Der Datenschutz bei Vereinen ist eine wichtige, aber auch komplexe Angelegenheit: Wir geben einen Überblick.
Der Datenschutz bei Vereinen ist eine wichtige, aber auch komplexe Angelegenheit: Wann fällt ein Verein unter die DSGVO und was sieht die Datenschutzgrundverordnung für Vereine vor?
DSGVO in Vereinen: Wann fällt ein Verein unter die DSGVO?
Auch Vereine können den Anforderungen der DSGVO unterliegen. Der weite Unternehmensbegriff des Art. 4 Nr. 18 DSGVO ist rechtsformunabhängig und kann auch Vereine umfassen.
Nach Art. 4 Nr. 18 DSGVO unterliegt ein Verein der DSGVO, wenn er in eine wirtschaftliche Tätigkeit ausübt. Eine wirtschaftliche Tätigkeit ist dann gegeben, wenn der Gegenstand dieser wirtschaftlichen Tätigkeit im Anbieten von Waren und Dienstleistungen auf einem Markt besteht. Aber Achtung: Eine Gewinnerzielungsabsicht hat nicht damit zu tun, ob ein Verein als wirtschaftlich tätig eingestuft wird. Deswegen ist es möglich, dass z.B. auch gemeinnützige Vereine unter die DSGVO fallen. Deshalb sollten Sie bei Ihrem Verein vorweg klären lassen, ob Sie aus juristischer Sicht eine wirtschaftliche Tätigkeit ausüben. Lassen Sie sich das Ergebnis unbedingt schriftlich geben und bewahren Sie es auf.
Fällt Ihr Verein unter die DSGVO, treffen ihn die gleichen DSGVO-Anforderungen wie Unternehmen. Dies bedeutet vor allem, dass die Mitglieder des Vereines auch sämtliche Betroffenenrechte aus der DSGVO wahrnehmen können – beispielsweise das Recht auf Löschung (Art. 17 DSGVO) oder das Recht auf Auskunft (Art. 15 DSGVO). Zudem muss der Verein auch die umfangreichen Dokumentations- und Nachweispflichten der DSGVO einhalten.
Hinsichtlich des Datenschutzes gibt es für Vereinsmitglieder eine wichtige Besonderheit zu beachten: Mitglieder gelten weder als Beschäftigte noch als Kunden – somit greifen die Regeln des Beschäftigten-Datenschutzes hier nicht.
Überblick: Wie setzen Vereine die DSGVO in der Praxis um?
Fällt ein Verein unter die DSGVO, hat er auch deren Regelungen einzuhalten. Dies bedeutet, dass er für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage benötigt. Datenverarbeitungen, die erforderlich sind, um die satzungsgemäßen Aufgaben des Vereins zu erfüllen, können auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.
Allerdings haben Vereine innerhalb der DSGVO eine Sonderstellung: Die Vereinssatzung ist die Rechtsgrundlage der Datenverarbeitung, weswegen etliche Informationen und Daten von Vereinsmitgliedern ohne dazu eine gesonderte Zustimmung einzuholen verarbeitet werden dürfen, solange diese Daten der Erfüllung der satzungsgemäßen Aufgaben des Vereins (DSGVO Art 6 Absatz 1 lit. b) dienen. So ist es regelmäßig erforderlich Namen und Kontaktdaten von Mitgliedern zu verarbeiten, damit der Verein seinen Tätigkeiten überhaupt nachgehen kann. Ebenso verhält es sich mit Bankverbindungsdaten, für die Zahlung von Mitgliedsbeiträgen.
Doch Art. 6 Abs. 1 lit. b DSGVO stellt kein Freifahrtschein dar. So wird die Aufnahme und Veröffentlichung von Fotos regelmäßig nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden können. Dies bedeutet jedoch nicht, dass Sie für die Fotos von jedem Fotografierten explizite Einwilligungen einholen müssen. Regelmäßig liegt die Aufnahme und Veröffentlichung von Fotos im überwiegenden berechtigten Interesse des Vereins – dementsprechend ist Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage anwendbar.
Allerdings müssen die datenschutzrechtlichen Informationspflichten beachtet werden – dies kann in der Praxis am leichtesten über entsprechende Hinweisschilder bei Vereinsveranstaltungen geschehen. Ein solches Hinweisschild für Bild- und Filmaufnahmen können Sie sich hier für Ihren Verein herunterladen.
Sonst gelten bei Vereinen, die unter die DSGVO fallen, keine Sondervorschriften. Große wie kleine Vereine müssen die Vorgaben der DSGVO beachten, hierunter fällt etwa das Folgende
- Die Rechenschafts- und Dokumentationspflichten.
- Für Websites gelten die gleichen Anforderungen wie für Unternehmenswebsites. Sind Sie sich unsicher, ob Ihre Website den Anforderungen der DSGVO genügt, dann können Sie zur Überprüfung unseren Website-Check verwenden.
- Beachtung des Double-Opt-In-Erfordernisses bei Anmeldung für einen Vereinsnewsletter: Dabei wird im Rahmen eines zweistufigen Verfahrens zuerst z. B. auf einer Website von einem potenziellen Empfänger seine E-Mail-Adresse in einem Formularfeld angegeben und eine erste Anmeldung vorgenommen (Opt-In). Daraufhin der potenzielle neue Empfänger eine E-Mail an die angegeben Adresse mit einem Link, den er bestätigen muss, um tatsächlich in die Adressendatenbank aufgenommen zu werden (Double-Opt-In). Wichtig ist, dass Sie die Einwilligung nachweisen können.
- Handeln Sie sofort bei etwaigen Datenschutzverletzungen.
Hinweis: Gerade kleine Vereine wickeln Vereinstätigkeiten oft zu Hause über private Laptops ab, die oftmals noch von anderen Familienmitgliedern mitbenutzt werden. Das ist hinsichtlich der Datensicherheit unzulässig. Hat Ihr Verein keine Mittel für die Anschaffung eines eigenen Vereins-Laptops oder PC, dann nutzen Sie für die Vereinsdaten / die personenbezogenen Daten der Vereinsmitglieder z.B. eine verschlüsselte externe Festplatte oder eine verschlüsselte Festplattenpartition auf Ihrem Laptop, um diese Daten zu schützen. Weitere Hinweise zu den technischen und organisatorischen Maßnahmen erklärt Ihnen unser Datenschutzspezialist im Erstgespräch.
Datenschutz in der Praxis: Wann braucht ein Verein einen Datenschutzbeauftragten?
Ein Verein für den die DSGVO gilt, braucht einen Datenschutzbeauftragten, wenn mindestens 20 Mitarbeiter oder Mitglieder ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind (Art. 38 DSGVO). Hierunter fallen auch ehrenamtliche Mitglieder.
Ist ein Verein verpflichtet einen Datenschutzbeauftragten zu bestellen, der die DSGVO für Vereine ordnungsgemäß überwacht, bleibt es den Vereinen freigestellt, ob sie einen internen oder externen Datenschutzbeauftragten benennen. Dieser Datenschutzbeauftragte muss der zuständigen Aufsichtsbehörde mitgeteilt werden.
Unsere Leistungen für Vereine
Wir von ihrdatenschutzbeauftragter.de wissen, worauf es beim Datenschutz in Vereinen ankommt. Wir sind Ihr kompetenter Ansprechpartner und unterstützen Sie mit unserer innovativen Datenschutzplattform und der Stellung eines externen Datenschutzbeauftragten bei der einfachen Umsetzung der datenschutzrechtlichen Anforderungen. Unser umfangreiches Leistungsangebot umfasst dabei u.a.:
- Individuelle Beratung rund um das Thema Datenschutz
- Ausarbeitung von passenden Auftragsverarbeitungsverträgen
- Unterstützung bei der Erstellung eines umfassenden Verarbeitungsverzeichnisses (Art. 30 DSGVO) für Ihren Verein
- Bereitstellung zahlreicher Dokumente und Muster
- U.v.m.
Vereinbaren Sie Ihr unverbindliches Erstgespräch.