5. März 2019
Update: 1. August 2024
Inhaltsverzeichnis:
- Rechtsgrundlage
- Einwilligung
- Informationspflicht
- Datenschutzbeauftragter
- Verarbeitungsverzeichnis
- Kommunikation
- Auftragsverarbeitung
- Datensicherung
Datenschutz für Vereine und Stiftungen
Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung (DSGVO) in Deutschland und allen anderen Mitgliedsstaaten der Europäischen Union geltendes Recht. Dieses Recht gilt auch für Vereine und Stiftungen. Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere Name, Adresse. Kontoverbindung, IP-Adressen und auch Fotos. Besonders sensibel sind vor allem Gesundheitsdaten, Daten zum Migrationshintergrund, zu politischen, religiösen und weltanschaulichen Überzeugungen, zur Gewerkschaftsangehörigkeit, zur sexuellen Orientierung sowie genetische und biometrische Daten zu behandeln.
1. Rechtsgrundlage
Um personenbezogene Daten verarbeiten zu dürfen, bedarf es einer Rechtsgrundlage. Diese lassen sich Art. 6 Abs. 1 DSGVO entnehmen. Die wichtigsten Rechtsgrundlagen bestehen in der Erfüllung eines Vertrags, einem berechtigten Interesse oder schlichtweg der Einwilligung der betroffenen Person. Es ist also gerade nicht grundsätzliche eine Einwilligung der Personen, deren Daten verarbeitet werden soll, erforderlich, sie stellt nur eine von mehreren möglichen Grundlagen für ein Recht dar, Daten zu verarbeiten. Lediglich bei besonders sensiblen Daten iSd. Art. 9 DSGVO muss immer eine Einwilligung der betroffenen Person eingeholt werden.
2. Einwilligung
Diese Einwilligung muss so erfolgen, dass diese im Zweifel bewiesen kann. Daher ist es ratsam, die Einwilligung immer schriftlich zu formulieren und von der betroffenen Person im Original unterzeichnen zu lassen. Auch bei alten Mitgliedern eines Vereins oder betroffenen Personen innerhalb einer Stiftung muss die Einwilligung nun nachgeholt werden, wenn diese nicht bereits eine solche abgegeben haben. Das gilt auch, wenn weitere Daten von bereits bestehenden Mitgliedern erfasst werden, die von der alten Einwilligung noch nicht umfasst sind, Art. 7 DSGVO. Die Einwilligung muss von jeder Person einzeln abgegeben werden. Ein allgemeiner Beschluss in der Mitgliederversammlung beispielsweise genügt nicht. Jedem Einwilligenden muss zum Zeitpunkt der Einwilligung außerdem die Möglichkeit des jederzeitigen Widerrufs dieser Einwilligung aufgezeigt werden. Der Widerruf muss genauso einfach erfolgen können wie die Einwilligung selbst, Art. 3 Abs. 3 S. 3 DSGVO. Das bedeutet, dass wenn die Einwilligung mittels eines Klicks beispielsweise auf der Website erfolgen kann, der Widerruf ebenfalls mit nur einem Klick auf der Website möglich sein muss.
3. Informationspflicht
Spätestens zum Zeitpunkt der Datenerhebung (z.B. in einem Mitgliedseintrag) müssen alle Informationen gemäß des Katalogs in Art. 13 DSGVO mitgeteilt werden. In diesem Zuge empfiehlt es sich, ein Informationsschreiben zu verfassen, das den betroffenen Personen ausgehändigt wird. Es ist gerade nicht ausreichend, diese Informationen auszuhängen oder auf der Homepage zu veröffentlichen. Der betroffenen Person müssen diese Informationen, insbesondere diejenigen über ihre Rechte, so gereicht werden, wie man mit ihr kommuniziert. Im Gegensatz zur Einwilligung muss die Informationspflicht nicht für bereits erfolgte Datenerhebungen nachgeholt werden.
4. Datenschutzbeauftragter
Sobald der Verein oder die Stiftung mehr als zehn Personen beschäftigt, die sich ständig (regelmäßig) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder der Verein / die Stiftung Verarbeitungen vornimmt, die einer Datenschutzfolgeabschätzung gem. Art. 35 DSGVO unterliegen (z.B. umfangreiche Verarbeitung von Gesundheitsdaten, Videoüberwachung etc.) muss ein Datenschutzbeauftragterbenannt werden. Die Benennung ist auch notwendig, wenn die Kerntätigkeit des Verantwortlichen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Es ist dabei nicht relevant, ob die Personen beim Verein beschäftigt oder ehrenamtlich tätig sind.
Der Datenschutzbeauftragte muss sachkundig sein. Dabei genügt es, dass der zu ernennende Beauftragte eine drei- bis fünftätige Schulung besucht und sich weiter um Datenschutz fortbildet.
Eine Haftung nach außen bei Datenschutzverstößen kommt für den Datenschutzbeauftragten nicht in Betracht, lediglich vereinsintern kann es gegebenenfalls zu Ansprüchen des Vereins gegen den Datenschutzbeauftragten kommen.
Wird beziehungsweise muss ein Datenschutzbeauftragter bestellt werden, muss dieser bei der Aufsichtsbehörde angezeigt werden (Landesbeauftragten für Datenschutz des jeweiligen Bundeslandes).
5. Verarbeitungsverzeichnis
In jedem Verein und jeder Stiftung, in der die Verarbeitung personenbezogener Daten nicht nur gelegentlich, sondern regelmäßig erfolgt (z.B. Aktualisierung der Mitgliederliste, Einzug von Mitgliedsbeiträgen etc.) muss ein Verzeichnis der Verarbeitungstätigkeiten zu führen.
6. Kommunikation
Jede Website, auch die eines noch so kleinen Vereins oder eine noch so kleinen Stiftung benötigt ein Sicherheitszertifikat zur Verschlüsselung.
Persönliche Daten dürfen auf der Website nur veröffentlicht werden, wenn diesbezüglich eine Einwilligung der betroffenen Personen vorliegt oder die Veröffentlichung im berechtigten Interesse des Vereins/der Stiftung liegt, vgl. Art. 6 Abs. 1 lit. f DSGVO. Hier muss allerdings sehr genau abgewogen werden, ob die Veröffentlichung wirklich wichtig für die Öffentlichkeitsarbeit ist oder ob das Interesse der betroffenen Person an der informationellen Selbstbestimmung und das Persönlichkeitsrecht überwiegen. Besonders sensible Daten iSd Art. 9 DSGVO sind hier besonders mit Vorsicht zu genießen. Bei solchen sollte grundsätzlich vorher eine Einwilligung der betroffenen Person eingeholt werden. Das gilt sowohl für Veröffentlichungen auf der Website als auch auf sämtlichen Social-Media-Kanälen. Außerdem müssen im Zweifel auch Einwilligungen der Personen eingeholt werden, die bereits auf der Website abgebildet sind!
Für den Versand von Vereinsinformationen per E-Mail sollte bei dem Ausfüllen des Mitgliedsantrag eine entsprechende Zustimmungserklärung mit eingebaut werden.
7. Auftragsverarbeitung
Von Auftragsverarbeitung ist die Rede, wenn externe Dienstleister mit verschiedenen Aufgaben wie Lohnabrechnung, IT-Wartung u. Ä. beauftragt werden und so mit personenbezogenen Daten des Vereins/der Stiftung umgehen und Einblick in diese haben. Von einer Auftragsverarbeitung ist auch die Rede, wenn Daten auf einem Datenbankserver gespeichert werden, der von einem externen Dienstleister bereitgestellt wird. Verträge über eine Auftragsverarbeitung bedürfen ausnahmslos der Schriftform.
8. Datensicherung
Weiter sind geeignete technische und organisatorische Maßnahmen zur Sicherstellung der DSGVO-konformen (Art. 24 Abs. 1 DSGVO) Datenverarbeitung zu treffen. Dazu gehören insbesondere die in Art. 32 Abs. 1 DSGVO genannten Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Außerdem sollten alle Mitarbeiter, die sich ständig mit der Datenverarbeitung beschäftigen, eine Verpflichtungserklärung unterschreiben, die die Verpflichtung der Einhaltung der Datenschutzgrundsätze beinhaltet.