Datenschutz in den Vereinen

VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN

Vereine gehen im Alltag mit vielen personenbezogenen Daten um, insbesondere mit Daten zu ihren Mitgliedern. Deshalb besteht auch für Vereine die gesetzliche Verpflichtung, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Aus diesem soll ersichtlich werden, welche Daten (Kategorien) zu welchem Zweck verarbeitet werden.

Wie so etwas aussehen kann, zeigt das BayLDA auf seiner Webseite in einem Muster-Verzeichnis für Vereine.

RECHTE DER VEREINSMITGLIEDER

Mit der DS-GVO werden den Personen, deren Daten verarbeitet werden (also z. B. den Vereinsmitgliedern), eine Reihe von Rechten eingeräumt. Die Mitglieder können vom Verein jederzeit Auskunft über die Verarbeitung ihrer Daten verlangen.

Sobald keine gesetzliche Grundlage mehr für die Speicherung der Daten besteht, sind sie zu löschen – Daten zur Mitglieder-verwaltung grundsätzlich nach Austritt des Mitglieds (es sei denn, sie werden z. B. noch für steuerliche Zwecke oder eine Chronik benötigt).

INFORMATIONSPFLICHTEN

Jeder Verein hat seinen Mitgliedern schon bei der Daten-erhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich bereit gehalten werden. Es empfiehlt sich daher, diese Informationen bereits im Aufnahmeantrag zu erteilen.

„Bestandsmitglieder“, die schon vor dem 25.05.2018 eingetreten sind, muss der Verein nicht („rückwirkend“) nach den Vorschriften der DS-GVO informieren.

EINWILLIGUNGEN

Für die Verwendung von Daten des Mitglieds zu Zwecken

der Mitgliederverwaltung ist keine Einwilligung nötig. Gleiches gilt in der Regel für die Übermittlung von Daten an einen Dachverband, wenn die Übermittlung zur Erfüllung des Vereinszwecks erforderlich ist, z. B. zur Teilnahme von Mitgliedern an Wettkämpfen, die unter der Regie des Dachverbandes organisiert werden.

Eine Einwilligung ist nur für darüber hinausgehende Verarbeitungen nötig, z. B. (in aller Regel) wenn Kontaktdaten aller Mitglieder an alle Mitglieder verteilt werden sollen oder zur Veröffentlichung von Porträtfotos auf der Homepage.

KOMMUNIKATION MIT MITGLIEDERN

Kommunikation mit Mitgliedern per E-Mail oder per Kontaktformular über die eigene Homepage ist meist problemlos möglich, wenn die erforderliche Transportverschlüsselung (STARTTLS/https) eingerichtet ist.

Sollen sensible Informationen ausgetauscht werden, ist die Möglichkeit für eine Inhaltsverschlüsselung als Maßnahme zum Schutz vor unbefugter Kenntnisnahme zu schaffen.

SICHERHEIT DER VERARBEITUNG

Um Mitgliederdaten zu schützen, müssen Vereine

Standard Sicherheitsmaßnahmen anwenden.

Der Einsatz aktueller Betriebssysteme, Passwortschutz

und Backups sind dabei das A und O.

Damit Unbefugte nicht an die schutzwürdigen Daten herankommen, sind Datenbanken mit personenbezogenen Daten entsprechend abzusichern.

DATENSCHUTZVERLETZUNGEN

Kommt es im Verein zu Sicherheitsvorfällen im Umgang

mit personenbezogenen Daten, so besteht eine gesetzliche Meldepflicht beim BayLDA als Aufsichtsbehörde.

Beispiele solcher Datenschutzverletzungen:

– Diebstahl oder Verlust eines Notebooks – Hacking-Angriff auf die Mitgliederdatenbank – Verschlüsselungstrojaner per E-Mail

Die Mitglieder sind übrigens nur dann zu informieren, wenn ein hohes Datenschutzrisiko besteht (was die Ausnahme ist).

DATENSCHUTZBEAUFTRAGTE/R (DSB)

Für viele Vereine besteht keine Pflicht, eine(n) DSB zu benennen. Ein(e) DSB ist insbesondere zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Trainerinnen und Trainer sind nicht schon deshalb mitzuzählen, weil sie z. B. eine Liste ihrer Gruppen- oder Mannschafts-mitglieder haben.

Top 10 der wichtigsten Punkte

• Mitglieder über die Verarbeitung informieren
• Verzeichnis der Verarbeitungstätigkeiten
• Über Veröffentlichung von Fotos informieren
• Beschäftigte und Mitglieder sensibilisieren
• Webseite sicher halten
• Auftragsverarbeitungsverträge erforderlich?
• Einwilligungstexte überprüfen
• Regelmäßige Sicherung der Mitgliederdaten
• Datenpannen einfach online melden
• Ggf. Datenschutzbeauftragte/n benennen