Datenschutz im Verein 

Seit dem 25. Mai 2018 hat sich die Rechts­la­ge im Daten­schutz geändert. 

Die EU-Daten­schutz­grund­ver­ord­nung (DSGVO) ist in Kraft. Es gel­ten stren­ge, daten­schutz­recht­li­che Bestim­mun­gen und auch ein neu­es Bun­des­da­ten­schutz­ge­setz (BDSG).

Wir stel­len euch Mus­ter­schrei­ben um das The­ma Daten­schutz im Ver­ein zur Verfügung. 

Bit­te beach­tet, dass die genann­ten Daten nur bei­spiel­haft sind und auf die Bedürf­nis­se eures Ver­eins ange­passt wer­den müs­sen!

Kurzinfo

Wer­den per­so­nen­be­zo­ge­ne Daten mit Hil­fe der auto­ma­ti­sier­ten Daten­ver­ar­bei­tung oder in her­kömm­li­chen Mit­glie­der­kar­tei­en erho­ben, ver­ar­bei­tet oder genutzt, gel­ten die neu­en Bestim­mun­gen. Die neu­en Rege­lun­gen gel­ten nicht nur für Unter­neh­men, son­dern für alle natür­li­chen und juris­ti­schen Per­so­nen – also auch für Vereine.

Dabei sind folgende Punkte in der Vereinsarbeit zu beachten:

1. Was sind personenbezogene Daten? 

Per­so­nen­be­zo­ge­ne Daten sind alle Ein­zel­an­ga­ben über die per­sön­li­chen oder sach­li­chen Ver­hält­nis­se, wie Name und Anschrift, Geburts­da­tum, Bank­ver­bin­dung, aber auch Fami­li­en­stand, Beruf, Sozi­al­da­ten u.Ä.. Der Daten­schutz bezieht sich auf das Erhe­ben, Ver­ar­bei­ten (Spei­chern, Ver­än­dern, Über­mit­teln, Sper­ren und Löschen) und Nut­zen (jede Ver­wen­dung) von Daten.

2. Wer im Verein ist für die Einhaltung des Datenschutzes verantwortlich? 

Zustän­dig für den Schutz per­so­nen­be­zo­ge­ner Daten ist der Vor­stand nach § 26 BGB. Wenn der Ver­ein mehr als neun Per­so­nen beschäf­tigt, muss er einen Daten­schutz­be­auf­trag­ten bestel­len, der selbst nicht Vor­stands­mit­glied sein darf. Der Daten­schutz­be­auf­trag­te des Ver­eins muss die dafür not­wen­di­ge Fach­kun­de besitzen.

3. Wie dürfen Mitgliederdaten erhoben werden? 

Mit­glie­der­da­ten dür­fen im Rah­men der Mit­glied­schaft nur für ver­eins­ei­ge­ne Zwe­cke erho­ben werden

Im Rah­men einer ver­trag­li­chen Bezie­hung müs­sen Daten erho­ben wer­den. Bei Ver­ei­nen ist die­se ver­trag­li­che Bezie­hung die Mit­glied­schaft. Die für die Mit­glie­der­ver­wal­tung erfor­der­li­chen Daten (Name, Anschrift, Geschlecht, Geburts­da­tum, ggf. Bank­ver­bin­dung) dür­fen also in jedem Fall ver­wen­det wer­den. Für dar­über hin­aus gehen­de Daten (E‑Mailadresse, Tele­fon­num­mer etc.) muss vom Mit­glied die Erlaub­nis zum Erhe­ben, Ver­ar­bei­ten und Nut­zen der Daten ein­ge­holt werden.

4. Dürfen Daten an Dritte weitergegeben werden? (Dachverbände, Sponsoren etc.) 

Teil­wei­se muss der Ver­ein Daten von Mit­glie­dern wei­ter­ge­ben. Ob das zuläs­sig ist, hängt vom Ein­zel­fall ab. Hier sind die ver­schie­de­nen Inter­es­sen der Mit­glie­der gegen­ein­an­der abzuwägen.

4.1 Wei­ter­ga­be an ande­re Mitglieder

Ein typi­scher Anlass zur Wei­ter­ga­be kann sich aus § 37 BGB erge­ben. Danach besteht eine Ver­pflich­tung, eine Mit­glie­der­ver­samm­lung ein­zu­be­ru­fen, wenn es ein bestimm­ter Teil der Mit­glie­der bean­tragt. Um hier ein ent­spre­chen­des (durch die Sat­zung vor­ge­ge­be­nes) Quo­rum errei­chen zu kön­nen, wer­den die ent­spre­chen­den Anschrif­ten bzw. Kon­takt­da­ten benö­tigt. Gegen eine Wei­ter­ga­be der zur Ladung not­wen­di­gen Daten bestehen dabei kei­ne Beden­ken, da die Mit­glie­der ihre sat­zungs­mä­ßi­gen Rech­te verfolgen.

4.2 Wei­ter­ga­be an Dachverbände

Ver­ei­ne, die einem Dach­ver­band ange­hö­ren, sind in der Regel ver­pflich­tet, die Mit­glie­der­be­stän­de wei­ter­zu­ge­ben. Die­se Wei­­ter­­ga­­be-Ver­­pflich­­tung soll­te nach Mög­lich­keit in der Sat­zung des jewei­li­gen Ver­eins ver­an­kert sein (Ein­bin­dung eines Daten­­­schutz-Para­­gra­­phen) oder in einer Ein­ver­ständ­nis­er­klä­rung benannt werden.

4.3 Wei­ter­ga­be an Sponsoren/Unternehmen

Die Wei­ter­ga­be zu Wer­be­zwe­cken (etwa an Spon­so­ren) darf nur mit Zustim­mung des jewei­li­gen Mit­glieds erfol­gen (z.B. Ein­ver­ständ­nis­er­klä­rung zum Datenschutz).

4.4 Ver­öf­fent­li­chung in Vereinsmedien

Die Ver­öf­fent­li­chung von Daten (Mit­tei­lungs­blatt, Schwar­zes Brett) ist zuläs­sig, wenn sie dem Ver­eins­zweck dient, z.B. bei Mann­schafts­auf­stel­lun­gen oder Spiel­ergeb­nis­sen. Nicht zuläs­sig ist die regel­mä­ßi­ge Ver­öf­fent­li­chung der Namen in Fäl­len mit “ehren­rüh­ri­gem” Inhalt wie Haus­ver­bo­ten, Ver­eins­stra­fen oder Spie­ler­sper­ren, soweit sie nicht zur Durch­set­zung der Ver­eins­stra­fe not­wen­dig ist.

Die Ver­öf­fent­li­chung per­so­nen­be­zo­ge­ner Daten durch einen Ver­ein im Inter­net ist grund­sätz­lich unzu­läs­sig, wenn sich der Betrof­fe­ne nicht aus­drück­lich damit ein­ver­stan­den erklärt hat. Infor­ma­tio­nen über Ver­eins­mit­glie­der (z.B. Spiel­ergeb­nis­se und per­sön­li­che Leis­tun­gen, Mann­schafts­auf­stel­lun­gen, Rang­lis­ten, Tor­schüt­zen usw.) oder Drit­te (z.B. Ergeb­nis­se exter­ner Teil­neh­mer) kön­nen i.d.R. auch ohne jeweils aus­drück­li­che Ein­wil­li­gung kurz­zei­tig ins Inter­net gestellt wer­den, wenn das ver­eins­üb­lich ist und die Betrof­fe­nen dar­über infor­miert sind.

Per­sön­li­che Nach­rich­ten, z.B. zu Spen­den, Geburts­ta­gen und Jubi­lä­en sind in der Regel unpro­ble­ma­tisch. Das Mit­glied kann dem aber widersprechen.

5. Wie müssen Mitglieder über den Datenschutz im Verein informiert werden? 

Nach § 4 Abs. 3 BDSG muss der Betrof­fe­ne über die fol­gen­de Umstän­de infor­miert werden:

• die Iden­ti­tät der ver­ant­wort­li­chen Stel­le (= der Verein)

• die Zweck­be­stim­mun­gen der Erhe­bung, Ver­ar­bei­tung oder Nut­zung und

• über die Emp­fän­ger, soweit die Daten wei­ter­ge­lei­tet wer­den und er nicht mit einer Über­mitt­lung zu rech­nen hatte.

Daher emp­fiehlt es sich, in der Sat­zung des Ver­eins einen ent­spre­chen­den Daten­­­schutz-Pas­­sus auf­zu­neh­men. Dar­über hin­aus soll­te ein Neu­mit­glied im Auf­nah­me­for­mu­lar oder auf einem eige­nen For­mu­lar unter­schrei­ben, dass es entweder

a) auf den Daten­­­schutz-Para­­gra­­fen der Sat­zung hin­ge­wie­sen wur­de und damit ein­ver­stan­den ist oder

b) auf die Erhe­bung, Ver­ar­bei­tung und Wei­ter­lei­tung per­so­nen­be­zo­ge­ner Daten hin­ge­wie­sen wur­de und damit ein­ver­stan­den ist (Ein­ver­ständ­nis­er­klä­rung zum Datenschutz).

Des Wei­te­ren ist mit­zu­tei­len, wel­che Kon­se­quenz droht, wenn das Ein­ver­ständ­nis nicht erteilt wird.

6. Welche grundlegenden Dokumentationen müssen erstellt werden? 

Die DSGVO ver­langt in Art. 30, dass ein Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten erstellt wer­den muss. Das gilt auch für klei­ne­re Ver­ei­ne, da die Daten­ver­ar­bei­tung nicht nur gele­gent­lich erfolgt. Es muss fol­gen­de Punk­te umfassen:

• Name und Anschrift des Vereins

• Vor­stand nach § 26 BGB und evtl. Datenschutzbeauftragter

• Ver­ar­bei­tungs­tä­tig­kei­ten: in jedem Fall “Mit­glie­der­ver­wal­tung”; evtl. wei­te­re Zwe­cke z.B. Spon­so­ren­be­treu­ung, Ferienfreizeiten

• Beschrei­bung der Kate­go­rien der betrof­fe­nen Per­so­nen und der Kate­go­rien per­so­nen­be­zo­ge­ner Daten: z.B. “Mit­glie­der”, “betreu­te Per­so­nen” usf. Die Kate­go­rien der Daten erge­ben sich aus den Daten selbst (Anschrift, Geburts­da­tum, Bank­da­ten etc.)

• Beschrei­bung der Kate­go­rien von Emp­fän­gern, gegen­über denen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wer­den, z.B. Ver­bän­de, Ver­si­che­rungs­ge­sell­schaf­ten, Sozi­al­ver­si­che­rungs­trä­ger usw.

• Vor­ge­se­he­ne Fris­ten für die Löschung der ver­schie­de­nen Daten­ka­te­go­rien, z. B. Auf­be­wah­rungs­frist für Zuwendungsbestätigungen

Emp­feh­lung: Neh­men Sie zu dem Ver­ar­bei­tungs­nach­weis zusätz­lich auf, dass Sie die betrof­fe­nen Per­so­nen auf die Ver­ar­bei­tung hin­ge­wie­sen haben.

7. Wer muss eine Verpflichtung auf das Datengeheimnis erbringen? 

Alle Mit­ar­bei­ter des Ver­eins (auch Ehren­amt­li­che), die mit per­so­nen­be­zo­ge­nen Daten umge­hen, müs­sen grund­sätz­lich zur Ein­hal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen nach der Daten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) ver­pflich­tet wer­den. Die­se schrift­li­che Ver­pflich­tungs­er­klä­rung zum Daten­schutz soll­te im Ver­ein hin­ter­legt werden.

Für wei­te­re Infor­ma­tio­nen möch­ten wir auf das Inter­net­por­tal VIBBS, das über den Lan­des­sport­bund Nord­rhein-West­fa­len e.V. bereit­ge­stellt wird, hin­wei­sen. Zudem stellt das Bay­ri­sche Lan­des­amt für Daten­schutz auf sei­ner Home­page sehr gute Hand­rei­chun­gen für Ver­ei­ne zur Verfügung. 

wei­ter­füh­ren­de Literaturtipps: 

Wag­ner, Ste­fan: Daten­schutz & Co. im Ver­ein – muss das sein? Dres­den: Ver­lag Ver­eins & Vor­stands­pra­xis Ste­fan Wag­ner 2018

Wag­ner, Ste­fan: Der Sat­zungs­bau­kas­ten: Dres­den: Ver­lag Ver­eins & Vor­stands­pra­xis Ste­fan Wag­ner 2018