Datenschutz im Verein

In der digitalen Welt von heute ist Datenschutz unverzichtbar – und das gilt auch für Vereine. Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sind auch Vereine verpflichtet, sich an die Regeln zu halten. Andernfalls drohen hohe Bußgelder von bis zu 20 Millionen Euro.
Die DSGVO betrifft jeden Verein, ob groß oder klein. Hier sind einige wichtige Punkte, die Du beachten solltest:

• Einwilligung zur Datenverarbeitung muss schriftlich erfolgen
• Nur die notwendigsten personenbezogenen Daten sollten erhoben werden
• Alle Prozesse, die mit personbezogenen Daten zu tun haben, müssen überprüft werden

Ein Verein kann verschiedene Arten personenbezogener Daten verarbeiten, je nach seiner Tätigkeit und den Interaktionen mit Mitgliedern, Mitarbeitern und anderen Personen. Hier sind einige Beispiele:

• Mitgliederdaten: Dies umfasst häufig Informationen wie Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten, Geschlecht, Fotos und möglicherweise Bankverbindungsinformationen für Mitgliedsbeiträge.
• Mitarbeiterdaten: Wenn der Verein Mitarbeiter hat, kann er persönliche Daten wie Sozialversicherungsnummern, Gehaltsinformationen, Kontaktdaten, Leistungsbeurteilungen und andere arbeitsbezogene Informationen besitzen.
• Daten von Freiwilligen: Ähnlich wie bei Mitarbeitern können hier Informationen wie Namen, Kontaktdaten und Details zu ihrer Tätigkeit und ihrem Engagement im Verein gesammelt werden.
• Daten von Spendern: Bei Vereinen, die Spenden sammeln, können Informationen wie Namen, Adressen, Spendenbeträge und Zahlungsdetails gespeichert sein.
• Besucherdaten: Wenn der Verein Veranstaltungen durchführt oder Räumlichkeiten hat, die von Besuchern genutzt werden, können Daten wie Besucherlisten, Kontaktinformationen und Fotos/Videos von Veranstaltungen erfasst werden.
• Kommunikationsdaten: Dies kann E-Mail-Korrespondenz, Nachrichten in sozialen Medien, Kontaktformular-Einträge auf der Website und andere Formen der Kommunikation mit dem Verein umfassen.
   

Nach der DSGVO ist die Bestellung eines Datenschutzbeauftragten verpflichtend, wenn in einem Verein mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dies umfasst Tätigkeiten wie Erfassen, Speichern, Bearbeiten oder Übermitteln solcher Daten.

Interne vs. Externe Datenschutzbeauftragte im Verein

Ein Verein hat die Wahl, entweder einen internen Mitarbeiter als Datenschutzbeauftragten zu benennen oder einen externen Dienstleister für diese Rolle zu engagieren, wie z.B. heyData. Beide Optionen haben ihre Vor- und Nachteile. Während ein interner Beauftragter bereits mit den internen Prozessen und Strukturen des Vereins vertraut ist, bietet ein externer Datenschutzbeauftragter eine objektivere Sichtweise und spezialisiertes Know-How.

Qualifikationen und Weiterbildung

Unabhängig davon, ob der Datenschutzbeauftragte intern oder extern ist, muss er über Fachkenntnisse im Bereich Datenschutzrecht und -praktiken verfügen. Dies beinhaltet ein Verständnis der DSGVO sowie anderer relevanter Datenschutzbestimmungen. Zudem ist es essenziell, dass der Datenschutzbeauftragte sich kontinuierlich weiterbildet, um stets auf dem aktuellen Stand der Gesetzgebung und Technologie zu sein.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte hat mehrere Aufgaben, unter anderem:

• Berät den Verein in Sachen Datenschutz
• Schulung der Mitarbeiter in Datenschutzfragen
• Ist Ansprechpartner für die Aufsichtsbehörden
• Überprüft die Einhaltung der DSGVO im Verein

Es ist wichtig, die Rechte der Mitglieder im Kontext der DSGVO zu kennen und zu respektieren, nämlich:

• Das Recht auf Auskunft zu den eigenen Daten
• Das Recht auf Berichtigung und Löschung
• Das Recht auf Einschränkung der Verarbeitung
• Das Recht auf Datenübertragbarkeit
• Das Recht auf Widerspruch gegen die Verarbeitung
• Das Recht Beschwerde bei der Aufsichtsbehörde einzulegen.

Die DSGVO gilt für Vereine mit Mitgliedern, Freiwilligen, und/oder Spendern  in der Europäischen Union. Es ist wichtig zu verstehen, dass die DSGVO darauf abzielt, den Schutz personenbezogener Daten zu gewährleisten, unabhängig davon, ob diese von Unternehmen, Organisationen oder Verbänden verarbeitet werden.
 

Haftung und Schadenersatz

Bei Verstößen gegen die DSGVO kann ein Verein mit hohen Bußgeldern belangt werden. Die Höhe der Strafe kann bis zu 20 Millionen Euro betragen. Darüber hinaus können Schadensersatzansprüche entstehen, für die in einigen Fällen auch der Datenschutzbeauftragte haftbar gemacht werden kann.
Wenn eine Organisation gegen die Bestimmungen der DSGVO verstößt und eine Person infolge dieses Vorfalls einen materiellen oder immateriellen Schaden erleidet, greifen die Entschädingungsregelungen der DSGVO. Die Haftung für einen solchen Schaden liegt zunächst bei dem Verein oder einem Auftragsverarbeiter. Letzterer haftet jedoch nur, wenn er sich nicht an die regulären Weisungen des Verbandes gehalten hat oder im Rahmen seiner Tätigkeit seinen Verpflichtungen aus der DSGVO nicht nachgekommen ist.

Die Checkliste: einige Punkte, die man bei der Verarbeitung personenbezogener Daten immer beachten sollte

• Absicherung einer Rechtsgrundlage für die Verarbeitung personenbezogener
• Dokumentiere die Einhaltung der DSGVO
• Setze den Grundsatz der Datenminimierung um
• Gewährleiste die Umsetzung der Betroffenenrechte
• Informiere betroffene Personen über die Verarbeitung Ihrer Daten
• Stelle sicher, dass die Website DSGVO-konform gestaltet ist
• Schulung der Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen
   

Ein wichtiger Aspekt, der im Kontext der DSGVO nicht vernachlässigt werden sollte, sind die Beschwerden und Betroffenenanfragen. Seit der Einführung der DSGVO ist die Anzahl der Beschwerden gestiegen. Jede Person ist berechtigt, eine Beschwerde beim Landesdatenschutzbeauftragten einzureichen. Sobald eine solche Beschwerde eingeht, wird der Landesdatenschutzbeauftragte aktiv und nimmt eine Prüfung des Sachverhalts vor.

Betroffenenanfragen: Was ist zu tun?

Ein häufiger Grund für Beschwerden sind die nicht ordnungsgemäße Bearbeitung von Betroffenenanfragen. Vereine sind verpflichtet, Betroffenenanfragen unverzüglich, jedenfalls innerhalb eines Monats zubeantworten. Zu diesen Betroffenenanfragen gehören:

• Auskunftsanfrage mit Informationen über die gespeicherte Daten der betroffenen Person
• Löschanfrage
• Ausübung des Widerspruchs- oder Widerrufsrechts
• Berichtigungs- und Einschränkungsanfragen

Um den Prozess der Beantwortung von Betroffenenanfragen reibungslos zu gestalten, müssen klare innerhalb des Vereins etabliert werden. Es sollten klare Regelungen getroffen werden, um die zügige Beantwortung von Betroffenenanfragen sicherzustellen. Dies minimiert das Risiko von Beschwerden beim Landesdatenschutzbeauftragten und hält den Verein aus dem Fokus der Aufsichtsbehörden.
 

Es ist zu erwarten, dass die Kontrollen der Einhaltung der Datenschutzbestimmungen in Zukunft zunehmen werden. Es ist daher ratsam, proaktiv zu handeln und zu prüfen, ob die Prozesse lückenlos sind und ob die Mitarbeiter ausreichend geschult sind. Externe Dienstleister wie heyData können hier wertvolle Unterstützung bieten.
heyData bietet spezielle Pakete für Vereine an, die eine umfassende datenschutzrechtliche Betreuung bieten. Von der Erstellung der Datenschutzdokumentation über jährliche Audits bis hin zu Mitarbeiterschulungen decken wir alle Aspekte ab, um Ihren Verein GDPR-konform zu machen.

Fazit

Datenschutz ist mehr als nur eine gesetzliche Pflicht; es ist der Schlüssel zum Vertrauen deiner Mitglieder. Ein gut durchdachtes Datenschutzkonzept minimiert Risiken und stärkt das Vertrauen aller Beteiligten. Bei Unsicherheiten oder Fragen zur Umsetzung der DSGVO, zögere nicht, professionelle Beratung in Anspruch zu nehmen. heyData ist dein Experte für Datenschutz und steht dir in allen Fragen zur Seite.