Es gibt in Deutschland sehr viele als Verein strukturierte Organisationen. Sie reichen von kleinen lokalen Vereinen mit einem Vorstand bis zu Großorganisationen mit vielen Beschäftigten auf einer hauptamtlichen Geschäftsstelle. Losgelöst von deren Größe und Organisation ist allen Vereinen die Verpflichtung gemein, die neuen Bestimmungen der europäischen Datenschutzgrundverordnung einzuhalten. Denn es gibt keine Befreiung für kleine Organisationen. Was ist dabei zu beachten?
Pflicht zur Bestellung eines Datenschutzbeauftragten
In einem ersten Schritt muss geprüft werden, ob der Verein einen Datenschutzbeauftragten bestellen muss. Die Bestellpflicht aus Art. 37 DS-GVO dürfte in der Regel nicht greifen, da ein i. d. R. weder Personen überwacht noch seine Kerntätigkeit darin besteht, besondere Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten bei Herzsportgruppen in Sportvereinen) oder Religionsdaten (z. B. bei kirchennahen Einrichtungen), zu verarbeiten. Eine entscheidende Rolle spielt allerdings, ob sich mindestens 10 Personen über den echten Vereinsvorstand im Sinne des § 26 BGB mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Dies müssen keine Arbeitnehmer sein: In Betracht kommen auch Beauftragte (etwa im Ehrenamt), die den Weisungen des Vorstands unterliegen, so z. B. in Sportvereinen Übungsleiter oder Abteilungsleiter für bestimmte Sportarten.
Aber selbst wenn eine Bestellpflicht aus § 38 BDSG n. F. entfällt, erübrigt sich damit natürlich nicht der Datenschutz: Dann muss der Vorstand die anstehenden Aufgaben selbst übernehmen!
Dokumentation
In diesem Zusammenhang sollten alle Verantwortlichen und Ehrenamtlichen, die im Verein mit personenbezogenen Daten arbeiten, schriftlich auf das Datengeheimnis verpflichtet werden.
Der nächste Schritt besteht darin, die Zulässigkeit der Verarbeitung personenbezogener Daten zu dokumentieren. Hier kommt es auf Art. 6 DS-GVO an. Nach dieser Bestimmung dürfen Vereine z. B. Mitgliederdaten zur Erfüllung des Mitgliedschaftsvertrages verarbeiten – auch wenn diese Mitglieder nicht eingewilligt haben. Dies folgt aus Art. 6 Abs. 1 lit. b) DS-GVO. Ebenso kann die Datenverarbeitung auf Basis einer Rechtspflicht im Sinne von Art. 6 Abs. 1 lit. c) DS-GVO eine Rolle spielen. Beispielsweise, wenn steuerliche Aufbewahrungspflichten aus § 147 AO im Zusammenhang mit dem Betrieb eines kleinen Vereinsheims mit Getränkeausschank bestehen. Darüber hinaus darf der Verein die Daten verarbeiten, bei denen er sich auf ein berechtigtes Interesse berufen kann (Art. 6 Abs. 1 lit. f) DS-GVO) – sofern nicht das Interesse der Betroffenen an einer „Nichtverarbeitung“ überwiegt.
Wenn keine solcher Tatbestände greifen, bleibt natürlich die Einwilligung als Ermächtigungsgrundlage! Diese kann schriftlich, per Mail oder auch mündlich erfolgen (wenn sich dies denn beweisen lässt).
Alle Verarbeitungen sollten dann in einem sog. Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden (Art. 30 DS-GVO). Entsprechende Muster finden sich auf den Webseiten der Aufsichtsbehörden.
Weiterhin muss der Verein die technischen und organisatorischen Schutzmaßnahmen dokumentieren, die er zum Schutz der Daten getroffen hat. Hier geht es z. B. um den Passwortschutz bei Endgeräten und PCs, die Verschlüsselung bestimmter (!) Mails mit sensiblen Daten oder auch die Backups. Auch diese Maßnahmen müssen in einem Konzept beschrieben werden. Ein bei Vereinen in der Praxis häufig anzutreffendes Sonderproblem stellen die z. B. vom Vorstand eingesetzten eigenen Endgeräte (z.B. Laptops) dar. Häufig verfügen insb. kleine Vereine gar nicht über eigene Endgeräte! Hier muss geklärt sein, wie die „Spielregeln“ für eine solche Nutzung sind, da die vereinsbezogenen Daten auf den Geräten ja nicht dem Vorstand selbst, sondern dem Verein gehören und er damit auch „Herr“ über diese Daten sein muss. Konkretes Beispiel: Die Verwaltung von Mitgliederdaten auf dem PC des Schatzmeisters.
Transparenz
Eine zentrale Pflicht aus Art. 5 DS-GVO ist die Transparenz!
So muss z. B. ein Besucher der Vereins-Webseite deutlich informiert werden, welche Daten bei Besuch der Webseite erhoben werden (z. B. die IP-Adresse). Häufig binden Webseiten auch sog. Analysetools wie Google Analytics ein oder arbeiten mit Google Maps. Auch dies muss offengelegt werden. Die Datenschutzerklärung der Webseite sollte kritisch und sorgsam geprüft werden, da dies das Schaufenster des Vereins nach außen ist.
Seit der EuGH entschieden hat, dass die Betreiber sog. Fanpages in sozialen Medien, wie beispielsweise Facebook, auch für solche Seiten verantwortlich sind, müssen auch diese eine eigene Datenschutzerklärung haben.
Weiterer Ausdruck der Transparenz ist die Informationspflicht des Vereins. So muss er gem. Art. 13 DS-GVO alle Betroffenen mit Pflichtangaben über sich selbst informieren, deren Daten er verarbeitet. Dies gilt z. B. für den Beitritt eines neuen Mitglieds. Diesem muss sodann eine Datenschutzinformation des Vereins zur Verfügung gestellt werden.
Weiter sollte der Verein alle Auftragsdatenverarbeiter sammeln, also Organisationen, die Daten (z. B. der Mitglieder) für den Verein – also in dessen Namen – verarbeiten. Dies sind typischerweise Agenturen, die die Webseite des Vereins betreuen oder EDV-Dienstleister. Mit diesen ist ein sog. Auftragsverarbeitungsvertrag abzuschließen.
Vorsicht ist bei der Nutzung von Cloud-Diensten geboten, wenn diese ihren Sitz außerhalb Europas haben. Auch Cloud-Anbieter sind Auftragsdatenverarbeiter.
Die Verarbeitung von Fotos stellt ebenfalls ein für Vereine wichtiges Sonderproblem dar. Hier wird aktuell diskutiert, ob diese (noch immer) unter das Kunsturhebergesetz von 1907 fallen oder personenbezogen Daten im Sine der DS-GVO sind. Losgelöst davon sollte offen gelegt werden, wenn beispielsweise Fotoaufnahmen von Sportveranstaltungen gemacht werden, etwa durch Banner oder Hinweisschilder. Dabei sollte auch dargelegt werden, wo diese veröffentlicht werden, etwa im Internet oder in den sozialen Medien.
Fazit:
Zumindest diese Grundelemente des Datenschutzes sollten Vereine zügig umsetzen, um darauf aufbauend ihre Datenschutzorganisation zu verbessern und den Anforderungen der DS-GVO gerecht zu werden.
Produktempfehlung:
Im NWB Verlag ist ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO erschienen: