Seit dem 25.05.18 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten dabei nicht nur für „Unternehmen“, sondern für alle natürlichen und juristischen Personen - also auch für Vereine. Die meisten der Vorschriften sind aber nicht neu, sondern schon bisher im BDSG erhalten.
Welche Daten müssen geschützt werden?
Beim Datenschutz geht es um personenbezogene Daten (z.B. Name, Geburtsdatum, Anschrift, Email-Adresse, Telefonnummer, Bankdaten usw.). In Vereinen betrifft das vor allem die Mitglieder, aber auch auf Spender*innen, Klient*innen, Kund*innen usw. Der Datenschutz bezieht sich hierbei auf das Erheben, Verarbeiten und Nutzen von Daten. Ob dies digital oder auf Papier erfolgt, spielt keine Rolle.
Erlaubnis
In vielen Fällen müssen die Betroffenen die Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Werden Daten im Rahmen einer vertraglichen Beziehung erhoben, ist dies nicht erforderlich. Bei Vereinen ist dies bei der Mitgliedschaft der Fall. Die für die Mitgliederverwaltung erforderlichen Daten dürfen also in jedem Fall verwendet werden. Sind die Daten für die Erfüllung einer rechtlichen Verpflichtung erforderlich, gilt das gleiche. Das gilt z.B. bei Spenden, da Spendenbescheinigungen 10 Jahre aufbewahrt werden müssen.
Zuständigkeit
In Vereinen ist der Vorstand für den Schutz personenbezogener Daten zuständig. Sind im Verein mehr als 9 Personen mit der Datenverarbeitung beschäftigt, muss ein*e Datenschutzbeauftragte*r durch den Vorstand bestellt werden. Diese*r darf kein Vorstandsmitglied sein. Er/sie muss die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen (Kenntnisse über den Verein, Grundkenntnisse im Datenschutzrecht).
Umgang mit Daten
Ein Verein darf die von ihm gesammelten Daten nur im Rahmen des BDSG oder einer anderen Rechtsvorschrift nutzen. Datenschutzbestimmungen können nicht per Satzung eingeschränkt werden. Das Erheben, Verarbeiten, Nutzen sowie Weitergeben personenbezogener Daten ist nur zulässig, wenn dies für die Erfüllung des Vereinszweckes erforderlich ist. Es ist sinnvoll, die Mitglieder schon beim Vereinseintritt darüber zu informieren, wie mit ihren Daten umgegangen wird und eine entsprechende Einverständniserklärung einzuholen.
Grundsätzlich darf ein Verein keine personenbezogenen Daten erheben, verarbeiten, nutzen oder weitergeben, wenn er nicht über eine Einwilligung verfügt oder eine entsprechende Rechtsgrundlag besteht. Eine solche Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Außerdem hat eine betroffene Person das Recht auf Auskunft darüber, in welchem Umfang Daten von ihm/ihr gespeichert sind. Hier besteht auch das Recht auf die unentgeltliche Überlassung einer Kopie der Daten. Wenn ein Mitglied feststellt, dass die gespeicherten Daten falsch sind, hat er/sie ein Recht auf Berichtigung. Hinzu kommt, dass jeder Verein eine Benachrichtigungspflicht hat, falls datenschutzrechtliche Verpflichtungen verletzt wurden. Dies ist z.B. der Fall, falls in die Räume des Vereins eingebrochen wurde und der Computer mit den Mitgliedsdaten gestohlen wurde.
Datenübertragbarkeit
Neu ist in der DSGVO das Recht auf Datenübertragbarkeit. Eine betroffene Person hat danach das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verein bereitgestellt hat, in einem gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf Datenübertragbarkeit beinhaltet, dass diese Daten z.B. einem anderen Verein übermittelt werden.
Verzeichnis der Verarbeitungstätigkeiten
Die DSGVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Das gilt auch für kleinere Vereine. Es muss folgende Punkte enthalten: Namen und Kontaktdaten des/der Verantwortlichen, Ansprechpartner*innen, Verarbeitungstätigkeiten (z.B. Mitgliederverwaltung), Kategorien der betroffenen Personen und der personenbezogenen Daten, Kategorien von Empfängern bei Weitergabe von Daten, Fristen für die Löschung der Daten.
Bußgeldvorschriften
Drastische Änderungen enthält die DSGVO bei der Höhe der Bußgelder. Im Extremfall können bis zu 40 Mio. EURO anfallen. Das soll eine abschreckende Wirkung haben. Bei Vereinen werden im Fall von Verstößen natürlich keine so extremen Beträge fällig, 4- bis 5-stellige Bußgelder sind aber denkbar.
weitere Infos findet ihr unter: