Privacy Top 20 Ratgeber

FAQ: Datenschutz im Verein – Darauf müssen Sie achten

Gemeinsam Zeit verbringen, zusammen einer Leidenschaft frönen, in der Gruppe den Schweinehund überwinden – Vereine sind eine gute Sache. Dank ihnen treffen sich Menschen, die sich sonst wohl niemals begegnet wären. Besonders schön ist es, wenn ein Hobby die unterschiedlichsten Personen in einer Sache zusammenführt.

Was jedoch viele nicht berücksichtigen, ist der bürokratische Aufwand im Hintergrund. Und dieser wird aktuell maßgeblich von der neuen Datenschutz-Grundverordnung beeinflusst, die ebenfalls für Vereine gilt.

In diesem Zusammenhang stellen sich Fragen wie:

  • Dürfen Sie auch weiterhin Mitgliederlisten verschicken?
  • Wir wirkt sich die DSGVO auf Mitgliedschaftsanträge aus?
  • Was gilt es bezüglich personenbezogener Daten zu beachten?
  • Gibt es gesetzliche Änderungen, wenn Sie Beiträge und Spenden verwalten bzw. Ehrenämtern eine Aufwandsentschädigung zahlen?
  • Benötigen Sie eine Einwilligung, wenn Sie Mitgliederfotos auf der Webseite veröffentlichen?

Wir haben für Sie die wichtigsten Fakten zum Thema Datenschutz im Verein zusammengetragen.

Was sind personenbezogene Daten?

Folgende Mitgliederdaten verlangen laut DSGVO erhöhte Datensicherheit:

  • Name
  • Geburtsdatum und Alter
  • Anschrift und Telefonnummer
  • E-Mail-Adresse
  • Sozialversicherungsnummern
  • Bankdaten
  • Physische Merkmale
Copyright iStock Photo

Die Frage aller Fragen: Betrifft Sie die DSGVO überhaupt?

Kurz und knapp: Ja. Vom Datenschutz sind Vereine nicht ausgenommen, sofern sie personenbezogene Daten verarbeiten. Dies ist im Grunde regelmäßig der Fall, sobald Interessenten bei Ihnen einen Mitgliedsantrag ausfüllen oder einen -beitrag entrichten müssen.

Wenn Sie sich unsicher sind, wie Sie die DSGVO umsetzen müssen, sollten Sie die Beratungsangebote der Länder in Anspruch nehmen. Empfehlenswert wären ebenfalls Rundum-Sorglos-Programme wie zum Beispiel ein Datenschutz-Kit. Mit diesem erhalten Sie Unterstützung bei Mitgliedsanträgen oder Datenschutzerklärungen in (gemeinnützigen) Vereinen sowie DSGVO-Muster und Checklisten, um alle anfallenden Aufgaben problemlos bewältigen zu können.

Benötigen Sie einen Datenschutzbeauftragten für Ihren Verein?

Sofern Ihr Verein mehr als neun Mitglieder zählt, die personenbezogene Daten verarbeiten, sind Sie dazu verpflichtet, entweder einen internen oder einen externen Datenschutzbeauftragten für Ihren Verein zu bestimmen. Dazu zählt im Übrigen auch der Trainer eines Sportvereins, sofern er regelmäßig auf Informationen der Mitglieder zugreift. Das ist zum Beispiel dann der Fall, wenn er Mitgliedern E-Mails oder Whatsapp-Nachrichten schreibt, die direkt mit dem Verein zu tun haben. Sofern Sie sich für einen internen Experten entscheiden, achten Sie bitte darauf, dass dieser ausreichend geschult wurde. Dafür gibt es unter anderem entsprechende eLearnings über Datenschutz bzw. spezielle Schulungen. Informieren Sie sich darüber entweder auf unserer Vergleichsplattform oder bei öffentlichen Stellen Ihrer Stadt. Vergessen Sie aber bitte nicht, dass Sie den Datenschutzbeauftragten Ihres Vereins bei Ihrer zuständigen Aufsichtsbehörde melden müssen.

Inwiefern dürfen Sie personenbezogene Daten verarbeiten?

Eine Nutzung der Informationen bleibt im Vereinsalltag nicht aus. Im Grunde arbeiten Sie permanent mit personenbezogenen Daten:

  • Mitgliedsbeiträge
  • Mitgliedslisten
  • Anmeldung für sportliche Wettkämpfe
  • Einladungen für Mitgliederversammlungen
  • etc.

Doch wie verhält es sich beispielsweise mit Ihrer Webseite beim Thema Datenschutz? Viele Vereine haben eine eigene Homepage, auf der sie ihre Mitglieder vorstellen, die Organisation bewerben und über ihren Alltag berichten. Egal, ob es sich hierbei um neuen oder bereits bestehenden Content handelt: Sie sind dazu verpflichtet, Ihren Mitgliedern eine Einwilligungserklärung darüber auszustellen und diese unterschreiben zu lassen. Im Zuge der neuen Datenschutz-Richtlinien muss der Verein deutlich machen, in welchem Rahmen personenbezogene Daten der Öffentlichkeit zugänglich gemacht werden. Den Adressaten muss im Vorfeld klar sein, was sie unterschreiben.

Aber wann dürfen Sie Informationen sammeln?

Sofern es sich um den reinen Selbstzweck handelt, stellt es keinerlei Probleme dar, Informationen zu sammeln. Das betrifft zum Beispiel die bereits genannten Mitgliedsbeiträge, denen der Abschluss eines Vertrags vorausgeht. Für alles, was darüber hinaus geht (unter anderem Werbung), benötigen Sie die schriftliche Einwilligung.

Wann dürfen Sie personenbezogene Daten übermitteln?

Teilweise sind Sie sogar dazu verpflichtet. Dies betrifft Sie, wenn Sie regelmäßig Berichte an Ihren Dachverband schicken müssen. Auch bei einer polizeilichen Untersuchung dürfen bzw. müssen Sie den Datenschutz vernachlässigen und Vereinsdaten herausgeben. Aber nur, wenn ein begründeter Verdacht besteht. In allen anderen Fällen sind Sie dazu verpflichtet, die Privatsphäre Ihrer Mitglieder zu wahren.

Manchmal erfolgen jedoch interne Fragen nach bestimmten Informationen, zum Beispiel wenn ein Mitglied sich mit einem anderen in Verbindung setzen will. Dann sind Sie gefragt. Sie dürfen selbst entscheiden, ob Sie bereit sind, die gewünschten Informationen auszutauschen oder nicht.

Aus dem Verfahrensverzeichnis wird das Verarbeitungsverzeichnis

Sie waren bereits vor Mai 2018 dazu verpflichtet, ein Verfahrensverzeichnis zu führen. Im Grunde wird dieses jetzt nur umbenannt. Die neue Datenschutz-Grundverordnung gibt auch weiterhin vor, dass Sie als Verein alle Ereignisse auflisten müssen, bei denen Sie personenbezogene Daten verarbeitet haben. Diese sollten Sie detailliert beschreiben und auf Verlangen vorweisen können.

Vereine und Fotos – Jedes Ereignis wird dokumentiert

Noch vor einiger Zeit hatte niemand ein Datenschutz-Problem damit, dass Vereinsfotos auf der eigenen Webseite oder generell im Internet veröffentlicht werden. Doch die DSGVO zwingt nicht nur Vereine dazu, ihr Handeln zu überdenken. Die Mitglieder müssen sich nun ebenfalls mit dem Thema befassen. Schließlich werden immer öfter Schnappschüsse von Vereinsereignissen im Internet geteilt. Doch worauf müssen Sie zukünftig achten?

Benötigen Sie eine Einwilligung, um Mannschaftsfotos zu veröffentlichen?

Erfolge wollen gefeiert werden. Gerade bei sportlichen Ereignissen ist es schön, ein gemeinsames Erinnerungsfoto der Siegermannschaft zu machen. Ihr Interesse liegt in diesem Fall darin, das Vereinsgeschehen zu dokumentieren. In diesem Fall benötigen Sie laut Art. 6 Abs. 1 Satz 1 lit. f keine Einwilligung der abgebildeten Mitglieder – sofern es sich dabei ausschließlich um erwachsene Personen handelt. Lichten Sie hingegen Kinder und Jugendliche unter 18 Jahren ab, benötigen Sie eine schriftliche Einwilligung des jeweiligen Erziehungsberechtigten.

Das bedeutet jedoch nicht, dass Sie von Ihrer Informationspflicht befreit sind. Der Datenschutz in Vereinen sieht dennoch vor, dass Sie Ihre Mitglieder über die Veröffentlichung von Fotos in Kenntnis setzen müssen. Dazu zählt ebenfalls, dass Sie den Ort mitteilen müssen – Zeitung, Homepage, Blog, etc. Bedenken Sie außerdem, dass jede abgelichtete Person die Zustimmung jederzeit widerrufen kann. Auf diese Möglichkeit müssen Sie explizit hinweisen.

Datenschutz für Vereine betrifft auch die technische und organisatorische Umsetzung

Sie müssen gewährleisten, dass alle gesammelten personenbezogenen Daten sicher aufbewahrt werden, sodass kein Zugriff unbefugter Dritter erfolgen kann. Das bezieht sich allerdings nicht nur auf diejenigen Informationen, welche Sie in einer Cloud oder auf einer Festplatte gespeichert haben. Davon betroffen sind ebenfalls Inhalte beim E-Mail-Verkehr.

Eine Maßnahme des Datenschutzes wäre zum Beispiel die Verschlüsselung der Vereinsdaten. Sie sind zudem verpflichtet, regelmäßig zu prüfen, dass keine Sicherheitslücken entstehen. Wir empfehlen Ihnen zudem einen eingeschränkten Zugriff Ihrer Mitglieder auf die personenbezogenen Daten. So sollten allein der Kassenwart und dessen Stellvertretung Zugriff auf die Bankdaten der Vereinsmitglieder haben.

Schließen Sie Auftragsverarbeitungsverträge ab

Das Thema Cloud wurde bereits erwähnt. In diesem Fall geben Sie alle Informationen an Dritte ab. Sie lassen die Daten demnach extern verarbeiten. Nach Art. 28 Abs. 3 DSGVO müssen Sie einen Auftragsverarbeitungsvertrag abschließen – aus datenschutzrechtlichen Gründen zwischen dem Verein und dem Dienstleister/Anbieter/Hersteller. Das betrifft Sie übrigens auch dann, wenn Sie für die Buchhaltung eine entsprechende Software nutzen.