27. Juni 2018
Die EU-Datenschutzgrundverordnung beschäftigt derzeit auch die vielen Vereine. Um den Anforderungen der Verordnung gerecht zu werden, sollten einige Umsetzungsmaßnahmen auch in den einzelnen Vereinen erfolgen.
Neben der Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO, sollten neben einer möglichen Einwilligung, personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage hierfür gegeben ist. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage i.S.d. Art 6 DSGVO dienen. Für einen Newsletterversand u.Ä. wäre darüber hinaus jedoch eine datenschutzkonforme Einwilligungserklärung nötig.
Die Mitglieder müssen zudem über die Datenverarbeitungsvorgänge informiert werden. Um möglichen Abmahnungen zu entgehen, sollten Vereine die Vereinswebsite prüfen und eine Datenschutzerklärung einfügen.
Es empfiehlt sich, ob rechtlich verpflichtet oder nicht, einen Datenschutzbeauftragten zu benennen, um im Verein einen Anpsprechpartner zu etablieren, der einen Überblick über die Datenschutzthemen behält.
8. März 2018
Zeitgleich mit der neuen EU-Datenschutzgrundverordnung (DSGVO) tritt am 25.5.2018 ein neues nationales Umsetzungsgesetz in Kraft, das neue Bundesdatenschutzgesetz (BDSG). Neben dem großen Anwendungsbereich der unternehmerischen Datenverarbeitung wirkt das Datenschutzrecht auch in die Vereine und somit in die ehrenamtlichen Tätigkeiten fort.
Sobald ein Verein personenbezogene Daten seiner Mitglieder erhebt, verarbeitet oder nutzt, ist auch für den eingetragenen Verein der Anwendungsbereich gem. § 1 Abs. 4 Satz 2 Nr. 1 BDSG-neu eröffnet. Es greift hierbei keine der Ausnahmeregelung im Sinne des § 1 Abs.6 BDSG-neu i.V.m. Art. 6 Abs. 2 DSGVO. Insbesondere deswegen nicht, weil der Verein diese Datenverarbeitung nicht als natürliche Person für persönliche oder familiäre Zwecke ausübt.
Innerhalb eines typischen Vereins fallen somit eine Vielzahl von organisatorischen Tätigkeiten unter den Begriff der „personenbezogenen Datenverarbeitung“; allein schon durch die Speicherung eines Aufnahmeformulars, das in der Regel alle wichtigen persönlichen Daten enthält (Name, Adresse, Geburtstag, E-Mail-Adresse, Kontodaten usw.). Sollte der Verein weiterhin sogar Daten veröffentlichen oder an Dritte weitergeben, befindet sich der Verein im grundrechtlich sensiblen Bereich.
Nach dem BDSG müsste die Datenverarbeitung durch den Verein zunächst zulässig sein, was nur dann der Fall ist, wenn die Datenverarbeitung ausdrücklich gesetzlich normiert ist oder eine Einwilligung der Personen, deren Daten verarbeitet werden, vorliegt.
Als Rechtsgrundlage kommt § 26 BDSG-neu, vor allem dann nicht in Betracht, wenn die Daten nicht mehr für den Vereinsablauf dringend nötig sind (Fotos, Kleidergrößen, Geburtsdaten).
Vereine, die sensible Daten ihrer Mitglieder verwalten, kommen somit nicht an einer ausdrücklichen Einwilligung zur Datenverarbeitung gem. § 26 Abs. 2 BDSG-neu vorbei.
Eine gängige Praxis in den Vereinen scheint zu sein, sich bereits mit der Unterschrift zum Vereinseintritt eine Einwilligung zur Datenverarbeitung erteilen lassen. Dieser verständliche Wunsch nach Vereinfachung des Verfahrens widerspricht jedoch dem schon länger bestehenden Kopplungsverbot, das auch in der neuen DSGVO wieder verankert wurde (Art. 7 Abs. 4 DSGVO).
Eine ausdrückliche Einwilligung kann somit auch bei Vereinen die einzige Absicherung sein, personenbezogene Daten von seinen Mitgliedern zu sammeln.
Vereine können sich in der Broschüre des baden-württembergischen Datenschutzbeauftragten informieren.
