Wir freuen uns, dass wir ab Oktober den Olympiastützpunkt Rhein-Neckar in Heidelberg betreuen dürfen. Hierbei handelt es sich um einen Verein, bei dem datenschutztechnisch teilweise andere Punkte beachtet werden müssen, als bei anderen Unternehmensformen. Egal ob Tierschutzverein, Musik-, Karnevals- oder Kulturverein, Fußball- oder allgemeiner Sportverein, jeder dieser Vereine muss, um seine Mitglieder betreuen zu können, deren personenbezogene Daten verarbeiten.
Sobald die Daten unter Einsatz einer automatisierten Datenverarbeitung oder herkömmlicher Karteikarten verarbeitet werden fallen diese in den Anwendungsbereich des Bundesdatenschutzgesetzes (§ 1 Abs. 2 Nr. 3 BDSG). Dabei ist es völlig unerheblich, ob es sich bei dem Verein um einen im Vereinsregister eingetragenen Verein handelt und er damit eine eigene Rechtspersönlichkeit besitzt oder nicht.

Vereinsdatenschutz

In der Regel sind die Aufgaben abgegrenzt und bestimmten Funktionsträgern zugewiesen und es ist aufgrund der Satzung bereits geregelt, wer auf welche Daten zugreifen darf.
Die personenbezogenen Daten dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie erhoben wurden. Jeglicher anderweitige Datenaustausch ist verboten.
Ist es Zweck und Ziel des Vereins, dass die Mitglieder ihre Daten untereinander austauschen und in Kontakt treten weil der Vereinszweck genau darin besteht, ist eine Weitergabe von Mitgliederlisten datenschutzrechtlich möglich.
Unabhängig davon sollte den Mitgliedern des Vereins, geschickter Weise bereits im Aufnahmeantrag, mitgeteilt werden, zu welchem Zweck die Daten erhoben werden und dass sie jederzeit die Möglichkeit haben, der Weitergabe der Daten zu widersprechen.

Wer darf was im Verein?

Auch das klassische „Schwarze Brett“ im Verein sollte nur mit Bedacht gefüttert werden. Gerne werden auf diesem Mannschaftsaufstellungen oder Leistungsergebnisse veröffentlicht, die jedoch auch von vereinsfremden Personen eingesehen werden können. Hier sollte unbedingt beachtet werden, dass derartige Mittteilungen unterbleiben, wenn ihnen schützenswerte Belange der Betroffenen gegenüberstehen. Auch bei Veröffentlichungen im Internet sind hier (wesentlich engere) Grenzen gesetzt.

Zu beachten sind auch ganz simple Dinge, wie beispielsweise die Weitergabe von Spielaufstellungen oder Spielerlisten bei Trainern untereinander. Ebenso die dazugehörigen Kontaktdaten (Adressen, Telefonnummern). Ein einfaches Hin- und Herreichen zwischen Vereinen ist nicht bedenkenlos machbar.
Fotos zählen ebenfalls zum Kreis der personenbezogenen Daten und werden immer öfter Stein des Anstoßes in Vereinen, Schulen oder Kindergärten, sobald diese auf Webseiten oder in sozialen Netzwerken veröffentlicht werden. Ohne eine Einwilligung der Betroffenen Person oder der Eltern kann es hier schnell zu Problemen kommen. 

Auch sind die Daten eines Vereins nicht automatisch die Daten des Dachverbandes, dem der Verein angehört. Dieser ist dem Grunde nach wie eine externe Stelle zu betrachten. Erfüllt der Dachverband für den Verein diverse Aufgaben in dessen Interesse, so muss dieses Auftragsverhältnis mit Hilfe eines Vertrags zu Auftragsdatenverarbeitung geregelt werden.

In jedem Verein sollte zusätzlich ein Löschkonzept für die Daten vorliegen, da diese nicht auf Dauer im Bestand bleiben dürfen. Teilweise gelten hierfür gesetzliche Regelungen (z. B. bei Rechnungsstellungen) und teilweise muss ein internes Konzept hierfür erstellt werden. Dabei gilt grundsätzlich die Devise: ist der Zweck der Verarbeitung entfallen, müssen die Daten sehr zeitnah gelöscht werden, sofern nicht eine gesetzliche Regelung eine längere Aufbewahrungsfrist vorschreibt.

Vereine und die EU-Datenschutzgrundverordnung

Der Düsseldorfer Kreis hat für Vereine eine Orientierungshilfe erstellt, die nicht nur einen Einblick in die Vorschriften gibt, sondern dabei behilflich sein kann, einen Überblick zu erhalten, was auch in sehr kleinen Vereinen beachtet werden sollte und zwingend umgesetzt werden muss.
Mit Einführung der EU-Datenschutzgrundverordnung am 25. Mai 2018 wird sich nicht viel bzgl. der Sorgfaltspflicht im Umgang mit personenbezogenen Daten ändern. Die Vorgaben bzgl. Transparenz, Einwilligung, Löschung und Datenübertragbarkeit werden sogar noch genauer und restriktiver. Deshalb gilt es, sich vor in Kraftteten mit dem Thema Datenschutz im Verein zu beschäftigen, da im nächsten Jahr die Strafen bei Verstößen ebenfalls extrem in die Höhe schnellen.
Bezüglich der Bestellpflicht eines Datenschutzbeauftragten ändert sich durch die Gesetzesänderung nichts. Auch Vereine, die 10 Mitarbeiter beschäftigen, welche mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten bestellen. Unter Mitarbeiter fallen hier sowohl die Geschäftsführung, als auch Halbtags- und Teilzeitkräfte, Azubis, Aushilfen oder Praktikanten.

Sollten Sie sich nicht sicher sein, ob Sie einen Datenschutzbeauftragten für Ihren Verein bestellen müssen, sprechen Sie mit uns. Egal ob in Heidelberg, Speyer, Bruchsal, Sinsheim, Heilbronn, Mosbach, Neckargemünd oder über den Rhein-Neckar Kreis hinaus bis nach Karlsruhe, Stuttgart oder Darmstadt: wir freuen uns über Ihre Kontaktaufnahme. Die dacuro ist in unterschiedlichen Branchen im Bereich Datenschutz unterwegs. Ob Verein, Dienstleister oder Catering: Ein Datenschutzbeauftragter schaut auf die Verarbeitung personenbezogener Daten. Gerne schauen wir auch auf Ihre.