

Wer kann zum Datenschutzbeauftragten bestellt werden?

In einem Verein kann jeder Datenschutzbeauftragter werden, der nicht Teil des Vorstandes ist oder eine sonstige vereinsleitende Position inne hat, in welcher vereinsrelevante Entscheidungen von besonderem Gewicht getroffen werden, da er oder sie sich sonst selbst kontrollieren würde. Man spricht in diesem Fall von einem Interessenkonflikt, der dem Ziel des Datenschutzes widerspricht. Der Datenschutzbeauftragte muss im Rahmen seiner Zuständigkeiten weisungsfrei handeln und kritisch beraten können. Er ist niemandem unterstellt und berichtet und berät den Vorstand unmittelbar.

Findet sich innerhalb des Vereins niemand für diese Position, kann auch ein externer Datenschutzbeauftragter bestellt werden, z.B. von einer Rechtsanwaltskanzlei, einer Beratungsgesellschaft oder auch ein Mitarbeiter des Dachverbandes oder ein Mitglied eines anderen Vereins, welches ehrenamtlich die Tätigkeit des Datenschutzbeauftragten für verschiedene Vereine wahrnimmt.

Diese Person muss eine angemessene fachliche Qualifikation für die Tätigkeit haben oder diese erwerben, sowohl hinsichtlich rechtlicher als auch technischer Aspekte. Wie vertieft diese Kenntnisse sein müssen, ist eine Frage des Einzelfalles. Je komplexer die Datenverarbeitungen sind oder je mehr sensible Daten vorhanden sind, desto höhere Anforderungen sind an das notwendige Fachwissen des Datenschutzbeauftragten zu stellen. Werden etwa umfangreich Gesundheitsdaten verarbeitet, ist eine höhere Qualifikation erforderlich als in Vereinen, die lediglich eine Mitgliederliste mit Kontaktdaten führen.

Wem ist die Benennung des Datenschutzbeauftragten bekannt zu machen?

Nach Benennung eines Datenschutzbeauftragten sind dessen Kontaktdaten zu veröffentlichen (z.B. in der Vereinszeitschrift und  Homepage). Eine Funktionsadresse ohne Nennung des Namens ist ausreichend. 

Die Meldung der Person des Datenschutzbeauftragten an die Aufsichtsbehörde muss jedoch mit den vollständigen Kontaktdaten erfolgen. Hierfür verwenden Sie bitte das online zur Verfügung gestellte Online-Meldeformular.

Welcher Haftung ist der Datenschutzbeauftragte ausgesetzt?

Ein Datenschutzbeauftragter kann unter Umständen im Innenverhältnis zum Verein zivilrechtlich haften, wenn er datenschutzrechtliche Probleme erkennt, diese jedoch nicht dem Verein mitteilt und daraus ein Schaden bei Mitgliedern oder dem Verein entsteht, zum Beispiel durch die Verhängung eines Bußgeldes durch die Aufsichtsbehörde. Auch Schäden, die dadurch entstehen, dass datenschutzrelevante Gefahren nicht erkannt wurden, aber hätten erkannt werden müssen, können Schadenersatzansprüche auslösen.  Wann eine Gefahr hätte erkannt werden müssen, richtet sich nach der jeweiligen Professionalität des Datenschutzbeauftragten. Es werden also bei ehrenamtlichen Datenschutzbeauftragten andere Maßstäbe angesetzt als bei hauptberuflich tätigen Datenschutzbeauftragten. 

Das Haftungsrisiko kann durch Abschluss eines Haftpflichtversicherungsvertrags abgemildert werden. Der Verein kann den Datenschutzbeauftragten außerdem von Schadensersatzansprüchen, auch gegenüber Dritten, freistellen. Sowohl der Versicherungsschutz als auch die Haftungsfreistellung hat ihre Grenzen bei grob fahrlässigem Verhalten, das heißt, wenn der Datenschutzbeauftragte die zu beachtende Sorgfalt in besonders schwerem Maße verletzt, dann haftet er dennoch persönlich. 

Auf der Homepage des LfDI stehen zahlreiche weitere Informationen rund um das Thema Datenschutzbeauftragter zur Verfügung. Sollte dort vom "Unternehmen" die Rede sein, kann dieser Begriff gedanklich durch das Wort "Verein" ersetzt werden, da die Anforderungen dieselben sind.

Webseite

Braucht ein Verein eine Datenschutzerklärung? Wenn ja, was muss drin stehen?

Jede Webseite muss eine Datenschutzerklärung enthalten, also auch die eines Vereins. Sie sollte direkt auf der ersten Seite verlinkt sein, z.B. neben dem Link zum Impressum.

Hilfestellungen zum Verfassen einer Datenschutzerklärung sowie ein Muster

Was muss beachtet werden, wenn auf der Webseite ein Kontaktformular zur Verfügung gestellt wird?

Im Kontaktformular dürfen nur so viele Daten abgefragt werden, wie für die Bearbeitung der Kontaktanfrage erforderlich sind. Ggf. können bestimmte Felder als Pflichtfelder und andere als freiwillige Angabe gekennzeichnet werden.

Vor dem Versenden des ausgefüllten Formulars muss die Information nach Art. 13 DS-GVO erfolgen, z.B. per Link auf ein PDF.

Die Versendung der im Kontaktformular eingegebenen Daten an die empfangende Stelle im Verein muss verschlüsselt erfolgen. Falls eine Verschlüsselung nicht möglich ist, muss der Verwender vor Absenden des Formulars darauf hingewiesen und es muss ihm ein alternativer Weg zur Kontaktaufnahme angeboten werden.

Dürfen Fotos von Veranstaltungen und andere personenbezogene Daten vom Vorstand, von Vereinsmitgliedern oder anderen Personen auf der Webseite oder in sozialen Medien veröffentlicht werden?
Darf auf der Vereinswebseite Google Analytics eingesetzt werden?

 

Lesen Sie hier

Weitere Informationen

Text der Datenschutz-Grundverordnung der Europäischen Union

Text des neuen Bundesdatenschutzgesetzes

Präsentation: Informationen zum Datenschutz im Verein

Weitergehende Informationen für Vereine stellt der Landesbeauftragte für den Datenschutz in Baden-Württemberg zur Verfügung:

Ansonsten können Sie auch auf das folgende Informationsmaterial für Unternehmen zurückgreifen, da die Vorschriften der Datenschutz-Grundverordnung für Unternehmen und Vereine gleichermaßen gelten: