Vereine

Nicht nur Unternehmen, Behörden und Institutionen sind verpflichtet, die Regelungen der Datenschutz-Grundverordnung (DS-GVO) und des neuen Bundesdatenschutzgesetzes bis zum 25. Mai 2018 umgesetzt zu haben, sondern auch alle Vereine, einschließlich der gemeinnützigen, nicht eingetragenen oder nicht rechtsfähigen Vereine. Angefangen vom Mitgliedsantrag über Einladungen zu Veranstaltungen oder Mitgliederversammlungen bis hin zum Internetauftritt eines Vereins – im Vereinsleben gibt es viele Szenarien, in denen personenbezogene Daten, wie Name, Anschrift, E-Mail-Adresse, Geburtsdatum oder Geschlecht verarbeitet werden.

Vieles ist, insbesondere in Deutschland, mit dem neuen Datenschutzrecht beim Alten geblieben. Vorhandene Strukturen und Prozesse in Vereinen, die sich an dem alten Datenschutzrecht orientiert haben, zahlen sich aus. Hier sind oft nur wenige Anpassungen notwendig. Vereine hingegen, die das Thema Datenschutz bislang vernachlässigt haben, haben viel nachzuholen, um ihre Organisation datenschutzgerecht zu gestalten.

Machen Sie eine Bestandsaufnahme: Welche Mitgliedsdaten, Ergebnislisten von Wettkämpfen und auch Beschäftigtendaten liegen im Verein vor? Wofür werden sie verwendet (z.B. Mitgliederverwaltung, Beitragsverwaltung, Lohnabrechnung, Einladungen, Newsletter, Betrieb der Vereinswebsite, Veröffentlichung von Mitgliederfotos auf der Vereinswebsite)?

Verfahren Sie dann nach den folgenden Hinweisen, die der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zusammengestellt hat: Die 10 wichtigsten Hinweise für Vereinsvorstände und andere Personen, die mit dem Datenschutz in Vereinen befasst sind

Die am häufigsten von Vereinen gestellten Fragen werden nachfolgend beantwortet.

Für wen gilt die DS-GVO?

Ja. Jeder Verein, der personenbezogene Daten verarbeitet, ist betroffen – auch gemeinnützige, nicht eingetragene oder nicht rechtsfähige Vereine. Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist ein „Verantwortlicher“ im datenschutzrechtlichen Sinne. Dieser ist insbesondere dafür verantwortlich, dass er die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) einhält. Vereine sind aber in der Regel nicht von allen Pflichten betroffen, die das (neue) Datenschutzrecht vorsieht.

Gemäß Art. 4 Nr. 1 DS-GVO sind alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind zum Beispiel neben Namen, Anschrift, E-Mail-Adresse, Geschlecht und Geburtsdaten auch die Mitgliedschaft im Verein als solche, die Zuordnung zu einer Mannschaft oder Gruppe, oder Ergebnisse beim Ablegen des Sportabzeichens. Auch Fotos, die Personen abbilden, enthalten personenbezogene Daten und sind als solche ein personenbezogenes Datum, da mit ihrer Hilfe Personen eindeutig identifiziert werden können.

Unter Datenverarbeitung ist jeder Umgang mit personenbezogenen Daten, wie z.B. das Erheben, die Speicherung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung sowie das Löschen gemeint (Art. 4 Abs. 2 DS-GVO). Vereine verarbeiten regelmäßig personenbezogene Daten ihrer Mitglieder und ggf. auch sonstiger Personen.

Beispiele für die Verarbeitung personenbezogener Daten durch Verei

  • Abbuchung von Mitgliedsbeiträgen
  • Einladung zur Mitgliederversammlung
  • Veröffentlichung von Wettkampfergebnissen
  • Weitergabe von Mitgliedsdaten an übergeordnete Verbände
  • Zusammenarbeit mit Sponsoren

Verantwortlicher für die Einhaltung des Datenschutzes ist der gesetzliche Vertreter des Vereins, also in den meisten Fällen der Vorstand (§ 26 Bürgerliches Gesetzbuch). Dieser muss sicherstellen, dass der Verein und seine Funktionäre rechtskonform mit personenbezogenen Daten umgehen.

 Ist ein Verein Teil einer mehrstufigen Vereinsorganisation, hängen die datenschutzrechtlichen Verpflichtungen von der Ausgestaltung im Innenverhältnis ab. Je selbständiger und weisungsfreier ein Verein ist, desto mehr Verantwortung trägt er bzw. sein Vorstand bei der Umsetzung von Rechtsvorschriften. In bestimmten Konstellationen kann auch eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegen.

Die Verordnung ist bereits am 25. Mai 2016 in Kraft getreten und wurde am 25. Mai 2018 direkt anwendbares Recht. Damit hatten alle Betroffenen zwei Jahre Vorbereitungszeit. Vereine haben die Verordnung zu beachten und die Datenschutzaufsichtsbehörden kontrollieren dies. Sie haben dazu zahlreiche Untersuchungs- und Abhilfebefugnisse und können diese auch mit Zwangsmitteln durchsetzen.

Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung, wie etwa unrechtmäßige Datenverarbeitungen oder die Nichtbeachtung der Dokumentations- oder Informationspflichten, können Schadensersatzansprüche von Betroffenen nach sich ziehen und mit Bußgeldern geahndet werden (Art. 82 und 83 DS-GVO). Daher sollten die Prozesse in den Vereinen sobald wie möglich an die neuen gesetzlichen Vorgaben angepasst werden.

In der Regel haftet der Vorstand. Ist ein Datenschutzbeauftragter bestellt und hat dieser falsch oder gar nicht beraten, kann der Vorstand diesen im Innenverhältnis haftbar machen.

Grundsätzlich haftet der Auftragsverarbeiter selbst. Bei der Auswahl des Auftragnehmers ist der Auftraggeber aber verpflichtet darauf zu achten, nur mit solchen Auftragsverarbeitern zusammenzuarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Trifft den Auftraggeber hier bereits ein Auswahlverschulden, kann auch dieser haftbar gemacht werden.

Die Einhaltung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten der Europäischen Union durch unabhängige Aufsichtsbehörden überwacht und durchgesetzt. In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer. Die BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, die Gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Länder zuständig. Für Vereine mit Hauptsitz in Rheinland-Pfalz ist dies der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Eine Übersicht über die Aufsichtsbehörden und deren Kontaktdaten findet sich auf der Website des BfDI. Die Aufsichtsbehörden der Mitgliedstaaten arbeiten bei der Überwachung und Durchsetzung der Datenschutz-Grundverordnung eng zusammen. Sie leisten sich gegenseitige Amtshilfe und können gemeinsame Maßnahmen durchführen.

Abmahnungen wegen eines Datenschutzverstoßes sind zwar nicht ausgeschlossen, aber voraussichtlich nicht in der Masse zu erwarten, wie es in den Medien zuweilen beschrieben wird. Abmahnungen sind ein Instrument zur Selbstregulierung des Wettbewerbs nach dem Gesetz gegen den unlauteren Wettbewerb (UWG). Das heißt, dass als Empfänger einer Abmahnung nur die Vereine in Betracht kommen, die vorrangig wirtschaftliche Interessen wahrnehmen oder erwerbswirtschaftlich tätig sind, z.B. indem sie Dienstleistungen anbieten, die üblicherweise gegen Entgelt erbracht werden. Das dürfte auf die meisten Vereine, insbesondere die kleineren, nicht zutreffen.

Weitere Voraussetzung für die Abmahnung wegen Datenschutzrechts ist, dass der Verstoß gegen eine datenschutzrechtliche Vorschrift gleichzeitig eine Verletzung des Wettbewerbsrechts darstellt, in der ein Mitbewerber einen Wettbewerbsnachteil für sich sieht. Welche der datenschutzrechtlichen Bestimmungen hierfür relevant sind, wird die Zeit zeigen.

Die Einhaltung des Wettbewerbsrechts unterliegt nicht der Kontrolle des Landesbeauftragten für den Datenschutz. Er darf zu diesem Rechtsgebiet auch nicht beraten. Es handelt sich um ein rein zivilrechtliches Themengebiet.

Einwilligung und andere Rechtsgrundlagen

Für jede Verarbeitung personenbezogener Daten benötigt man eine Rechtsgrundlage. Häufig besteht diese in einem Gesetz oder einem Vertrag. Ist dies nicht der Fall, kann die Einwilligungserklärung als Rechtsgrundlage dienen. An sie werden bestimmte Wirksamkeitsvoraussetzungen gestellt.

Für die meisten Datenverarbeitungsvorgänge in einem Verein benötigt man keine Einwilligungserklärung. Rechtsgrundlage ist in der Regel der Mitgliedschaftsvertrag zwischen dem Mitglied und dem Verein, welcher zustande kommt, wenn das Mitglied den Beitrittsantrag stellt und dieser vom Vorstand angenommen wird. Dieser Vertrag ist Rechtsgrundlage für die Verwendung der Mitgliedsdaten z.B. zur Einladung zur Mitgliederversammlung, Erstellung und Versendung der Beitragsrechnung, Anmeldung zum Wettkampf oder zur Meldung bei der Versicherung des Vereins, also für alle Vorgänge, die unmittelbar mit dem Vereinszweck zusammenhängen. Der Vereinszweck ist in der Vereinsatzung beschrieben. Das neue Mitglied hat mit dem Beitritt zum Verein der Vereinssatzung, dem Vereinszweck und somit der Datenverarbeitung im Rahmen des Vereinszwecks zugestimmt.

In der Regel ist auch für die Versendung von Newslettern, Zeitschriften oder Gratulationspost durch den Verein an seine Mitglieder keine Einwilligungserklärung erforderlich. Für die Versendung solcher Post durch Unternehmen gelten nach § 7 Gesetz gegen den unlauteren Wettbewerb strengere Maßstäbe. Diese Vorschrift ist jedoch für Vereine nicht anwendbar, solange sie nicht geschäftlich handeln. 

Vereine können sich daher als Rechtsgrundlage auf das sog. "berechtigte Interesse" nach Art. 6 Abs. 1 lit. f DS-GVO stützen. Das heißt, die Zusendung ist auch ohne Einwilligungserklärung des Mitglieds erlaubt, sofern davon auszugehen ist, dass das Mitglied kein überwiegendes Interesse daran hat, diese Post nicht zu erhalten. Dies dürfte unwahrscheinlich, aber nicht ganz ausgeschlossen sein. Jedes Mitglied muss daher die Möglichkeit haben, jederzeit der weiteren Zusendung zu widersprechen. Auf diese Möglichkeit ist mit der versendeten Information hinzuweisen. Sie kennen den Satz sicher von anderen Newsletter-Abos: "Wenn Sie diesen Newsletter nicht mehr erhalten möchten, können Sie ihn unter dem folgenden Link oder der folgenden Adresse jederzeit abbestellen…"

Strengere Maßstäbe sind bei Nicht-Mitgliedern anzusetzen, die ggf. ebenfalls Vereins-Newsletter oder -Zeitschriften erhalten. Diese haben nicht der Vereinssatzung, dem Vereinszweck und den damit einhergehenden berechtigten Interessen, zugestimmt. Von Nicht-Mitgliedern ist daher fast immer eine Einwilligungserklärung einzuholen.

Keine Einwilligungserklärung ist außerdem für die Verwendung personenbezogener Daten im Rahmen eines Nachrufes erforderlich, es sei denn, es geht um die Veröffentlichung von Fotos. Gemäß § 22 Kunsturhebergesetz bedarf es nach dem Tode des Abgebildeten bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten.

Personenbezogene Daten besonderer Kategorien - wie beispielsweise Gesundheitsdaten, politische Meinungen etc. - dürfen grundsätzlich nur mit Einwilligung der betroffenen Person oder aufgrund einer ausdrücklichen gesetzlichen Befugnis verarbeitet werden (Art. 9 Abs. 1 und 2 DS-GVO, § 22 Bundesdatenschutzgesetz (BDSG)).

Handelt es sich um einen Förderverein, dessen originärer Vereinszweck es ist, Spenden für ein bestimmtes Projekt oder eine bestimmte Einrichtung zu versenden, ergibt sich die Rechtsgrundlage aus dem Vereinszweck. Eine Einwilligungserklärung ist dann also ausnahmsweise nicht erforderlich. 

Ruft ein Verein zu Spenden zur Aufrechterhaltung der eigenen Vereinstätigkeit auf, kann hierfür in den meisten Fällen die gesetzliche Rechtsgrundlage der Wahrnehmung des berechtigten Vereinsinteresses herangezogen werden, ggf. sogar gegenüber Nicht-Mitgliedern. 

In allen anderen Fällen, also insbesondere vereinszweckfremde Spendenaufrufe, bedürfen der Einwilligungserklärung des Empfängers.

An die Wirksamkeit einer Einwilligungserklärung sind bestimmte Voraussetzungen geknüpft.

Sie muss insbesondere freiwillig und informiert erfolgen und ist darüber hinaus zweckgebunden, d.h. pauschale Einwilligungserklärungen – wie etwa „Ich willige in jedwede Verarbeitung meiner personenbezogenen Daten durch den Verein ein.“ – sind nicht rechtswirksam. Die Einwilligungserklärung kann jederzeit widerrufen werden. Darauf ist der Einwilligende ausdrücklich hinzuweisen.

Mit der Datenschutz-Grundverordnung ist es nicht mehr erforderlich, dass die Einwilligung schriftlich mit Unterschrift zu erfolgen hat. Sie ist nun grundsätzlich formfrei möglich. Der Verein muss jedoch in der Lage sein, das Vorliegen einer Einwilligung nachzuweisen. Denkbar ist eine Nachweisbarkeit z.B. bei einer Einwilligung per E-Mail oder auch online per Mausklick.

Bereits vor Geltung der Datenschutz-Grundverordnung erteilte Einwilligungen gelten fort, wenn „die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht". Die Bedingungen für die Fortgeltung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert

Mehr zu den Voraussetzungen einer wirksamen Einwilligungserklärung finden Sie hier. Ein Muster für eine Einwilligungserklärung stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg auf seiner Website zur Verfügung.

Für eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten muss die betroffene Person nicht volljährig sein. Sie muss jedoch einwilligungsfähig sein. Einwilligungsfähigkeit liegt vor, wenn die einwilligende Person nach ihrer geistigen und sittlichen Reife imstande ist, Wesen, Bedeutung und Tragweite des fraglichen Eingriffs zu erkennen und sachgerecht zu beurteilen. Dies bedeutet im konkreten Fall, dass der junge Mensch fähig sein muss, selbstständig eine Entscheidung darüber treffen zu können, ob er mit der Verarbeitung einverstanden ist. Eine feste Altersgrenze für diesen Fall sehen weder die DS-GVO noch das deutsche Datenschutzrecht vor.

Hinsichtlich der Internetnutzungsdaten bei Diensten der Informationsgesellschaft (Internetseiten, Social Media), die sich gezielt an Kinder und Jugendliche richten, können Kinder ab 16 Jahren wirksam ihre Einwilligung erteilen (Art. 8 DS-GVO). Der LfDI geht davon aus, dass auch für andere Datenverarbeitungsvorgänge bei Jugendlichen, die das Internet betreffen, das 16. Lebensjahr zumindest als Ausgangspunkt für die Bewertung des Einzelfalls herangezogen werden kann.

Soll eine Einwilligung für einen längeren Zeitraum gelten, in dem der Jugendliche die Einwilligungsfähigkeit erlangt oder ist der Verantwortliche bei Einholung der Einwilligung nicht sicher, ob der Jugendliche bereits einwilligungsfähig ist, empfiehlt sich, eine Einwilligung der Sorgeberechtigten einzuholen.

Bei allein sorgeberechtigten Eltern muss nur der sorgeberechtigte Elternteil einwilligen. Sind die Eltern gemeinsam sorgeberechtigt, müssen sie im gegenseitigen Einvernehmen für das Kind entscheiden (§ 1627 BGB). Bei Routineentscheidungen des täglichen Lebens bedarf es lediglich der Einwilligung eines Elternteiles. Bei Angelegenheiten von erheblicher Bedeutung verlangt § 1687 Abs. 1 BGB jedoch die Einwilligung beider Sorgerechtsberechtigten. Wann eine Angelegenheit von erheblicher Bedeutung vorliegt, ist auch im Einzelfall zu entscheiden. Die Veröffentlichung eines Bildes eines Kindes oder Jugendlichen im Internet kann z.B. durchaus von erheblicher Bedeutung sein, wenn dies im Internet oder zu werblichen Zwecken erfolgt. In diesem Fall muss dann die Einwilligung beider Elternteile vorliegen.

Werden Jugendliche einsichtsfähig, können sie die von den Sorgeberechtigten erteilte Einwilligung widerrufen.

Die Nutzung sozialer Netzwerke ist datenschutzrechtlich nicht ausgeschlossen. Bei der Wahl sollten die Vereinsmitglieder jedoch auf mögliche Risiken hingewiesen werden und alternative Kommunikationswege wie z.B. Telefon, SMS oder verschlüsselte E-Mail angeboten werden.

Beim Einsatz von Messenger Diensten sollten folgende Punkte bei der Wahl des Anbieters berücksichtigt werden:

  • Kommunikation mit einer Ende-zu-Ende-Verschlüsselung
  • Datenspeicherung in Europa
  • Keine Datenweitergabe an Dritte durch den Anbieter
  • Die Privatsphäre-Einstellung sollte Folgendes ermöglichen: Nichtanzeige der Rufnummer, Verweigern des Zugriffs auf gespeicherte Bilder sowie auf das Telefonbuch oder auf die GPS-Daten, Möglichkeit, Daten zu löschen

Informationen zum Messenger-Dienst WhatsApp finden Sie hier.

Auch die Verarbeitung der personenbezogenen Daten von Beschäftigten, wie z.B. von Trainern oder Personal für die Mitgliederverwaltung, ist nur dann zulässig, wenn es eine Rechtsgrundlage dafür gibt. Wie im alten Datenschutzrecht (§ 32 BDSG-alt), gibt es auch im neuen Recht eine gesetzliche Grundlage hierfür (§ 26 BDSG-neu). Demnach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung erforderlich ist, wie z.B. im Rahmen des Bewerbungsverfahrens, für die Gehaltsabrechnung, für die Meldung zur Sozialversicherung, für Auslagenerstattungen oder auch durch Bekanntgabe von Name und ggf. Kontaktdaten von Funktionsträgern oder Sekretariatskräften an die Vereinsmitglieder.

In den Fällen, in denen die Datenverarbeitung eine Einwilligungserklärung erfordert, muss der Vorstand im Fall der Fälle das Vorliegen einer solchen Einwilligungserklärung für den konkreten Zweck nachweisen können. Ein bestimmtes Formerfordernis gibt es nicht. Der Nachweis kann also zum Beispiel sowohl mit einem unterschriebenen Dokument als auch lediglich mit einer elektronisch gespeicherten E-Mail erfolgen. 

Das gleiche gilt für die Erbringung des Nachweises der Erfüllung der Informationspflichten. Im Unterschied zur Einwilligungserklärung ist hier allerdings keine inhaltliche Zustimmung durch den Empfänger erforderlich. 

Im Rahmen des Beschäftigungsverhältnisses Angestellter oder auch ehrenamtlich Tätiger ist tatsächlich eine Unterschrift erforderlich. Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der Datenschutz-Grundverordnung zu erfolgen hat. Hinweise hierzu und ein Muster finden Sie hier.

Datenverarbeitung

Dies ist grundsätzlich erlaubt, solange die Mitgliederdaten gegen unbefugten Zugriff und Datenverlust geschützt sind. Standardmaßnahmen zum Schutz der Daten sind etwa (Liste ist nicht abschließend):

  • vorzugsweise ein lokales Speichermedium verwenden, wie etwa einen USB-Stick oder eine externe Festplatte
  • Speichermedium mit Passwort oder Schlüssel sichern ein Rollenberechtigungskonzept für Vereins-Ordner und Benutzerkonten implementieren, falls mehrere Personen Zugriff auf den Computer haben
  • Daten verschlüsseln
  • ggf. Datentransport verschlüsseln
  • Pseudonymisierung der Daten, soweit möglich
  • gute Sicherheitssoftware (z.B. Virenscanner, Firewall)
  • aktuelles Betriebssystem und aktueller Browser
  • Sicherheitsupdates zeitnah installieren
  • regelmäßige Backups
  • Löschkonzept (z.B. zu der Frage, wie Daten endgültig gelöscht werden können)

In welcher Form dürfen personenbezogene Daten gespeichert werden?

Personenbezogene Daten dürfen grundsätzlich in jedweder Form gespeichert werden, also z.B. elektronisch auf dem Computer, einer externen Festplatte oder auf einem USB-Stick, oder auch handschriftlich in einem Karteikartensystem. Wichtig ist, dass die Daten, wo auch immer sie gespeichert sind, sicher sind. Datensicherheit kann unter anderem durch verschließbare Aktenschränke, das Einrichten eines Passworts oder Dateiverschlüsselung erreicht werden. Je mehr dieser Komponenten verwendet werden, desto sicherer sind die Daten verwahrt.

Personenbezogene Daten sind grundsätzlich dann zu löschen, wenn keine Rechtsgrundlage für die Speicherung mehr besteht oder der Verwendungszweck erloschen ist. Wenn ein Mitglied den Verein verlässt und der Mitgliedschaftsvertrag damit beendet wird, entfällt dieser als Rechtsgrundlage für die Datenverarbeitung. Aufgrund gesetzlicher Vorgaben sind einige Daten dennoch weiter aufzubewahren (z.B. steuerliche Aufbewahrungspflicht, datenschutzrechtliche Nachweispflicht). Die technischen Möglichkeiten der Einschränkung der Verarbeitung (vormals bekannt als "sperren" der Daten) sind zu nutzen. Die Daten sind spätestens dann zu löschen, wenn auch die gesetzlichen Aufbewahrungsfristen abgelaufen sind.

Da der Nachweis einer Datenlöschung unter Umständen erneut zur Verarbeitung personenbezogener Daten führen würde, ist in der Regel die folgende Vorgehensweise ausreichend: 

Die Ausgestaltung eines Löschvorgangs sollte im Rahmen eines Löschkonzepts schriftlich dokumentiert sein. Aus dem Konzept sollte ersichtlich sein, dass der Datenbestand regelmäßig auf die Einhaltung der Aufbewahrungsfristen und Löschansprüche geprüft wird und etwaige Löschvorgänge gemäß der im Konzept dokumentierten technischen und organisatorischen Vorgaben durchgeführt werden. Außerdem ist die Verfahrensweise bei der Inanspruchnahme der Betroffenenrechte nach Art. 17 Abs. 1 Datenschutz-Grundverordnung ("Recht auf Vergessenwerden") ebenfalls festzulegen und schriftlich zu dokumentieren. 

Bezüglich des Löschens von Daten innerhalb einer bestehenden Datensicherung ist es ausreichend sicherzustellen, dass die möglicherweise nur noch in der Datensicherung vorhandenen personenbezogenen Daten im Rahmen der Datensicherungsstrategie nach einem festgelegten Zeitpunkt aus allen Backups entfernt werden. Die Datensicherungsstrategie sollte im Rahmen eines entsprechenden Konzeptes schriftlich dokumentiert sein. Datenträger bzw. deren Inhalte sind sicher aufzubewahren und nur Berechtigten im Rahmen ihrer Aufgabenerfüllung zugänglich zu machen. 

So kann auf die regelmäßige Dokumentation einzelner Löschvorgänge verzichtet und die erneute Verarbeitung personenbezogener Daten im Rahmen eines Löschvorgangs vermieden werden.

Soweit die zu statistischen Zwecken gespeicherten Daten keine Rückschlüsse auf einzelne Personen zulassen, also anonymisiert sind, handelt es sich nicht mehr um personenbezogene Daten. Eine Speicherbegrenzung gibt es somit nicht.

Jeder, dessen personenbezogene Daten durch den Verein verarbeitet werden, hat sog. Betroffenenrechte, die er dem Vorstand gegenüber geltend machen kann. Dazu zählen u.a. das Recht auf Auskunft über die gespeicherten personenbezogenen Daten, das Recht auf Berichtigung der Daten, das Recht auf Datenlöschung, soweit der Verein nicht gesetzlich zur weiteren Speicherung verpflichtete ist, und das Recht auf Widerspruch gegen die Verwendung bestimmter Daten (siehe Art. 15 - 23 Datenschutz-Grundverordnung). Der Verein muss technisch und organisatorisch in der Lage sein, geltend gemachte Betroffenenrechte zeitnah umzusetzen.

Personenbezogene Daten dürfen grundsätzlich in jedweder Form gespeichert werden, also z.B. elektronisch auf dem Computer, einer externen Festplatte oder auf einem USB-Stick, oder auch handschriftlich in einem Karteikartensystem. Wichtig ist, dass die Daten, wo auch immer sie gespeichert sind, sicher sind. Datensicherheit kann unter anderem durch verschließbare Aktenschränke, das Einrichten eines Passworts oder Dateiverschlüsselung erreicht werden. Je mehr dieser Komponenten verwendet werden, desto sicherer sind die Daten verwahrt.

Außerdem sollte der Verein ein sog. Berechtigungskonzept erarbeiten. Nicht jedes Vereins- und Vorstandsmitglied darf Zugriff auf alle personenbezogenen Daten der Vereinsmitglieder haben. Daher muss der Verein ein Konzept entwickeln, wer zu welchen Zwecken auf welche Daten und in welcher Form Zugriff haben darf. Z.B. darf derjenige, der den Newsletter des Vereins versendet, Zugriff auf die E-Mail-Adressen des Newsletter-Abonnenten haben. Zu diesem Zweck ist jedoch ein Zugriff auf postalische Adressdaten oder Kontodaten nicht erforderlich. Auch Trainer dürfen nur Zugriff auf die Daten haben, die für ihre Trainertätigkeit notwendig sind. Eine Information der Trainer bei z.B. ausstehenden Vereinsbeiträgen ist unzulässig. Erst wenn ein Mitglied seine Vereinsmitgliedschaft aufgrund einer Kündigung verliert, darf ein Trainer darüber informiert werden, um das Hausrecht des Vereins durchsetzen zu können.

Kann der Immunisierungsstatus vorab im Rahmen der Planung von Vereinstätigkeiten abgefragt und gespeichert werden?

Sollen im Rahmen der Planung einer Veranstaltung, der Trainings- oder Wettkampforganisation oder beim Proben- und Auftrittsbetrieb der Breiten- und Laienkultur im Vorfeld von Teilnehmenden der Immunisierungsstatus abgefragt werden, ist dies mittels ausdrücklicher, freiwilliger und ausreichend informierter Einwilligung durch die Teilnehmenden grundsätzlich möglich. 

Regelungen der 26. CoBeLVO:

Nach der aktuell gültigen Corona-Bekämpfungsverordnung Rheinland-Pfalz (26. CoBeLVO) gilt für den Sport und die Breiten- und Laienkultur: Training und Wettkampf im Amateur- und Freizeitsport sowie Proben- und Auftrittsbetrieb im Innen- und Außenbereich sind mit maximal 25 nicht-immunisierten Personen (und im Übrigen lediglich genesene oder geimpfte oder diesen gleichgestellte Personen) zulässig. Bei Warnstufe 2 reduziert sich diese Personenanzahl der Nicht-Immunisierten auf 10 Personen, bei Warnstufe 3 auf 5 Personen. Eine andere Zählung gilt, wenn die Gruppe ausschließlich aus Kindern und Jugendlichen bis 17 Jahre besteht. 

Ähnliche Regelungen gelten auch für übrige Veranstaltungen.

Datenschutzrechtlicher Hintergrund:

Vereine stehen damit vor dem Problem, dass Planung und Durchführung 26. CoBeLVO-konformer Trainings und Spiele, Proben und Auftritte praktisch nur dann realisierbar sind, wenn bereits im Vorfeld der Planung eine Abfrage der Teilnehmenden bezüglich des Immunisierungsstatus erfolgen kann.

Möchten Vereine Veranstaltungen 26. CoBeLVO-konform planen, ist dies im Vorfeld nur praktikabel möglich, wenn der Verein bzw. der Veranstalter einen Überblick darüber hat, welche Teilnehmenden welchen Immunisierungsstatus haben. Hierbei ist zu beachten, dass es sich bei der Information, ob eine Person bereits immunisiert ist oder nicht, um ein besonders geschütztes gesundheitsbezogenes Datum im Sinne des Art. 9 Abs. 1 DS-GVO handelt. Im Rahmen der Planung von Veranstaltungen, Trainings oder Proben ist die Verarbeitung dieser Information daher nur zulässig, wenn die betroffene Person bzw. bei Kindern und Jugendlichen die sorgeberechtigte Person (siehe hierzu weiter unten: Einwilligung bei Kindern und Jugendlichen), hierin freiwillig und informiert eingewilligt hat. Es spricht nicht gegen die Freiwilligkeit der Einwilligung, wenn eine Teilnahme an einem Training, Wettkampf oder an einer sonstigen Veranstaltung von der Angabe des Immunisierungsstatus abhängig gemacht wird. Der jeweilige Immunisierungsstatus ist aufgrund der Regelungen der 26. CoBeLVO zur Planung und Durchführung der Veranstaltung erforderlich. 

Im Rahmen der 26. CoBeLVO ist die Zulässigkeit von Trainings- bzw. Wettkampf- oder sonstigen Veranstaltungen abhängig von der Teilnahme der Zahl der nicht-immunisierten Personen (vgl. § 5 Abs. 2 S. 1, § 5 Abs. 4, § 12 Abs. 1, § 17 Abs. 2 26. CoBeLVO). Hinzu kommt, dass die 26. CoBeLVO die Zahl der zugelassenen nicht-immunisierten Personen von verschiedenen Warnstufen abhängig macht, soweit die Gruppe nicht ausschließlich aus Kindern und Jugendlichen besteht. So ist es denkbar, das nach dem Verkauf der Tickets bzw. nach Vergabe der Teilnahmeplätze kurz vor der Veranstaltung eine andere Warnstufe und damit eine andere Zahl zugelassener nicht-immunisierter Personen gilt. In diesem Fall ist es für die Durchführung der Veranstaltung erforderlich, dass der Veranstalter die Möglichkeit hat, die Planung anzupassen. Dies ist wiederum nur möglich, wenn er bis zum Veranstaltungsbeginn die Möglichkeit hat, die Zahl der nicht-immunisierten Personen einzuschätzen.

Wie lange darf ich den Immunisierungsstatus speichern?

Im Rahmen der Verarbeitung des Immunisierungsstatus ist insbesondere zu beachten, dass personenbezogene Daten nur solange verarbeitet werden dürfen, wie dies zur Erfüllung des Zwecks erforderlich ist. Unter Berücksichtigung des oben Genannten können daher verschiedene Löschfristen einschlägig sein. Geht es um die Organisation einmaliger Zusammenkünfte oder z.B. um die Erfassung von nicht regelmäßigen Gästen, etwa bei (Auftritten, Wettkämpfen, Spielen etc.), sind die Daten daher grundsätzlich spätestens nach Durchführung der Veranstaltung zu löschen. Für die Planung- und Durchführung regelmäßiger Trainings- oder Wettkampfveranstaltungen oder Proben kann der Immunisierungsstatus jedoch ggf. auch länger gespeichert werden. Spätestens dann, wenn eine Planung bzw. Durchführung auch ohne Kenntnis des Immunisierungsstatus wieder möglich ist, ist dieser jedoch zu löschen. 

Ebenso sollte beachtet werden, dass der Immunisierungsstatus nur verarbeitet werden darf, soweit dessen Kenntnis geeignet und erforderlich für den verfolgten Zweck ist. Diesbezüglich ist etwa im konkreten Einzelfall zu prüfen, ob eine Planung der Veranstaltung und eine Erfassung des Immunisierungsstatus z.B. viele Wochen oder gar Monate vor der Veranstaltung überhaupt für eine Planung geeignet sind. Unter Berücksichtigung ständig neuer Erkenntnisse zum Impf- und Infektionsgeschehen dürfte die Erfassung im Rahmen langfristiger Planungen daher nicht geeignet und damit nicht zulässig sein. Ebenso ist die Erfassung im Vorfeld ausschließlich in jenen Fällen möglich, in denen die Kenntnis des Immunisierungsstatus zwingend für die 26. CoBeLVO-konforme Planung und Durchführung der Veranstaltung erforderlich ist. 

Welche Daten darf ich genau verarbeiten?

Insbesondere ist auch das Gebot der Datenminimierung zu beachten. Auch hier ist auf Art und den Zweck der Zusammenkunft abzustellen. Geht es um die kurzfristige Organisation einmaliger Zusammenkünfte oder z.B. um die Erfassung von nicht regelmäßigen Gästen reicht es in der Regel aus, im Rahmen der Einwilligung die Immunisierung im Sinne einer bloßen „JA/NEIN“ Abfrage vorzunehmen. Erfolgt eine längerfristige Planung, so kann auch eine Abfrage und Speicherung dahingehend erforderlich sein, wie lange der Nachweis gültig ist. Unzulässig ist in der Regel die Abfrage, welche Art der Immunisierung (geimpft/genesen) vorliegt, da diese für die Erfüllung des Zwecks nicht erforderlich ist. 

Unabhängig von der Verarbeitung des Immunisierungsstatus im Vorfeld, ist dieser ggf. durch Vorzeigen, etwa beim Einlass, im Rahmen der geltenden Corona-Bekämpfungsverordnung vor Ort auch ergänzend nachzuweisen.

Wie sieht es aus, wenn ich mit Freunden, Bekannten oder der Familie teilnehmen möchte?

Datenschutzrechtlich ist zu beachten, dass jede Person, deren Gesundheitsdaten verarbeitet werden sollen, individuell in diese Verarbeitung einwilligen muss. Diese individuellen Einwilligungen müssen durch den Verein oder den Veranstalter auch für jede einzelne Person sicher dokumentiert werden. Dies bedeutet, dass eine Person nicht z.B. mehrere Karten kaufen oder mehrere Personen anmelden kann und dann ohne weiteres für diese Personen die Angabe über den Immunisierungsstatus abgibt. Insbesondere von technisch-organisatorischer Seite ist zu gewährleisten, dass jede einwilligende Person informiert wird und die Einwilligungserklärung jeder betroffenen Person individuell vorliegt und jede einzelne Einwilligung dokumentiert wird. 

Einwilligung bei Kindern und Jugendlichen:

Für eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten muss die Person nicht volljährig sein. Sie muss jedoch einwilligungsfähig sein. Einwilligungsfähigkeit liegt vor, wenn die einwilligende Person nach ihrer geistigen und sittlichen Reife imstande ist, Wesen, Bedeutung und Tragweite des fraglichen Eingriffs zu erkennen und sachgerecht zu beurteilen. Dies bedeutet im konkreten Fall, dass der junge Mensch fähig sein muss, selbstständig eine Entscheidung darüber treffen zu können, ob der Immunisierungsstatus verarbeitet werden soll. Eine feste Altersgrenze für diesen Fall sieht weder die DS-GVO noch das deutsche Datenschutzrecht vor. Vor diesem Hintergrund ist Folgendes zu beachten: Im Rahmen der Einwilligung macht es einen Unterschied, ob diese anonym per Internet oder z.B. gegenüber einem Vereinsmitglied persönlich erfolgt. Eine Beurteilung der Einsichtsfähigkeit des Jugendlichen bei einer anonymen Einwilligung über das Internet wird wohl kaum möglich sein, während im Rahmen des persönlichen Kontaktes die Einwilligungsfähigkeit eingeschätzt werden kann. Aufgrund der Sensibilität von Gesundheitsdaten sollte daher bei Zweifeln an der erforderlichen Einsichtsfähigkeit die Einwilligung der Sorgeberechtigten eingeholt werden. Dies sollte insbesondere gelten, wenn die Einwilligung ohne persönlichen Kontakt zu der betroffenen Person erfolgt.

Bei allein sorgeberechtigten Eltern muss nur der sorgeberechtigte Elternteil einwilligen. Sind die Eltern gemeinsam sorgeberechtigt, müssen sie im gegenseitigen Einvernehmen für das Kind entscheiden (§ 1627 BGB). Bei Routineentscheidungen des täglichen Lebens bedarf es lediglich der Einwilligung eines Elternteiles. Bei Angelegenheiten von erheblicher Bedeutung verlangt § 1687 Abs. 1 BGB jedoch die Einwilligung beider Sorgeberechtigten. Wann eine Angelegenheit von erheblicher Bedeutung vorliegt, ist im Einzelfall zu entscheiden. Aufgrund der Sensibilität des Immunisierungsstatus als gesundheitsbezogenes Datum sollte im Zweifel die Einwilligung beider Sorgeberechtigten eingeholt werden.

Werden Jugendliche einsichtsfähig, können sie die von den Sorgeberechtigten erteilte Einwilligung widerrufen. 

Welche Anforderungen im Hinblick auf die Einwilligung müssen eingehalten werden?

Insbesondere sind folgende Punkte zu beachten:

Erforderlich ist eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person bzw. deren Sorgeberechtigte ihr Einverständnis zur Datenverarbeitung unmissverständlich erteilt. 

Stillschweigen, bereits  angeklickte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar. Für die Erteilung von Einwilligungen ist vielmehr ein aktives Verhalten der betroffenen Personen erforderlich (etwa Unterschrift einer Einwilligungserklärung bzw. aktives Setzen eines Hakens in einem Web-Formular).

Die Einwilligung hat in informierter Weise zu erfolgen. 

Die vorformulierte Einwilligungserklärung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Es dürfen keine missverständlichen Klauseln enthalten sein und die betroffene Person muss mindestens darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. Darüber hinaus ist die betroffene Person über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

Ebenso ist der Verantwortliche nach Art. 7 Abs. 1 DS-GVO ausdrücklich verpflichtet, die Erteilung der Einwilligung nachweisen zu können.

Weitere Informationen zu den Anforderungen an eine wirksame Einwilligung finden Sie unter:

www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSK_KPNr_20_Einwilligung.pdf

Veröffentlichung und Weitergabe personenbezogener Daten und Fotos

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn eine Rechtsgrundlage dafür vorliegt. Die Veröffentlichung und die Weitergabe sind auch Datenverarbeitungen. Der Mitgliedschaftsvertrag ist eine solche Rechtsgrundlage. Er erlaubt die Weiterleitung der Mitgliedsdaten innerhalb des Vorstandes oder an andere Vereinsmitglieder, die mit der Mitgliederverwaltung betraut sind. 

Werden die Daten im Rahmen eines Auftragsverarbeitungsvertrages an eine externe Stelle weitergeleitet, bedarf diese Datenweiterleitung keiner gesonderten Rechtsgrundlage. Der Auftragnehmer kann sich auf die Rechtsgrundlage des Auftraggebers stützen, also den Mitgliedschaftsvertrag. 

Bei der Weiterleitung von Mitgliedsdaten eines eigenständigen Einzelvereins an den Dachverein handelt es sich um eine Weitergabe an Dritte, die eine gesonderte Rechtsgrundlage erfordert. Falls die Weiterleitung an den Dachverein im Rahmen der Vereinstätigkeit häufig vorkommt, kann die Rechtsgrundlage dadurch geschaffen werden, dass hierzu eine ausdrückliche Regelung in der Vereinssatzung aufgenommen wird, die mit dem Beitritt des Mitglieds in den Verein Bestandteil des Mitgliedschaftsvertrags wird. 

Die Weitergabe durch Vereinsmitglieder untereinander ist nur dann erlaubt, wenn es im Rahmen der Vereinstätigkeit erforderlich ist (z.B. Mitteilung der Teamaufstellung oder der Einteilung in bestimmte Wettkampfklassen an Co-Mitglieder) oder wenn es etwa Teil des Vereinszwecks ist, eine besondere persönliche Verbundenheit zwischen den Vereinsmitgliedern herzustellen und zu pflegen. Die Weitergabe von Mitgliedsdaten an Vereinsmitglieder zur weiteren Verwendung für die Mitglieder untereinander sollte mit dem Hinweis erfolgen, dass diese nur für Vereinszwecke genutzt werden dürfen.

Eine E-Mail ist vergleichbar mit einer Postkarte. Die Möglichkeit, dass unbefugte Dritte mitlesen, kann nicht ganz ausgeschlossen werden. Vereine sind nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) aber verpflichtet, die personenbezogenen Daten durch geeignete und angemessene Maßnahmen zu schützen. Grundsätzlich empfehlen wir deshalb, E-Mails mit personenbezogenen Daten nur verschlüsselt zu senden. Bei der Nutzung von E-Mail-Verteilern sollte außerdem immer die BCC-Funktion, auch Blindkopie-Funktion genannt, verwendet werden.

Eine Grußkarte zu besonderen Anlässen darf an die betroffene Person auf der Grundlage von Art. 6 Abs. 1 lit. f DS-GVO gesendet werden. Auf der gleichen Rechtsgrundlage ist die Veröffentlichung personenbezogener Daten mit einem Bezug zum Verein – wie Eintritte, Austritte, Spenden, Geburtstage und Jubiläen – zulässig, wenn dem Verein keine schutzwürdigen Belange des Betroffenen bekannt sind, die dem entgegenstehen und wenn die Veröffentlichung vereinsintern erfolgt, also nicht z.B. im Internet. Es empfiehlt sich, beim Eintritt in den Verein darauf aufmerksam zu machen, welche Ereignisse üblicherweise am "Schwarzen Brett" oder im Vereinsblatt veröffentlicht werden und Möglichkeiten des Widerspruchs aufzuzeigen. 

Informationen aus dem persönlichen Lebensbereich eines Vereinsmitglieds (z.B. Eheschließungen, Geburt von Kindern, Abschluss von Schul- und Berufsausbildungen) dürfen jedoch nur veröffentlicht werden, wenn das Mitglied ausdrücklich seine Einwilligung hierzu erklärt hat.

Liegt keine Einwilligungserklärung vor, muss eine Interessenabwägung erfolgen. Für den Prüfungsvorgang, ob die Voraussetzungen für eine besondere Ehrung vorliegen, dürfen die Mitgliedsdaten im Regelfall an den Dachverband weitergeleitet werden. Auf diese Verfahrensweise sollte in der Satzung und im Informationsblatt zur Datenverarbeitung hingewiesen werden. Soll eine öffentliche Ehrung im Rahmen einer Veranstaltung erfolgen,  ist die betroffene Person noch einmal ausdrücklich auf ihr Widerspruchsrecht hinzuweisen, für den Fall, dass sie nicht teilnehmen oder auch erst gar nicht namentlich erwähnt werden möchte.

Fragen und Antworten zu diesem Thema finden Sie auf unserer Seite Recht am eigenen Bild im Abschnitt "Fotografieren und Veröffentlichen von Bildern durch Vereine". Dort finden Sie auch eine Reihe von Muster.

Pflichten der Verantwortlichen

Die Einwilligungserklärung ist das aktiv abgegebene Einverständnis der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten zu einem ganz bestimmten Zweck, für den es keine gesetzliche oder vertragliche Grundlage gibt (z.B. Veröffentlichung von Fotos im Vereins-Newsletter). Die Einwilligung kann jederzeit widerrufen werden, wodurch die konkrete Datenverarbeitung für die Zukunft unzulässig wird, weil es keine Rechtsgrundlage mehr dafür gibt.

Die Informationspflicht des Verantwortlichen ist Ausfluss des Transparenzgebots. Der Verantwortliche soll z.B. darüber informieren, welche Daten auf welcher Rechtsgrundlage, zu welchem Zweck und wie lange verarbeitet werden und welche Rechte man als betroffene Person hinsichtlich der Datenverarbeitung hat. Es handelt sich also nur um eine Unterrichtung. Die betroffene Person muss nicht hierin einwilligen oder die Kenntnisnahme bestätigen. Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 Datenschutz-Grundverordnung (DS-GVO) muss der Verantwortliche aber nachweisen können, dass er der Informationspflicht nachgekommen ist. Bei einem per E-Mail versendetem Informationsblatt kann dies z.B. über einen Auszug aus dem Gesendet-Ordner dokumentiert werden. 

Die Datenschutzerklärung ist Teil der Informationspflicht für Verantwortliche, sie ist jedoch lediglich für Webseitenbetreiber relevant. Oftmals ist die Datenschutzerklärung sehr viel umfangreicher als das Informationsblatt zur Datenverarbeitung außerhalb eine Website, da der Webseitenbetreiber neben den Informationen darüber, welche Nutzerdaten er erhebt und wie diese verwendet werden, auch genaue Angaben zur Weiterleitung der Daten an soziale Netzwerke, dem Einsatz von Cookies, der Speicherung von Log-Dateien und zur Verschlüsselung bei der Datenübertragung machen muss.

Grundsätzlich nein, es sei denn, es werden neue Daten eines Bestandsmitglieds erhoben, z.B. wegen einer Adressänderung.

Die Information muss in einer leicht zugänglichen Form erfolgen. Je nachdem, wie die Vereinskommunikation üblicherweise erfolgt, kommt eine Information z.B. per E-Mail, per Newsletter, über die Website, über ein Mitgliederportal oder per Post in Betracht. Der Hinweis auf diese Information muss aber so ausgestaltet sein, dass für jeden die Wichtigkeit der Kenntnisnahme dieser Information erkennbar ist. Die Information selbst muss leicht auffindbar sein. Bitte beachten Sie, dass bei Neumitgliedern die Information zum Zeitpunkt der Datenerhebung, also zum Beispiel beim Ausfüllen des Mitgliedsantrags, erfolgen muss. Wenn dies handschriftlich auf gedrucktem Papier erfolgt, muss das Informationsblatt ebenfalls in ausgedruckter Form vorliegen. Das Neumitglied darf dann nicht auf das Internet verwiesen werden. Weitere Informationen u.a. auch zum Inhalt der Information finden Sie im Kurzpapier Nr. 10. Zur Information über eine ggf. durchgeführte Videoüberwachung lesen Sie bitte auch das Kurzpapier Nr. 15.

Es ist leider nicht möglich, ein allgemeingültiges Muster-Informationsblatt zur Verfügung zu stellen, welches für alle denkbaren Datenverarbeitungsvorgänge jeglicher Vereine anwendbar ist. Exemplarisch stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz aufgrund der großen Nachfrage jedoch gern ein Beispiel für ein Informationsblatt zur Datenverarbeitung eines fiktiven Fördervereins zur Verfügung. Es wird ausdrücklich darauf hingewiesen, dass das Beispiel-Informationsblatt in der vorliegenden Form nicht zum sofortigen unveränderten Einsatz geeignet ist, sondern vom Verantwortlichen auf die eigene Stelle bzw. den eigenen Verein anzupassen ist, insbesondere hinsichtlich der Zwecke der Verarbeitung. Bitte beachten Sie hierbei, dass bei der Angabe des Zwecks der Datenverarbeitung dieser jeweils so genau wie möglich bezeichnet werden muss, ebenso ein ggf. berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DS-GVO und, dass die Kategorien der Empfänger der Daten ebenfalls genau, umfassend und abschließend zu bezeichnen sind. Die Verwendung von "z.B.", "u.a." oder "..." ist in der Regel nicht zulässig und dient im Muster lediglich der Kenntlichmachung noch zu füllender Textlücken. Des Weiteren sind Kontaktdaten einer oder eines Datenschutzbeauftragten natürlich nur dann aufzuführen, wenn eine solche Funktion entsprechend besetzt ist.

Ein Auftragsverarbeiter ist – kurz gesagt – eine Stelle, die personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeitungsvertrag ist der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter, der ggf. gemäß Art. 28 DS-GVO geschlossen werden muss. Anwendungsfälle sind z.B., wenn Dienstleister die Beitrags- und Gehaltsabrechnung, die Aktenvernichtung oder den Druck der Vereinszeitschrift im Auftrag durchführen, oder die Mitgliederverwaltung unter Nutzung einer Cloud-Lösung stattfindet. Besonderheiten können gelten, wenn der Auftragnehmer seinen Sitz außerhalb der Europäischen Union hat.

Kein Auftragsverarbeitungsvertrag ist erforderlich, wenn Sie ein Finanzinstitut beauftragten, Zahlungsabwicklungen vorzunehmen. Die Datenverarbeitung beruht dann auf einer Vertragsgrundlage, nämlich einem Zahlungsabwicklungsvertrag. Auf dieser Grundlage darf das Finanzinstitut alle Daten verarbeiten, die zur Erfüllung dieses Vertrages erforderlich sind. Dies ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO. Es ist daher grundsätzlich nicht erforderlich, mit einem Kreditinstitut oder Finanzdienstleister zusätzlich einen Vertrag zur Auftragsverarbeitung abzuschließen. Das gleiche gilt z.B. für den Briefversand durch Postdienstleister. Auch wenn Steuerberater für Vereine tätig werden, liegt grundsätzlich keine Auftragsverarbeitung vor.

Weitere Informationen zur Auftragsverarbeitung

  • In dem Fall, dass ein Datenschutzbeauftragter zu bestellen ist, ist dieser einschließlich Kontaktdaten der zuständigen Aufsichtsbehörde z.B. über das Online-Meldeformular zu melden.
  • Meldepflichtige Datenpannen sind der zuständigen Aufsichtsbehörde über das Online-Meldeformular zu melden.
  • Das Verzeichnis der Verarbeitungstätigkeiten ist der Aufsichtsbehörde nur auf Anfrage zur Verfügung zu stellen.

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten. Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko. Die Datenpanne ist unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde zu melden. Es sollte vereinsintern festgelegt werden, wer im Verein für die Meldung verantwortlich ist und welcher Prozess hierbei zu beachten ist, insbesondere wie die ordnungsgemäße Meldung zu dokumentieren ist. Selbstverständlich ist bei einer noch andauernden Datenpanne diese schnellstmöglich abzustellen und es sind Maßnahmen zu ergreifen, die eine erneute Datenpanne dieser Art verhindern.

Datenschutzbeauftragte/r

Es ist jeweils im Einzelfall zu prüfen, ob nach den Vorgaben des Art. 37 Datenschutz-Grundverordnung (DS-GVO) oder § 38 Bundesdatenschutzgesetz (BDSG) ein Datenschutzbeauftragter zu bestellen ist. Sportvereine oder Vereine, die Gesundheitsdaten verarbeiten, kann etwa eine Pflicht nach Art. 37 Abs. 1 lit. c DS-GVO treffen, da ihre Kerntätigkeit möglicherweise in der Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO liegt. Zudem besteht in bestimmten Fällen eine Benennungspflicht nach § 38 Abs. 1 Satz 1 BDSG. Seit dem 21. November 2019 gilt die Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß § 38 Abs. 1 S. 1 BDSG für nicht-öffentliche Stellen, wie Unternehmen und Vereine, erst dann, soweit in der Regel mindestens 20 – und nicht wie bisher zehn – Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. § 38 Abs. 1 S. 1 BDSG wurde insoweit durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (BGBl. 2019, Teil I Nr. 41, S. 1626 ff.) geändert. Gezählt wird pro Kopf, unabhängig davon, ob jemand ehrenamtlich oder nur in Teilzeit beschäftigt ist. Entscheidend ist die "ständige" Beschäftigung mit der Datenverarbeitung. Dies wiederum ist ein auslegungsbedürftiger Begriff und bezieht sich nach erster Einschätzung nicht allein auf die Anzahl der Tage oder Stunden pro Woche, sondern voraussichtlich auch auf den Umfang der verarbeiteten Daten.

Unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten empfiehlt es sich, dass es im Verein zumindest eine Ansprechperson gibt, die sich in Fragen des Datenschutzes auskennt. Auch die freiwillige Bestellung eines Datenschutzbeauftragten ist möglich und zu empfehlen. Wird kein Datenschutzbeauftragter bestellt, muss der Vorstand die Einhaltung datenschutzrechtlicher Vorschriften sicherstellen.

In einem Verein kann jeder Datenschutzbeauftragter werden, der nicht Teil des Vorstandes ist oder eine sonstige vereinsleitende Position inne hat, in welcher vereinsrelevante Entscheidungen von besonderem Gewicht getroffen werden, da er oder sie sich sonst selbst kontrollieren würde. Man spricht in diesem Fall von einem Interessenkonflikt, der dem Ziel des Datenschutzes widerspricht. Der Datenschutzbeauftragte muss im Rahmen seiner Zuständigkeiten weisungsfrei handeln und kritisch beraten können. Er ist niemandem unterstellt und berichtet und berät den Vorstand unmittelbar.

Findet sich innerhalb des Vereins niemand für diese Position, kann auch ein externer Datenschutzbeauftragter bestellt werden, z.B. von einer Rechtsanwaltskanzlei, einer Beratungsgesellschaft oder auch ein Mitarbeiter des Dachverbandes oder ein Mitglied eines anderen Vereins, welches ehrenamtlich die Tätigkeit des Datenschutzbeauftragten für verschiedene Vereine wahrnimmt.

Diese Person muss eine angemessene fachliche Qualifikation für die Tätigkeit haben oder diese erwerben, sowohl hinsichtlich rechtlicher als auch technischer Aspekte. Wie vertieft diese Kenntnisse sein müssen, ist eine Frage des Einzelfalles. Je komplexer die Datenverarbeitungen sind oder je mehr sensible Daten vorhanden sind, desto höhere Anforderungen sind an das notwendige Fachwissen des Datenschutzbeauftragten zu stellen. Werden etwa umfangreich Gesundheitsdaten verarbeitet, ist eine höhere Qualifikation erforderlich als in Vereinen, die lediglich eine Mitgliederliste mit Kontaktdaten führen.

Nach Benennung eines Datenschutzbeauftragten sind dessen Kontaktdaten zu veröffentlichen (z.B. in der Vereinszeitschrift und  Homepage). Eine Funktionsadresse ohne Nennung des Namens ist ausreichend. 

Die Meldung der Person des Datenschutzbeauftragten an die Aufsichtsbehörde muss jedoch mit den vollständigen Kontaktdaten erfolgen. Hierfür verwenden Sie bitte das online zur Verfügung gestellte Online-Meldeformular.

Ein Datenschutzbeauftragter kann unter Umständen im Innenverhältnis zum Verein zivilrechtlich haften, wenn er datenschutzrechtliche Probleme erkennt, diese jedoch nicht dem Verein mitteilt und daraus ein Schaden bei Mitgliedern oder dem Verein entsteht, zum Beispiel durch die Verhängung eines Bußgeldes durch die Aufsichtsbehörde. Auch Schäden, die dadurch entstehen, dass datenschutzrelevante Gefahren nicht erkannt wurden, aber hätten erkannt werden müssen, können Schadenersatzansprüche auslösen.  Wann eine Gefahr hätte erkannt werden müssen, richtet sich nach der jeweiligen Professionalität des Datenschutzbeauftragten. Es werden also bei ehrenamtlichen Datenschutzbeauftragten andere Maßstäbe angesetzt als bei hauptberuflich tätigen Datenschutzbeauftragten. 

Das Haftungsrisiko kann durch Abschluss eines Haftpflichtversicherungsvertrags abgemildert werden. Der Verein kann den Datenschutzbeauftragten außerdem von Schadensersatzansprüchen, auch gegenüber Dritten, freistellen. Sowohl der Versicherungsschutz als auch die Haftungsfreistellung hat ihre Grenzen bei grob fahrlässigem Verhalten, das heißt, wenn der Datenschutzbeauftragte die zu beachtende Sorgfalt in besonders schwerem Maße verletzt, dann haftet er dennoch persönlich. 

Auf der Homepage des LfDI stehen zahlreiche weitere Informationen rund um das Thema Datenschutzbeauftragter zur Verfügung. Sollte dort vom "Unternehmen" die Rede sein, kann dieser Begriff gedanklich durch das Wort "Verein" ersetzt werden, da die Anforderungen dieselben sind.

Webseite

Jede Webseite muss eine Datenschutzerklärung enthalten, also auch die eines Vereins. Sie sollte direkt auf der ersten Seite verlinkt sein, z.B. neben dem Link zum Impressum.

Hilfestellungen zum Verfassen einer Datenschutzerklärung sowie ein Muster

Im Kontaktformular dürfen nur so viele Daten abgefragt werden, wie für die Bearbeitung der Kontaktanfrage erforderlich sind. Ggf. können bestimmte Felder als Pflichtfelder und andere als freiwillige Angabe gekennzeichnet werden.

Vor dem Versenden des ausgefüllten Formulars muss die Information nach Art. 13 DS-GVO erfolgen, z.B. per Link auf ein PDF.

Die Versendung der im Kontaktformular eingegebenen Daten an die empfangende Stelle im Verein muss verschlüsselt erfolgen. Falls eine Verschlüsselung nicht möglich ist, muss der Verwender vor Absenden des Formulars darauf hingewiesen und es muss ihm ein alternativer Weg zur Kontaktaufnahme angeboten werden.

Fragen und Antworten zu diesem Thema finden Sie im Abschnitt Recht am eigenen Bild in den Bereichen Fotografieren und Veröffentlichen von Bildern durch Vereine. Dort finden Sie auch eine Reihe von Muster.

Vereine dürfen für ihre Arbeit, die Mitgliedergewinnung oder zur Öffentlichkeitsarbeit auf sozialen Netzwerken eigene Seiten oder Kanäle betreiben. Der Verein ist jedoch wie jeder Betreiber Mitverantwortlicher für die Datenverarbeitung in dem sozialen Netzwerk (weiterführende Informationen finden Sie hier).

Der Verein sollte sich daher vorher überlegen, welchen Zweck er mit dem Auftritt verfolgt und welche Zielgruppe er ansprechen möchte. Nicht jedes soziale Netzwerk ist für jeden Zweck und jede Zielgruppe gleich geeignet. Dabei sollte auch vorher klar festgelegt werden, wer für die redaktionelle/technische Betreuung des sozialen Netzwerkes sowie die Wahrnehmung der Rechte der Betroffenen zuständig ist. Die Zugangsdaten sollten dem Verein dabei so zugänglich sein, dass auch bei einem Ausscheiden des verantwortlichen Mitglieds weiterhin ein Zugriff auf das soziale Netzwerk möglich ist.

Sollen auf dem sozialen Netzwerk personenbezogene Daten der Mietglieder verarbeitet werden, ist dafür in der Regel eine Einwilligung der betroffenen Personen notwendig. Plant ein Verein regelmäßig in einem sozialen Netzwerk über Vereinsaktivitäten unter Verwendung personenbezogener Daten von Mitgliedern z.B. durch Bilder von Spieltagen, Ehrungen oder Ausflügen zu informieren, empfiehlt es sich, die Mitglieder bereits beim Beitritt um ihre Einwilligungen zu solchen Veröffentlichungen zu bitten. Widerruft ein Mitglied seine Einwilligung, sind alle personenbezogenen Daten der betroffenen Person auf dem Vereinsauftritt in dem sozialen Netzwerk zu löschen.