Datenschutz im Verein

Immer wieder erreichen uns Fragen unserer Vereinskunden zum Thema Datenschutz im Verein in Verbindung mit der Datenschutzgrundverordnung (DSGVO).

Unser Datenschutzkoordinationsteam hat die Themen gebündelt und wir möchten Ihnen in diesem Newsletter die wichtigsten Infos weitergeben.

SEWOBE Vereinssoftware DSGVO-Konform

I. Welche „Datenschutzmaßnahmen“ muss ein Verein ergreifen, auch wenn er nicht mindestens 10 Personen hat, die ständig personenbezogene Daten automatisiert verarbeiten und kein Datenschutzbeauftragter bestellt werden muss?

 

Der Verein muss die gleichen Maßnahmen betreiben wie ein größerer Verein oder ein Unternehmen, außer der Verpflichtung der Bestellung eines Datenschutzbeauftragten, u.a. sind folgende Vorgaben zu berücksichtigen:

  1. Es sollte ein Datenschutzmanagementsystem installiert werden, in dem die Datenschutzmaßnahmen des Vereins dokumentiert werden, z.B.:

    • Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) auf Papier oder elektronisch. Von wem werden welche personenbezogenen Daten verarbeitet und an wen werden diese Daten gesendet. Auch auf die Löschung sollte in der Beschreibung des Verarbeitungsverzeichnisses eingegangen werden.
    • Löschmanagement (Aufbewahrungs- und Löschfristen / Löschprotokolle): Daten dürfen nur so lange aufbewahrt werden, bis der Zweck entfallen ist und kein berechtigtes Interesse an einer weiteren Aufbewahrung entsteht. Die beabsichtigte Löschung kann auch im Verzeichnis zu den Verarbeitungstätigkeiten beschrieben werden. Es sollte jedoch ein Protokoll über die Löschung angefertigt werden, das beschreibt wann welche Daten gelöscht werden, z.B. sind Printformate / Akten sicher zu entsorgen bzw. zu  schreddern.
      Gerne besprechen wir mit Ihnen Ihr digitales Löschkonzept und schlagen Ihnen Lösungen vor.
    • Datenschutzverletzungen sind im Datenschutzmanagementsystem zu dokumentieren und sofern negative Auswirkungen für die Betroffenen zu befürchten sind, der zuständigen Aufsichtsbehörde zu melden.
    • Verpflichtung auf Vertraulichkeit aller, die auf personenbezogene Daten des Vereins zugreifen können. Ggf. muss mit Dienstleistern ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden, siehe auch Frage 4.

  2. Datenschutzkonforme und sichere Website, die u.a. folgende Merkmale aufweist:

    • Datenschutzerklärung inklusive Mindestangaben zu:

      • Kontaktdaten der Verantwortlichen und ggf. Datenschutzbeauftragten des Vereins;
      • Information über die Art der Verarbeitung personenbezogener Daten,
      • Information über alle Analyse-Tools und Social Media Kanäle, die der Verein einsetzt,
      • Rechte der Betroffenen etc.

    • Kontaktformulare müssen Einwilligungen erhalten, wenn möglich mit Links zu den Datenschutzbestimmungen, damit Betroffene vor Versand des Kontaktformulars erfährt, was mit ihren Daten passiert. Auch sollte eine E-Mail-Adresse oder eine Stelle für einen Widerspruch gegen die Verarbeitung personenbezogenen Daten benannt werden.
    • Einholung einer Einwilligung vor der Veröffentlichung von Fotos auf der Website.
    • Die Veröffentlichung der Satzung des Vereins auf der Website ist zu empfehlen.

  3. Sicherstellung der datenschutzkonformen Verarbeitung von personenbezogenen Daten im Vereine, z.B. sichere Passwörter, aktuelle Betriebssysteme, regelmäßige Datensicherung, Schutz der PCs vor unbefugten Zugriffen, Einsatz von Verschlüsselungstechniken etc.

II. Welche „Informationspflichten“ hat ein Verein und wie sehen diese aus?

  1. Der Verein muss alle Betroffenen (Mitglieder, Interessenten, Besucher von Veranstaltungen etc.) darüber informieren,

    • welche Daten zu welchem Zweck verarbeitet werden,
    • wie lange diese gespeichert werden,
    • wer der Empfänger dieser Daten ist und
    • wann diese gelöscht werden.

  2. Ferner muss darüber informiert werden, welche Rechte dem Betroffenen zustehen:

    • Recht auf Auskunft,
    • Recht auf Widerruf gegen die Verarbeitung,
    • Recht auf Löschung / Sperrung oder Berichtigung,
    • Recht zur Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde (abhängig vom Bundesland , in dem der Verein seinen Sitz hat),
    • Recht auf Information, wer die Daten erhält bzw. an wen diese übermittelt werden.

Diese Informationen können z.B. in den Datenschutzhinweisen auf der Website erfolgen und / oder in  Anlagen zu den Anmeldeformularen bzw. Einladung zu Veranstaltungen etc.

III. Wie muss ein Verein vorgehen, wenn Betroffene (Mitglieder, Interessenten, Teilnehmer an Veranstaltungen etc.) von ihrem „Auskunftsrecht“ Gebrauch machen und wissen möchten, was über sie gespeichert ist.

  1. Wichtig ist, dass Sie die Betroffenen identifizieren können und sich nicht unbefugte Dritte Information erschleichen!
  2. Es können mehrere Möglichkeiten in Betracht kommen, u. a.

    • Betroffene bitten um Auskunft, ob Daten über sie gespeichert sind.
      - Hier reicht eine Information, die auf ja oder nein lautet, oder
    • Betroffene bitten um Auskunft, welche Daten über sie gespeichert sind.


In diesem Fall ist es notwendig, dass Betroffene über alle personenbezogenen Daten informieren, die der Verein gespeichert hat.

Die SEWOBE Vereins Software hält hierfür ein Stammdatenblatt bereit, das Auskunftssuchenden zur Verfügung gestellt werden kann.

Eine Definition zu personenbezogenen Daten findet sich unter dem Link

https://www.sewobe.de/datenschutz/begriffsbestimmung/

Nach Auffassung der  Bayerischen Landesdatenaufsicht bezieht sich der Auskunftsanspruch auf personenbezogene Daten nicht auf Kopien von Unterlagen, Akten etc.

WICHTIG: Die Auskunft ist innerhalb eines Monats zu erteilen!

IV. Wann muss ein Verein einen „Vertrag zur Auftragsverarbeitung“ (AVV) schließen, wann ist eine „Verpflichtung auf Vertraulichkeit“ ausreichend?

U.a. beim Einsatz von Online-Software bzw. einer  Online-Mitgliederverwaltung ist ein AVV notwendig, d.h. es ist z.B. mit dem Anbieter von Online-Software ein Vertrag zur Auftragsverarbeitung (AVV) dringend erforderlich, da dieser Zugriff auf personenbezogene Daten des Vereins hat, z.B. bei Support-Maßnahmen oder in einer TeamViewer Sitzung. Die Möglichkeit des Zugriffs reicht aus, auch wenn kein Support in Anspruch genommen wird. 
Mit dem Steuerberater beispielsweise ist jedoch kein AVV nötig, da dieser bereits auf das Berufsgeheimnis verpflichtet ist.

Mit Dienstleistern bzw. Reinigungspersonal oder sonstigen Personen, die im Rahmen ihrer Tätigkeit Geheimnisse des Vereins erfahren könnten, sollte eine Vertraulichkeitsverpflichtung geschlossen werden

HINWEIS: Die SEWOBE hat bereits im April 2018 einen bereits unterschriebenen Vertrag zur Auftragsverarbeitung an alle Vereins- und Verbandskunden gesendet. Sofern noch nicht geschehen, sollte der Vertrag dringend gegengezeichnet und im SEWOBE Serviceportal hochgeladen werden. Erste Bußgelder wurden bereits aufgrund fehlender Verträge zur Auftragsverarbeitung verhängt.

V. Wann darf ein Verein mit Mitgliedern, Interessenten etc. per E-Mail kommunizieren bzw.  Newsletter an diese versenden?

  1. Die Mitgliederinformation kann nur digital erfolgen, wenn die Vereinssatzung eine digitale Kommunikation vorsieht oder eine Einwilligung der Vereinsmitglieder hierfür vorliegt.
  2. Interessenten, die sich per E-Mail für eine Veranstaltung angemeldet haben,  dürfen nur im Zusammenhang mit dieser Veranstaltung per E-Mail kontaktiert werden. Es gilt das sogenannte Kopplungsverbot, d.h. dass weitere E-Mails und Newsletter, die nichts mit der gebuchten Veranstaltung zu tun hatten, nicht versendet werden dürfen – es sei denn, es liegt eine Einwilligung zum Empfang von E-Mails / Newsletter etc. vor. Diese könnte wie folgt aussehen:

Ja, ich möchte per E-Mail weiterhin über Veranstaltungen informiert werden. Die Datenschutzbestimmungen [Link oder Hinterlegung der Datenschutzerklärung] habe ich gelesen und akzeptiert. Diese Einwilligung kann ich jederzeit widerrufen [Angabe der E-Mail-Adresse zum Widerruf].

Der Newsletter ist nach dem derzeitigen Kenntnisstand gefertigt und erhebt nicht den Anspruch auf Vollständigkeit. Es können sich erweiterte Anforderungen aus dem Vereinszweck ergeben, die weitere Datenschutzmaßnahmen zur Folge haben können. Auch können neue Urteile zur DSGVO zu abweichenden Auffassungen führen.