Ehre, dem die Ehre gebührt – Verein und Datenschutz

GolferEhre, dem die Ehre gebührt

Und Ehre allen denen, die sich im Verein ehrenamtlich um die Interessen der Mitglieder kümmern. Seit Mai 2018 fühlen sich viele Ehrenamtliche vom Datenschutz vor den Kopf gestoßen. Um was soll man sich denn noch alles kümmern?, fragt sich so mancher Vorstand. Wir geben dazu ein paar hilfreiche Tipps.

Grundsätzliches

Die Datenschutzgrundverordnung (DSGVO) gilt auch für Vereine, denn in Vereinen werden personenbezogene Daten verarbeitet. Jeder Verein sammelt Namen, Adressen, Beitragszahlungen und mehr von ihren Mitgliedern. Manche Vereine, insbesondere Sportvereine, veröffentlichen Daten aus Spielen oder Wettkämpfen im Internet. Sobald diese Daten auf ein Mitglied bezogen werden können, werden sie ebenfalls zu personenbezogenen Daten. Auch bei der Selbstdarstellung des Vereins im Internet kommen personenbezogene Daten zum Beispiel der Verantwortlichen oder des Vorstands in Flyer oder ins Internet.

Braucht der Verein einen Datenschutzbeauftragten?

Nach deutscher Ausprägung der DSGVO ist immer dann ein Datenschutzbeauftragter zu bestellen, wenn 10 oder mehr Menschen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Im klassischen Verein wäre die automatisierte Verarbeitung die Mitgliederverwaltung. Sollte es Mitglieder geben, die zum Beispiel Wettkampfergebnisse, Spieleraufstellungen oder Turniere mit personenbezogenen Daten bearbeiten, dann zählen sie zu den „10“. Der Umfang dieser Tätigkeit ist nicht so entscheidend.

Es gibt eine Ausnahme: Sollten im Verein auch besonders geschützte Daten verarbeitet werden, wie zum Beispiel Gesundheitsdaten, könnte auch unabhängig von der Anzahl der Mitglieder, die diese Daten automatisiert verarbeiten, ein Datenschutzbeauftragter zu bestellen sein.

Wenn der Verein keinen Datenschutzbeauftragten stellen muss, dann heißt das nicht, dass der Datenschutz nicht beachtet werden muss. Es ist vielmehr so, dass der Verantwortliche allein für den Datenschutz sorgen muss. Das ist im klassischen Verein der Vorstand, vertreten durch den Vorsitzenden des Vorstands.

Welche Pflichten treffen den Verein?

 Informationspflichten

Seit dem Mai 2018 müssen neu in den Verein eintretende Mitglieder darüber informiert werden, welche personenbezogene Daten der Verein zu welchem Zweck und mit welcher Rechtsgrundlage verarbeitet.

Personenbezogene Daten

Personenbezogene Daten sind einerseits die zur unmittelbaren Identifizierung einer
natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburtsdatum, aber darüber hinaus auch die mittelbar auf eine natürliche Person schließen lassen, wie beispielsweise Familienstand, Zahl der Kinder, Beruf, Telefonnummer,
E-Mail-Adresse, Anschrift, persönliche Interessen, Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierung bei einem Wettbewerb usw. Es geht immer um Daten, die eine Person identifizieren oder identifizierbar machen.

Zweck

Die Datenverarbeitung darf nur für einen festgelegten Zweck erfolgen. Jeder Verein dürfte den Zweck verfolgen, den Bestand an Mitgliedern zu dokumentieren. Es sind Daten zu verarbeiten für den Zweck der Beitragserhebung. Werden darüber hinaus personenbezogene Daten verarbeitet zum Beispiel für die Wettkampfverwaltung, für Öffentlichkeitsarbeit, Sponsoring, Namen auf Trikots oder dergleichen, dann muss das Mitglied darüber informiert werden.

Wichtig zu wissen ist, dass zwischen dem Verein und dem einzelnen Mitglied die Information über den Zweck gilt, die bei Vereinseintritt festgelegt war. Sollte der Verein den Zweck ändern oder erweitern wollen, geht das nur in engen Grenzen. Möglich ist dies, wenn der neue Zweck mit dem alten Zweck in einem Zusammenhang steht. Möchte der Verein einen neuen Zweck festlegen, der ohne Zusammenhang zu einem bereits bestehenden Zweck steht, geht das nicht einseitig.

Rechtsgrundlage

Der Datenschutz ist als „Verbot mit Erlaubnisvorbehalt“ organisiert. Es gilt der Satz: „Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist erlaubt“. Was zunächst eigenartig klingt hat einen ernsten Hintergrund. Der Schutz der persönlichen Daten soll umfassend und sicher sein. Daher ist jede Verarbeitung verboten. Wenn aber personenbezogene Daten verarbeitet werden sollen, dann muss es eine Erlaubnis, eine Rechtsgrundlage, geben. Dafür kommen für den Verein grundsätzlich vier Rechtsgrundlagen in Frage: Es ist nach einem Gesetz, einem Vertrag, nach der Wahrnehmung berechtigter Interessen oder nach einer Einwilligung erlaubt.

Die Verwaltung der Mitgliedschaft dürfte ihre Rechtsgrundlage in einem Vertrag zwischen dem Verein und dem Mitglied haben. Soweit der Verein seine satzungsgemäßen Zwecke verfolgt und dabei personenbezogene Daten erhoben werden müssen, kann auch die Wahrnehmung berechtigter Interessen eine Rolle spielen. So zum Beispiel die Meldung des Mitglieds bei einer vom Verein abgeschlossenen Versicherung.

Die Verarbeitung zum Beispiel von Daten im Rahmen von Spenden muss aufgrund von Gesetz erfolgen, denn der Verein ist zur Abgabe einer Körperschaftssteuererklärung verpflichtet.

Erst wenn keine der vorgenannten Rechtsgrundlagen in Betracht kommt, sollte auf eine Einwilligung zurückgegriffen werden. Wenn der Verein zum Beispiel die Ergebnisse von Wettkämpfen oder Fotos mit Namensnennung im Internet veröffentlichen will, könnte das in Ermangelung einer anderen Rechtsgrundlage nur mit einer Einwilligung möglich sein. Dabei ist zu beachten, dass die Einwilligung freiwillig und immer an einen Zweck gebunden ist. Die muss jederzeit ohne Angaben von Gründen für die Zukunft widerrufbar sein.

Der gründliche Vorstand könnte nun auf die Idee kommen, dass man alle Verarbeitungen in die Satzung schreibt, die als Vertragsgrundlage mit jedem Mitglied dient. Doch hier sollte Vorsicht geboten sein. Wenn in der Satzung überraschende Zwecke enthalten sind, mit denen ein Mitglied nicht zu rechnen brauchte, kann die Satzung in diesem Punkt für ungültig erklärt werden.

Wie soll der Verein informieren?

Der Verein muss zu Beginn der Verarbeitung die Informationspflicht erfüllen. Sinnvoll ist die Information im Rahmen eines Aufnahmeantrags. Zwar lassen sich die Informationen grundsätzlich auch in der Satzung verankern. Zu bedenken ist jedoch, dass die Änderung der Satzung sehr aufwendig ist und nicht jedes Mitglied die Satzung vollständig liest.

Verarbeitungsverzeichnis

Auch den Verein trifft die Pflicht, Verarbeitungsverzeichnisse anzufertigen. Zwar gibt das deutsche Bundesdatenschutzgesetz eine Ausnahme, wenn persönliche Daten nur „gelegentlich“ verarbeitet werden und weniger als 250 Mitarbeiter beschäftigt sind. Uneinig sind sich die Datenschützer über die Definition des Wortes „gelegentlich“. Man geht derzeit davon aus, dass bei einer automatisierten Verarbeitung kaum von einem gelegentlichen Verarbeiten die Rede ist. Aus diesem Grund lautet bis dato die Empfehlung, dass man sich nicht auf die Ausnahme berufen sollte.

Ein Verarbeitungsverzeichnis muss der Vorstand des Vereins erstellen. Es muss zunächst klar definiert werden, welche „Verfahren“ eingesetzt werden. In Frage kommen für den Verein die Verfahren

  • Mitgliederverwaltung
  • Beitragseinzug
  • Spendenverwaltung
  • Datenweitergabe an Verbände, Versicherung, Gemeindeverwaltung, …
  • Wettkampfergebnisse
  • Trainingsverwaltung
  • Personalverwaltung

Nicht alle Verarbeitungen treffen für alle Vereine zu. Das muss individuell festgelegt werden. Wie das Verzeichnis aussehen sollte und was darin aufgenommen werden muss, haben wir in dem Thema „Die Arbeit mit dem Datenschutz-Verarbeitungsverzeichnis“ bereits beschrieben.

Datenschutzerklärung auf der Webseite

Sobald ein Verein eine Webseite betreibt, muss auf dieser mit einer Datenschutzerklärung auf die Datenverarbeitung im über die Internetseite informiert werden. Das trifft ausnahmslos alle Vereine! Eine Verarbeitung im Sinne der DSGVO findet bereits statt, wenn die Webseite nur aufgerufen und gelesen wird. Denn zur Auslieferung benötigt der Serviceanbieter, der die Webseite bereitstellt, eine Adresse den Empfängers, eine sogenannte IP-Adresse. Diese ist ein personenbezogenes Datum. Da die meisten Anbieter von Webseiten automatisch Protokolle über den Zugriff mit IP-Adresse anfertigen, wird dieses Datum verarbeitet. Fügt der Verein weiteres Services wie GoogleAnalytics, GoogleAds, GoogleMaps, Youtube, Facebook, usw. hinzu, muss der Besucher der Webseite darüber informiert werden. Wird ein Kontaktformular verwendet, in welches der Besucher Daten eintragen kann, um diese dem Verein zu senden, ist zwingend eine Technik zur Verschlüsselung der gesendeten Daten zu verwenden (Stichwort SSL, https).

Was ist mit Cookies? Im Internet sind mit den „Keksen“ kleine Dateien gemeint, die der Betreiber einer Webseite auf dem Rechner eines Besuchers abspeichern kann. Darum kümmert sich der vom Besucher verwendete Browser. Wenn auch die Sicherheitsbedenken gegen diese Technik heute klein sind, so lassen sich mit den Cookies erhebliche Daten sammeln, die einer Person zugeordnet werden können. Aber auch hier muss differenziert werden: Nicht alle Cookies sind zum Datensammeln da. Es gibt auch solche, die nur den Komfort des Besuch der Seite erhöhen oder Daten zwischenspeichern, wie zum Beispiel bei einem Webshop.

Der Vorstand muss sich also fragen, ob Cookies zum „Tracken“ von Nutzern, also dem Sammeln von Verhaltensinformationen, oder zum „Werben“, zum Beispiel mit Werbenetzwerken, eingesetzt werden. In diesem Fall muss der Benutzer informiert werden und man sollte sich die Einwilligung (freiwillig, mit Zwecknennung, widerrufbar) vor dem Speichern des Cookies einholen.

Im Zusammenhang mit Cookies ist darauf hinzuweisen, dass die EU eine weitere Verordnung plant, die ePrivacy-Verordnung. In der Diskussion sind strengere Regelungen in Bezug auf die Sammlung von Nutzerdaten.

Löschkonzept

Einhergehend mit der Rechtsgrundlage, ohne die eine Verarbeitung personenbezogener Daten nicht erlaubt ist, stellt sich regelmäßig die Frage, wann Daten zu löschen sind. Grundsätzlich dürfen personenbezogene Daten nicht mehr verarbeitet werden, wenn die Rechtsgrundlage entfällt. Einfach ist es dann, wenn das Mitglied aus dem Verein austritt. Es wäre aber falsch, wenn sofort sämtliche Daten gelöscht werden. Es muss bei jedem einzelnen Datum überlegt werden, ob dieses noch benötigt wird. So kann es erforderlich sein, dass Namen und Adressen für steuerliche Zwecke noch auf Spendenbescheinigungen „gespeichert“ sein müssen. Hingegen sind personenbezogene Daten wie die Telefonnummer oder E-Mail dafür nicht erforderlich und können/müssen gelöscht werden. Im Fall von Wettkampfdaten oder Spielererfolgen kann zum Beispiel geprüft werden, ob nicht ein Löschen, sondern ein anonymisieren der Daten ausreicht. Nicht zuletzt ist es möglich, auch von einem austrittswilligen Mitglied eine Einwilligung einzuholen, bestimmte personenbezogene Daten zum Beispiel für eine Vereinschronik einzuholen.

Dokumentation

Der Vorstand muss als Verantwortlicher sämtliche Entscheidungen, Überlegungen oder Umsetungen des Datenschutzes im Verein dokumentieren. Das kann schriftlich auf Papier oder elektronisch mittels PC geschehen. Es empfiehlt sich, einen Datenschutzordner anzulegen, in dem sämtliche Dokumente aufgehoben werden. Das ist im Verein besonders wichtig, da die Vorstände relativ häufig wechseln können. Hier ist eine gute Verwaltung ein großer Vorteil, nicht zuletzt bei der Suche nach Nachfolgern im Ehrenamt.

Share this Post