Datenschutz spielt auch im Verein eine große Rolle, schließlich werden Mitgliederdaten verarbeitet. Mitgliederdaten stellen häufig auch persönliche Daten dar, weswegen oft auch die DSGVO bzw. das neue BDSG greifen und ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden muss. Dieser Artikel soll Ihnen helfen, herauszufinden, ob auch Ihr Verein oder Ihre Gemeinde möglicherweise gemäß Datenschutz-Grundverordnung tätig werden muss.
Inhalte
- Müssen Vereine überhaupt Verzeichnisse von Verarbeitungstätigkeiten führen?
- Wer muss ein Verzeichnis von Verarbeitungstätigkeiten aufstellen und wer ist Verantwortlicher?
- So sollte ein Verfahrensverzeichnis im Verein aufgebaut sein
- Typische Verfahren im Verein
- Folgen für den Verein bei Verletzung der Pflicht
- Resümee: Erstellen Sie Ihre Dokumentation jetzt!
- Quellen
Müssen Vereine überhaupt Verzeichnisse von Verarbeitungstätigkeiten führen?
Artikel 30 DSGVO regelt, wer ein Verfahrensverzeichnis zu führen hat. Demnach muss jeder Verantwortliche ein Verzeichnis führen, insofern eine Verarbeitung von personenbezogenen Daten stattfindet. Schauen Sie sich dazu auch den Artikel „Wer verpflichtet ist ein Verfahrensverzeichnis nach Datenschutzgesetz zu führen“ an.
Das Datenschutzrecht unterscheidet hier nicht konkret zwischen Vereinen und Unternehmen, sondern definiert, dass “Unternehmen oder Einrichtungen” ein Verzeichnis zu führen haben.
Es könnte allerdings eine Ausnahme vorliegen, wenn gemäß Artikel 30 (5) persönliche Daten nur gelegentlich verarbeitet werden und weniger als 250 Mitarbeiter beschäftigt sind. Leider kann aber keine konkrete Aussage getroffen werden, was “gelegentlich” im Sinne der DSGVO bedeutet. Es kann also davon ausgegangen werden, dass in den meisten Fällen ein Verfahrensverzeichnis erstellt werden sollte.
Weitere Informationen dazu, ab wann ggf. davon ausgegangen werden kann, dass keine Pflicht besteht, erfahren Sie in diesem Artikel, der Ihnen die konkreten Bedingungen für das Aufstellen eines Verzeichnisses von Verarbeitungstätigkeiten zeigt.
Ausnahmen gelten eigentlich nur für Kirchen, religiöse Vereinigung oder Gemeinschaften. Diese können eigene Regeln festsetzen, die aber im Einklang mit dem EU Gesetz gebracht werden müssen.
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten aufstellen und wer ist Verantwortlicher?
Verantwortlicher für die Einhaltung des Datenschutzes und damit auch Aufstellung des Verfahrensverzeichnisses und Dokumentation der TOM ist der gesetzliche Vertreter des Vereins. Also in den meisten Fällen ein Vorstand oder mehrere Vorstände gemeinsam (§26 BGB).
So sollte ein Verfahrensverzeichnis im Verein aufgebaut sein
Für Vereine gelten die gleichen Formvorschriften wie für Unternehmen, lesen Sie sich deshalb am besten den Artikel zum Thema durch: „Bestandteile eines Verfahrensverzeichnisses nach EU-DSGVO“.
Da man als Vereinsvorstand meistens keine tiefen Datenschutzkenntnisse hat, sollte man sich Hilfe zum Erstellen suchen. Dies kann z.B. über teure Berater oder leere Word Vorlagen geschehen, bei denen Rechtskenntnisse vorausgesetzt werden.
Eine gute Quelle für eine PDF Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten im Verein finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht.
Ein vorausgefülltes Verzeichnis von Verarbeitungstätigkeiten in Excel speziell für Vereine finden Sie in unserem Shop.
Typische Verfahren im Verein
Im Verein gibt es einige Verarbeitungstätigkeiten, die in Unternehmen so nicht vorkommen und deswegen spezieller Dokumentation bedürfen. Diese werden im Folgenden kurz angerissen. In unserer Verfahrensverzeichnis-Software werden diese und noch viel mehr auch abgedeckt.
Mitgliederverwaltung
Die Mitgliederverwaltung umfasst die Aufnahme neuer, die Abrechnung bestehender und die Information von Mitgliedern. Hier werden regelmäßig persönliche Daten wie E-Mail Adresse, Kontodaten (falls die Beiträge per Bankeinzug eingezogen werden), Alter usw. erfasst. Die Rechtsgrundlage für die Verarbeitung kann z.B. der Vertrag sein oder aber berechtigte Interessen des Vereins können vorliegen.
Turnier und Trainingsverwaltung
Bei diesem typischen Verfahren geht es vor allem um Leistungsdaten und die Übermittlung dieser. So kann an bestimmten Turnieren nur teilgenommen werden, wenn eine bestimmte Leistung erbracht wurde. Es werden also persönliche Daten wie Bestzeiten, Gewicht, Name, Adresse usw. erfasst. Es findet regelmäßig eine Übertragung der Daten statt (z.B, zu anderen Vereinen), was einer besonderen Rechtsgrundlage bedarf.
Personalverwaltung
Dies ist eine Verarbeitung, die auch in regulären Unternehmen vorkommt. Sollte der Verein z.B. Angestellte beschäftigen, müssen bestimmte Daten erhoben werden, wie z.B. Name, Kontoverbindung, Familienstand usw.. Da das Gesetz den Beschaeftigtendatenschutz besonders legitimiert ist die Rechtsgrundlage für die Verarbeitung. Es handelt sich um eine Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses §26 BDSG (neu).
Folgen für den Verein bei Verletzung der Pflicht
Auch Vereine können von den teils drakonischen Bußgeldern der DSGVO getroffen werden. Allerdings muss man realistisch annehmen, dass diese nicht in die Millionen gehen werden, wie es vielleicht bei großen Konzernen passieren würde. Dennoch sollte das Risiko nicht unterschätzt werden, da sich auch Mitglieder jederzeit an die Datenschutzbehörden wenden können, wenn sie vermuten, dass der Datenschutz nicht korrekt eingehalten wird. Je nach Satzung und Verstoß können Vorstände dann auch persönlich haften (Stichwort „Fahrlässigkeit“)!
Resümee: Erstellen Sie Ihre Dokumentation jetzt!
Auch Vereine müssen den Dokumentationspflichten nach DSGVO nachkommen. Dies kann schwer sein, wenn man sich im Gesetz nicht gut auskennt. Ein Verstoß gegen die Dokumentationsaufgaben kann teuer werden. Sichern Sie sich deswegen am besten jetzt ihr individuelles Verfahrensverzeichnis!
Vergessen Sie auch nicht die weiteren Dokumentations- und Rechenschaftspflichten im Verein, z.B.:
- Technische und Organisatorische Maßnahmen
- Risikoanalyse
- Absicherung des Webauftrittes
- Ggf. DSFA
- Korrektes Einholen von Einwilligungen
- uvm.
Weitere Informationen zum Thema Verein und DSGVO hat der Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz aufgestellt. Der Freiwilligenserver Niedersachsen bietet eine gute Übersicht über mögliche Verfahren, die für Vereine relevant sein könnten.
Quellen
https://dejure.org/gesetze/BGB/26.html
https://dsgvo-gesetz.de/art-4-dsgvo/