DSGVO für Vereine

Seit dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten für alle natürlichen und juristischen Personen (z.B. Firmen) – und damit auch für Vereine.

Um die Umsetzung der DSGVO für Vereine in der Praxis zu erleichtern, haben wir praktische Beispielmuster und Vorlagen heraus gesucht:

1. Erlaubnis der Datenverarbeitung
Juristische Personen (z.B. Vereine) brauchen gemäß der DSGVO keine grundsätzliche Erlaubnis zur Verarbeitung von Daten, wenn diese im Rahmen einer "vertraglichen Beziehung" erhoben werden. Bei Vereinen ist diese vertragliche Beziehung die Mitgliedschaft. Das bedeutet: Die für die Mitgliederverwaltung erforderlichen Daten dürfen also in jedem Fall verarbeitet werden. ("Verarbeitung" ist hier ein Oberbegriff und bedeutet: Erhebung, Speicherung, Verarbeitung).

2. Gesonderte Einwilligung
Im Verein ist die Verarbeitung personenbezogener Daten im Rahmen der Mitgliedschaft erlaubt. Es kann hilfreich sein, die Einwilligung zur Datenverarbeitung ausdrücklich einzuholen. Der Landesfeuerwehrverband Bayern hat eine beispielhafte Einwilligungserklärung zur Datenverarbeitung ins Netz gestellt, die sich gut in Beitrittserklärungen verwenden lässt. (Das Gute an diesem Muster ist, dass es das Thema Fotos und deren Verwendung gleich mit behandelt.) Wir haben die Erklärung übernommen und nur geringfügig modifiziert:

Download: Einwilligungserklärung Datenverarbeitung im Verein (Word-Datei)

3. Schriftliche Regelungen
Der Verein hat die Pflicht, die Grundzüge der Datenverarbeitung schriftlich festzulegen. Entsprechende Datenschutzregelungen können entweder in die Vereinssatzung aufgenommen oder in einem gesonderten Regelwerk niedergelegt werden. Insofern die Satzung des Vereins um das Thema Datenschutz erweitert werden soll, stellt der LFV Bayern hier einen entsprechenden Mustertext zur Verfügung.

Download: Satzungserweiterung Datenschutz (Word-Datei)

4. Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO verlangt, dass vom Verein ein Verfahrensverzeichnis über die Verarbeitung der personenbezogenen Daten geführt werden muss. An dieser Stelle tauchen die größten Unsicherheiten auf: Wie soll so ein Verzeichnis aussehen? Was soll da drin stehen? Wir muss ich mir das vorstellen?

Keine Panik: Wirklich übersichtlich ist das Muster, welches das Bayrische Landesamt für Datenschutzaufsicht zur Verfügung stellt. (Es kann leicht in Excel nachgebaut werden):

Download: Muster Verein - Verzeichnis von Verarbeitungstätigkeiten (pdf)

Was das Verzeichnis betrifft, so ist auch hier die Feuerwehr helfend zur Stelle: Der Landesfeuerwehrverband Rheinland-Pfalz hat das Thema in Word-Dateien aufbereitet und neutrale Muster zu den einzelnen Tätigkeiten erstellt, auf die wir mit Dank von hier aus verlinken:

Downloads (jeweils Word-Dateien):

6. Auftragsverarbeitung
Immer dann, wenn von Seiten des Vereins ein externer Dienstleister (z.B. der Steuerberater, Provider, etc) mit der Verarbeitung personenbezogener Daten beauftragt wird, muss ein Vertrag geschlossen werden, in dem die Datenverarbeitung beschrieben wird. Für diesen Zweck ist es hilfreich, den jeweiligen Dienstleister aufzufordern, ein Vertragsmuster vorzulegen, welches dann geprüft und unterzeichnet werden kann.

7. Datenschutzbeauftragter
Laut DSGVO braucht ein Verein erst dann einen Datenschutzbeauftragten, wenn mehr als 10 Personen an PCs damit beschäftigt sind, persönliche Daten zu verarbeiten. Zudem ist weitere Voraussetzung, dass die Datenverarbeitung die Kerntätigkeit des Vereins bildet.

8. Weitere Informationen
Wer sich weitergehend mit dem Thema DSGVO beschäftigen möchte, findet unter dem Stichwort im Internet zahlreiche Websites, deren Nennung diesen Rahmen sprengen würde. Fokussiert auf die Materie und weiterführend sind Materialien, die der Landesbeauftragte für den Datenschutz in Niedersachsen für Vereine bereit stellt:

Direktlinks:

9. Abschließende Übersicht zum Thema
Wir stellen diesen Punkt ans Ende unseres Artikels, da es sich tatsächlich lohnt, zuerst mit der konkreten Arbeit (an den Einwilligungen, der Satzung, dem Verarbeitungsverzeichnis etc) auf Basis der Muster zu beginnen, um von dort zur allgemeinen Übersicht zu gelangen.Vieles versteht sich dann leichter.
Sehr gut ist auch hier eine weitere Hilfestellung aus Bayern (das muss man loben!) in Form einer sehr gut aufbereiteten und damit auch gut verständlichen Beschreibung der Anforderungen, die aus der DSGVO an einen (fiktiven) Verein entstehen. Aber lesen Sie selbst:

Direktlink: Hilfestellung zu den Anforderungen der DS-GVO an einen Verein






Symbol Schriftgröße Schrift kleiner Schrift größer