DSGVO-Hilfen für Vereine: Praxisratgeber und Checkliste

Gerade bei kleineren Vereinen, die hauptsächlich vom ehrenamtlichen Engagement ihrer Mitglieder leben, bereitet die DSGVO auch heute noch Kopfzerbrechen und Mehraufwand. DSGVO-Hilfen für Vereine in Form von Checklisten, Praxisratgebern sind nach wie vor notwendig und gefragt. Auch wenn sich die Informationslage inzwischen gebessert hat, bleibt es teils unübersichtlich. Wir bieten einen Überblick über veröffentlichte Hilfen und fassen die wichtigsten Punkte zusammen.

Die Aufsichtsbehörden – Hilfestellung oder Verwirrung?

Viele Vereinsverantwortliche sehen auch nach rund vier Jahren DSGVO ein Problem: Ihre eigentlichen Aufgaben rund um Sport und Kultur rücken in den Hintergrund, stattdessen sehen sie sich einem Berg von Pflichten gegenüber. Dem wollen die Aufsichtsbehörden der Länder seit Anbeginn entgegenwirken und bieten für Vereine DSGVO-Hilfen mittels Übersichten und Orientierungshilfen an.

Genau. Die Aufsichtsbehörden der Länder. Mehrzahl. Da schlägt er wieder zu, der gute alte Föderalismus. So gut die Grundidee sein mag, bietet der Föderalismus auch Anlass zur Kritik. Da schafft man es mit der DSGVO ein einheitliches Regelwerk für die gesamte EU einzuführen und trotzdem kommt es bei 16 Bundesländern in Deutschland zu teils gegensätzlichen Auslegungen des Rechts. Schwierig für die Rechtsanwendung, schwierig für das Verständnis und die Akzeptanz. Aber wie gut sind die Hilfestellungen der Behörden gestaltet? Wir haben uns das Angebot angesehen und zusammengefasst.

LfDI Baden-Württemberg: Datenschutzinformationen für Vereine leicht gemacht?

Mit einem interaktiven Angebot namens DS-GVO.clever bietet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) des Landes Baden-Württemberg Hilfe bei der Erstellung von Datenschutzinformationen für Vereine. Mittels kurzer Fragen kann eine Datenschutzerklärung erstellt werden. Naja, teilweise jedenfalls. Denn es wird ausführlich darauf hingewiesen, dass die Fragen nicht vollständig sind, man das Ergebnis überprüfen und ergänzen muss und für weitere Informationen bitte in den Praxisratgeber (33 Seiten) sowie die Orientierungshilfe (36 Seiten) schauen soll.

Aber: Der Ansatz ist gut. Der Fragebogen bietet einen Einstieg in das Thema und nimmt bestenfalls Berührungsängste. Fragen, die sich – mit einiger Wahrscheinlichkeit – stellen werden, können gezielt in den Dokumenten recherchiert werden.

Wer sich vom Umfang der beiden Dokumente erschlagen fühlt, kann sich zuerst einen Überblick auf der FAQ-Seite verschaffen. Vielleicht findet man dort sogar die Antwort auf konkrete Fragen. Wem dagegen alles nicht reicht, der kann eine Onlineveranstaltung buchen. Kostenfrei. Finden wir gut.

LDA Bayern: Musterverzeichnis von Verarbeitungstätigkeiten für Vereine

Etwas trockener geht es auf der Seite des Bayerischen Landesamts für den Datenschutz (BayLDA) zu. Mit rund 1000 Wörtern Fließtext und einigen Verlinkungen versucht man dem Rechtsanwender den Datenschutz im Verein zu vermitteln. Besser als Baden-Württemberg ist der gleich verlinkte Praxisratgeber gelungen, da er mit nur 2 Seiten eine echte Zusammenfassung darstellt. Allerdings wollen wir nicht verschweigen, dass auch Bayern das Thema „Datenschutz in Vereinen“ nicht auf zwei Seiten zu fassen vermag, weshalb es wieder etliche Verlinkungen zu weiterführenden Informationen gibt. Leseratten nach vorne! Anschaulich gestaltet ist das Muster zu Verarbeitungstätigkeiten. Natürlich, wenn man so etwas das erste Mal sieht, muss man vielleicht erst einmal schlucken. Die Devise heißt dann, keine Panik und in Ruhe anschauen. So ist es auch gedacht, als „Einstieg“, denn eine Verlinkung zu einem ausführlichen Verarbeitungsverzeichnis darf natürlich nicht fehlen. Na, da wird schon bisschen was abverlangt. Persönliche Meinung: Wem bisher der Datenschutz ein rotes Tuch war, dem wird es hier nicht einfacher gemacht.

BlnBDI Service: Schulungen für Vereine

Mit einer steilen These geht die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) an den Start:

„Oft sehen sich Existenzgründer:innen sowie neu gegründete Unternehmen und Vereine mit ähnlichen datenschutzrechtlichen Fragestellungen konfrontiert“

Deshalb hat man den Service „Start-up-Schule“ ins Leben gerufen. Hier kann man kostenfreie Schulungen buchen, sofern man zu einer der genannten Gruppen zählt. Nun, unabhängig von der Frage, ob Existenzgründer:innen, Neu-Unternehmer und Vereinsverantwortliche tatsächlich ähnliche Fragen haben, scheint das Angebot insgesamt breit ausgelegt zu sein und viele grundsätzliche Themen des Datenschutzes in jeweils zweistündigen Schulungen zu behandeln. Nicht schlecht, aber auch nicht gut für jemanden, der wenig Zeit hat und sich deshalb eher für eine komprimierte Informationsgewinnung zum Thema „Datenschutz im Verein“ begeistern würde.

Weitere Informationen erschöpfen sich überwiegend in der Nennung und Zitierung von Gesetzen. Zwar gibt es auch eine Vielzahl an weiterführenden Links, wirklich aufbereitet ist das alles aber nicht. Zugeschnitten auf Vereine findet man leider keine Informationen.

HBDI lädt ein zum direkten Kontakt

Da macht es Hessen schon wieder besser. Kurz und knackig wird beim Hessischen Beauftragte für Datenschutz und Informationsfreiheit (HBDI) zum Datenschutz im Verein informiert. Schön ist der hervorstechende Hinweis, sich bei Fragen direkt an die Behörde zu wenden. Kontaktdaten inklusive. Das wirkt einladend und baut Hemmungen ab.

Die verlinkte Handreichung bleibt mit 5 Seiten übersichtlich. Das Dokument stammt zwar aus dem Jahre 2018, aber wenn sich seitdem nach Auffassung des LfDI Hessen nichts geändert hat: Bitteschön.

Aktueller, aus dem Jahre 2022, ist die umfassendere Broschüre der hessischen Landesregierung (32 Seiten). Diese ist zwar noch betitelt mit: „Die neue europäische Datenschutz-Grundverordnung“. Aber sind wir mal gnädig und unterstellen, dass das bei der Überarbeitung und Aktualisierung einfach übersehen wurde.

LfDI Mecklenburg-Vorpommern arbeitet mit Stiftung für Ehrenamt zusammen

Ähnlich übersichtlich geht es auf der Seite des LfDI Mecklenburg-Vorpommern zu. Hier findet man einen Leitfaden für Vereine aus dem Jahre 2018. Keinen Staub setzt hingegen die Zusammenarbeit mit der Stiftung für Ehrenamt und bürgerliches Engagement an. Auf der verlinkten Seite wird grundsätzliches und aktuelles zum Datenschutz in Vereinen gut aufbereitet zur Verfügung gestellt. Der Hinweis des LfDI auf Vorträge scheint zwar nicht mehr aktuell zu sein, folgt man aber dem Link zur Stiftung, findet man Videos, Infos und das Angebot, sich persönlich beraten zu lassen.

LfD Niedersachsen mit Infomaterial, FAQ und Beratungsangebot

Auch der Landesbeauftragte für Datenschutz Niedersachsen (LfD) löst zunächst keine Informationsflut aus, sondern beschränkt sich auf seiner Website zum Datenschutz im Verein auf eine übersichtliche Einführung in das Thema und Links zu weiterführenden Informationen. Die Handreichung zum Datenschutz in Vereinen fällt mit 56 Seiten umfangreich aus, ist aber mit Stand Juni 2023 sehr aktuell gehalten. Daneben ist eine Hotline angegeben. Sinnvoll für alle, bei denen Fragen auch nach Durchsicht der FAQ-Seite ungeklärt bleiben.

Dicke Broschüre für Vereine von der LDI NRW

Ähnlicher Ansatz, anderes Bundesland. Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen stellt eine Broschüre zum Stand August 2022 mit 55 Seiten Umfang bereit. Für Vereinsverantwortliche mit viel Interesse, viel Zeit, oder einer guten Suchfunktion für gezielte Recherche.

Rheinland-Pfalz verweist auch auf die Arbeit anderer LfDIs

Auch der LfDI Rheinland-Pfalz stellt eine eigene Rubrik für Vereine bereit. Auffällig ist hier, dass auch Formulare anderer Bundesländer verlinkt sind. Schöner Ansatz, der zeigt, dass man seine datenschutzrechtlichen Fühler ruhig länderübergreifend ausstrecken darf.

Daneben das übliche: FAQ und Links zu Dokumenten mit weiteren Informationen.

UDZ Saarland punktet mit Hilfestellung zu Fotoaufnahmen im Verein

Das unabhängige Datenschutz-Zentrum für Datenschutz Saarland (UDZ) stellt mit seiner auf Vereine zugeschnittenen Webseite sowohl Broschüren, Mustervorlagen, als auch FAQ zur Verfügung. Hilfreich sind die extra Infos zur Frage der Veröffentlichung von Fotoaufnahmen im Verein. (Zu Fotos im Verein sei auch auf unseren Blogartikel hingewiesen.)

Sächsische Datenschutzbeauftragte setzt auf Fließtext

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) erläutert, ähnlich wie das BayLDA, die DSGVO für Vereine im Fließtext. Das wirkt aber nicht so überladen und ist deshalb besser geglückt. Die verlinkte Orientierungshilfe ist diejenige des Landes Baden-Württemberg. Wie gesagt, Patchwork ist gern gesehen. Insgesamt sind die Informationen sonst aber allgemein gehalten und dienen damit vordergründig der Orientierung. Für Spezialfragen eignen sich die Seiten anderer Bundesländer besser.

ULD Schleswig-Holstein: Keine Rubrik aber Broschüre

Schleswig-Holstein hat zwar keine Rubrik zum Datenschutz für Vereine, bietet aber hier eine Broschüre mit überschaubaren 16 Seiten Umfang an.

Freie Wahl oder Qual der Wahl

Wie darf es sein: Umfangreich, aber aktuell? Kurz, aber übersichtlich? Fließtext oder lieber interaktiv? Video oder Schulung? FAQ oder Telefonat? Persönliche Beratung? Sie haben die Wahl. Oder ist es die Qual der Wahl?

Das Angebot ist vielfältig und breit. Der Vorteil ist, dass so jeder einen für ihn passenden Einstieg in die Materie findet. Oder je nach Bedarf in die Tiefe recherchieren kann. Der Nachteil dabei: Man muss sich erst einmal zurechtfinden. Außerdem schwingt immer eine gewisse Unsicherheit mit, ob bestimmte Informationen allgemeingültig sind, oder nur im jeweiligen Bundesland vertreten werden. Für einen solchen Zweifelsfall herrscht aber ein breites Angebot, um direkt mit den Behörden in Kontakt treten zu können.

Die Vereine – Unterstützung untereinander

Nicht nur die Behörden arbeiten mittlerweile (teilweise) zusammen, indem sie übergreifende Verlinkungen schaffen. Auch die Vereine selbst haben insbesondere aus der anfänglichen Unsicherheit heraus, Informationen erarbeitet. Nicht zuletzt gibt es einigen Erfahrungsschatz aus den letzten Jahren. Der Austausch untereinander kann daher enorm hilfreich sein und ist auch spaßiger, als sich durch seitenlange Broschüren zu kämpfen.

Deutsches Ehrenamt: Checkliste und Fahrplan zur Umsetzung

Neben den Bemühungen der Behörden gibt es weitere beachtenswerte Quellen. Auf der Website von Deutsches Ehrenamt e.V. gibt es eine Checkliste zum Datenschutz im Verein. Anwenderfreundlich und praxisnah erscheint auch der Datenschutzplan, mit dessen Hilfe man einen Fahrplan zur Umsetzung des Datenschutzes im Verein erstellen kann. Weitere, gut sortierte Informationen sind ebenfalls verfügbar.

Angebot der Stiftung Datenschutz für Vereine

Last but not least sollte das Angebot der Stiftung Datenschutz erwähnt werden. Aufgegliedert in Basiswissen und die ersten drei Schritte wird sehr Anwenderfreundlich die Herangehensweise an die komplexe Materie vermittelt. Die Gestaltung kommt weitgehend ohne die Wiederholung des Gesetzestextes aus, und baut Antworten auf gängige Fragen im Sinne von FAQ geschickt ein. Außerdem gibt es eine Reihe an Beispielen. Alles in allem gelingt es gut, das Thema anschaulich und leicht verständlich zu vermitteln. Außerdem bietet man mit der Reihe Datenschutz im Ehrenamt Webinare und Workshops an, die eine breite Palette von Grundlagen bis zu spezielleren Datenschutzhemen im Vereinskontext abdecken.

10-Punkte-Checkliste für Vereine, um die DSGVO umzusetzen

Letztendlich lassen sich die grundlegenden Pflichten in wenigen Punkten zusammenfassen.

1. Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen. Das ist dann der Fall, wenn zwanzig oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Eine gute Übersicht über die verschiedenen Auffassungen der Behörden, die leider auch zu unterschiedlichen Ergebnissen führen können, ist in diesem Artikel zu finden.
2. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
3. Prüfen Sie, ob Sie für alle Verarbeitungen eine Rechtsgrundlage haben. Bei Vereinen ist das in der Regel der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung; oder eine Einwilligung. Beispiele dazu, wann welche Rechtsgrundlage im Verein zum Tragen kommt, finden Sie in der Broschüre des Hessischen Beauftragten für Datenschutz und Informationsfreiheit ab Seite 10. Ein Muster für eine Einwilligungserklärung für die Veröffentlichung von Mitgliederdaten im Internet bietet der Landesbeauftragte für den Datenschutz Baden-Württemberg. (Zum Thema Mitgliederlisten siehe auch unseren Beitrag).
4. Informieren Sie Ihre Mitglieder über die Datenverarbeitungsvorgänge. Am einfachsten geschieht dies im Rahmen der Prozedur der Aufnahme als Mitglied, indem Sie zu dem Zeitpunkt ein Hinweisblatt austeilen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg bietet ein Muster bzw. eine Anleitung für die Informationspflicht bei Erhebung von personenbezogenen Daten ab Seite 12 seines Praxisratgebers.
5. Achten Sie darauf, nur die personenbezogenen Daten zu verarbeiten, die für den Zweck erforderlich sind und löschen Sie die Daten, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
6. Schließen Sie notwendige Auftragsverarbeitungsverträge mit Drittdienstleistern (beispielsweise bei Mitgliederverwaltung unter Nutzung einer Cloud-Lösung, Hosting).
7. Informieren und verpflichten Sie Personen, die mit personenbezogenen Daten umgehen, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt. Hierfür bietet die DSK ein Muster an.
8. Stellen Sie sicher, dass Sie Ihre Pflichten, beispielsweise im Fall von Auskunftsersuchen durch betroffene Personen oder Löschungsverlangen, zeitnah nachkommen können. Denn Betroffenenrechte müssen in der Regel innerhalb eines Monats erfüllt werden. Sollte einmal eine Datenpanne passieren, ist dies regelmäßig innerhalb von 72 Stunden ab Kenntnis zu melden.
9. Eine Datenschutz-Folgenabschätzung werden Sie in der Regel nicht durchführen müssen. Prüfen Sie dennoch, ob ein hohes Risiko bei der Datenverarbeitung im Verein besteht, in dem Fall müsste eine Datenschutz-Folgenabschätzung durchgeführt werden. Dies kann z.B. bei der umfangreichen Verarbeitung von Leistungsdaten im Sportverein der Fall sein.
10. Achten Sie darauf, dass eine ausreichende Sicherheit bei der Verarbeitung personenbezogener Daten gegeben ist. Achten Sie insbesondere darauf, aktuelle Betriebssysteme und Anwendungen zu verwenden, kümmern Sie sich um den Passwortschutz, regelmäßige Backups, Virenscanner und schränken Sie Benutzerrechte so weit ein, dass nur Personen, die mit den Daten auch tatsächlich umgehen müssen, Zugang zu den jeweiligen personenbezogenen Daten haben.