Besonders gemeinnützige Vereine genießen viele Vorteile. Anders aber im Datenschutzrecht. Hier müssen sie sich den Herausforderungen des Datenschutzes ebenso wie alle anderen Verantwortlichen stellen und den Schutz personenbezogener Daten gewährleisten. In diesem Artikel werden die für Vereine geltenden datenschutzrechtlichen Grundlagen näher erläutert und häufige Fragestellungen aus der Vereinspraxis behandelt.
Der Inhalt im Überblick
Anwendbarkeit des Datenschutzes
Auch für Vereine gelten die einschlägigen Datenschutzgesetze, insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Wenn ein Verein personenbezogene Daten erhebt, nutzt, weitergibt oder sonst verarbeitet, müssen die datenschutzrechtlichen Anforderungen beachtet werden. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die „betroffene Person“) beziehen. Davon sind nicht nur die zur Identifizierung einer Person erforderlichen Daten wie der Name und das Geburtsdatum umfasst, sondern auch Angaben zum Familienstand, die Adresse, der Beruf, Telefonnummern, E-Mail-Adressen, Interessen, Mitgliedschaften in Organisationen, Wettkampfergebnisse usw. fallen ebenfalls hierunter.
Verarbeitung von Beschäftigtendaten im Verein
Die rechtmäßige Verarbeitung von Beschäftigtendaten im Verein richtet sich nach den speziellen Rechtsgrundlagen aus Art. 88 DSGVO und § 26 BDSG. Beschäftigte in diesem Sinne sind die Angestellten des Vereins – also die haupt- und ehrenamtlichen Mitarbeiter und Mitarbeiterinnen.
Personenbezogene Daten von Beschäftigten dürfen erhoben und verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Der Verein als Arbeitgeber darf z.B. im Rahmen eines Fragebogens nur bestimmte Informationen von seinen Mitarbeitern abfragen. Fragen nach der Schwangerschaft oder nach der politischen oder religiösen Gesinnung sind tabu, es sei denn, diese Angaben sind für die zu besetzende Stelle unerlässlich. Im Rahmen von Bewerbungen per E-Mail muss der Verein darauf achten, dass die Bewerber ihre Bewerbung verschlüsselt verschicken können.
Alle Personen, die innerhalb des Vereins Zugang zu Mitgliederdaten haben, sind schriftlich auf die Verschwiegenheit zu verpflichten, um die Vertraulichkeit von personenbezogenen Daten i.S.d. Art. 5 Abs. 1 lit. f DSGVO zu gewährleistet. Der Zugang zu den Daten ist auf diejenigen Daten zu beschränken, die von der Person unmittelbar für die Verarbeitung zu Vereinszwecken benötigt werden.
Verarbeitung von Mitgliederdaten im Verein
Die Mitgliedschaft in einem Verein ist ein Vertragsverhältnis. Rahmen und Inhalt dieses Verhältnisses werden im Wesentlichen durch die Vereinssatzung und durch die Vereinsordnung definiert.
Rechtsgrundlage für die Verarbeitung von Daten der Mitglieder ist daher regelmäßig die Erfüllung des Vertrages gem. Art. 6 Abs. 1 lit. b DSGVO. Danach sind alle Datenverarbeitungen zulässig, die unmittelbar mit dem Vereinszielen zusammenhängen. Diese Ziele sollten möglichst detailliert und konkret in der Satzung beschrieben werden (Die Landesbeauftragte für den Datenschutz Niedersachsen „Datenschutz im Verein – Überblick„).
Vereinsziele können unter anderem die Folgenden sein:
- Mitgliederverwaltung (einschließlich Beitragsverwaltung),
- Vereinsprotokolle,
- Mitgliederlisten und -einsichtnahmen im Zusammenhang mit Mitgliederversammlungen (z.B. für die Mindestzahl bei Abstimmungen),
- Durchführung von Wettbewerben,
- Anschreiben (z.B. Einladung zur Mitgliederversammlung),
- Erreichbarkeit von Funktionsträgern
- Weitergabe von Daten der Funktionsträger an die Mitglieder,
- Darstellung von Daten der Funktionsträger z.B. auf der Webseite des Vereins.
Von den unmittelbaren Vereinszielen zu trennen sind solche personenbezogenen Daten der Mitglieder, die für den Verein lediglich nützlich sind. Bei einem Aufnahmeantrag muss das potentielle neue Mitglied erkennen können, bei welchen Informationen es sich um freiwillige und bei welchen um Pflichtangaben handelt. Bei den freiwilligen Angaben sollte der Hinweis erteilt werden, zu welchem Zweck diese Daten erhoben und genutzt werden. Die Rechtsgrundlage hierfür kann die Einwilligung des Betroffenen gem. Art. 6 Abs. 1 lit. a DSGVO oder das überwiegende berechtigte Interesse des Vereins gem. Art. 6 Abs. 1 lit. f DSGVO sein. Aber Vorsicht: bei Kindern unter 16 Jahren überwiegen häufig deren schutzwürdige Interessen, sodass die Datenverarbeitung unterbleiben sollte, wenn keine wirksame Einwilligung vorliegt. Für unter sechzehnjährige besteht darüber hinaus ein zusätzliches Einwilligungs-, bzw. Zustimmungserfordernis durch die Erziehungsberechtigten.
Verarbeitung von Nicht-Mitgliederdaten des Vereins
Auch die Daten von Nicht-Mitgliedern des Vereins wie z.B. Spendern und Förderern sind nur zu dem Zweck zu verwenden, zu dem sie erhoben wurden. So sollten Name und Kontonummer z.B. nur verarbeitet werden, wenn dem Verein Spenden zugeführt wurden. Namen und andere Angaben von Gästen und Wettkampfteilnehmern müssen ebenfalls auf das notwendige Ausmaß beschränkt werden. Um den Spendern oder Förderern nachträglich Spendenwerbung oder Informationen zu dem Verein zuschicken zu können, sollte die vorherige Einwilligung eingeholt werden.
Was es noch zu beachten gibt
Neben den Kerngebieten der Verarbeitung zu Vereinszwecken gibt es weitere typische Vereinsangelegenheiten, bei denen die Anforderungen des Datenschutzes beachtet werden müssen.
Veröffentlichung von Fotos und Videoaufnahmen
Viele Vereine machen auf ihren Veranstaltungen Fotos oder Videos, um den Verein beispielsweise im Internet zu präsentieren. Rechtsgrundlage für die Veröffentlichung von Fotos und Videos im Internet bildet neben dem Datenschutzrecht auch das Kunsturhebergesetz (KUG).
Nach § 22 Abs. 1 KUG dürfen Fotos und Videoaufnahmen von natürlichen Personen grundsätzlich nur mit Einwilligung des Abgebildeten veröffentlicht werden. Die Einwilligung soll aus Gründen der Beweisbarkeit schriftlich erteilt werden. In der vorformulierten Einwilligung (i.d.R. Formularblatt) ist anzugeben, welches Foto oder welche Videoaufnahme auf welcher Internetseite zu welchem Zweck veröffentlicht wird. Darüber hinaus muss die Einwilligungserklärung einen Hinweis enthalten, dass die Einwilligung verweigert oder mit Wirkung für die Zukunft jederzeit widerrufen werden kann. Wird die Einwilligung verweigert oder widerrufen, so darf das Foto oder die Videoaufnahme in der Regel nicht (mehr) auf der Webseite veröffentlicht werden.
Daneben können Fotos ohne die Einwilligung veröffentlicht werden, wenn die Voraussetzungen des § 23 KUG vorliegen. Dieser erfordert (ebenso wie Art. 6 Abs. 1 lit. f DSGVO) vor der Veröffentlichung immer eine Abwägung der schutzwürdigen Interessen des Abgebildeten mit den Interessen des Fotografen. Beispiele, wie eine solche Abwägungen vorgenommen werden kann, gibt es in den FAQ des LfDI Baden-Württemberg zur Veröffentlichung von Fotos für Vereine.
Anforderungen an die Vereins-Webseite
Auch Vereine müssen die eigene Webseite rechtssicher gestalten und hierfür die Anforderungen der §§ 5 und 13 Telemediengesetz (TMG) ebenso beachten wie die datenschutzrechtlichen Informationspflichten gem. Art. 12 f. DSGVO. Daneben gibt es auch weitreichende Anforderungen an den Einsatz von Cookies und Tracking-Technologien nach den Rechtssprechungen des EuGH, BGH und der zugrundeliegenden „Cookie-Richtlinie“ (EG/2002/58), die im Bedarfsfall umzusetzen sind.
Rechtmäßigkeit von E-Mail-Werbung
Möchte ein Verein durch Werbung den eigenen Bekanntheitsgrad erhöhen, muss er sich sowohl an datenschutz- als auch wettbewerbsrechtliche Regeln halten. Bei E-Mail-Werbung, wie z.B. durch einen Newsletter oder die Bewerbung von Veranstaltungen, muss der Empfänger grundsätzlich eine Einwilligung in den Erhalt der Werbung erteilt haben. Die Zusendung von Werbung ohne eine entsprechende Einwilligung und auf Grundlage des berechtigten Interesses ist an die strengen Voraussetzungen des § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) gebunden und nur in Ausnahmefällen möglich. Näheres dazu erfahren Sie in unserem Beitrag E-Mail-Werbung nach DSGVO und UWG: Was ist erlaubt?
Einsatz von externen Dienstleistern
Setzt ein Verein externe Dienstleister ein, die personenbezogene Daten für den Verein verarbeiten, so hat er daran zu denken, dass er mit dem Dienstleister einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO schließen muss. In der Regel ist der Abschluss eines AVV erforderlich, wenn Dienstleister im Bereich IT, Marketing und Werbung für den Verein tätig werden.
Bestellung eines Datenschutzbeauftragten
Ob ein Verein gesetzlich dazu verpflichtet ist einen Datenschutzbeauftragten zu bestellen, richtet sich nach Art. 37 DSGVO und § 38 BDSG.
Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht in der Regel, wenn
„bei einem automatisierten Verfahren mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.“
Der Datenschutzbeauftragte unterstützt bei der Einhaltung des Datenschutzes und der Gewährleistung von Schutzzielen zugunsten der Vereinsmitglieder.
Bei Zweifeln helfen die Aufsichtsbehörden
Im Vereinsbetrieb gibt es eine Vielzahl von datenschutzrechtlichen Fragestellungen. Zum Zeitpunkt des Inkrafttretens der DSGVO standen besonders kleine und mittelständische Vereine vor einem Berg bürokratischen Aufwands und befürchteten, bei der Umsetzung datenschutzrechtlicher Anforderungen Fehler zu machen, die zu Bußgeldern führen könnten.
Diesen Sorgen begegneten die Aufsichtsbehörden der Länder mit einer Reihe von Veröffentlichungen:
- Landtag Mecklenburg-Vorpommern u.a. in Zusammenarbeit mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern: Orientierungshilfe für Vereine,
- Die Landesbeauftragte für den Datenschutz Niedersachsen: Datenschutz im Verein – Überblick,
- Hessischer Beauftragter für Datenschutz und Informationsfreiheit: Datenschutz im Verein,
- Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Datenschutz bei Vereinen,
- Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Datenschutz im Verein,
- Sächsischer Datenschutzbeauftragter: Handlungsempfehlung zur Umsetzung der DSGVO für Vereine,
- Unabhängiges Datenschutzzentrum Saarland: Datenschutz im Verein,
- Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz: Datenschutz im Verein,
- Die Landesbeauftragte für Datenschutz und Informationsfreiheit der freien Hansestadt Bremen: Orientierungshilfe Datenschutz im Verein.
Die datenschutzrechtlichen Aufsichtsbehörden sind mehr als eine Bußgeldstelle. Sie haben auch die Aufgabe, die Öffentlichkeit und insbesondere datenschutzrechtliche Verantwortliche aufklären. Bei offenen Fragen können sich Vereine über die Webseite ihrer zuständigen Datenschutzbehörde an diese als erste Anlaufstelle wenden.
Bei einer sog. Anlass-Spende (runder Geburtstag, Jubiläum, Todesfall) werden dem Anlass-Geber oft nur die Namen der Spender und die Höhe der Gesamtsumme mitgeteilt, jedoch nicht immer die Höhe der einzelnen Spende, dies unter Berufung auf den Datenschutz. Ist das richtig? Dabei kann die Höhe der Spende Ausdruck besonderer Wertschätzung sein, also ein berechtigtes Interesse bestehen, diese zu kennen.
Die Höhe einer Spende ist, vergleichbar mit dem gezahlten Gehalt, in Kombination mit dem Namen des Spenders ein personenbezogenes Datum und unterliegt somit dem Schutz des BDSG. Eine Rechtsgrundlage für die Nennung der konkreten Höhe der Spende ohne Einwilligung des Spenders muss kritisch betrachtet werden. Die Höhe der Spende muss nicht immer ein Zeichen besonderer Wertschätzung sein, vielmehr kann der Spender bei Bekanntwerden seiner lediglich geringen Spende auch in der öffentlichen Wahrnehmung zurückgesetzt werden, sodass ein berechtigtes Interesse des Anlass-Spenders an der Höhe der Spende in der Regel nicht angenommen werden kann.
[Kommentar gelöscht. Off-Topic. Bitte posten Sie Ihre Frage unter einem themenrelevanten Artikel. Vielen Dank.]
Dürfen in einem Verein private Probleme jeglicher Art durch den Vorstand und Beisitzer an Dritte weitergegeben werden? Wo die Person in einen Verein als Mitglied beigetreten ist und private Probleme hat z.b. in einem Krankenhaus ist wegen z.b Burnout hat.
Welche personenbezogene Daten von den Vereinsmitgliedern durch den Verein (Vorstand) erhoben werden dürften, hängt davon ab, wie der Vereinszweck in der Vereinssatzung definiert ist. Grundsätzlich dürfen Gesundheitsdaten nur unter sehr engen Voraussetzungen erhoben und an Dritte weitergegeben werden. Hier sollte vor allem die Frage gestellt werden, muss der Verein überhaupt wissen, dass ein Mitglied unter Burnout leidet und im Krankenhaus behandelt wird.
Es handelt sich um einen gemeinnützigen Verein. Und das mit dem Krankenhaus war nur ein Beispiel. Wenn ich es jetzt sagen müsste was eigentlich richtig ware, müsste ich mich selber anzeigen, da ich es mit dem Datenschutz ernst nehme. Und es sollten nur ein paar Leute wissen. Und der zweite Vorstand und Beisitzer haben sensible Daten an Dritte weitergegeben. Was mit dem Mitglied wirklich los ist. Daher hatte ich hier nachgefragt, weil es wirklich sensible Fakten war was an Dritte ging.
Für Übungsleiter im Rehasport ist es wichtig, über Erkrankungen von neuen Teilnehmern informiert zu sein. Mit einem Fragebogen werden die neuen Teilnehmer auf freiwilliger Basis aufgefordert, diesen auszufüllen, um innerhalb des Kurses darauf eingehen bzw. Rücksicht nehmen zu können. Es ist selbstverständlich das dieser Fragebogen vertraulich behandelt und nicht Jedem zugänglich ist.
Fragen: Wie lange ist der Fragebogen im Verein aufzubewahren oder muss dieser dem Teilnehmer nach Ende der Maßnahme ausgehändigt werden?
Personenbezogene Daten sind von Gesetzes wegen zu löschen, sobald der Zweck ihrer Speicherung bzw. Aufbewahrung erreicht oder weggefallen ist. Wenn die Aufbewahrung des Fragebogens für den Zweck „Durchführung der Reha-Maßnahme“ nicht mehr erforderlich ist und sie ihn nicht für sonstige Zwecke, insbesondere gesetzliche Nachweispflichten, benötigen, sollten Sie ihn daher dem Teilnehmer aushändigen oder sicher vernichten.
das im Verein, egal, ob gemeinnützig oder nicht, der Datenschutz eingehalten werden muss ist klar. Ich führe zur Zeit mit einem (Vereins-)Kollegen eine Diskussion darüber, ob mit der neuen DSGVO ein gemeinnütziger Nachbarschaftshilfeverein der sich um kranke Menschen kümmert einen eigenen DSB benötigt. Die DSGVO schreibt bei besonderen pb Daten ja keine Anzahl der Personen mehr vor, die diese Daten verarbeiten. Da auch Pflegeleistungen gemäß SGB V auf Anordnung des Arztes durchgeführt werden, bin ich der Meinung, dass ein DSB zwingend notwendig ist.
Neben den Vorschriften der DSGVO zur Bestellung eines Datenschutzbeauftragten, sind auch die nationalen Vorgaben aus dem Datenschutz-Anpassungs- und -Umsetzungsgesetz zu beachten. Mehr dazu: Datenschutzbeauftragter und das neue BDSG – Weiterhin verpflichtend!
Ich habe vor kurzem die Mitgliedschaft in einem Verein gekündigt. Nun habe ich erfahren, dass Mitglieder des Vorstands anderen Menschen in unserem Dorf davon erzählen und sich beschweren das ich aus dem Verein ausgetreten bin.
Ist das zulässig? Oder fällt das auch unter den Datenschutz? Ich möchte eigentlich nicht das es überall herum erzählt wird.
Vereine genießen bezüglich des Datenschutzrechts keine bevorzugte Behandlung. Auch für sie gelten die Datenschutzgesetze, insbesondere das Bundesdatenschutzgesetz (BDSG). Entsprechend sind auch alle Personen im Verein, die Zugang zu Mitgliederdaten haben, auf das Datengeheimnis nach § 5 BDSG zu verpflichten.
Ich bin Trainer in einem Sportverein. In diesem Verein sollen nun alle zu den jeweiligen Trainingszeiten anwesenden und teilnehmenden Personen namentlich mit Datum in einem Heft erfasst werden. Dieses Heft soll monatlich an den Schatzmeister übergeben werden. Was mit den gesammelten Angaben geschieht und wozu sie verwendet werden, entzieht sich meiner Kenntnis. Ist dieses Vorgehen datenschutztechnisch in Ordnung und wie müsste mit diesen entstandenen Heften verfahren werden?
Für die Frage, ob dieses Vorgehen datenschutzrechtlich zulässig ist, sollte zunächst der Zweck für die Datensammlung ermittelt werden. Erst wenn klar ist, welchen Zweck der Schatzmeister mit der Erhebung dieser Daten verfolgt kann geprüft werden, ob diese Datenverarbeitung auf eine Rechtsgrundlage gestützt werden kann.
a) Benötigt man eine Einverständniserklärung wenn man als Verein die Mitgliederdaten (keine sensiblen Daten) einem Dachverband weiterleitet, damit dieser eine Vereinszeitschrift zuschicken kann?
b) Darf ein Verein ein Mitgliederverzeichnis mit Namen, Adresse, Tel, email erstellen und exklusiv seinen Mitgliedern zur Verfügung stellen?
a) Eine Einwilligung der Mitglieder ist dann nicht erforderlich, wenn mit dem Dachverband ein Vertrag zur Auftragsdatenverarbeitung (ADV) geschlossen wird. Allerdings sind die Mitglieder (ggf. bei Eintritt) darüber zu informieren, dass ihre personenbezogenen Daten zur Versendung der Vereinszeitschrift an den Dachverband weitergeleitet werden.
b) Der Verein selbst, darf ein Mitgliederverzeichnis führen. Soweit die Weitergabe an die Mitglieder nicht zwingend für die Mitgliederbetreuung und -verwaltung erforderlich ist, ist diese nur mit Einwilligung des jeweiligen Mitglieds zulässig.
Persönliche Daten von Mitglieder, insbesondere von Funktionären werden an den Dachverband des Vereins weitergeleitet.
I) Ist dies eine Auftragsverarbeitung im Sinne der DSGVO und muß über einen AV-Vertrag vereinbart werden, auch wenn sich der Verein über die Satzung des Dachverbandes dazu bereits verpflichtet hat und in dieser Satzung auch ein § zum Datenschutz enthalten ist ?
II) Gibt es Musterverträge zwischen Verein und dessen Dachverband ?
Für die Beurteilung, ob die Datenverarbeitung durch den Verein eine Auftragsverarbeitung darstellt, kommt es maßgeblich darauf an, was der Dachverband mit den betroffenen personenbezogenen Daten macht (Verarbeitung im Auftrag des Vereins oder für eigene Zwecke). Eine Vereinbarung zur Auftragsverarbeitung ist nur dann erforderlich, wenn auch eine Verarbeitung personenbezogener Daten im Auftrag erfolgt. Soweit eine Auftragsverarbeitung vorliegt, kann grundsätzlich auf ein allgemeines Muster einer Vereinbarung zur Auftragsverarbeitung zurückgegriffen werden.
Wir überarbeiten zur Zeit die Satzung und die Geschäftsordnung unseres Vereins. Zwei Fragen:
Macht es Sinn den Datenschutz mit aufzunehmen?
Ist es besser den Datenschutz dann in der Satzung oder der Geschäftsordnung zu verankern?
Die datenschutzrechtlichen Regelungen sollten zumindest allen Mitgliedern in irgendeiner Form bekannt gegeben werden. Es bietet sich an, dies in Form einer separaten Richtlinie zu tun und ggf. in der Satzung auf die Richtlinie zu verweisen.
Im Kleingarten e.V hat jede Parzelle einen Pächternamen und einen Strom-UNTERZÄHLER. Zur Prüfung der Stromabrechnung muss auch die Summenbildung der Unterzählerwerte einbezogen werden.Haben alle e.V Mitglieder das Recht auf Offenlegung der einzelnen Verbrauchswerte? (z.Z.verweigert!) Danke
Ob es uns hilft, der Spruch vom AG Dortmund (AZ 512 C 42/13), allgemein: Energieverbrauchswerte sind keine schützenswerten Daten! Also auch im e.V.
Herr Dr. Datenschutz, darf ich in der Sache einen sachdienlichen Hinweis erwarten?
Wir dürfen keine Rechtsberatung geben. Folgende allgemeine Hinweise: Der Energieverbrauchswert allein ist kein personenbezogenes Datum. Allerdings könnten bei einer Offenlegung der Verbrauchswerte in Verbindung mit den Pächternamen datenschutzrechtliche Belange berührt werden. Die Offenlegung dieser Daten durch den Verein bedarf dann einer Rechtsgrundlage. Ob eine solche vorliegt muss geprüft werden.
Ja Danke Herr Doktor, der Verein sind die Mitglieder, ich auch, es ist nicht Im I-Net veröffentlichen gemeint, sondern nur intern unter den beteiligen Verbrauchern. Der Beitritt zu einer solchen Gemeinschaft erfolgt nicht anonym sondern mit der Bereitschaft zu einem transparenten Teilungs-Vertrag. Es ist auch kein „WohnBereich“, Frau Wasserpumpe und Herr Rasenmäher sind die dominierenden Verbraucher. Aber Manche probieren eben auch mal ob die Sache mit dem Kleinen Magneten am Zähler klapp, usw… Sollt ohne AG klapp.
Hallo,
wir haben in unserem Verein für jedes Mitglied eine E-mail-weiterleitung von name.nachname@verein.de auf seine private email-addresse (z.B. irgendwer@gmx.de).
nach meiner Auffassung ist das nicht zulässig, weil der Person, welche an die @verein.de sendet, nirgendwo gezeigt wird, das wir die Daten automatisch an dritte weiter geben.
Kollegen im Verein sind der Meinung das diese name.nachname@verein.de als private und nicht als Vereinsadresse anzusehen ist, und damit raus ist aus dem Datenschutz des Vereins.
Alternative wäre jedem Vereinsmitglied statt der weiterleitung ein eigenes Postfach auf unserem Vereins-eigenen Server zuzuteilen. Dann wäre das Problem wegen Weiterleitung an dritte ja geloesst, oder ?
Sie könnten den Interessenten z.B. auf Ihrer Webseite mitteilen, dass die Mitteilungen an die Privatadressen der Mitglieder weitergeleitet werden. Wenn Sie den Mitgliedern aber ein eigenes Postfach einrichten, ist das natürlich datenschutzrechtlich eleganter.
Hallo,
wir haben eine Interpretationsfrage :) zu
„Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht in der Regel […] mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind.“
Wir sind ein „historischer“ Verein mit einer Homepage, einer (Online-)Mitgliederverwaltung und einem (nicht öffentlichen) Ortsfamilienbuch. Alle, die an diesen Tools mitarbeiten, haben also mit personenbezogenen Daten zu tun, arbeiten aber alle ausschließlich ehrenamtlich, es sind also keine Beschäftigte im Sinne es Beschäftigungsverhältnisses des Vereins (so was können wir uns nicht leisten).
Frage 1: Wie ist „beschäftigt“ zu interpretieren? Wir haben insgesamt 10 – 15 Mitglieder, die an diesen Projekten arbeiten. Benötigen wir einen DSB?
Frage 2: Was ist dann unter „automatisiert“ zu verstehen? Die Erfassungen und Verwaltung geschieht manuell, aber SEPA-Einzug beispielsweise gesammelt.
Vielen Dank
Für die Bestimmung der Zahl der relevanten Beschäftigen ist irrelevant, ob es sich um Vollzeit- oder Teilzeitkräfte handelt oder ob Auszubildende, Volontäre und Praktikanten tätig sind. Es kommt somit nicht auf den arbeitsrechtlichen Status an. Auch ehrenamtlich Tätige gehören dazu.
Bezüglich der automatisierten Verarbeitung kommt es darauf an, ob die Mitarbeiter mit Datenverarbeitungsanlagen, bspw. mit E-Mail arbeitet. Jede Benutzung eines Computers und einer Mail dürfte bereits ausreichen, auch wenn Sie in Ihrem Verein teilweise ausschließlich Papierakten führen. Je nach Einzelfall dürfte somit bspw. Reinigungspersonal in Lagerhallen oder Fabrikarbeiter ausscheiden, die gar keine personenbezogene Daten verarbeiten. Hier kommt es für Ihren Fall somit darauf an, wie Ihre Arbeitsabläufe konkret ausgestaltet sind.
Meine Frage bezieht sich auf einen Künstlerverband-/Verein. Ich bin zuständig für die finanziellen Belange, habe somit Mitgliederlisten/ Sepa Unterlagen zu verwalten.
Die Mitgliederlisten liegen den 1.+2. Vorsitzenden ebenfalls vor.
Muss ich ihm Rahmen der neuen Datenschutzvorschriften etwas beachten. Bisher haben wir keinen „Datenschutz-Beauftragten“ gehabt?
Ja auch für Vereine gilt die DSGVO mit ihren Rechten und Pflichten. Grundsätzlich ist Ihnen daher zu empfehlen, dass Thema DSGVO bei einer zeitnah anberaumten Vereinsversammlung auf die Tagesordnung zu setzen. Es geht über die von Ihnen geschilderten Bereiche weit hinaus.
Als Vorbereitung möchte ich Ihnen ein paar Links empfehlen:
1. Für Vereine gibt es eine gute Stellungnahme des Landesbeauftragten für den Datenschutz in Baden-Württemberg. Diese ist recht ausführlich und kann Ihnen als Basis dienen.
2. Behördlich geprüfte Mustervorlagen für das sog. Verzeichnis der Verarbeitungstätigkeiten bekommen Sie vom Berufsverband der Datenschutzbeauftragten. Dieses werden Sie in jedem Falle erstellen müssen.
3. Weitere Informationen, Vorlagen und Kurpapiere können z.B. auch über diese Webseite des Bayrischen Landesamtes für Datenschutzaufsicht bezogen werden.
Hallo Dr. Datenschutz,
muss der vom Verein zu bestellende Datenschutzbeauftragte eine Schulung/Zertifikat als solcher haben, oder kann das auch jemand sein, der sich mit dem Thema auskennt? VG
Bei dem Datenschutzbeauftragten geht es um seine berufliche Qualifikation und insbesondere sein Fachwissen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Er muss also in der Lage sein, seine aus Art. 39 DSGVO genannten Aufgaben zu erfüllen. Es sollte somit jemand ausgewählt werden, der sich bereits zum Zeitpunkt der Ernennung mit Datenschutz auskennt. Eine Pflicht zur Zertifizierung besteht nicht. Der Datenschutzbeauftragte sollte bezüglich datenschutzrechtlicher Themen immer auf dem Laufenden sein.
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.
Hallo, dürfen die Kontodaten des Vereins auf der Homepage des Vereins angegeben sein?
Sofern es sich um das Bankkonto des Vereins handelt, der Verein also als Kontoinhaber aufgeführt wird, ist es datenschutzrechtlich unbedenklich, die Kontoverbindung auf der Homepage des Vereins zu veröffentlichen.
Anders würde es sich etwa verhalten, wenn das Konto beispielsweise unter dem Namen eines Vereinsmitglieds geführt würde. Damit wäre ein Personenbezug hergestellt. Für die Veröffentlichung auf der Homepage bedürfte es in diesem Fall einer Rechtsgrundlage (in der Regel einer Einwilligung des Kontoinhabers nach Art. 6 Abs. 1 lit. a DSGVO).