Datenschutz
Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) sowie das diese Verordnung ergänzende Bundesdatenschutzgesetz neu (BDSG) in Kraft getreten. Damit verbunden sind Veränderungen der Rechtslage im Bereich des Datenschutzes, die auch von Vereinen und Verbänden beachtet werden müssen. Die folgenden Ausführungen enthalten Handlungsanleitungen und maßgeschneiderte Mustervorlagen für die ehrenamtlich aktiven Vereinsvorstände.
Ergänzende Informationen:
Der Rheinische Schützenbund stellt gemeinsam mit dem Deutschen Schützenbund für seine Vereine verschiedene Informationen zur Verfügung, die als Grundlage für die Umsetzung der geänderten datenschutzrechtlichen Vorgaben verwendet werden können.
Aufgrund der von Verein zu Verein sehr unterschiedlichen Datenverarbeitungsprozesse ist es jedoch nicht möglich, eine allgemeingültige Musterlösung zur Verfügung zu stellen.
Diese und weitere Informationen rund um das Thema „Datenschutz“ finden Sie auf den Internetseiten des RSB (www.rsb2020.de) und DSB (www.ziel-im-visier.de.de).
Darüber hinaus haben auch Landessportbünde das Thema aufgegriffen und diverse Unterlagen erarbeitet.
Hinweis:
Bitte beachten Sie, dass keinerlei Haftung für die korrekte Anwendung im Einzelfall und Aktualität der Informationen zum Zeitpunkt der Verwendung übernommen werden kann. Die Informationen können insoweit nur Anregungen liefern und sind stets an die individuellen Bedürfnisse im Einzelfall anzupassen. Wir empfehlen Ihnen im Einzelfall ergänzend rechtlichen Rat im Vorfeld einzuholen.
Grundlegend keine Änderungen – aber höherer Aufwand bei Informations- und Dokumentationspflichten
Auch wenn es keine grundlegend neuen Änderungen durch die Einführung der Regelungen der Datenschutzgrundverordnung gibt und auch bisher schon in Deutschland ein traditionell hohes Datenschutzniveau existiert hat, ist es wichtig, sich als Verein auf die Veränderungen einzustellen. Seien es die Grundlagen für die Datenverarbeitung (zum Beispiel aufgrund gesetzlicher Generalklausel oder Einwilligung der Betroffenen), die Grundprinzipien (zum Beispiel Datensparsamkeit, Zweckbindung, Transparenz), die technischen und organisatorischen Maßnahmen oder die Rechte der betroffenen Personen: Wenn Sie sich bereits bislang mit dem Datenschutz beschäftigt haben, wird Ihnen vieles bekannt und vertraut vorkommen. Trotzdem gilt: was als zusätzliche Belastung im Ehrenamt durch die Verantwortlichen im Verein wahrgenommen wird, hat in der Praxis den Schutz der betroffenen Personen zum Ziel. Vereine sollten bedenken, dass Verstöße gegen datenschutzrechtliche Vorgaben unter Umständen kostenintensive Unterlassungs- und Schadensersatzansprüche nach sich ziehen können. Als Vorstand eines Vereins, also als „Verantwortlicher“ im Sinne der DSGVO, müssen Sie nun genau prüfen, welche Maßnahmen in Abhängigkeit der Größe, Art und Struktur Ihres Vereins ergriffen werden müssen, um den datenschutzrechtlichen Vorgaben aus der DSGVO und dem BDSG (neu) ausreichend Rechnung zu tragen. Generell gilt: Je größer der Verein, je mehr Daten Sie verarbeiten und je mehr Personen mit den Daten umgehen, desto höher wird der Aufwand sein, den Sie betreiben müssen. Aber nicht vergessen: Auch kleine Vereine kommen um das Thema nicht herum! Eine Herausforderung wird allerdings die Erfüllung der Informations- und Dokumentationspflichten darstellen, die der Verein bei der Erhebung der Daten gegenüber den betroffenen Personen zu beachten hat. Hier dürfte ein höherer Verwaltungsaufwand auf unsere Vereine zukommen. Um den Datenschutz in Ihrem Verein effektiv zu gewährleisten, haben Sie zahlreiche Möglichkeiten, die zum Teil freiwillig sind, zum Teil aber auch bereits verpflichtend in der DSGVO oder im BDSG festgelegt sind (siehe „Datenschutz im Sportverein“, Landessportbund Nordrhein-Westfalen e.V., www.vibss.de/vereinsmanagement/recht/datenschutz/). Zur Klärung der Frage, welche Anpassungsprozesse im Verein hierzu im Einzelnen erforderlich sind und welche Aufgabenstellungen sich damit für Ihren Verein ergeben, soll folgende Checkliste mit 10 Punkten dienen:
In einem ersten Schritt sollten Sie Ihren Vorstand über die Notwendigkeit informieren, dass im Zuge des Inkrafttretens der DSGVO zum 25.05.2018 die bisherigen Prozesse in Zusammenhang mit der Verarbeitung von personenbezogenen Daten innerhalb des Vereins einer Prüfung unterzogen und Abläufe dokumentiert werden müssen. Durch einen Vorstandsbeschluss könnten Sie dann einen entsprechenden Prozess einleiten, mit dem Sie auch dokumentieren, dass Sie sich um das Thema kümmern – sicherlich wird Ihnen niemand vorwerfen, dass nicht sofort alle Vorgaben umgesetzt sind. In Abhängigkeit des damit verbundenen Aufwands ist es eventuell sinnvoll, über die Bildung einer Arbeitsgruppe im Verein zur Umsetzung der gesetzlichen Vorgaben und die Festlegung eines Ansprechpartners innerhalb Ihres Vorstandes für das Thema „Datenschutz“ nachzudenken. Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das z.B. vor allem Mitglieder, daneben aber auch Spender, Klienten oder Kunden. Typischerweise erhoben werden z.B. Name und Anschrift, Kommunikationsdaten, Geburtsdatum, Eintrittsdatum, Bankverbindung, Wettkampfdaten, Klasseneinteilung, Lizenzen, Ehrungen, Zweitvereine sowie evtl. Daten im Zusammenhang mit dem Waffenrecht. All das sind personenbezogene Daten. Die Art der Erfassung (digital oder auf Papier) spielt dabei keine Rolle.
Laut des Landesdatenschutzbeauftragten für Baden-Württemberg ist eine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht erforderlich, soweit der Verein personenbezogene Daten für folgende Zwecke erhebt, verarbeitet und nutzt
Verfolgung der Vereinsziele (siehe Satzung, in der Regel also u.a. die Daten zur Organisation und Durchführung von eigenen oder übergeordneten Sportwettbewerben)
Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum, ferner Bankverbindung, Bankleitzahl und Kontonummer, erhaltene Ehrungen, Lizenzen, Aufzeichnung von Schießtätigkeit, Ergebnislisten von Wettbewerben, aber beispielsweise auch Daten für Versicherungsverträge zugunsten der Vereinsmitglieder)
berechtigtes Interesse des Vereins (beispielsweise statistische Informationen zu den Mitgliedern, um den Verein oder den Dachverband weiterzuentwickeln und zu organisieren [z.B.: Auswertung über Teilnahmen an Trainingsveranstaltungen, Vereinschronik, Organisation von vereinsinternen Arbeitseinsätzen, Daten für Spendenaufrufe zur Erreichung der eigenen Ziele des Vereins, Datenübermittlung an Dachverbände soweit diese dort benötigt werden, um die Vereinsziele des übermittelnden Vereins oder um die Ziele des Dachverbandes zu verwirklichen]),
sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entgegenstehen.
Es empfiehlt sich nicht, Einwilligungen für Datenverarbeitungsmaßnahmen einzuholen, die bereits aufgrund einer gesetzlichen Erlaubnis möglich sind, z.B., wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden. Bei Vereinen ist diese vertragliche Beziehung die Mitgliedschaft. Die für die Mitgliederverwaltung erforderlichen Daten (siehe oben) sowie für die Organisation des Sportbetriebes (z.B. Wettkampfdaten, Klasseneinteilung, Lizenzen, Zweitvereine) sowie evtl. Daten im Zusammenhang mit dem Waffenrecht (Nachweis über regelmäßige Ausübung des Schießsports etc.) dürfen verarbeitet werden, da diese zur Erfüllung der Vertragsbeziehung, d.h. der Vereinsmitgliedschaft, erforderlich sind.
Beachten Sie allerdings, dass seitens der Datenschutzgrundverordnung in Art. 9. Abs. 1 die Verarbeitung personenbezogener Daten besonderer Kategorien unter einen besonders strengen Schutz gestellt wird. In eine der Kategorien fallen einerseits Gesundheitsdaten, die bei Maßnahmen zur Klassifizierung erhoben werden können, aber auch z.B. Daten der religiösen und weltanschaulichen Überzeugung, die in Schützenbruderschaften erhoben werden. Außerdem fallen darunter Daten zur rassischen oder ethnischen Herkunft, politischen Meinung und Daten zum Sexualleben oder sexuellen Orientierung. Hintergrund für die besondere Schutzwürdigkeit sind die Auswirkungen auf die Grund- und Freiheitsrechte der betroffenen Personen.
Ist Ihr Verein Träger der freien Jugendhilfe, muss sichergestellt werden, dass mit der Betreuung, Beaufsichtigung, Ausbildung oder ähnlichen Kontakten beauftrage Personen wegen bestimmter Sexualstraftaten nicht vorbestraft sind. In diesen Fällen ist gem § 72a Abs. 5 SGB VIII von den Betreuern ein erweitertes Führungszeugnibesondere Kategorie der Verarbeitung personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO.
Für Schützenvereine, die entsprechende Daten erheben, kommt eine Verarbeitung ausschließlich aufgrund ausdrücklicher Einwilligung der Mitglieder in Betracht. Das neue Bundesdatenschutzgesetz regelt die zwingend durchzuführenden Maßnahmen, die zur Wahrung der Interessen der betroffenen Personen durch den Verein vorzusehen sind. Demnach müssen im Verein technische und organisatorische Maßnahmen getroffen werden, um die Daten gegen unberechtigten Zugriff und Weitergabe sowie deren Geheimhaltung geschützt werden. Die mit der Verarbeitung der Daten betrauten Personen müssen bezüglich der Einhaltung der Datensicherheit und Datenschutzen besonders sensibilisiert werden und die Speicherung und Weitergabe der Daten darf nur verschlüsselt erfolgen. Zudem ist zwingend ein Datenschutzbeauftragter zu benennen. s vorzulegen. Auch diese Daten und insbesondere die Speicherung des Führungszeugnisses fällt unter die
Es empfiehlt sich, schon beim Vereinsbeitritt in Form einer Erklärung zum Datenschutz darauf hinzuweisen, zu welchem Zweck und auf welcher Grundlage Sie welche personenbezogene Daten von Seiten des Vereins erheben und verarbeiten werden. In diesem Zuge ist es ratsam, bereits bei der Aufnahme von Mitgliedern, sich zur Verarbeitung von personenbezogenen Daten im Verein eine entsprechende schriftliche Einwilligung von den Betroffenen einzuholen, die den gesetzlichen Vorgaben zu Inhalt und Gestaltung von Einwilligungen, insbesondere den Betroffenenrechten, entspricht. Eine entsprechende Musterformulierung für das Beitrittsformular finden Sie in der Mustervorlage 2 „Muster Datenschutzklausel für Vereinssatzung“. Altmitgliedern können Sie über die Vereinsmitteilungen eine allgemeine Information mit einer derartigen Einwilligungserklärung und dem Hinweis auf das jederzeitige Widerrufsrecht zukommen lassen. In Anlehnung an Punkt 2 ist für Altmitglieder eine Einwilligung nur erforderlich, wenn der Verein personenbezogene Daten besonderer Kategorie mit besonderem Schutzstatus wie unter Punkt 2 beschrieben erhebt, verarbeitet und nutzt.
Eventuell gibt es bereits Regelungen in Ihrer Satzung zum Umgang mit personenbezogenen Daten (Grundlage / Ermächtigung) bzw. zum Datenschutz allgemein. Mit einer Datenschutzklausel in der Satzung kann der Verein den Informationspflichten (zumindest teilweise) entsprechen. In einer Datenschutzrichtlinie kann festgeschrieben werden, welche Daten im Verein durch welche Funktionen erhoben und verarbeitet werden, wer Zugriff auf welche Kategorien von Daten hat und welche technischen Maßnahmen zum Schutz der Daten ergriffen werden. Eine Mustervorlage für eine Datenschutzrichtlinie finden Sie unter Mustervorlage 1 "Richtlinie zur Datenschutzgrundorganisation RSB". Die Regelungen in der Datenschutzrichtlinie können sich eng an das Verzeichnis der Verarbeitungstätigkeiten (s. Punkt 8) anlehnen. Einen Mustertext für die Satzung finden Sie in der Mustervorlage 2 "Muster Datenschutzklausel für Vereinssatzung".
Ihr Verein muss dafür Sorge tragen und überprüfen, ob die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, Datensicherheit zu gewährleisten. Bei allen Datenverarbeitungsvorgängen muss demnach überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen worden sind. Dies reicht z.B. von Regelungen der Zugangskontrolle zu den Daten (wer hat tatsächlich Zugriff auf die Daten), des Passwortschutzes (passwortgeschützte Nutzeraccounts für Personen, die die Daten verarbeiten), zu Anweisungen bezüglich der Eingabe und Löschung bis hin zur Sicherstellung der Verfügbarkeit von Daten (z.B. ein Firewallsystem oder auch die Verschlüsselung der Daten). Insgesamt spricht man von technischen und organisatorischen Maßnahmen (sog. TOMs), die den Schutz personenbezogener Daten sicherstellen sollen. Einen Mustertext für die Regelung von TOMs finden Sie in der Mustervorlage 9 "Muster für technische und organsatorische Maßnahmen".
Verantwortlich für den Schutz personenbezogener Daten ist der Vorstand. Wenn mindestens 10 Personen im Verein ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder personenbezogene Daten besonderer Kategorie mit besonderem Schutzstatus gem. Art. 9 Abs. 1 DSGVO verarbeitet werden, müssen Sie einen Datenschutzbeauftragten im Verein bestellen. Nach Bestellung eines Datenschutzbeauftragten müssen Sie diesen der zuständigen Aufsichtsbehörde namentlich melden. Der Datenschutzbeauftragte kontrolliert nicht nur die Einhaltung der datenschutzrechtlichen Bestimmungen, sondern unterstützt und berät auch den Vorstand und die Mitarbeiter/innen im Umgang mit personenbezogenen Daten. Aus der Praxis: Wenn in Ihrem Verein lediglich der Vorsitzende, der Schatzmeister, der Sportleiter und zwei Übungsleiter Zugang zu personenbezogenen Daten haben, muss kein Datenschutzbeauftragter benannt werden. Dennoch hat der Verein die datenschutzrechtlichen Regelungen zu beachten. Dann liegt die Verantwortung beim Vorstand nach § 26 BGB und Sie müssen sich vergewissern, dass Sie über das rechtliche und technische Knowhow verfügen.
Es ist davon auszugehen, dass auch Vereine ein Verzeichnis aller Verarbeitungstätigkeiten erstellen und regelmäßig aktualisieren müssen, da bereits die Mitgliederverwaltung im Verein in der Regel systematisch und nicht nur gelegentlich erfolgt. Ein solches Verfahrensverzeichnis kann z.B. in Form einer tabellarischen Auflistung erfolgen, in der Sie neben den wichtigsten Eckdaten zum Verein und den Verantwortlichen z.B. auch Informationen darüber aufführen, von welchen Personen welche personenbezogenen Daten zu welchen Zwecken auf welcher Grundlage von wem im Verein verarbeitet werden. Ein Muster eines Verzeichnisses der Verarbeitungstätigkeiten finden Sie in der Mustervorlage 7 "Muster Verzeichnis von Verarbeitungstätigkeiten".
Jeder, der im Auftrag Ihres Vereins mit personenbezogenen Daten in Berührung kommt, muss auf das Datengeheimnis schriftlich verpflichtet werden. Dazu sollten Sie ein entsprechendes Formblatt vorbereiten und per Unterschrift die Inhalte bestätigen lassen. Die Verpflichtungserklärung sensibilisiert die Mitarbeiter im Umgang mit den personenbezogenen Daten. Hier finden Sie die entsprechende Mustervorlage 4 "Verpflichtungserklärung Datenschutz Ehrenamt".
Es besteht nun auch für Vereine die Pflicht, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden. Dies bedeutet, dass Sie in Ihrem Verein im Vorfeld einen Prozessablauf bestimmen, ein Muster für die Meldung vorbereiten und die zuständige Person im Verein bestimmen sollten. Hier finden Sie die Mustervorlage 8 "Muster Mitteilung Datenschutzpanne".
Aus der Praxis: Legen Sie für Ihren Verein fest, wie im Fall der Entwendung des Vereins-PCs oder des Karteikastens mit den Mitgliederdaten vorgegangen werden soll: Sobald der Verlust der Daten festgestellt wurde: Wer ist als erstes zu informieren? Vorsitzender, Datenschutzbeauftragter? Wer füllt das vorher festgelegte Muster für die Meldung aus und übersendet es an die Datenschutzaufsichtsbehörde? Wer informiert die betroffenen Personen, um deren Daten es geht?
In Abhängigkeit davon, ob z.B. besonders schützenswerte personenbezogene Daten gem. Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) in Ihrem Verein verarbeitet oder risikobehaftete Datenverarbeitungsprozesse (z.B. sehr große Datenmengen) durchgeführt werden, ist ergänzend eine schriftliche Dokumentation darüber erforderlich, dass innerhalb Ihres Vereins vorab eine Datenschutz-Folgeabschätzung durchgeführt wurde. Eine Datenschutz-Folgeabschätzung dürfte aber bei Vereinen nur in den Fällen der Verarbeitung besonders schützenswerter personenbezogener Daten notwendig (siehe Punkt 3) sein.
Wenn Ihr Verein sich bei der Verarbeitung personenbezogener Daten externer Dienstleister bedient, ist hierzu eine Vereinbarung zur Auftragsdatenverarbeitung auf der Grundlage der gesetzlichen Bestimmungen zwingend erforderlich. Hier finden Sie eine Mustervorlage für die Erstellung eines "Verzeichnisses von Verarbeitungstätigkeiten für Auftragsverarbeiter" (Mustervorlage 6) und einen "Mustervertrag zur Auftragsverarbeitung" (Mustervorlage 5).
Haben Sie Feedback für uns?
Schicken Sie uns einen Kommentar