Verfahren im Verein nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Datenschutz spielt auch im Verein eine große Rolle, schließlich werden Mitgliederdaten verarbeitet. Mitgliederdaten stellen häufig auch persönliche Daten dar, weswegen oft auch die DSGVO bzw. das neue BDSG greifen und ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden muss. Dieser Artikel soll Ihnen helfen, herauszufinden, ob auch Ihr Verein oder Ihre Gemeinde möglicherweise gemäß Datenschutz-Grundverordnung tätig werden muss.

Müssen Vereine überhaupt Verzeichnisse von Verarbeitungstätigkeiten führen?

Artikel 30 DSGVO regelt, wer ein Verfahrensverzeichnis zu führen hat. Demnach muss jeder Verantwortliche ein Verzeichnis führen, insofern eine Verarbeitung von personenbezogenen Daten stattfindet. Schauen Sie sich dazu auch den Artikel „Wer verpflichtet ist ein Verfahrensverzeichnis nach Datenschutzgesetz zu führen“ an.

Das Datenschutzrecht unterscheidet hier nicht konkret zwischen Vereinen und Unternehmen, sondern definiert, dass “Unternehmen oder Einrichtungen” ein Verzeichnis zu führen haben.

Es könnte allerdings eine Ausnahme vorliegen, wenn gemäß Artikel 30 (5) persönliche Daten nur gelegentlich verarbeitet werden und weniger als 250 Mitarbeiter beschäftigt sind. Leider kann aber keine konkrete Aussage getroffen werden, was “gelegentlich” im Sinne der DSGVO bedeutet. Es kann also davon ausgegangen werden, dass in den meisten Fällen ein Verfahrensverzeichnis erstellt werden sollte.

Weitere Informationen dazu, ab wann ggf. davon ausgegangen werden kann, dass keine Pflicht besteht, erfahren Sie in diesem Artikel, der Ihnen die konkreten Bedingungen für das Aufstellen eines Verzeichnisses von Verarbeitungstätigkeiten zeigt.

Ausnahmen gelten eigentlich nur für Kirchen, religiöse Vereinigung oder Gemeinschaften. Diese können eigene Regeln festsetzen, die aber im Einklang mit dem EU Gesetz gebracht werden müssen.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten aufstellen und wer ist Verantwortlicher?

Verantwortlicher für die Einhaltung des Datenschutzes und damit auch Aufstellung des Verfahrensverzeichnisses und Dokumentation der TOM ist der gesetzliche Vertreter des Vereins. Also in den meisten Fällen ein Vorstand oder mehrere Vorstände gemeinsam (§26 BGB).

So sollte ein Verfahrensverzeichnis im Verein aufgebaut sein

Für Vereine gelten die gleichen Formvorschriften wie für Unternehmen, lesen Sie sich deshalb am besten den Artikel zum Thema durch: „Bestandteile eines Verfahrensverzeichnisses nach EU-DSGVO“.

Da man als Vereinsvorstand meistens keine tiefen Datenschutzkenntnisse hat, sollte man sich Hilfe zum Erstellen suchen. Dies kann z.B. über teure Berater oder leere Word Vorlagen geschehen, bei denen Rechtskenntnisse vorausgesetzt werden.

Eine gute Quelle für eine PDF Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten im Verein finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht.

Ein vorausgefülltes Verzeichnis von Verarbeitungstätigkeiten in Excel speziell für Vereine finden Sie in unserem Shop.

Briefe Nahaufnahme

Typische Verfahren im Verein

Im Verein gibt es einige Verarbeitungstätigkeiten, die in Unternehmen so nicht vorkommen und deswegen spezieller Dokumentation bedürfen. Diese werden im Folgenden kurz angerissen. In unserer Verfahrensverzeichnis-Software werden diese und noch viel mehr auch abgedeckt.

Mitgliederverwaltung

Die Mitgliederverwaltung umfasst die Aufnahme neuer, die Abrechnung bestehender und die Information von Mitgliedern. Hier werden regelmäßig persönliche Daten wie E-Mail Adresse, Kontodaten (falls die Beiträge per Bankeinzug eingezogen werden), Alter usw. erfasst. Die Rechtsgrundlage für die Verarbeitung kann z.B. der Vertrag sein oder aber berechtigte Interessen des Vereins können vorliegen.

Turnier und Trainingsverwaltung

Bei diesem typischen Verfahren geht es vor allem um Leistungsdaten und die Übermittlung dieser. So kann an bestimmten Turnieren nur teilgenommen werden, wenn eine bestimmte Leistung erbracht wurde. Es werden also persönliche Daten wie Bestzeiten, Gewicht, Name, Adresse usw. erfasst. Es findet regelmäßig eine Übertragung der Daten statt (z.B, zu anderen Vereinen), was einer besonderen Rechtsgrundlage bedarf.

Personalverwaltung

Dies ist eine Verarbeitung, die auch in regulären Unternehmen vorkommt. Sollte der Verein z.B. Angestellte beschäftigen, müssen bestimmte Daten erhoben werden, wie z.B. Name, Kontoverbindung, Familienstand usw.. Da das Gesetz den Beschaeftigtendatenschutz besonders legitimiert ist die Rechtsgrundlage für die Verarbeitung. Es handelt sich um eine Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses §26 BDSG (neu).

Coworking Space.

Folgen für den Verein bei Verletzung der Pflicht

Auch Vereine können von den teils drakonischen Bußgeldern der DSGVO getroffen werden. Allerdings muss man realistisch annehmen, dass diese nicht in die Millionen gehen werden, wie es vielleicht bei großen Konzernen passieren würde. Dennoch sollte das Risiko nicht unterschätzt werden, da sich auch Mitglieder jederzeit an die Datenschutzbehörden wenden können, wenn sie vermuten, dass der Datenschutz nicht korrekt eingehalten wird. Je nach Satzung und Verstoß können Vorstände dann auch persönlich haften (Stichwort „Fahrlässigkeit“)!

Resümee: Erstellen Sie Ihre Dokumentation jetzt!

Auch Vereine müssen den Dokumentationspflichten nach DSGVO nachkommen. Dies kann schwer sein, wenn man sich im Gesetz nicht gut auskennt. Ein Verstoß gegen die Dokumentationsaufgaben kann teuer werden. Sichern Sie sich deswegen am besten jetzt ihr individuelles Verfahrensverzeichnis!

Vergessen Sie auch nicht die weiteren Dokumentations- und Rechenschaftspflichten im Verein, z.B.:

  • Technische und Organisatorische Maßnahmen
  • Risikoanalyse
  • Absicherung des Webauftrittes
  • Ggf. DSFA
  • Korrektes Einholen von Einwilligungen
  • uvm.

Weitere Informationen zum Thema Verein und DSGVO hat der Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz aufgestellt. Der Freiwilligenserver Niedersachsen bietet eine gute Übersicht über mögliche Verfahren, die für Vereine relevant sein könnten.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dejure.org/gesetze/BGB/26.html

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-91-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto