Vereine und Stiftungen
Datenschutz im Ehrenamt
Was immer der Zweck oder das Ziel eines Vereines ist, die Verarbeitung von personenbezogenen Daten gehört zum Alltag. In welchem Umfang diese zulässig ist, hängt wesentlich vom Vereinszweck bzw. -ziel ab. Dieser sollte sich aus der Satzung ergeben und dort so beschrieben werden, dass sich schon daraus der notwendige Umfang der Datenverarbeitung ergibt. Aus dem Vereinszweck ergibt sich auch, welche Art personenbezogener Daten benötigt und deshalb verarbeitet wird. Bei einem Fußballverein, der öffentliche Wettbewerbe austrägt, wird eine umfangreichere Datenverarbeitung zulässig sein, als bei Religionsvereinen oder Vereinen, deren Mitglieder Haftentlassene betreuen. Hier werden besonders sensible Daten nach Art. 9 und 10 DSGVO verarbeitet.
Die datenschutzrechtlichen Anforderungen an Vereine sind bundesweit gleich (soweit nicht vereinzelt in Landesdatenschutzgesetzen Regelungen für nicht öffentliche Stellen getroffen wurden), und die Rechtsauffassungen der Aufsichtsbehörden der Länder sind entsprechend überwiegend dieselben. Mehrere Aufsichtsbehörden anderer Bundesländer haben Hilfsmaterialien veröffentlicht.
- Hier finden Sie gemeinsam erarbeitete Auslegungshilfen der Datenschutzkonferenz des Bundes und der Länder – DSK. Die DSK hat diese Liste mit Informationsmaterial veröffentlicht, die sehr umfangreich ist und sich nicht auf Datenschutzfragen im Verein beschränkt.
- Auf der Seite der Stiftung Datenschutz finden Vereinsvertreter aufgezeichnete Online-Veranstaltungen zum Themenfeld Datenschutz im Ehrenamt; die Stiftung veranstaltet weitere Online-Seminare. Auch wurde das Beratungsangebot für Vereine Anfang 2022 ausgebaut.
Weitere Beispiele für Broschüren, Anleitungen und mehr:
- Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat mehrere Informationen für Vereine erstellt, siehe hier unter der Rubrik Vereine.
- Auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht finden Vereine hier Ratgeber.
- Beim Unabhängigen Datenschutzzentrum Saarland / der Landesbeauftragten für Datenschutz und Informationsfreiheit finden Vereine unter anderem diese Informationsbroschüre.
- Nützliche Links des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein hier.
Diese Punkte sollten Sie bedenken
Satzung oder Datenschutzordnung - Wo regle ich den Datenschutz?
Der Datenschutz eines Vereins kann zwar in der Satzung geregelt werden, aber i.d.R. empfiehlt es sich, dort lediglich einen Hinweis auf eine gesonderte Datenschutzordnung aufzunehmen. Der Vorteil dabei ist, dass der Vorstand als vertretungsberechtigtes Organ die Datenschutzordnung jederzeit anpassen kann, während die Satzung nur durch eine Mitgliederversammlung geändert werden könnte.
Legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an!
Ein Verein muss in aller Regel ein Verzeichnis von Verarbeitungstätigkeiten vorhalten, da die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt (Art. 30 DSGVO). Ein solches Verzeichnis ist ebenso bei der Erteilung von Auskünften hilfreich. Außerdem ist es wichtig, die Nachweispflicht/„Rechenschaftspflicht“ nach Art. 5 Abs. 7 DSGVO zu beachten; so muss beispielsweise die Erteilung von Einwilligungen nachgewiesen werden können.
Datenschutzbeauftragter - ja oder nein?
Für viele Vereine ist die Benennung einer oder eines Datenschutzbeauftragten verpflichtend (Art. 37 DSGVO, § 38 BDSG), aber natürlich muss auch unabhängig von einer etwaigen Benennungspflicht in jedem Fall das Datenschutzrecht eingehalten werden. Die Verantwortung dafür trägt der Verein, vertreten durch den Vorstand (Art. 4 Nr. 7 DSGVO). Deshalb ist ggf. die freiwillige Benennung einer/eines Datenschutzbeauftragten empfehlenswert, für die/den dann dieselben Anforderungen gelten, die bei einer verpflichtenden Bestellung zu beachten sind (auch Art. 37 Abs. 7 DSGVO). Bei Einzelfragen und/oder wenn keine anderweitige Beratung bei wichtigen Datenschutzfragen möglich ist, kann ein externer Datenschutzbeauftragter hinzugezogen werden. Dies könnte beispielsweise bei einer Vereinsgründung oder zur Verarbeitung von Art. 9 - Daten der Fall sein.