DSGVO für Vereine
Seit dem 25.05.2018 gelten die Vorschriften nach der neuen Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG). Die neuen Regelungen gelten für alle natürlichen und juristischen Personen und damit auch für Vereine.
Um die Umsetzung der DSGVO für Vereine in der Praxis zu erleichtern, haben wir praktische Beispielmuster und Vorlagen heraus gesucht:
1. Erlaubnis der Datenverarbeitung
Vereine brauchen gemäß der DSGVO keine grundsätzliche Erlaubnis zur Verarbeitung von Daten, wenn diese im Rahmen einer "vertraglichen Beziehung" erhoben werden. Die vertragliche Beziehung ist die Mitgliedschaft. Das bedeutet: Die für die Mitgliederverwaltung erforderlichen persönlichen Daten dürfen erhoben, gespeichert und verarbeitet werden.
Informationen zur Übersicht:
Download: Merkblatt DSGVO (Bayr. Landesamt für Datenschutzaufsicht, 2 Seiten, pdf)
Informationen zur Vertiefung:
Download: Datenschutz im Verein nach der Datenschutzgrundverordnung (Landesbeauftragte für den Datenschutz Baden-Württemberg, 35 Seiten, pdf)
2. Schriftliche Regelungen
Die Grundzüge der Datenverarbeitung müssen im Verein schriftlich hinterlegt werden. Die Datenschutzregelungen können entweder in die Vereinssatzung aufgenommen oder in einem gesonderten Regelwerk niedergelegt werden. Insofern die Satzung des Vereins um das Thema Datenschutz erweitert werden soll, stellt der LFV Bayern einen entsprechenden Mustertext zur Verfügung.
Download: Satzungserweiterung Datenschutz (Word-Datei)
3. Verzeichnis von Verarbeitungstätigkeiten
Es ist dem Verein erlaubt, die persönlichen Daten seiner Mitglieder zu verarbeiten. Aber es muss ein sogenanntes "Verfahrensverzeichnis über die Verarbeitung der personenbezogenen Daten" geführt werden. An dieser Stelle tauchen die größten Unsicherheiten auf: Wie soll so ein Verzeichnis aussehen? Was soll da drin stehen?
Keine Panik: Wirklich übersichtlich ist das Muster, welches das Bayrische Landesamt für Datenschutzaufsicht zur Verfügung stellt. (Es kann leicht in Excel nachgebaut werden):
Download: Muster Verein - Verzeichnis von Verarbeitungstätigkeiten (pdf)
Was das Verzeichnis betrifft, so ist auch die Feuerwehr helfend zur Stelle: Der Landesfeuerwehrverband Rheinland-Pfalz hat das Thema in Word-Dateien aufbereitet und neutrale Muster zu den einzelnen Tätigkeiten erstellt, auf die wir mit Dank von hier aus verlinken:
Downloads (jeweils Word-Dateien):
Verarbeitungsverzeichnis E-Mail
Verarbeitungsverzeichnis Internetseite
Verarbeitungsverzeichnis Kassenverwaltung
Verarbeitungsverzeichnis Kontaktverwaltung
Verarbeitungsverzeichnis Mitgliederwerbung
Verarbeitungsverzeichnis Terminverwaltung
Verarbeitungsverzeichnis Verantwortlicher
Verarbeitungsverzeichnis Verwaltung
4. Auftragsverarbeitung
Immer dann, wenn von Seiten des Vereins ein externer Dienstleister (z.B. der Steuerberater, Provider, etc) mit der Verarbeitung personenbezogener Daten beauftragt wird, muss ein Vertrag geschlossen werden, in dem die Datenverarbeitung beschrieben wird. Für diesen Zweck ist es hilfreich, den jeweiligen Dienstleister aufzufordern, ein Vertragsmuster vorzulegen, welches dann geprüft und unterzeichnet werden kann.
5. Datenschutzbeauftragter
Laut DSGVO braucht ein Verein erst dann einen Datenschutzbeauftragten, wenn mehr als 10 Personen an PCs damit beschäftigt sind, persönliche Daten zu verarbeiten. Zudem ist weitere Voraussetzung, dass die Datenverarbeitung die Kerntätigkeit des Vereins bildet.
6. Weitere Informationen
Wer sich weitergehend mit dem Thema DSGVO beschäftigen möchte, findet im Internet zahlreiche Websites. Fokussiert auf die Materie und weiterführend sind Materialien, die der Landesbeauftragte für den Datenschutz in Niedersachsen für Vereine bereit stellt:
Direktlinks:
Checkliste für die Umstellung auf die DSGVO für Vereine
Häufig gestellte Fragen von Vereinen
7. Abschließende Übersicht zum Thema
Wir stellen diesen Punkt ans Ende unseres Artikels, da es sich tatsächlich lohnt, zuerst mit der konkreten Arbeit (an den Einwilligungen, der Satzung, dem Verarbeitungsverzeichnis etc) auf Basis der Muster zu beginnen, um von dort zur allgemeinen Übersicht zu gelangen.Vieles versteht sich dann leichter.
Sehr gut ist auch hier eine weitere Hilfestellung aus Bayern (das muss man loben!) in Form einer sehr gut aufbereiteten und damit auch gut verständlichen Beschreibung der Anforderungen, die aus der DSGVO an einen (fiktiven) Verein entstehen. Aber lesen Sie selbst:
Direktlink: Hilfestellung zu den Anforderungen der DSGVO an einen Verein