Das bedeutet die DSGVO für Vereine

Die europäische Datenschutzgrundverordnung (DSGVO) legt für Vereine die gleichen Maßstäbe an wie für Unternehmen. Wir erklären die wichtigsten Punkte, die Vereine jetzt beachten müssen.

Auch gemeinnützige Vereine sind von dem neuen europäischen Datenschutzgesetz betroffen. Wer Daten über seine Mitglieder speichert, eine Vereins-Homepage betreibt oder das Vereinsleben für die Öffentlichkeit dokumentiert, muss dabei neue Regeln beachten.

Die Datenschutzbehörden erwarten allerdings nicht, dass jeder Verein zum Stichtag am 25. Mai perfekt auf die DSGVO vorbereitet ist. Im Gegenteil: Die Datenschutzbeauftragten sind sich durchaus bewusst, dass es für Ehrenamtliche eine große Herausforderung darstellt, sich mit dem neuen Gesetz vertraut zu machen. Sie bieten daher ihre Hilfe an. So haben die Landesdatenschutzbeauftragten von Baden-Württemberg und Bayern bereits Handbücher für Vereine herausgegeben. Wer Fragen hat, kann sich direkt an die Büros wenden.

t-online.de hat für Sie schon mal eine Checkliste vorbereitet. Das kommt demnächst auf Vereine zu:

Neue Informations- und Auskunftspflichten

Transparenz wird in der DSGVO groß geschrieben. Auf die Vereine kommen deshalb genau wie für die Unternehmen erweiterte Informations- und Auskunftspflichten zu. Das bedeutet: Der Verein muss ganz genau auflisten, welche Daten er speichert und was er damit vorhat. Die Datenverarbeitung ist an die vorher festgelegten Zwecke gebunden. Für alles, was darüber hinaus geht, muss die Einwilligung des Betroffenen eingeholt werden. Das soll verhindern, dass Mitglieder eine "böse Überraschung" erleben, weil ihre Daten für Dinge genutzt wurden, von denen sie nichts wussten.

Sollen die Daten an Dritte weitergegeben werden, zum Beispiel an einen Dachverband, Sponsoren oder eine Versicherung, muss auch das offen gelegt werden. Besondere Regeln gelten, wenn die Daten ins Ausland übermittelt werden.

Vereinssatzung und Datenschutzerklärungen überarbeiten

Vereine, die eine Homepage betreiben, sollten aufgrund der oben genannten Informationspflichten unbedingt ihre Datenschutzhinweise und das Impressum der Webseite anpassen. Hier gelten die gleichen Vorgaben wie für Blogs und Webseiten. Der "Datenschutz Generator" hilft dabei, die richtige Formulierung zu finden. Für gemeinnützige Vereine ist der Service kostenlos. Auf der Webseite ist immer auch der Verantwortlicher und eventuell der Datenschutzbeauftragte zu nennen.

Die Vereinssatzung ist quasi der "Vertrag", den der Verein mit seinen Mitgliedern abschließt. Darin werden unter anderem die Ziele des Vereins festgelegt. Zu Erfüllung dieser Ziele werden bestimmte Daten benötigt, zum Beispiel die Kontaktdaten der Mitglieder. Die Datenverarbeitung hat also ihre Berechtigung.

Der Verein muss sich aber auch darauf festlegen, wie er mit den Daten umgehen will. Dazu gibt er sich eine schriftliche "Datenschutzordnung". Diese kann auch Teil der Vereinssatzung sein und wird von der Mitgliederversammlung beschlossen.

In der Datenschutzordnung wird der ganze Weg der Daten von der Erhebung über die Speicherung und Nutzung bis zur Löschung festgehalten. Mit diesen Regeln, die sich der Verein selbst gibt, konkretisiert er die Grundsätze der DSGVO in seiner eigenen Vereinspraxis. So wissen auch die Mitarbeiter und Mitglieder immer, was zu tun ist. Was genau in der Datenschutzordnung stehen sollte, beschreibt das DSGVO-Handbuch aus Baden-Württemberg.

Verzeichnis für Verarbeitungstätigkeiten anlegen und pflegen

Die DSGVO schreibt vor, dass der Verein jede Datenverarbeitung dokumentiert. Dazu wird eine Tabelle angelegt, in dem alle Verarbeitungstätigkeiten notiert werden. Das Begleichen einer Rechnung gilt ebenso als Datenverarbeitung wie die Veröffentlichung von Fotos auf der Vereinsseite. In dem Verzeichnis werden alle für den Datenschutz relevanten Informationen vermerkt, etwa, mit welcher Begründung die Daten gespeichert werden und für wie lange.

Die Dokumentation bedeutet natürlich einen zusätzlichen Verwaltungsaufwand. Doch im Fall einer Überprüfung, muss der Verein belegen können, dass er alles richtig gemacht hat. Einige Musterverzeichnisse für verschiedene Betriebs- und Vereinsytpen hat der bayerische Landesdatenschutzbeauftragte zusammengestellt.

Einwilligung für Fotos und Vereinsberichte einholen

Viele Vereine geben auf ihren Webseiten oder in Gemeindeblättern Einblicke in ihr Vereinsleben. Sie veröffentlichen beispielsweise die Ergebnisse von Wettbewerben oder Fotos von ihren Veranstaltungen im Internet. So etwas muss mit den Mitgliedern vorher abgestimmt sein – und der Verein muss jederzeit nachweisen können, dass er das Einverständnis der Betroffenen hat. Wer auf Nummer sicher gehen will, holt sich eine schriftliche Einverständniserklärung ab. Eine Mustervorlage für die Einwilligungserklärung finden Sie am Ende der Broschüre aus Baden-Württemberg. Hat der Betroffene sein Einverständnis mündlich oder implizit (etwa durch Nicken) gegeben, reicht auch ein Vermerk in der Dokumentation.

Natürlich kann der Betroffene seine Einwilligung jederzeit widerrufen. Dann müssen die ihn betreffenden Beiträge gelöscht werden, so will es das "Recht auf Vergessen werden". Der Verein muss seine Mitglieder über dieses Recht aufklären.

Datenschutzbeauftragten ernennen

Große Vereine, in denen mehr als zehn Personen ständig mit personenbezogenen Daten zu tun haben, müssen einen Datenschutzbeauftragten ernennen. Diese Person muss mit den Gesetzen und den vereinsinternen Richtlinien vertraut sein und dient als Ansprechpartner für die Behörden und Betroffene. Um Interessenskonflikte zu vermeiden, sollte der Datenschutzbeauftragte nicht Mitglied im Vereinsvorstand sein.

Auch kleine Vereine können verpflichtet sein, einen Datenschutzbeauftragten zu ernennen, wenn sie besonders sensible Daten verarbeiten. Darunter fallen beispielsweise Gesundheitsdaten.

Sicherheitsmaßnahmen ergreifen

Der Verein muss dafür Sorge tragen, dass die Daten sicher aufgehoben sind. Das fängt schon beim Umgang mit Passwörtern an. Regelmäßige Software-Updates und eine moderne EDV-Ausstattung sowie Verschlüsselungstechnologien sollen ebenfalls zur Datensicherheit beitragen. Im Fall einer Datenpanne oder eines Hackerangriffs ist innerhalb von 72 Stunden die zuständige Landesbehörde zu benachrichtigen.

Wer die Dienste externer IT-Dienstleister – zum Beispiel Cloud Services – nutzt, sollte sich deren Datenschutzstandards vertraglich zusichern lassen. Hier greifen die Bestimmungen zur sogenannten "Auftragsdatenverarbeitung".

Wer mit besonders sensiblen Daten hantiert, muss unter Umständen eine Datenschutz-Folgeabschätzung (DSFA) vorlegen, also eine Art Risikobewertung. Der Gedanke dahinter: Wenn solche Informationen unfreiwillig an die Öffentlichkeit gelangen, kann dem Betroffenen großer Schaden entstehen. Das betrifft aber wahrscheinlich nur ganz wenige Vereine.