Datenschutz


 

Seit dem 25.05.2018 gelten europaweit die Vorschriften und Maßgaben nach der neuen Datenschutz-Grundverordnung (DSGVO). Selbstverständlich gilt die DSGVO nicht nur für kommerzielle Unternehmen, sondern auch für Vereine und Verbände, die sich ebenfalls mit den neuen Vorgaben der DSGVO vertraut machen und notwendige Anpassungen vornehmen sollten. Bei Nichtbeachtung oder Verstößen können nach der neuen Rechtslage drastische Bußgeldstrafen drohen.

Viele Grundsätze, die auch aus dem Bundesdatenschutzgesetz (BDSG) bekannt sind und Gültigkeit haben, bleiben auch in der DSGVO erhalten. Für Vereine besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn in der Regel mehr als neun Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Selbstverständlich besteht die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen. Dieser muss gemäß Art. 37 Abs. 8 DSGVO der jeweiligen zuständigen Aufsichtsbehörde gemeldet werden. Das frühere Verfahrensverzeichnis findet man in modifizierter Form und unter dem Begriff "Verarbeitungsverzeichnis" in Art. 30 DSGVO wieder. Darin müssen sämtliche Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten bestehen, aufgeführt und genau beschrieben werden.

Jeder Verein sollte zunächst genau hinterfragen, wann, wie und in welchen Bereichen mit personenbezogenen Daten umgegangen wird. Entscheidend ist also, welche Prozesse hängen mit der Erhebung, Verarbeitung, Speicherung und Löschung von personenbezogenen Daten zusammen.

  • Bestellung eines Datenschutzbeauftragten
  • Erstellung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO)
  • Vereinbarungen zur Auftragsdatenverarbeitung mit externen Dritten
  • Überarbeitung von Einwilligungserklärungen

Der Landessportbund Thüringen hat zu dieser Thematik eine Download-Sammlung für Sportvereine und -verbände erstellt. Dort finden Sie Mustervorlagen für:

  • Datenschutzinformationen für Aufnahmeanträge
  • Einwilligungen zur Veröffentlichung von Personenbildnissen
  • Fotos bei öffentlichen Veranstaltungen
  • Datenschutzinformationen zu Veranstaltungsfotos
  • Fotoaushang vor Ort
  • Aufnahmeanträge
  • freiwillige Daten beim Aufnahmeantrag
  • Datenschutz auf Internetseiten
  • Datenschutz beim Aufnahmeantrag

 

Wichtige Fragen und Antworten

Mit den folgenden Erläuterungen sollen Vereinsfunktionäre und -mitglieder über datenschutzrechtliche Rahmenbedingungen für den Umgang mit personenbezogenen Daten bei der Vereinsarbeit informiert werden.

Darf der Verein personenbezogene Daten im Internet veröffentlichen?

Will der Verein Informationen über seine Mitglieder (z.B. im Internet) veröffentlichen, ist die vorherige schriftliche Einwilligung des Betroffenen erforderlich. Dabei sollte ein formularmäßiger Vordruck zweierlei berücksichtigen:

  1. Das eintretende Mitglied gibt diese Erklärung freiwillig ab und kann sie jederzeit widerrufen. Es kann den Umfang der zu veröffentlichenden Daten auch von vornherein beschränken.
  2. Dem Mitglied muss die Tragweite seiner Erklärung bewusst sein, das ist nur der Fall, wenn es weiß, welche seiner Daten in das Internet gestellt werden.

Vereine sollten gerade bei der Nutzung des neuen Mediums Internet sehr sorgfältig überlegen, welche personenbezogenen Informationen zur Selbstdarstellung im Internet wirklich notwendig sind. Das Internet bietet für die Vereine große Chancen zur Selbstdarstellung, aber auch Risiken für die betroffenen Vereinsmitglieder. Daneben sind zahlreiche Fragen der Internetsicherheit zu berücksichtigen. Der Adressatenkreis im Internet ist nahezu unbegrenzt und einmal in das world wide web gestellte Daten sind preisgegeben, da die Daten weltweit, d.h. auch in Staaten mit niedrigerem Datenschutzniveau abrufbar sind. Zudem ist auf die generellen Risiken, wie die weit reichende Verknüpfbarkeit, die mangelnde Vertraulichkeit und die Möglichkeit der inhaltlichen Veränderung hinzuweisen.

Wann dürfen welche Daten verarbeitet werden?

Für eigene Zwecke des Vereins kann der Verein personenbezogene Daten verarbeiten, wenn dies dem Vereinszweck oder einem Vertragsverhältnis mit den jeweils betroffenen Personen entspricht. Darüber hinaus ist ihm die Verarbeitung personenbezogener Daten dann erlaubt, wenn sie zur Wahrung eines berechtigten Interesses des Vereins erforderlich ist oder wenn es sich um allgemein zugängliche Daten handelt und kein Grund zu der Annahme besteht, dass die Betroffenen überwiegende schutzwürdige Interessen am Ausschluss der Verarbeitung oder Nutzung haben.

Für fremde Zwecke darf ein Verein personenbezogene Daten übermitteln oder nutzen, soweit dies zur Wahrung berechtigter Interessen eines Dritten oder zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Für Zwecke der Werbung oder der Markt- und Meinungsforschung können die in § 28 Abs. 3 Nr. 3 BDSG aufgeführten Daten (z.B. Zugehörigkeit zu einer Personengruppe, wie etwa Mitglied eines Sportvereins, Name, Anschrift, Geburtsjahr) listenmäßig übermittelt werden, soweit der Betroffene eingewilligt hat. In allen diesen Fällen ist die Übermittlung oder Nutzung der Daten nur zulässig, wenn bei pauschaler Abwägung kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der betroffenen Personen entgegenstehen. Wenn die Verarbeitung oder Nutzung personenbezogener Daten nicht auf eine der vorstehenden Regelungen gestützt werden kann, ist sie nur zulässig, wenn der Betroffene eingewilligt hat.

Wann dürfen Mitgliederdaten übermittelt werden?

Wenn Mitglieder im Einzelfall den Verein um Auskunft über Daten anderer Mitglieder ersuchen (etwa um eine Bekanntschaft zu pflegen), beurteilt sich die Zulässigkeit der Datenübermittlung danach, ob das auskunftsersuchende Vereinsmitglied ein berechtigtes Interesse an der Kenntnis der Daten hat und ob bei pauschaler Abwägung keine schutzwürdigen Interessen der betroffenen Mitglieder der Datenübermittlung entgegenstehen. Dabei kommt es auf die Umstände des konkreten Falles an.

Dürfen Mitgliederdaten an Empfänger außerhalb des Vereins übermittelt werden?

Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorganisation – beispielsweise einem Bundes- oder Landesverband– zu übermitteln, sollte dies in der Vereinssatzung geregelt werden.

Dürfen Mitgliederdaten in Aushängen publiziert werden?

In vielen Vereinen ist es üblich, personenbezogene Informationenn am Schwarzen Brett auszuhängen oder in Vereinsblättern bekanntzugeben. Der Vereinsvorstand darf grundsätzlich nicht ohne Einwilligung seiner Mitglieder Adressen am Schwarzen Brett aushängen, wenn die Kenntnisnahme durch Vereinsfremde erfolgen kann.