Die seit Mai 2018 geltende DSGVO unterscheidet nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Daher gelten auch für Vereine und Verbände sowie Non-Profit-Organisationen grundsätzlich dieselben Regeln wie für Unternehmen. Unerheblich ist dabei, ob der Verein ins Vereinsregister eingetragen ist und damit eine eigene Rechtspersönlichkeit besitzt, oder ob es sich um einen nicht rechtsfähigen Verein handelt.
Die Pflichten, die sich für einen Verein, einen Verband oder eine Non-Profit-Organisation aus der DSGVO ergeben im Überblick:
Dokumentations- und Nachweispflichten
Erweiterte Dokumentations- und Nachweispflichten, um der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) zu genügen. Der Verantwortliche muss nachweisen können, dass die datenschutzrechtlichen Pflichten mit Blick auf die interne Organisation, den Umgang mit Mitgliederdaten und externen Dienstleistern erfüllt werden.
Informations- und Auskunftspflichten
Die DSGVO sieht neue Informations- und Auskunftspflichten (Art 13 und 14 DSGVO) gegenüber denjenigen vor, die von einer Verarbeitung ihrer Daten betroffen sind.
Den Betroffenen steht ein Auskunftsanspruch gegenüber dem Verein hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DSGVO). Da die DSGVO hier eine sehr kurze Reaktionszeit von nur 4 Wochen vorschreibt, sollte dieser Prozess vorbereitet sein.
Technische und organisatorische Maßnahmen (TOM)
Geeignete technische und organisatorische Vorkehrungen (TOM) sind einzurichten, um ein angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Das erforderliche Schutzniveau ergibt sich aus der Art sowie der Kategorie der verarbeiteten personenbezogenen Daten.
Verarbeitungsverzeichnis
Zu den datenschutzrechtlichen Mindestanforderungen, die jeder Verein oder Verband – unabhängig von seiner Größe und seinem Zweck – zu erfüllen hat, gehört das Führen des sogn. „Verzeichnis der Verarbeitungstätigkeiten“ (VVT). Das VVT dient im Wesentlichen der Dokumentation und revisionssicheren Handhabung der zum Schutz von personenbezogenen Daten eingeführten Verfahren und Schutzmaßnahmen im Unternehmen. Die Pflichtangaben (Art 30 DSGVO) enthalten die wichtigsten Informationen zu den einzelnen Verarbeitungstätigkeiten. Das VVT kann in schriftlicher oder digitaler Form geführt werden.
Vorgehen bei „Datenpannen“
Datenschutzvorfälle – sogn. „Datenpannen“ – sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO). Für die meisten Verantwortlichen ist dies eine sehr kurze Frist! Daher empfiehlt es sich, auf einen etwaigen meldepflichtigen Vorfall vorbereitet zu sein.
Vereinssatzung anpassen
Die datenschutzrechtlich relevanten Datenverarbeitungsvorgänge des Vereins sollten in der Vereinssatzung oder in einer separaten Datenschutzordnung, z.B. einer vereins- oder verbandsinternen Richtlinie, präzise festgehalten werden. U.a. sollte eindeutig festgelegt werden wer, wann welche Daten und zu welchem Zweck verarbeiten und übermitteln darf.
Einwilligung der Mitglieder einholen
Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DSGVO).
Eine Datenverarbeitung zur Mitgliederverwaltung und -betreuung ist grundsätzlich zulässig (auf Grundlage des Art. 6 Abs. 1 lit b DSGVO). Übermittelt ein Verein jedoch personenbezogene Daten an Dritte, wird er regelmäßig dann eine Einwilligung des Betroffenen benötigen, wenn dies mit den eigentlichen Zwecken der Datenverarbeitung des Vereins nicht in Einklang gebracht werden kann, etwa bei einer Datenweitergabe zu Werbezwecken.
Datenschutzbeauftragter
Besteht die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonders sensibler Daten, etwa in Selbsthilfevereinen, oder sind dort in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist die Benennung eines internen oder externen Datenschutzbeauftragten verpflichtend (Art. 37 DSGVO, § 38 BDSG-neu). Dies gilt auch für Sportvereine, die z.B. mehrere Übungsleiter (hierzu zählen auch ehrenamtlich tätige Trainer) beschäftigen.
Erfahrung zahlt sich aus
Seit vielen Jahren sind wir mit den datenschutzrechtlichen Anforderungen von Vereinen, Verbänden und Non-Profit-Organisationen vertraut und unterstützen sie kompetent bei der Umsetzung und Einhaltung der DSGVO sowie des neuen BDSG.
Das von uns entwickelte Datenschutz-Management-System, der SECUFIDES-Datenschutz Monitor, ist auf diese organisationsspezifischen Anforderungen ausgerichtet.
Unsere Beratungsleistung für Vereine, Verbände und Non-Profit-Organisationen umfasst u.a.:
- Beratung in allgemeinen und vereins- bzw. verbandsspezifischen datenschutzrechtlichen Fragestellungen
- Einrichtung eines Datenschutz-Management-Systems für den Verein oder Verband, um die Dokumentationspflichten revisionsfest sicherzustellen
- Analyse und Überprüfung der internen Verarbeitungsvorgänge und Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
- Risikoabschätzung der einzelnen Verarbeitungstätigkeit und ggfs. Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
- Unterstützung bei der Einhaltung von Betroffenenrechten wie z.B. Auskunftsanfragen, Löschung oder Übertragung
- Beratung bei der Umsetzung von Datensicherheit und der Implementierung von geeigneten technischen und organisatorischen Maßnahmen
- Überprüfung und Anpassung vorhandener Verträge mit Ihren Dienstleistern
- Schulungen der Vereinsmitarbeiter (haupt- und ehrenamtlich)
- Unverzügliche Hilfe bei akuten Datenschutznotfällen
- Vertretung gegenüber Aufsichtsbehörden (als externer Datenschutzbeauftragter)
Datenschutz schafft Vertrauen
Ein professionell organisierter Datenschutz im Verein oder Verband schafft Vertrauen bei Mitgliedern, Mitabeitern und Partnern!
Sie möchten mehr über die datenschutzrechtlichen Anforderungen für Vereine und Verbände erfahren?
Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.
