Die Datenschutzgrundverordnung (DSGVO) muss seit dem 25. Mai 2018 in der Europäischen Union verbindlich umgesetzt werden. Auch Vereine fallen in den Geltungsbereich der DSGVO, wenn Sie personenbezogene Daten verarbeiten.
In den ersten Jahren nach Inkrafttreten der DSGVO gerieten überwiegend Unternehmen in den Fokus der Datenschutzbehörden, weil diese ihren Pflichten nicht nachkamen oder sogar grob gegen die DSGVO verstoßen haben.
Mit einem im März 2021 verhängten Bußgeld von 300.000 € an den VfB Stuttgart ist nun erstmals auch ein sehr hohes Bußgeld an einen deutschen Verein verhängt worden. Im vorliegenden Fall wurden mehrere tausend Mitgliederdaten (hier zur Mitgliederdatenverwaltung) an einen externen Dienstleister weitergegeben, ohne dass ein Auftragsverarbeitungsvertrag abgeschlossen worden war. Im europäischen Vergleich ist dies bereits das vierte Bußgeld was an einen Sportverein verhängt wurde (siehe Tabelle).
Bei allen sanktionierten Vergehen war die unerlaubte Weitergabe oder unerlaubte Veröffentlichung von personenbezogenen Daten ausschlaggebend. Um solchen empfindlichen Bußgeldern zu entgehen, sollten auch Vereine die Pflichten nach der DSGVO kennen und diese konsequent umsetzen. In diesem Blogbeitrag geben wir einen Überblick über die wichtigsten Pflichten, die ein Verein erfüllen muss. Ebenfalls bieten wir eine Beratung zum Thema Datenschutz im Verein an.
Bisher an europäische Sportvereine verhängte Bußgelder (Quelle: www.dsgvo-portal.de, Stand: 6.Mai 2021)
Alle Verarbeitungen von personenbezogenen Daten im Verein müssen auf sicherer Rechtsgrundlage basieren. Legitim ist eine Verarbeitung, wenn diese aufgrund einer der folgenden drei Gründe erfolgt:
Da das Vorliegen eines vermeintlich berechtigten Interesses aus objektiver Sicht nicht immer gegeben ist, ist es ratsam, immer eine Einwilligung einzuholen.
Alle Tätigkeiten, bei denen personenbezogene Daten im Verein verarbeitet werden, sind in einem Verarbeitungsverzeichnis aufzulisten. Dieses Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist auf Anfrage der Datenschutzaufsichtsbehörde vorzulegen. Weitere führende Infos, wie so ein Verzeichnis gestaltet werden muss, finden Sie hier:
Informationen zum Verarbeitungsverzeichnis
Setzt der Verein einen externen Dienstleister ein, der personenbezogene Mitglieder- oder Mitarbeiterdaten für den Verein verarbeitet, so hat er mit dem Dienstleister einen sogenannten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zu schließen. In der Regel ist der Abschluss eines Auftragsdatenverarbeitungsvertrags erforderlich, wenn Dienstleister im Bereich IT, Marketing oder Marketing für den Verein beschäftigt werden und diese nur auf Weisung des Vereins arbeiten.
Kein Auftragsverarbeitungsvertrag muss dagegen mit der Post, die Vereinsinfos an die Mitglieder verteilt oder der Bank, die Mitgliedsbeiträge abbucht, sowie mit Steuerberatern (hier geht es zur Steuerberatung) geschlossen werden. Ein Muster wie so ein Auftragsverarbeitungsvertrag auszusehen hat und welche Punkte er zu berücksichtigen hat, finden Sie hier.
Führt ein Verein eine neue Form der Verarbeitung ein, bei der neue Technologien verwendet werden und die aufgrund der Art, des Umfangs, der Umstände und des Zwecks voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat der Verantwortliche hierzu eine Datenschutzfolgeabschätzung durchzuführen.
Als Orientierung bei welchen Verarbeitungen Datenschutzfolgeabschätzungen durchzuführen sind, haben verschiedene Bundesländer so genannte Blacklists eingeführt, auf denen bereits bekannte Verarbeitungen aufgelistet sind.
Vereine müssen einen Datenschutzbeauftragten bestellen, wenn mindestens einer der genannten Punkte zutrifft:
1. Es sind mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Der Gesetzgeber legt dabei den Begriff „ständig“ sehr weit aus. Eine z.B. regelmäßige Verarbeitung von personenbezogenen Daten einmal im Monat reicht schon aus, den Fakt des „ständig“ zu erfüllen. Dies ist besonders für kleinere Vereine wichtig zu beachten. Die Rolle der Person im Verein spielt dabei keine Rolle, es kann sich also dabei sowohl um Angestellte, Aushilfen oder ehrenamtlich Tätige handeln, entscheidend ist nur, ob sie mit der Verarbeitung von personenbezogenen Daten beschäftigt ist.
2. Zur Haupttätigkeit des Vereins zählt die umfangreiche Verarbeitung besonderer personenbezogener Daten. Zu solchen besonderen personenbezogenen Daten gehören Daten zu politischen Meinungen, politischen Überzeugungen, Gesundheitsdaten oder Daten zur strafrechtlichen Verfolgung. In diesem Fall ist immer ein Datenschutzbeauftragter zu bestellen.
3. Die Hauptaufgabe des Vereins umfasst Tätigkeiten, die eine umfangreiche regelmäßige oder systematische Überwachung von Personen erforderlich machen. Hierunter zählt neben der Videoaufzeichnung auch die Auswertung von Bewegungsprofilen.
für ein vielfältiges Vereinsleben
Bei einer zielführenden Finanzierung für Vereine & Verbände stellen sich viele Fragen. Wir haben Antworten!
mehr erfahren »
für mehr Zeit für die wichtigen Dinge
Die Vereinsarbeit ist in den letzten Jahren komplexer geworden. Wir begleiten Sie im Prozess der Digitalisierung.
Umfassender Versicherungsschutz
Wir informieren Sie darüber, welche Versicherungen Sie wirklich benötigen.
