Seite auswählen

Datenschutzbeauftragter im Verein

Die meisten Vereine haben davor Angst, einen Datenschutzbeauftragten zu bestellen. Verständlicherweise ist das mit Kosten verbunden, wenn nicht gerade ein Mitglied sich bereit erklärt, diese Position auszufüllen. Diese Position kann aber nur bei fachlicher Eignung ordnungsgemäß besetzt werden. Es ist daher sehr wichtig zu wissen, wann eine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen. Das ist dann der Fall, wenn in der Mitgliederverwaltung mindestens zehn Personen mit automatisierten Daten ständig befasst sind. Was bedeutet ständig? Das bayerische LDA (die bayerische Datenschutzbehörde) ist beispielsweise der Auffassung, dass der Übungsleiter nicht zu diesem Personenkreis zählt. Hier kommt es auf den Einzelfall an und es kann vieles, bei ausreichender Argumentation, vertreten werden.

Informationspflichten im Verein

Immer wieder besteht Unklarheit bei Vereinen über die Informationspflichten. Allgemein wird von der Datenschutzerklärung gesprochen. Hier gilt es klarzustellen, dass jedes Mitglied dessen personenbezogene Daten erhoben werden, bei Erhebung dieser Daten über diese Verarbeitung informiert werden muss. Gleiches gilt natürlich auch, wenn der Verein Mitgliedsanfragen erhält und hierfür personenbezogene Daten verarbeitet. Es ist jetzt wichtig zu untersuchen, wie die Kontaktaufnahme mit dem Verein zu Stande kommt. Hat der Verein eine Webseite und werden über ein Kontaktformular oder über eine E-Mail personenbezogene Daten (Mitgliedsanfrage) ausgetauscht, dann ist spätestens in diesem Moment zu informieren. So kann beispielsweise ein Interessent sich auf der Homepage erst mal kundig machen, welche Tätigkeiten der Verein ausübt. Dann sucht er sich die E-Mail heraus und schickt eine Anfrage. Zweckmäßigerweise wird man die Information mittels einer Datenschutzerklärung erfüllen. Alternativ machen es auch Vereine dergestalt, dass sie in der E-Mail-Signatur einen Link setzen mit dem Hinweis auf den Datenschutz. Entscheidend ist in jedem Fall für den Verein, dass er später Rechenschaft darüber ablegen kann, dass er informiert hat. Schickt jetzt ein Interessent einen Brief per Post mit einer Anfrage für eine Mitgliedschaft, so werden auch in diesem Fall personenbezogene Daten verarbeitet. Dann müsste man, dem Interessenten mit einem Antwortbrief ein Blatt mit den Informationspflichten übermitteln. Eine Kopie des Antwortbriefs samt Informationspflichten sollte wegen der Rechenschaftspflicht aufbewahrt werden.

Verzeichnis der Verarbeitungstätigkeiten im Verein

Wichtig ist und das ist eine Neuerung mit der Datenschutzgrundverordnung (DS-GVO) das Verzeichnis der Verarbeitungstätigkeiten. Das ist ein Verzeichnis in dem sämtliche Datenverarbeitungsvorgänge beschrieben werden sollen. Es ist nicht öffentlich und dient zur Vorlage bei der Behörde. Das Verarbeitungsverzeichnis dient auch der Übersicht und ist eine Art Selbstkontrolle für den Vereinsvorstand darüber, welche Daten verarbeitet werden. Dieses sollte mit der größten Vorsicht erstellt werden, da es zusammen mit den Informationspflichten für die Behörde den Ausschlag geben wird, ob sie weiter ermittelt.

Datenschutzverletzungen, Beschäftigtendatenschutz und Löschpflicht im Verein

Verfügt der Verein über Angestellte, so ist der Beschäftigten-Datenschutz zu beachten. Dieser ist ein eigenes Thema und kann aufgrund des Umfangs hier nicht kurz dargestellt werden. Es empfiehlt sich aber in jedem Fall hier professionellen Rat einzuholen, da auch hier viele Stolpersteine bestehen. Bei Datenschutzverletzungen ist die Behörde innerhalb einer sehr kurzen Frist zu informieren. Nicht jede Datenschutzverletzung ist aber zu melden. Hier kommt es auf den Einzelfall an. Es besteht eine Löschpflicht für Vereine. Das bedeutet, dass man nicht Mitgliederkarteien von Mitgliedern, die bereits ausgeschieden sind über mehrere Jahrzehnte archivieren kann. Auch hier kommt es darauf an, welche Aufbewahrungsfristen im Einzelnen Anwendung finden.

Datensicherheit und Auftragsverarbeitung im Verein 

Die Datensicherheit muss gewährleistet sein. Was das bedeutet, muss im Einzelfall überprüft werden. Es sollte aber nicht dergestalt sein, dass die Mitgliederkarteien für jedes Mitglied und für Jedermann öffentlich zugänglich sind. Hier müssen Maßnahmen getroffen werden, dass die personenbezogenen Daten geschützt sind. Die Daten werden häufig mittels EDV automatisiert gespeichert. Es müssen dann entsprechende Programme und Antivirusprogramme installiert werden, die den Schutz vor Datenschutzverletzungen und Datenpannen bieten können. Auftragsverarbeitungsverträge sind zu schließen werden, wenn beispielsweise Daten an eine Buchhaltung ausgelagert werden. Aber auch hier muss der Einzelfall geprüft werden und eine generelle Aussage verbietet sich.

Fazit:

Die Mindestvoraussetzungen für ein datenschutzkonformes Verhalten bei Vereinen ist das Verzeichnis der Verarbeitungstätigkeiten, so wie die Erfüllung der Informationspflicht mittels Datenschutzerklärung bzw. Datenschutzhinweise nachkommen muss. Sind mehr als zehn Mitglieder bei der automatisierten Verarbeitung von personenbezogenen Daten beteiligt, so muss auch ein Datenschutzbeauftragter bestellt werden.

Bei Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter der Tel.-Nr. 069 59 77 80 28 erreichen oder eine Nachricht an info@rechtsanwalt-dsgvo.de schreiben.

Über Ihren Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main