(Reit-)Verein

Datenschutz und Datensicherheit z. B. im Reitverein

Der Reitverein steht exemplarisch für alle Breitensportvereine

1.) Rechtsgrundlage der Datenverarbeitung:

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Für Vereine bietet sich hierfür besonders Art. 6 Abs. 1 lit. b der Datenschutz-Grundverordnung (DS-GVO) an. Dort steht, dass die Datenverarbeitung rechtmäßig ist, wenn sie der „Erfüllung eines Vertrags“ dient. Eine Vereinsmitgliedschaft ist als Vertragsverhältnis anzusehen, weshalb alle Datenverarbeitungen zulässig sind, die unmittelbar mit dem Vereinszielen zusammenhängen. Diese Ziele sollten möglichst detailliert und konkret in der Satzung beschrieben werden.

Die eigentlichen Datenverarbeitungen des Vereins können in einer gesonderten Anlage zur Satzung beschrieben werden, die z.B. als „Datenschutzordnung“ bezeichnet werden kann. Die Vereinssatzung sollte auf diese Datenschutzordnung Bezug nehmen.

Vorteil: Die Verwendung einer gesonderten Datenschutzordnung ist deutlich einfacher als die Änderung oder Ergänzung der Vereinssatzung.

In der Datenschutzordnung sollten die konkreten Datenverarbeitungsabläufe beschrieben werden. Sie darf jedoch nur Datenverarbeitungszwecke enthalten, die vom Vereinsziel umfasst sind. Für Verarbeitungen, die sich nicht aus dem Vereinsziel ergeben, benötigen Sie gesonderte Rechtsgrundlagen (z.B. eine Einwilligung).

Wir empfehlen, in die Datenschutzordnung folgende Inhalte aufzunehmen:

Datenkategorien, die im Rahmen der Vereinsziele verarbeitet werden, z. B. Name, Adresse, Geburtsdatum, Telefon, E-Mail-Adresse

Darstellung der damit verbundenen konkreten einzelnen Zwecke und Abläufe, insbesondere:

Mitgliederverwaltung (einschließlich Beitragsverwaltung)
Vereinsprotokolle und Ort der Veröffentlichung
Mitgliederlisten und -einsichtnahmen im Zusammenhang mit Mitgliederversammlungen (z.B. für die Mindestzahl bei Abstimmungen)
Wettbewerbe
- im Vorfeld: z. B. für Teilnahmelisten
- im Nachgang: z. B. für Veröffentlichung von Ranglisten, Aufstellungen, Ergebnissen (Informationen darüber, wo und wie lange veröffentlicht wird.)
Anschreiben (z.B. Einladung zur Mitgliederversammlung)
welcher Funktionsträger Zugang zu welchen Daten hat
- zu welchem konkreten Zweck
bei großen Vereinen: welche Abteilung Zugang zu welchen Daten hat
- zu welchem konkreten Zweck
Erreichbarkeit von Funktionsträgern
- Weitergabe von Daten der Funktionsträger an die Mitglieder
- Darstellung von Daten der Funktionsträger z.B. auf der Website des Vereins

Übermittlung von Daten:
Zu welchem Zweck welche Mitgliederdaten von wem an wen übermittelt werden dürfen und welche Verarbeitung beim Empfänger erfolgen darf. z.B.
- an Vereinsmitglieder
- an Dritte
- an den Dachverband
  - welche Daten; zu welchen Zwecken
  - es sollte auch hier jeweils ein Bezug zum Vereinszweck bestehen; d.h. zunächst ist der Dachverband wie ein Dritter zu behandeln; die Daten „gehören“ nicht automatisch dem Dachverband, sondern eine Übermittlung muss auf einem konkreten Zweck beruhen, der mit dem Vereinsziel in Zusammenhang steht. Die Übermittlung muss zur Erfüllung des Zwecks erforderlich sein.
- an Versicherungen zum Abschluss von Versicherungsverträgen zugunsten des Vereins bzw. der Mitglieder
- ob die Mitgliederliste untereinander allen Mitgliedern zur Verfügung gestellt wird
  - Die Erforderlichkeit muss begründbar sein, d.h., es muss ein Bezug zum Vereinszweck bestehen, insbesondere wenn das Ziel des Vereins ist, dass die Mitglieder untereinander in Kontakt treten (z.B. bei Ehemaligen-Verein; aber nicht automatisch bei Sportverein)
  - wenn ja: konkrete Benennung dieser Daten und zu welchen Zweck; ggf. auch nur aus konkretem Anlass (z.B. Teilnehmer/- innen eines Wettbewerbs zur gemeinsamen Anreise)
Speicherdauer / Löschkonzept
insbesondere: wie lange Speicherung nach Austritt

Außerdem sollte die Datenschutzordnung eine Auflistung der Betroffenenrechte enthalten:

Beschwerde bei der Aufsichtsbehörde (Art. 13 Abs. 2 lit d DS-GVO)
Berichtigung (Art. 16 DS-GVO)
Einschränkung der Verarbeitung (Art. 18 DS-GVO)
Datenübertragbarkeit (Art. 20 DS-GVO)
Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO)
Löschung (Art. 17 DS-GVO)
Auskunft (Art. 15 DS-GVO).

je nach Vereinszweck können folgende Zwecke hinzukommen:

Vereinsdokumentationen (z.B. Jahrbücher)
Presse- und sonstige Öffentlichkeitsarbeit
Veröffentlichung im Rahmen von Jubiläen/Gratulationen/Ehrungen

Rechtsgrundlagen für sonstige Zwecke:

Beabsichtigt der Verein Datenerarbeitungen durchzuführen, die über die in der Satzung festgehaltenen Ziele hinausgehen, benötigt er dafür eine gesonderte Rechtsgrundlage. In Betracht kommen dafür:

a) Einwilligungen

Zum Beispiel für die Datenverwendung:

für Kooperationen mit Fitnessstudios / Rabattaktionen von Versicherungen
durch Sponsoren
für sonstige Werbung durch Dritte

durch Mitglieder zu deren eigenen Zwecken

Einwilligungen müssen transparent erfolgen, d.h.

in leicht zugänglicher Form
in verständlicher Form
optisch von anderem Text unterscheidbar

mit Hinweis auf Widerspruchsrecht

Wichtig: Nach Widerspruch dürfen die Daten zu diesem Zweck nicht mehr verwendet werden.
Aus Gründen der Rechtssicherheit sollte ein Verein Datenverarbeitungen, die in zwingendem Zusammenhang mit dem Vereinsziel stehen, in der Datenschutzordnung abbilden und eben nicht über Einwilligungen regeln. Denn Einwilligungen sind jederzeit für die Zukunft widerrufbar.

b) Interessenabwägung gemäß Art 6 Abs. 1 lit. f DS-GVO (z. B. bei Daten von Gästen)

Hierfür muss der Verein darlegen, dass die Datenverarbeitung zur Wahrung seiner berechtigten Interessen erforderlich ist. Voraussetzung ist allerdings, dass nicht die Interessen der betroffenen Personen überwiegen.

2.) Informationspflichten (Art. 12 ff. DS-GVO)

Vereine müssen ihre Mitglieder/Kunden/Nutzer/Beschäftigten umfassend gemäß Art. 13 und 14 DS-GVO über die Verarbeitung personenbezogener Daten informieren.

Das gilt besonders für neue Datenverarbeitungen bei Bestandsmitgliedern und für die Aufnahme von neuen Mitgliedern.

3.) Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO)

Da in einem Verein in der Regel für die Mitgliederverwaltung und Beitragsabrechnung regelmäßig personenbezogene Daten verarbeitet werden, muss ein Verzeichnis der Verarbeitungstätigkeiten (VVT) geführt werden. Das war auch vor Geltung der DS-GVO schon vorgeschrieben, sodass Sie vermutlich nur das bisherige Verfahrensverzeichnis anpassen müssen.

4.) Datenschutzbeauftragte

Ob ein Verein einen Datenschutzbeauftragten (DSB) bestellen muss, hängt von verschiedenen Fragen ab. Ein DSB ist etwa dann nötig, wenn

wenn mindestens zehn (zukünftig zwanzig) Personen des Vereins ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder
die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO besteht (z. B. die Verarbeitung von Gesundheitsdaten in Selbsthilfegruppen)

Zudem müssen Sie die Kontaktdaten der/des Datenschutzbeauftragten veröffentlichen, z. B. auf Ihrer Internetseite.

5.) Gestaltung von Webseiten

Die Datenschutzgrundverordnung ist stets anzuwenden, wenn personenbezogene Daten verarbeitet werden. Da dazu bereits die IP-Adresse zählt, sind erst einmal alle Websites betroffen und damit auch ein Großteil der Vereine.

6.) Auftragsverarbeitung (Art. 28 DS-GVO)

Wie schon nach alter Rechtslage, so besteht auch unter der DS-GVO eine Sonderregelung für Verarbeitungen von personenbezogenen Daten durch Beauftragung eines anderen. Bestehende Verträge können fortgelten, sofern sie den Anforderungen der DS-GVO entsprechen, andernfalls müssen sie angepasst werden. Eine Auftragsverarbeitung liegt aber nicht nur vor, wenn ein Verein seine personenbezogenen Daten an jemand von außerhalb abgibt, sondern auch, wenn z.B. er seine Rechner durch einen externen Dienstleister (IT-Firma) warten lässt und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

7.) Meldung von Datenpannen (Art. 33f. DS-GVO)

Von Datenpannen spricht man dann, wenn es zu einer „Verletzung des Schutzes personenbezogener Daten“ kommt. Eine solche Verletzung liegt vor, wenn Daten – egal ob unbeabsichtigt oder unrechtmäßig – vernichtet, verloren oder verändert werden oder wenn sie unbefugt offengelegt bzw. zugänglich gemacht werden.

In der Praxis kommt es auf vielfältigste Weise zu Datenpannen, z.B. durch einen Hacker- Angriff, weil der USB-Stick des Kassenwarts mit den Mitgliederdaten verloren gegangen ist oder aufgrund eines Einbruchs in die Geschäftsstelle.

Einen solchen Datenschutzverstoß müssen Sie der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme melden. Entscheidend ist, dass der Verstoß unverzüglich gemeldet wird. Wenn die Informationen nicht alle zur gleichen Zeit bereitgestellt werden können, können Sie diese ohne unangemessene weitere Verzögerung schrittweise nachmelden.

Wenn die Datenpanne voraussichtlich zu keinem oder nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt, müssen Sie sie nicht melden. In Zweifelsfällen können Sie auch zunächst eine telefonische Beratung in Anspruch nehmen.

8.) Betroffenenrechte (Art. 15ff. DS-GVO)

Die Rechte der von einer Datenverarbeitung betroffenen Personen auf Auskunft, Berichtigung, Löschung und Widerspruch sind umfangreicher geworden. Neu hinzugekommen ist das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO). Im Vereinsleben dürften hauptsächlich folgende Rechte zum Tragen kommen:

Recht auf Auskunft:
Verlangt ein Mitglied zu erfahren, welche Daten von ihm gespeichert und/oder verarbeitet werden, müssen Sie ihm diese Informationen innerhalb eines Monats zukommen lassen. Die Auskunft können Sie schriftlich, elektronisch (ggf. verschlüsselt) oder – wenn es das Mitglied wünscht – auch mündlich erteilen. Stellen Sie in jedem Fall sicher, dass es sich bei der oder dem Anfragenden auch tatsächlich um die Person handelt, zu der Sie die Daten übermitteln.
Die Auskunft müssen Sie in der Regel kostenlos erteilen, es sei denn, sie ist mit einem erheblichen Aufwand verbunden.

Recht auf Löschung:
Daten müssen dann gelöscht werden, wenn sie nicht mehr benötigt werden, um einen bestimmten Zweck zu erreichen. Bei einem Verein ist das in der Regel bei Austritt eines Mitglieds der Fall. Sie müssen bestimmte Daten aber erst nach dem Ablauf gesetzlicher Aufbewahrungspflichten (z.B. der steuerlichen Aufbewahrungspflicht) löschen.

9.) Anfertigung und Veröffentlichung von Personenfotografien

Besonders große Verunsicherung hat sich nach Geltung der DS-GVO im Bereich der Foto- Veröffentlichung breit gemacht.

10.) Verpflichtung auf Vertraulichkeit

Beschäftigte und ehrenamtlich Tätige, die mit personenbezogenen Daten umgehen, müssen vom Verein bei Aufnahme ihrer Tätigkeit über datenschutzrechtliche Belange informiert werden. Sie müssen sich außerdem dazu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der Datenschutz- Grundverordnung zu erfolgen hat.

11.) Technisch-organisatorische Maßnahmen

Jeder Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um für Daten ein Schutzniveau zu gewährleisten, das dem Risiko der konkreten Verarbeitung angemessen ist. Sie sollten also stets auf aktuelle Betriebssysteme und Anwendungen zurückgreifen sowie regelmäßige Backups durchführen und aktuelle Virenscanner einsetzen. Ein effektiver Passwortschutz muss selbstverständlich sein.

Sprechen Sie uns an

Wir helfen Ihnen gerne zu allen Fragen des Datenschutzes weiter.

Kontakt aufnehmen

Leistungen

Ihre Ansprechpartner

Stephan Boettger

Geschäftsführung

Revisior und zertifizierter Datenschutzbeauftragter (DSC)
Dipl.-Wirtschaftsjurist (FH)

Telefon: 0511 – 22 00 13 – 0
s.boettger@zertifizierter-datenschutzbeauftragter.com

Jens-Uwe Beyrodt

Berater

Dipl.-Ing. (FH)
Datensicherheitsberater

Telefon: 0511 – 22 00 13 – 0
j.beyrodt@zertifizierter-datenschutzbeauftragter.com