Datenschutz im Verein – auch der Sportverein von nebenan muss die DSGVO beachten und umsetzen!

Gilt die DSGVO überhaupt für Vereine?

Diese Frage ist mit einem eindeutigen „Ja“ zu beantworten. Die EU-Datenschutz- Grundverordnung (DSGVO) entfaltet ihre Wirkung für Vereine aller Art (also z.B. auch für gemeinnützige Vereine), genauso wie für alle anderen Gesellschaftsformen. Nichts anderes gilt im Übrigen für die ergänzenden Vorschriften des Bundesdatenschutzgesetzes (BDSG). Sobald personenbezogene Daten verarbeitet werden, müssen diese geschützt werden. Das ist schon der Fall, wenn Mitgliederdaten erhoben werden. Dabei ist esunerheblich, welche Form die datenverarbeitende Stelle hat, also ob es sich um eine Firma, eine Behörde oder einen Verein handelt. Ebenso irrelevant ist, ob letzterer im Vereinsregister eingetragen ist oder nicht. Der Datenschutz ist generell für alle Vereinsmitglieder zu gewährleisten.

Was müssen Vereine beachten?

Der Datenschutz ist gerade deshalb für Vereine ein so wichtiges Thema, weil der Umgang mit personenbezogenen Mitgliederdaten nicht zu vermeiden ist und es sich bei den Vereinsmitgliedern nicht selten um Kinder und Jugendliche handelt, deren Daten besonders schützenswert sind. Die Vorschriften gelten allgemein, Sonderregelungen für Vereine gibt es in aller Regel nicht.

Inhaltlich schreibt die DSGVO im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter. Ein Verein muss zur Betreuung seiner Mitglieder deren personenbezogene Daten verarbeiten. Das beginnt beim Eintritt in den Verein. Dabei dürfen nur solche Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind.

Für die verantwortlichen Vereine bedeutet die DSGVO vor allem erweiterte Dokumentations- und Nachweispflichten, um der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO zu genügen.

Jede Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage. Für Vereine dürfte besonders häufig Art. 6 Abs. 1 lit. b DSGVO in Betracht kommen. Demzufolge ist eine Datenverarbeitung rechtmäßig, wenn sie der beispielsweise der Erfüllung eines Vertrages dient. Eine Vereinsmitgliedschaft ist als Vertragsverhältnis zu werten, weshalb alle Datenverarbeitungen zulässig sind, die in unmittelbarem Zusammenhang mit den Vereinszielen stehen. Die Ziele sollten möglichst genau und hinreichend konkret in der Vereinssatzung beschrieben werden.

Was sollten Vereine tun?

Zunächst sollten Vereine alle relevanten Verarbeitungsvorgänge personenbezogener Daten identifizieren, kategorisieren und dokumentieren. Dies sollte am besten anhand eines sog. Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO erfolgen. Hierzu bedarf es zunächst einer Bestandsaufnahme aller Datenverarbeitungsvorgänge im Verein. Dies kann ohne die nötigen fachlichen sowie zeitlichen Kapazitäten häufig eine scheinbar nicht zu überwindende Hürde darstellen. Hier kann es Sinn machen, auf den großen Erfahrungsschatz und das umfangreiche Fachwissen von externen Spezialisten zu setzen, so wie etwa die Creditreform Compliance Services GmbH (CCS) es anbietet.

Wie läuft eine Bestandsaufnahme im Datenschutz ab?

Die Bestandsaufnahme im Datenschutz wird in aller Regel im Rahmen eines Vor-Ort- Audits in den Räumlichkeiten des jeweiligen Kunden durchgeführt. Ausnahmsweise, zum Beispiel aufgrund der aktuellen Situation im Lichte der COVID-19 Pandemie, können die wichtigsten Schritte eines solchen Audits auch remote durchgeführt werden.

Im Zuge der Bestandsaufnahme werden alle relevanten Datenverarbeitungsvorgänge aus datenschutzrechtlicher Sicht beleuchtet und im Hinblick auf die Einhaltung der Vorgaben aus DSGVO und BDSG geprüft. So wird im Ergebnis des Audits der Status Quo hinsichtlich der Erfüllung gesetzlicher Datenschutzanforderungen ermittelt. Abgeschlossen wird eine solche Bestandsanalyse mit einem umfassenden Bericht, der einerseits etwaige Missstände aufzeigt und andererseits hilfreiche Maßnahmenempfehlungen beinhaltet, mit deren Umsetzung der Verein zur Verbesserung seines Datenschutzstandards beitragen kann. So können potenzielle Risiken erkannt und deren Eintritt rechtzeitig verhindert werden. Die Risikoreduktion ist gerade für Vereine, die oftmals nicht über ein bodenloses Fass an finanziellen Mitteln verfügen, insbesondere vor dem Hintergrund der empfindlichen Bußgelder und Strafzahlungen der DSGVO wichtig, die Vereine wie Unternehmen gleichermaßen treffen können. Das Strafmaß reicht dabei von 20 Millionen Euro bis zu 4 % des weltweiten Jahresumsatzes, wobei der jeweiligen Aufsichtsbehörde obliegt, den jeweils höheren Wert zu wählen.

Die CCS unterstützt bei Bedarf selbstverständlich auch im Nachgang zur Bestandsaufnahme bei der konkreten Umsetzung der Maßnahmenempfehlungen.

Autor:
Benjamin Spallek, LL.M.
Director Compliance & Data Protection Services Creditreform Compliance Services GmbH

Für die Verstärkung des Teams im Bereich Compliance & AML suchen wir zum nächstmöglichen Termin eine(n)

Experte Compliance & AML (m/w/d)

in Vollzeit.

Ihre Herausforderungen:

  • Eigenverantwortliche fachliche Unterstützung von Mandanten und Ansprechpartner für Compliance- und geldwäscherelevante Fragestellungen
  • Übernahme der Funktion des Compliance-Beauftragten (MaRisk – und Wertpapier-Compliance) sowie des Geldwäschebeauftragten /„Zentrale Stelle“ gemäß § 25h KWG bei Mandanten im Rahmen eines Outsourcings
  • Umfassende Beratung bei der Implementierung von Compliance Management Systemen (CMS)
  • Durchführung von Risikoanalysen
  • Durchführung von Kontroll- und Überwachungshandlungen
  • Pflege und Weiterentwicklung von relevanten Dokumenten (z. B. schriftlich fixierte Ordnung, Arbeitsanweisungen)
  • Organisation von Schulungsmaßnahmen und deren Durchführung bei Mandanten
  • Unterstützung in Projekten 

Was zeichnet Sie aus:

  • Erfolgreich abgeschlossenes Studium der Rechts- oder Wirtschaftswissenschaften, Bankausbildung mit fachbezogener Weiterbildung oder vergleichbare Ausbildung  
  • Einschlägige praktische Erfahrung in den Bereichen MaRisk-Compliance, Wertpapier-Compliance und Geldwäscheprävention 
  • Unternehmerisches Denken und Handeln
  • Interesse an europäischen aufsichtsrechtlichen Entwicklungen in Bezug auf Compliance und Geldwäscheprävention
  • Kenntnisse des Banken- und Finanzdienstleistungsgeschäfts sind von Vorteil
  • Gute Englischkenntnisse (vertragssicher)
  • Sie sind Teamplayer mit starker Serviceorientierung und hohem Verantwortungsbewusstsein
  • Fähigkeit zur perfekten Kommunikation auf Geschäftsführungsebene, sicheres Auftreten sowie eigenverantwortliches Arbeiten
  • Bundesweite Reisebereitschaft (teilweise Projekteinsatz bei unseren Mandanten vor Ort) 

Wir bieten:

  • Arbeit in einem wachsenden, kompetenten Team
  • Einen zukunftsorientierten Arbeitsplatz
  • Ein anspruchsvolles und abwechslungsreiches Aufgabengebiet
  • Ein attraktives Vergütungspaket
  • Work-Life-Balance 

Wenn Sie diese verantwortungsvolle Aufgabe in einem spannenden und dynamischen Markt reizt, freuen wir uns auf Ihre aussagefähige Bewerbung unter Angabe Ihres frühestmöglichen Eintrittstermins und Ihrer Gehaltsvorstellung, vorzugsweise als PDF per E-Mail.

Creditreform Compliance Services GmbH
Silvia Rohe
Hammfelddamm 13
41460 Neuss
bewerbung@creditreform-compliance.de

Unvollständige Bewerbungsunterlagen können leider nicht berücksichtigt werden.