Auf nummer sicher


Datenschutz allgemein

Wer seinen Verein digitalisiert, kommt zwangsläufig mit dem Thema Datenschutz in Berührung. Vereine verarbeiten nun mal in verschieden Bereichen, etwa in der Mitgliederverwaltung, personenbezogene Daten - also zum Beispiel Adressen. Für diese Broschüre haben wir Dienste vorausgewählt, die den strengen Anforderungen der europäischen Datenschutz-Grundverordnung DSGVO genügen, und geben Tipps im Kontext der einzelnen Themen. Dieses Kapitel überreißt einige wichtige übergreifende Themen.

Zugegeben, das Thema Datenschutz in Vereinen ist nicht ganz trivial. Wer sich intensiver mit dem Thema auseinandersetzen will, findet unten zwei weiterführende Quellen. Der niedersächsische Landesdatenschutzbeauftragte unterhält zudem eine Hotline eigens für Vereine und Verbände, die montags, mittwochs und freitags von 9 bis 12 Uhr unter der Nummer 0511-120-4576 erreichbar ist.


Passwortmanager

Digitale Selbstverteidigung


Datenschutzverantwortliche(r)


Aus Sicht des Datenschutzes ist der oder die Vorsitzende verantwortlich. Das umfasst auch Haftungsfragen - sowohl gegenüber den Mitgliedern (bei Datenschutzverletzungen) als auch gegenüber dem Verein (bei Bußgeldern).

Datenschutzbeauftragte

Ab 20 Mitarbeitern oder Mitgliedern, die in die automatisierte Verarbeitung von personenbezogenen Daten involviert sind, muss ein Verein eine/n Datenschutzbeauftragte/n bestellen. Das müssen keine Angestellten sein. Entscheidend ist, dass diese Mitglieder oder Mitarbeiter sich mit der automatisierten Verarbeitung "beschäftigen". Sofern in großem Umfang besonders kritische Daten verarbeitet werden (zum Beispiel Gesundheitsthemen), muss auf jeden Fall ein/e Datenschutzbeauftragte/r bestellt werden.




Rechtsgrundlage

In vielen Fällen ist die Verarbeitung von Mitgliederdaten zulässig, wenn sie der Erfüllung der Vereinsziele dient. Dazu zählen zum Beispiel die Abwicklung der Mitgliedschaft, die Erbringung der Vereinsleistung oder (bei neuen Mitgliedern) die Anbahnung einer Mitgliedschaft. Hierfür ist also keine explizite Einwilligung der Mitglieder notwendig. Die Mitglieder müssen aber über die Verarbeitung der Daten informiert werden.

In der Regel darf ein Verein personenbezogene Daten ohne Einwilligung nicht an Dritte weitergeben. Daraus folgt zum Beispiel, dass sie ein Mitglied nur mit dessen Einverständnis bei einem Dachverband anmelden dürfen und dass der Dachverband nur die Daten verarbeiten darf, die durch das jeweilige Einverständnis gedeckt sind. Ausnahmen kann es bei einem berechtigten Interesse des Vereins geben, über welches das Mitglied zu informieren ist. Erforderliche Einwilligungen erteilt das Mitglied am besten beim Vereinseintritt zusammen mit der Anerkennung der Vereinssatzung.



Datensparsamkeit, Sicherheit und Privacy by Design

Vereine müssen die Datenverarbeitung so gestalten, dass sie möglichst sparsam und möglichst sicher mit den Daten der Mitglieder umgehen. Sie dürfen nur solche Daten sammeln, die sie für den Vereinsbetrieb benötigen. Hierbei müssen sie einerseits den Stand der Technik berücksichtigen, andererseits muss der Aufwand anhand des wirtschaftlichen Zwecks der Verarbeitung zumutbar bleiben.



Auftragsverarbeitung

Wenn externe Dienstleister an der Verarbeitung von Daten mitwirken, dann muss der Verein mit diesen eine Vereinbarung zur Auftragsverarbeitung abschließen. Das gilt unter anderem für IT-Systemhäuser sowie auch für Anbieter von Softwarelösungen in der Cloud. Der Anbieter muss zudem alle Partner, deren Funktionen er nutzt, auf entsprechende Vereinbarungen verpflichten. Manchmal können solche Vereinbarungen nur in Verbindung mit einer bezahlten Nutzung von Softwarelösungen abgeschlossen werden, nicht mit der kostenlosen.

Über die bereits genannten Datenschutzverträge hinaus dürfen ohne weitere Zusatzvereinbarungen nur Dienste von Anbietern verwendet werden, die mit Hauptsitz in Staaten der EU firmieren oder aus einer Reihe privilegierter Länder stammen, bei denen angenommen wird, dass dort vergleichbare Datenschutzstandards herrschen wie hierzulande. Das sind Länder wie die Schweiz, Japan und Kanada, nicht aber beispielsweise die USA.

Will ein Verein Services amerikanischer Unternehmen wie Google Analytics oder Funktionen von Facebook nutzen, ist er gut beraten, sich explizit die Einwilligung seiner Mitglieder für die Nutzung dieser Dienste zu sichern und entsprechende Zusatzvereinbarungen in Form der sogenannten EU-Standardvertragsklauseln mit den US-Anbietern abzuschließen. Zudem sollte man darauf achten, dass der Anbieter etwa über seine AGB die möglichen Datensicherheitsmaßnahmen gemäß dem Stand der Technik zusagt.




Weiterführende Informationen zum Thema Datenschutz finden Sie

beim Landesbeauftragten für den Datenschutz in Niedersachsen:
https://lfd.niedersachsen.de/startseite/themen/vereine/datenschutz-im-verein-56043.html

In dem Kapitel "Datenschutz im Verein" des Buchs "Vereinsrecht und Ehrenamt" der Verbraucherzentrale Bundesverband:
https://www.ratgeber-verbraucherzentrale.de/mediabig/1154504A.pdf

Berliner Datenschutzbehörde
https://www.datenschutz-berlin.de/


Jetzt mit der Digitalisierung starten!

Sie möchten an dieser Seite mitwirken?

Wir freuen uns über inhaltliche Ergänzungen und Hinweise!

Danke, Ihre Nachricht wurde zugstellt.

Oops! Ein Fehler ist aufgetreten :(