Gerade bei kleineren Vereinen, die hauptsächlich vom ehrenamtlichen Engagement ihrer Mitglieder leben, hat die DSGVO für große Verunsicherung gesorgt. Viele der ehrenamtlich tätigen Mitglieder opfern ihre Freizeit und müssen sich nun in dieser Zeit auch mit den umfangreichen Vorgaben der DSGVO beschäftigen, was bei vielen Vereinsverantwortlichen die Sorge auslöst, der Aufgabe nicht gewachsen zu sein. Wir bieten einen Überblick über bereits veröffentlichte Hilfen und fassen die wichtigsten Punkte kurz zusammen.
Der Inhalt im Überblick
Die Aufsichtsbehörden reagieren
Vielen Vereinsverantwortlichen geht es momentan ähnlich. Ihre eigentlichen Aufgaben rund um Sport und Kultur rücken in den Hintergrund, stattdessen sehen sie sich einem Berg von Bürokratie gegenüber. Dazu steigt die Angst, bei der Umsetzung der DSGVO Fehler zu machen, die viel Geld kosten könnten. Dem wollen die Aufsichtsbehörden der Länder entgegenwirken und bieten für Vereine inzwischen einige Übersichten und Hilfestellungen an.
Hilfen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA)
Dem Ansturm an Fragen von bayerischen Vereinen will das BayLDA auf eine ganz besondere Art und Weise entgegentreten. Seit Montag, 09.07.2018, bietet das BayLDA Ratsuchenden die Möglichkeit, sich Montag bis Freitag von 8 Uhr bis 19 Uhr unter der Telefonnummer 0981-53-1810 an die Mitarbeiter des Amts zu wenden. Ziel der Hotline ist es, Standardfragen zu beantworten. Die 10 häufigsten Fragen und Antworten werden dann regelmäßig auf dieser Website veröffentlicht. Für Fragen, die weder die Hotline, noch die umfangreichen Informationen auf der Homepage des BayLDA beantworten können, wird die Möglichkeit geboten, diese per E-Mail unter vereine@lda.bayern.de zu stellen.
Das BayLDA hat außerdem eine Checkliste zu den wesentlichen Anforderungen der DSGVO an Vereine erstellt. Mit Hilfe von 10 Fragen, die mit Ja oder Nein beantwortet werden können, bietet diese Checkliste eine gute Übersicht darüber, mit welchen Themen sich der Verein auseinandersetzen sollte. In Verbindung mit den ergänzenden Hinweisen am Ende der Checkliste, erhält man so einen Fahrplan, an dem man sich bei der Umsetzung der DSGVO orientieren kann.
Mit dem Muster zum Verzeichnis von Verarbeitungstätigkeiten im Verein komplettiert das BayLDA sein Angebot für Vereine.
Orientierungshilfe des baden-württembergischen Landesdatenschutzbeauftragten
Mit knapp über 30 Seiten etwas ausführlicher und umfangreicher hat der baden-württembergische Landesdatenschutzbeauftragte eine Orientierungshilfe für Vereine zum Datenschutz herausgegeben. Zusätzlich zu allgemeinen Hinweisen über die Anforderungen, die die DSGVO an den Datenschutz im Verein stellt, finden sich hier auch Informationen über einzelne praxisrelevante Fragen, wie zum Beispiel darüber, unter welchen Bedingungen die Datenweitergabe an Dachverbände zulässig ist. Themen wie Aushänge am Schwarzen Brett, Spendenaufrufe und die Veröffentlichung von Mitgliederdaten im Internet finden ebenso Beachtung. Zusätzlich dazu wird ein Praxisratgeber angeboten, der neben weitergehenden Informationen zu bestimmten Themen wie beispielsweise Informationspflichten, Einwilligungserklärungen und dem Verzeichnis von Verarbeitungstätigkeiten, auch hilfreiche Muster enthält.
Weitere Hilfen
Neben den Aufsichtsbehörden aus Bayern und Baden-Württemberg bieten auch einige andere Datenschutzbehörden inzwischen Informationsbroschüren zum Thema Datenschutz im Verein. Diese können Sie unter folgenden Links einsehen bzw. herunterladen:
- Hessischer Beauftragter für Datenschutz und Informationsfreiheit: Datenschutz im Verein
- Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Datenschutz bei Vereinen
- Sächsischer Datenschutzbeauftragter: Handlungsempfehlung zur Umsetzung der DSGVO für Vereine
- Unabhängiges Datenschutzzentrum Saarland: Datenschutz im Verein
- Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz: Datenschutz im Verein
- Die Landesbeauftragte für Datenschutz und Informationsfreiheit der freien Hansestadt Bremen: Orientierungshilfe
Unsere 10-Punkte-Liste für Vereine
Letztendlich lassen sich die grundlegenden Pflichten in wenigen Punkten zusammenfassen.
- Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen. Das ist dann der Fall, wenn zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Einige Beispiele, wann eine solche Verarbeitung im Verein vorliegt, finden Sie in der Broschüre des Hessischen Beauftragten für Datenschutz und Informationsfreiheit auf den Seiten 3 und 4.
- Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
- Prüfen Sie, ob Sie für alle Verarbeitungen eine Rechtsgrundlage haben. Bei Vereinen ist das in der Regel der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung oder eine Einwilligung. Beispiele dazu, wann welche Rechtsgrundlage im Verein zum Tragen kommt, finden Sie in der Broschüre des Hessischen Beauftragten für Datenschutz und Informationsfreiheit auf den Seiten 1 und 2. Ein Muster für eine Einwilligungserklärung für die Veröffentlichung von Mitgliederdaten im Internet bietet der Landesbeauftragte für den Datenschutz Baden-Württemberg.
- Informieren Sie Ihre Mitglieder über die Datenverarbeitungsvorgänge. Am einfachsten geschieht dies im Rahmen der Prozedur der Aufnahme als Mitglied, indem Sie zu dem Zeitpunkt ein Hinweisblatt austeilen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg bietet ein Muster bzw. eine Anleitung für die Informationspflicht bei Erhebung von personenbezogenen Daten ab Seite 12 seines Praxisratgebers.
- Achten Sie darauf, nur die personenbezogenen Daten zu verarbeiten, die für den Zweck erforderlich sind und löschen Sie die Daten, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
- Schließen Sie notwendige Auftragsverarbeitungsverträge mit Drittdienstleistern (beispielsweise bei Mitgliederverwaltung unter Nutzung einer Cloud-Lösung, Hosting).
- Informieren und verpflichten Sie Personen, die mit personenbezogenen Daten umgehen, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt. Hierfür bietet die DSK ein Muster an.
- Stellen Sie sicher, dass Sie Ihre Pflichten, beispielsweise im Fall von Auskunftsersuchen durch betroffene Personen oder Löschungsverlangen, zeitnah nachkommen können. Bei Datenschutzverletzungen ist dies der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis zu melden.
- Eine Datenschutz-Folgenabschätzung werden Sie in der Regel nicht durchführen müssen. Prüfen Sie dennoch, ob ein hohes Risiko bei der Datenverarbeitung im Verein besteht, in dem Fall müsste eine Datenschutz-Folgenabschätzung durchgeführt werden.
- Achten Sie darauf, dass eine ausreichende Sicherheit bei der Verarbeitung personenbezogener Daten gegeben ist. Achten Sie insbesondere darauf, aktuelle Betriebssysteme und Anwendungen zu verwenden, kümmern Sie sich um den Passwortschutz, regelmäßige Backups, Virenscanner und schränken Sie Benutzerrechte so weit ein, dass nur Personen, die mit den Daten auch tatsächlich umgehen müssen, Zugang zu den jeweiligen personenbezogenen Daten haben.
Sehr geehrte Damen und Herren, wir ein gemeinnütziger ,Sportverein, wollen, müssen die Aufnahme – Erklärung, wegen dem neuen Datenschutzgesetz, auf den neusten Stand bringen.
wir wissen leider nicht wie !? reicht ein Satz, mit Hinweis auf einen Paragraphen ( § xyz..??? ), oder brauchen wir ein seperates Infoblatt, die, die Neumitglieder unterschreiben müssen ???
Wäre nett, wenn Sie mir da weiterhelfen können. Vielen Dank für Ihre Bemühungen .
MfG
highlander65
Bei der Erstellung eines Aufnahmebogens ist grundsätzlich darauf zu achten, dass nur die Daten abgefragt werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind. Das sind Daten, die notwendig sind, um die Vereinsziele zu verfolgen oder solche, die notwendig sind, um die Mitglieder zu verwalten. Hierzu gehören beispielsweise die Kontaktdaten und ggf. die Kontoverbindungsdaten, wenn Mitgliedsbeiträge eingezogen werden.
Daneben sind allerdings auch die Informationspflichten zu beachten. Bei Erhebung der Daten muss der Verein die betroffene Person darüber informieren, wie mit ihren Daten umgegangen wird. Wie eine solche Information aussehen kann, können Sie beispielsweise dem oben verlinkten Praxisratgeber des LfDI BW ab Seite 12 entnehmen.
Es muss „Bayerischen Landesamts“ und „bayerische“ Vereine heißen…
Nichts für ungut…
Vielen Dank für den Hinweis. Wir haben das geändert, weil es gebräuchlicher ist. Beide Schreibweisen sind aber möglich.
Sehr geehrte Damen und Herren,
in unserem Verein gibt es laut Satzung 3 Rechnungsprüfer, die i.d.R einmal im Jahr die Buchhaltungsunterlagen prüfen. Hier der Satzungstext:
Die drei Rechnungsprüfer haben die Aufgabe, die Buchführungsunterlagen des Vereins
mindestens einmal jährlich auf sachliche und rechnerische Richtigkeit zu prüfen und hierüber der Mitgliederversammlung zu berichten.
Die Amtszeit der Rechnungsprüfer beträgt drei Jahre.
Zählen diese Rechnungsprüfer auch zu den verarbeitenden Personen die bei der Berechnung für einen Datenschutzbeauftragen berücksichtigt werden müssen?
Vielen Dank im Voraus!
Gemäß § 38 BDSG muss ein Datenschutzbeauftragter benannt werden, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Das Tatbestandsmerkmal „ständig“ ist erfüllt, wenn eine gewisse Regelmäßigkeit vorliegt. Einmal jährlich wird diese Regelmäßigkeit in der Regel nicht begründen. Das BayLDA führt zur Bestellpflicht und der Frage, ob ein Verein einen Datenschutzbeauftragten bestellen muss, aus: „Nur dann, wenn im Verein mindestens zehn Personen ständig, d. h. die überwiegende Zeit, die sie für den Verein aufbringen, mit der Verarbeitung von personenbezogenen Daten zu tun haben. Häufige gelegentliche Anlässe lösen noch keine Benennungspflicht aus. Im Verein können daher ohne Weiteres auch mehr als 10 Personen regelmäßig Zugriff auf die Datenbestände der Vereinsmitglieder nehmen (beispielsweise zur Organisation von wöchentlichen Proben, Trainingseinheiten, Spielen oder Veranstaltungen), ohne dass deshalb ein Datenschutzbeauftragter bestellt werden müsste, da hier zwar eine wiederkehrende und häufige, aber keine ständige Datenverarbeitung vorliegt.“ (https://www.lda.bayern.de/de/faq.html)
In einer Jagdhornbläsergruppe des Landesjagdverbandes Bayern führt der satzungsgemäße und gewählte Schriftführer eine Anwesenheitsliste über die Anwesenheit der einzelnen Bläser bei Terminen der Bläsergruppe, die er am Jahresende als Balkendiagramm innerhalb der Bläsergruppe verteilt, Keiner der Bläser hat dazu seine Einwilligung erteilt. Ist dies zulässig. gegen welchen § der DSGVO verstößt das?
mfg
Eines vorweg: wir können hier leider keine Rechtsberatung anbieten.
Das Datenschutzrecht ist anwendbar, da eine Verarbeitung personenbezogener Daten der Mitglieder hier durch die Verteilung der Balkendiagramme stattfindet. Die Anwesenheit bei Vereinsveranstaltung ist eine einer Person zuordenbare Information, die Rückschlüsse auf deren Verhalten ermöglicht.
Grundsätzlich dürfen Daten nur zur Verfolgung des Vereinszwecks bzw. zur Betreuung und Verwaltung von Mitgliedern genutzt werden (Art. 6 Abs. 1 lit. b DSGVO). Sie sollten daher in Erfahrung bringen, ob die Erfassung der Anwesenheit der Bläser notwendig ist für die Verfolgung des Vereinszwecks. Hierüber könnte die Satzung des Vereins Aufschluss geben. Beispiel: Bei Vereinen, deren Vereinszweck darin besteht, die persönlichen oder geschäftlichen Kontakte zu pflegen, ist z.B. die Herausgabe einer Mitgliederliste zulässig, beispielsweise bei Selbsthilfe- und Ehemaligenvereinen. Ein solcher Fall sollte hier nicht gegeben sein.
Eine weitere Rechtgrundlage kann das berechtigte Interesse des Vereins sein. Danach dürfen ausnahmsweise Mitgliederdaten, wie z.B. die Anwesenheit bei Veranstaltungen, aufgrund eines berechtigten Interesses des Vereins veröffentlicht / weitergegeben werden. Dem dürfen aber keine schutzwürdigen Interessen der Vereinsmitglieder entgegenstehen. Die Mitglieder müssen zudem die Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen. Ob ein solcher Fall hier vorliegt, müsste im Einzelfall geprüft werden.
In allen anderen Fällen bedarf es der Einwilligung der Vereinsmitglieder in die Weitergabe ihrer personenbezogenen Daten.
Sehr geehrte Damen und Herren, gehören Übungsleiter (im Rehasportverein) zu den Personen, die als ständig mit der Verarbeitung personenbezogenen Daten gelten? Können Mitgliederlisten (mit Name, Anschrift und Übungskursbelegungen) an Beisitzern (Mitglieder des erweiterten Vorstandes) zur Überprüfung der Mitgliederstammdaten weitergegeben werden?
Cleboe am 03.03.2019
Die Anforderung „ständig beschäftigt“ wird grundsätzlich weit ausgelegt. Ein Übungsleiter dürfte in der Regel zu den Personen gehören, die ständig mit der Verarbeitung personenbezogener Daten befasst sind, weil personenbezogene Daten der Mitglieder verarbeitet werden (Teilnehmerlisten etc.). Im Einzelfall ist immer auf die Ausgestaltung der jeweiligen Tätigkeit abzustellen.
Jeder Funktionsträger innerhalb eines Vereins darf nur diejenigen Mitgliederdaten kennen, die er zur Erfüllung seiner Aufgaben benötigt. Der Vorstand darf auf die Mitgliederlisten zugreifen, wenn er diese zur Aufgabenerledigung benötigt, also wenn die Daten zur Betreuung oder Verwaltung der Mitglieder erforderlich sind und der Vorstand mit der Aufgabe betraut ist. Näheres zur Aufgabenverteilung sollte sich aus der Satzung des Vereins ergeben.
Hallo, wie verhält es sich bei einem vereinsinternen Newsletter. Die Empfänger sind ja Mitglieder und wollen Infos haben, was so alles im Verein passiert (gemeinnütziger Sportverein). Muss ich jetzt von jedem Mitglied eine Erklärung unterschreiben lassen, dass sie den Newsletter haben wollen oder kann ich auf Grund der Mitgliedschaft davon ausgehen, dass sie das wollen und jedes Mitglied auf die Liste setzen – wohlgemerkt mit automatischer Abmeldung, falls die Info doch nicht erwünscht ist.
Das Einwilligungserfordernis gilt insbesondere für Werbung per E-Mail. Hier lässt sich aufgrund der Wertungen des UWG (elektronische Werbung ist grundsätzlich nur mit Einwilligung zulässig) eine Datenverarbeitung regelmäßig auch nicht auf Art. 6 lit. f DSGVO stützen. Bei vereinsinternen Informationen, die keine Werbung darstellen, kann möglicherweise aber auch Art. 6 lit. f DSGVO die passende Rechtsgrundlage sein. Dann müsste der Verein ein berechtigtes Interesse an der Datenverarbeitung haben und die Interessen der betroffenen Personen dürften diesem nicht überwiegen. Weitere Informationen dazu finden Sie unter https://www.dr-datenschutz.de/was-ist-eigentlich-dieses-berechtigte-interesse/ und https://www.dr-datenschutz.de/datenverarbeitung-auf-grundlage-einer-interessenabwaegung/. Ggf. kommen auch noch andere Rechtsgrundlagen in Frage.
Guten Tag.
Ich habe eine Frage zu ehemaligen Mitgliedern eines Sportvereins. Wir erheben sozusagen nur die Standarddaten, Name ,Adresse, Geb-Datum Telefon E-Mailadresse .
Laut Satzung und Einverständniserklärung dürfen diese Daten auch den Vereinsmitgliedern zugänglich gemacht werden.
Was geschieht jetzt bei Austritt? Neben der administrativen Seite (Mitgliederliste Verein) habe ich die „Mitglieder“ ja auch als private Kontakte kennen und schätzen gelernt und sie in meinem privaten Adressbuch gespeichert. Selbstverständlich lösche ich deren Daten aus der Vereinsliste.Aber zwanghaft auch aus meinem privaten Adressbuch,wenn ich nicht dazu aufgefordert würde?
Liebe Grüße
Es ist ein wenig die Frage, zu welchem Zweck die Daten an die einzelnen Mitglieder weitergeleitet werden, aber eventuell hilft auch schon Erwägungsgrund 18: Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird.
Unser Datenschutzbeauftragte ist nicht Mitglied im BGB Vorstand, aber als Pressewart Mitglied des erweiterten Vorstandes – ist dies zulässig?
Bei der Bestellung eines Datenschutzbeauftragten gilt es gem. Art. 38 Abs. 6 S. 2 DSGVO, Interessenkonflikte zu vermeiden. Der Datenschutzbeauftragte soll seine Tätigkeit frei und ohne Anweisung ausüben können. Ein Interessenkonflikt besteht immer dann, wenn diese Aufgaben aufgrund anderer Tätigkeiten nicht ordnungsgemäß oder unabhängig ausgeübt werden können.
Regelmäßig ist zu vermeiden, dass der Datenschutzbeauftragte damit konfrontiert wird, seine eigene Arbeit zu kontrollieren oder zusätzlich zu seinen Pflichten als Datenschutzbeauftragter auch wirtschaftliche oder fachliche Zielvorgaben zu berücksichtigen hat.
Der erweiterte Vorstand eines Vereins ist im Regelfall kein Teil des vertretungsberechtigten „engen“ Vorstandes i.S.d. § 26 BGB. Die Aufgaben des erweiterten Vorstandes werden nicht vom Gesetz, sondern von der Vereinssatzung bestimme. Ob bei einem Mitglied des erweiterten Vorstands ein Interessenkonflikt denkbar ist oder nicht, hängt deshalb von den satzungsgemäß übernommenen Aufgaben dieses Vorstandsmitgliedes ab.
Üblicherweise übernimmt ein Presswart neben der Betreuung von Pressekontakten auch die Organisation von Werbemaßnahmen wie Flyern oder Postern, die redaktionelle Verantwortung der Vereinszeitung oder die Pflege der Webseite. Da diese Bereiche zumindest teilweise datenschutzrechtlich sehr relevant sein können, liegt in Ihrem Fall die Vermutung eines Interessenkonflikts nahe.
Unser gemeinnütziger Verein hatte dankenswerter Weise das Glück Spenden aufgrund eines runden Geburtstages zu erhalten. Nun möchte das Geburtstagskind gerne eine Liste der Zahlungseingänge. In irgendeiner Weise möchten wir uns natürlich erkenntlich zeigen, da wir die Gelder ja nur durch ihn bekommen haben, aber welche Angaben darf ich ihm überhaupt geben? Darf ich dem Geburtstagskind die Namen der Spender mitteilen? Womöglich sogar den Spendenbetrag?
Für die Übermittlung von personenbezogenen Daten bedarf es grundsätzlich einer Rechtsgrundlage. In Frage kommende Rechtsgrundlagen sind in Art. 6 Abs. 1 DSGVO aufgelistet. In Betracht kommt insbesondere die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO.
Art. 6 Abs. 1 lit f) DSGVO erlaubt eine Datenverarbeitung auch dann, wenn der Verantwortliche ein berechtigte Interesse an der Datenverarbeitung hat und die Interessen der betroffenen Personen nicht überwiegen. Um beurteilen zu können, ob diese Rechtsgrundlage einschlägig ist, muss eine umfassende Interessensabwägung vorgenommen werden. Weitere Informationen zu dieser Rechtsgrundlage finden Sie auch unter https://www.dr-datenschutz.de/was-ist-eigentlich-dieses-berechtigte-interesse/.
Hallo Zusammen,
ich hätte eine kleine Frage:
Mein Vater und ich sind beide Mitglied in einem Abteilungsleitungsteam in einem Sportverein. Ich als einer von drei Abteilungsleitern und er hat eine andere Aufgabe.
Wir nutzen gemeinsam einen Mail-Account, die Adresse lautet familie(nachname)@….de.
Der Vorstand möchte, dass wir personalisierte Mails einrichten – ist das von der DSGVO so vorgeschrieben ?
Sonst leitet er, wie bis dato schon öfters geschehen, interne Mail nicht an uns weiter.
Würden uns über eine Rückmeldung sehr freuen – vielen Dank !
Grundsätzlich gilt das Need-to-know-Prinzip. Das bedeutet, dass nur derjenige Zugriff auf personenbezogene Daten haben sollte, der diese unmittelbar für die Erfüllung der ihm zugewiesenen Aufgaben benötigt.
Vielen Dank für die schnelle Antwort. Das ist klar und auch vollends gegeben,d.h. aber von offizieller Seite wird hier keine Vorgabe gemacht. und grundsätzlich widerspricht die Mailadresse nicht geltenden DSGVO-Grundsätzen oder?
Bitte haben Sie Verständnis dafür, dass wir innerhalb des Blogs keine Einzelfallberatung durchführen können. Es gibt in der DSGVO keine Norm, die personalisierte E-Mail-Adressen zwingend vorschreibt, jedoch sind die datenschutzrechtlichen Grundsätze natürlich immer zu beachten. Soweit das der Fall ist, steht z.B. auch einer Funktionsadresse nichts im Wege.
Guten Tag. Wir feiern nächstes Jahr unser 20-jähriges Vereinsbestehen und möchten hierzu die ehemaligen Mitglieder (über 100) für ein Musikprojekt einladen. In welchem Rahmen ist der Einladungsversand/Kontaktaufnahme nun möglich?
Bitte haben Sie Verständnis dafür, dass wir im Rahmen dieses Blogs keine Rechtsberatung im Einzelfall leisten dürfen. Für eine Klärung der rechtlichen Möglichkeiten sollten sie sich daher mit Ihrem Anliegen an einen spezialisierten Anwalt wenden.
Moin,
in der 10-Punkte-Liste steht bei 7. ein Link, hinter dem ein Muster für eine Verpflichtungserklärung zum Datenschutz zu finden sein soll. Leider gibt es das weder auf der verlinkten Seite noch auf einer anderen Seite des BayLDA.
Viele Grüße
Vielen Dank für den Hinweis. Wir haben den Link aktualisiert.