Die Datenschutz-Grundverordnung (DS-GVO) gilt jetzt nun seit über acht Monaten europaweit. Sie unterscheidet nicht zwischen öffentlichen Stellen sowie nicht-öffentlichen Stellen und gilt sowohl für Unternehmen als auch für Vereine. Auch spielt es keine Rolle, ob der Verein ins Vereinsregister eingetragen ist oder ob es sich um einen nicht rechtsfähigen Verein handelt. Da die DS-GVO sich größtenteils an die alte Fassung des Bundesdatenschutzgesetzes anlehnt, sind mit der Einführung der Verordnung nicht vollständige Neuerungen des Datenschutzrechts verbunden. Dennoch hat die DS-GVO zu großen Verunsicherungen geführt.
Anwendbarkeit der DS-GVO
Das Datenschutzrecht greift ausschließlich bei der Verarbeitung personenbezogener Daten von natürlichen Personen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. In Vereinen dürften dies beispielsweise der Name, die Adresse, der Familienstand oder das Geburtsdatum der Vereinsmitglieder sein.
Verbot mit Erlaubnisvorbehalt
Grundsätzlich gilt bei der Verarbeitung von personenbezogenen Daten das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass für die Verarbeitung ein Erlaubnistatbestand nach Art. 6 DS-GVO erfüllt sein sollte.
Für Vereine dürften hier vor allem Art. 6 Abs. 1 lit. a, b und f DS-GVO in Frage kommen. Sofern die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich, so ist Art. 6 Abs. 1 lit. b DS-GVO die Rechtsgrundlage für die Verarbeitung. Alternative Rechtsgrundlage könnte Art. 6 Abs. 1 lit. f DS-GVO sein, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. Zu beachten gilt jedoch, dass die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen, nicht gegenüber den Interessen des Vereins überwiegen dürfen. Auch ist die Verarbeitung personenbezogener Daten zulässig, wenn freiwillige und informierte Einwilligungen der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a DS-GVO eingeholt wurden.
Werden besondere Kategorien personenbezogener Daten verarbeitet, wie Gesundheitsdaten, dann sollte Art. 9 DS-GVO berücksichtigt werden.
Datensparsamkeit
Im Hinblick auf die Verarbeitung sollte beachtet werden, dass u. a. nur die personenbezogenen Daten verarbeitet werden sollten, die für den Zweck erforderlich sind. Dies beschreibt der Grundsatz der Datensparsamkeit nach Art. 5 DS-GVO. Im Zuge dessen sollte der Verein seine Mitglieder zudem geeignet über die Verarbeitung informieren. Unter anderem sollten hier Angaben zum Zweck, zur Speicherdauer und zur Rechtsgrundlage erfolgen.
Informationspflichten nach Art. 13 und 14 DS-GVO
Gemäß Art. 13 und 14 DS-GVO muss der Verantwortliche, in diesem Fall der Verein, sogenannten Transparenz- bzw. Informationspflichten nachkommen. Existiert zudem ein Webauftritt des Vereins, so sollte auch auf diesem eine Datenschutzerklärung hinterlegt sein, welche über die Verarbeitung von personenbezogenen Daten informiert. Hierunter fallen insbesondere unter anderem Informationen:
- Name und Kontaktdaten des Verantwortlichen
- Name des Datenschutzbeauftragten (sofern vorhanden)
- Zweck für die Verarbeitung
- Rechtsgrundlage für die Verarbeitung
- Empfänger oder mögliche Empfänger, an welche die Daten weitergegeben werden
- Speicherdauer der Daten
- Betroffenenrechte
- Absicht, die Daten in ein Drittland zu übermitteln (Vor allem relevant, sofern eine Cloud-Lösung zur Verwaltung der Mitgliederdaten verwendet wird)
Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO
Auch ein Verzeichnis von Verarbeitungstätigkeiten muss der Verein führen. Im Verzeichnis von Verarbeitungstätigkeiten werden alle Prozesse aufgeführt, bei denen personenbezogene Daten verarbeiten werden, wie beispielsweise die Neuanmeldung eines Mitglieds.
Geeignete technische und organisatorische Maßnahmen
Es werden zwar nicht im Einzelnen konkrete Maßnahmen festgelegt, welche der Verantwortliche treffen muss. Es sollte jedoch ein angemessenes Schutzniveau – unter Berücksichtigung des Stands der Technik und der Kosten im Hinblick auf die Verarbeitung der personenbezogenen Daten – getroffen werden. In Art. 32 DS-GVO werden unter anderem folgende Maßnahmen aufgeführt:
- Verschlüsselung der Daten,
- Sicherung der Vertraulichkeit und Belastbarkeit der Systeme,
- Fähigkeit zur raschen Wiederherstellung der Daten nach einem physischen oder technischen Zwischenfall,
- Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Auftragsverarbeitung
Werden einzelne Tätigkeiten, bspw. die Wartung der EDV, die Archivierung oder Entsorgung von Unterlagen, an externe Dienstleister ausgelagert und diese verarbeiten personenbezogene Daten im Auftrag, so sollten entsprechende Verträge zur Auftragsverarbeitung mit den Dienstleistern geschlossen werden. Man spricht von einer Auftragsverarbeitung, wenn personenbezogene Daten durch einen Auftragnehmer nach Weisung des Auftraggebers verarbeitet werden. Bei einer Auftragsverarbeitung hätte der Verein die Verantwortung und würde ein umfassendes Weisungs- und Kontrollrecht behalten. Bei der Auswahl des Dienstleisters sollte demnach sorgfältig geprüft werden, ob auch der Auftragsverarbeiter die Vorgaben der DS-GVO erfüllt.
Verstöße gegen die DS-GVO
Mit Geltung der Datenschutz-Grundverordnung sind zudem Sanktionen im Datenschutz von 20 Millionen Euro und mehr denkbar. Es dürfte aber davon auszugehen sein, dass eventuelle Bußgelder für Vereine verhältnismäßig ausfallen werden.
Datenschutz im Verein – 10 Punkte für die Umsetzung
Zusammenfassend lassen sich die wichtigsten Pflichten in 10 Punkten zusammenfassen. Unter anderem hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz einen Ratgeber für Vereine veröffentlicht, indem die 10 Tipps für die Umsetzung der DS-GVO enthalten sind:
- Vereine sollten vor der Verarbeitung von personenbezogenen Daten prüfen, ob eine geeignete Rechtsgrundlage vorliegt. Sofern die Verarbeitung auf keine Rechtsgrundlage gestützt werden kann, sollten informierte Einwilligungen von den Betroffenen eingeholt werden.
- Weiterhin sollte bei der Verarbeitung auf die Grundsätze der Datensparsamkeit und der Zweckbindung geachtet werden. Es sollten ausschließlich die personenbezogenen Daten verarbeitet werden, welche für den Zweck erforderlich sind. Nach Zweckentfall sollten die Daten gelöscht werden.
- Mitglieder sowie ggf. sonstige betroffene Personen sollten über die Verarbeitung ihrer personenbezogenen Daten geeignet informiert werden. Sofern eine Webseite vorhanden ist, sollte zudem eine Datenschutzerklärung eingebunden werden.
- Vereine sollten des Weiteren sicherstellen, dass Anfragen, im Zuge der Betroffenenrechte, wie beispielsweise einem Auskunftsersuchen, zeitnah nachgekommen wird.
- Es sollte geprüft werden, ob eine Bestellung eines Datenschutzbeauftragten erforderlich ist.
- Auch die Dokumentations- und Rechenschaftspflicht sollte nicht außer Acht gelassen werden, weswegen Sie die Rechtskonformität der vorgenommenen Verarbeitungen dokumentieren sollten. Das gilt auch für die Erfüllung von Informationspflichten.
- Daneben sollte ein Verzeichnis von Verarbeitungstätigen gemäß Art. 30 DS-GVO erstellt und dieses auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.
- Vereine sollten darüber hinaus darauf achten, dass geeignete technische und organisatorische Maßnahmen ergriffen werden. Geachtet werden sollte unter anderem auf die Aktualität von Betriebssystem und Software, einem geeigneten Passwortschutz, dem Einsatz einer Virensoftware, auf geeignete Zugriffsberechtigungen und regelmäßige Datensicherungen.
- Sofern ein hohes Risiko bei der Verarbeitung von personenbezogenen Daten im Verein besteht, sollte außerdem eine Datenschutz-Folgenabschätzung durchgeführt werden.
- Auch sollte geprüft werden, ob Verträge zur Auftragsverarbeitung mit externen Dienstleistern abgeschlossen werden müssen.