Datenschutz im Verein – auch der Sportverein von nebenan muss die DSGVO beachten und umsetzen!

Gilt die DSGVO überhaupt für Vereine?

Diese Frage ist mit einem eindeutigen „Ja“ zu beantworten. Die EU-Datenschutz- Grundverordnung (DSGVO) entfaltet ihre Wirkung für Vereine aller Art (also z.B. auch für gemeinnützige Vereine), genauso wie für alle anderen Gesellschaftsformen. Nichts anderes gilt im Übrigen für die ergänzenden Vorschriften des Bundesdatenschutzgesetzes (BDSG). Sobald personenbezogene Daten verarbeitet werden, müssen diese geschützt werden. Das ist schon der Fall, wenn Mitgliederdaten erhoben werden. Dabei ist esunerheblich, welche Form die datenverarbeitende Stelle hat, also ob es sich um eine Firma, eine Behörde oder einen Verein handelt. Ebenso irrelevant ist, ob letzterer im Vereinsregister eingetragen ist oder nicht. Der Datenschutz ist generell für alle Vereinsmitglieder zu gewährleisten.

Was müssen Vereine beachten?

Der Datenschutz ist gerade deshalb für Vereine ein so wichtiges Thema, weil der Umgang mit personenbezogenen Mitgliederdaten nicht zu vermeiden ist und es sich bei den Vereinsmitgliedern nicht selten um Kinder und Jugendliche handelt, deren Daten besonders schützenswert sind. Die Vorschriften gelten allgemein, Sonderregelungen für Vereine gibt es in aller Regel nicht.

Inhaltlich schreibt die DSGVO im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter. Ein Verein muss zur Betreuung seiner Mitglieder deren personenbezogene Daten verarbeiten. Das beginnt beim Eintritt in den Verein. Dabei dürfen nur solche Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind.

Für die verantwortlichen Vereine bedeutet die DSGVO vor allem erweiterte Dokumentations- und Nachweispflichten, um der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO zu genügen.

Jede Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage. Für Vereine dürfte besonders häufig Art. 6 Abs. 1 lit. b DSGVO in Betracht kommen. Demzufolge ist eine Datenverarbeitung rechtmäßig, wenn sie der beispielsweise der Erfüllung eines Vertrages dient. Eine Vereinsmitgliedschaft ist als Vertragsverhältnis zu werten, weshalb alle Datenverarbeitungen zulässig sind, die in unmittelbarem Zusammenhang mit den Vereinszielen stehen. Die Ziele sollten möglichst genau und hinreichend konkret in der Vereinssatzung beschrieben werden.

Was sollten Vereine tun?

Zunächst sollten Vereine alle relevanten Verarbeitungsvorgänge personenbezogener Daten identifizieren, kategorisieren und dokumentieren. Dies sollte am besten anhand eines sog. Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO erfolgen. Hierzu bedarf es zunächst einer Bestandsaufnahme aller Datenverarbeitungsvorgänge im Verein. Dies kann ohne die nötigen fachlichen sowie zeitlichen Kapazitäten häufig eine scheinbar nicht zu überwindende Hürde darstellen. Hier kann es Sinn machen, auf den großen Erfahrungsschatz und das umfangreiche Fachwissen von externen Spezialisten zu setzen, so wie etwa die Creditreform Compliance Services GmbH (CCS) es anbietet.

Wie läuft eine Bestandsaufnahme im Datenschutz ab?

Die Bestandsaufnahme im Datenschutz wird in aller Regel im Rahmen eines Vor-Ort- Audits in den Räumlichkeiten des jeweiligen Kunden durchgeführt. Ausnahmsweise, zum Beispiel aufgrund der aktuellen Situation im Lichte der COVID-19 Pandemie, können die wichtigsten Schritte eines solchen Audits auch remote durchgeführt werden.

Im Zuge der Bestandsaufnahme werden alle relevanten Datenverarbeitungsvorgänge aus datenschutzrechtlicher Sicht beleuchtet und im Hinblick auf die Einhaltung der Vorgaben aus DSGVO und BDSG geprüft. So wird im Ergebnis des Audits der Status Quo hinsichtlich der Erfüllung gesetzlicher Datenschutzanforderungen ermittelt. Abgeschlossen wird eine solche Bestandsanalyse mit einem umfassenden Bericht, der einerseits etwaige Missstände aufzeigt und andererseits hilfreiche Maßnahmenempfehlungen beinhaltet, mit deren Umsetzung der Verein zur Verbesserung seines Datenschutzstandards beitragen kann. So können potenzielle Risiken erkannt und deren Eintritt rechtzeitig verhindert werden. Die Risikoreduktion ist gerade für Vereine, die oftmals nicht über ein bodenloses Fass an finanziellen Mitteln verfügen, insbesondere vor dem Hintergrund der empfindlichen Bußgelder und Strafzahlungen der DSGVO wichtig, die Vereine wie Unternehmen gleichermaßen treffen können. Das Strafmaß reicht dabei von 20 Millionen Euro bis zu 4 % des weltweiten Jahresumsatzes, wobei der jeweiligen Aufsichtsbehörde obliegt, den jeweils höheren Wert zu wählen.

Die CCS unterstützt bei Bedarf selbstverständlich auch im Nachgang zur Bestandsaufnahme bei der konkreten Umsetzung der Maßnahmenempfehlungen.

Autor:
Benjamin Spallek, LL.M.
Director Compliance & Data Protection Services Creditreform Compliance Services GmbH