DSGVO-Hilfe für Vereine: Checklisten, Praxisratgeber und 10-Punkte-Plan

Fachbeitrag

Gerade bei kleineren Vereinen, die hauptsächlich vom ehrenamtlichen Engagement ihrer Mitglieder leben, hat die DSGVO für große Verunsicherung gesorgt. Viele der ehrenamtlich tätigen Mitglieder opfern ihre Freizeit und müssen sich nun in dieser Zeit auch mit den umfangreichen Vorgaben der DSGVO beschäftigen, was bei vielen Vereinsverantwortlichen die Sorge auslöst, der Aufgabe nicht gewachsen zu sein. Wir bieten einen Überblick über bereits veröffentlichte Hilfen und fassen die wichtigsten Punkte kurz zusammen.

Die Aufsichtsbehörden reagieren

Vielen Vereinsverantwortlichen geht es momentan ähnlich. Ihre eigentlichen Aufgaben rund um Sport und Kultur rücken in den Hintergrund, stattdessen sehen sie sich einem Berg von Bürokratie gegenüber. Dazu steigt die Angst, bei der Umsetzung der DSGVO Fehler zu machen, die viel Geld kosten könnten. Dem wollen die Aufsichtsbehörden der Länder entgegenwirken und bieten für Vereine inzwischen einige Übersichten und Hilfestellungen an.

Hilfen des Bayrischen Landesamts für Datenschutzaufsicht (BayLDA)

Dem Ansturm an Fragen von bayrischen Vereinen will das BayLDA auf eine ganz besondere Art und Weise entgegentreten. Seit Montag, 09.07.2018, bietet das BayLDA Ratsuchenden die Möglichkeit, sich Montag bis Freitag von 8 Uhr bis 19 Uhr unter der Telefonnummer 0981-53-1810 an die Mitarbeiter des Amts zu wenden. Ziel der Hotline ist es, Standardfragen zu beantworten. Die 10 häufigsten Fragen und Antworten werden dann regelmäßig auf dieser Website veröffentlicht. Für Fragen, die weder die Hotline, noch die umfangreichen Informationen auf der Homepage des BayLDA beantworten können, wird die Möglichkeit geboten, diese per E-Mail unter vereine@lda.bayern.de zu stellen.

Das BayLDA hat außerdem eine Checkliste zu den wesentlichen Anforderungen der DSGVO an Vereine erstellt. Mit Hilfe von 10 Fragen, die mit Ja oder Nein beantwortet werden können, bietet diese Checkliste eine gute Übersicht darüber, mit welchen Themen sich der Verein auseinandersetzen sollte. In Verbindung mit den ergänzenden Hinweisen am Ende der Checkliste, erhält man so einen Fahrplan, an dem man sich bei der Umsetzung der DSGVO orientieren kann.

Mit dem Muster zum Verzeichnis von Verarbeitungstätigkeiten im Verein komplettiert das BayLDA sein Angebot für Vereine.

Orientierungshilfe des baden-württembergischen Landesdatenschutzbeauftragten

Mit knapp über 30 Seiten etwas ausführlicher und umfangreicher hat der baden-württembergische Landesdatenschutzbeauftragte eine Orientierungshilfe für Vereine zum Datenschutz herausgegeben. Zusätzlich zu allgemeinen Hinweisen über die Anforderungen, die die DSGVO an den Datenschutz im Verein stellt, finden sich hier auch Informationen über einzelne praxisrelevante Fragen, wie zum Beispiel darüber, unter welchen Bedingungen die Datenweitergabe an Dachverbände zulässig ist. Themen wie Aushänge am Schwarzen Brett, Spendenaufrufe und die Veröffentlichung von Mitgliederdaten im Internet finden ebenso Beachtung. Zusätzlich dazu wird ein Praxisratgeber angeboten, der neben weitergehenden Informationen zu bestimmten Themen wie beispielsweise Informationspflichten, Einwilligungserklärungen und dem Verzeichnis von Verarbeitungstätigkeiten, auch hilfreiche Muster enthält.

Weitere Hilfen

Neben den Aufsichtsbehörden aus Bayern und Baden-Württemberg bieten auch einige andere Datenschutzbehörden inzwischen Informationsbroschüren zum Thema Datenschutz im Verein. Diese können Sie unter folgenden Links einsehen bzw. herunterladen:

Unsere 10-Punkte-Liste für Vereine

Letztendlich lassen sich die grundlegenden Pflichten in wenigen Punkten zusammenfassen.

  1. Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen. Das ist dann der Fall, wenn zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Einige Beispiele, wann eine solche Verarbeitung im Verein vorliegt, finden Sie in der Broschüre des Hessischen Beauftragten für Datenschutz und Informationsfreiheit auf den Seiten 3 und 4.
  2. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
  3. Prüfen Sie, ob Sie für alle Verarbeitungen eine Rechtsgrundlage haben. Bei Vereinen ist das in der Regel der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung oder eine Einwilligung. Beispiele dazu, wann welche Rechtsgrundlage im Verein zum Tragen kommt, finden Sie in der Broschüre des Hessischen Beauftragten für Datenschutz und Informationsfreiheit auf den Seiten 1 und 2. Ein Muster für eine Einwilligungserklärung für die Veröffentlichung von Mitgliederdaten im Internet bietet der Landesbeauftragte für den Datenschutz Baden-Württemberg.
  4. Informieren Sie Ihre Mitglieder über die Datenverarbeitungsvorgänge. Am einfachsten geschieht dies im Rahmen der Prozedur der Aufnahme als Mitglied, indem Sie zu dem Zeitpunkt ein Hinweisblatt austeilen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg bietet ein Muster bzw. eine Anleitung für die Informationspflicht bei Erhebung von personenbezogenen Daten ab Seite 12 seines Praxisratgebers.
  5. Achten Sie darauf, nur die personenbezogenen Daten zu verarbeiten, die für den Zweck erforderlich sind und löschen Sie die Daten, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
  6. Schließen Sie notwendige Auftragsverarbeitungsverträge mit Drittdienstleistern (beispielsweise bei Mitgliederverwaltung unter Nutzung einer Cloud-Lösung, Hosting).
  7. Informieren und verpflichten Sie Personen, die mit personenbezogenen Daten umgehen, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt. Hierfür bietet das BayLDA ein Muster an.
  8. Stellen Sie sicher, dass Sie Ihre Pflichten, beispielsweise im Fall von Auskunftsersuchen durch betroffene Personen oder Löschungsverlangen, zeitnah nachkommen können. Bei Datenschutzverletzungen ist dies der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis zu melden.
  9. Eine Datenschutz-Folgenabschätzung werden Sie in der Regel nicht durchführen müssen. Prüfen Sie dennoch, ob ein hohes Risiko bei der Datenverarbeitung im Verein besteht, in dem Fall müsste eine Datenschutz-Folgenabschätzung durchgeführt werden.
  10. Achten Sie darauf, dass eine ausreichende Sicherheit bei der Verarbeitung personenbezogener Daten gegeben ist. Achten Sie insbesondere darauf, aktuelle Betriebssysteme und Anwendungen zu verwenden, kümmern Sie sich um den Passwortschutz, regelmäßige Backups, Virenscanner und schränken Sie Benutzerrechte so weit ein, dass nur Personen, die mit den Daten auch tatsächlich umgehen müssen, Zugang zu den jeweiligen personenbezogenen Daten haben.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Sehr geehrte Damen und Herren, wir ein gemeinnütziger ,Sportverein, wollen, müssen die Aufnahme – Erklärung, wegen dem neuen Datenschutzgesetz, auf den neusten Stand bringen.
    wir wissen leider nicht wie !? reicht ein Satz, mit Hinweis auf einen Paragraphen ( § xyz..??? ), oder brauchen wir ein seperates Infoblatt, die, die Neumitglieder unterschreiben müssen ???

    Wäre nett, wenn Sie mir da weiterhelfen können. Vielen Dank für Ihre Bemühungen .

    MfG
    highlander65

    • Bei der Erstellung eines Aufnahmebogens ist grundsätzlich darauf zu achten, dass nur die Daten abgefragt werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind. Das sind Daten, die notwendig sind, um die Vereinsziele zu verfolgen oder solche, die notwendig sind, um die Mitglieder zu verwalten. Hierzu gehören beispielsweise die Kontaktdaten und ggf. die Kontoverbindungsdaten, wenn Mitgliedsbeiträge eingezogen werden.
      Daneben sind allerdings auch die Informationspflichten zu beachten. Bei Erhebung der Daten muss der Verein die betroffene Person darüber informieren, wie mit ihren Daten umgegangen wird. Wie eine solche Information aussehen kann, können Sie beispielsweise dem oben verlinkten Praxisratgeber des LfDI BW ab Seite 12 entnehmen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.