Datenschutz im Verein
Infos zur neuen Datenschutz-Grundverordnung
Seit 25. Mai 2018 ersetzen die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz neu (BDSG neu) das bisherige Bundesdatenschutzgesetz. Doch was heißt das im Vereinssport? Worum geht’s bei der Datenschutzgrundverordnung? Wieso betrifft einen Verein Datenschutz überhaupt? Wer ist für die Umsetzung im Verein verantwortlich?
Worum geht’s bei der Datenschutzgrundverordnung?
Die Datenschutzgrundverordnung (DSGVO) ist das seit dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar geltende Datenschutzrecht. Die DSGVO löst das bisherige Bundesdatenschutzgesetz (BDSG) ab. Im zukünftigen BDSG finden sich dann nur noch spezielle deutsche Regelungen zum Datenschutz. Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ prägen aber auch weiterhin das Datenschutzrecht.
Wieso betrifft meinen Verein Datenschutz überhaupt?
Das Datenschutzrecht ist immer dann anwendbar, wenn personenbezogene Daten verarbeitet werden. Personenbezogen sind Daten, die eine identifizierte oder identifizierbare natürliche Person betreffen. Personenbezogen sind daher Daten, durch die eine Person direkt (etwa über den Namen) bestimmt werden kann, aber auch solche Daten, die eine Kennnummer (z.B. Mitgliedsnummer) enthalten, aufgrund derer Sie oder ein anderer die betroffene Person identifizieren können (pseudonyme Daten). Nicht anwendbar ist das Datenschutzrecht auf anonyme Daten, bei denen eine Identifizierung des Betroffenen für niemanden mehr möglich ist.
Liegen personenbezogene Daten vor, unterliegt jede Verarbeitung (Erhebung, Speicherung, Bearbeitung, Übermittlung, etc.) dem Datenschutzrecht. In diesem Fall darf eine Verarbeitung nur vorgenommen werden, wenn es dafür eine rechtliche Grundlage gibt.
Im Verein werden insbesondere Daten der Mitglieder, der Hauptamtlichen und Ehrenamtlichen personenbezogen verarbeitet. In Betracht kommen aber auch Kontaktdaten von Funktionsträgerinnen und Funktionsträgern und Dienstleistern. Überdies liegt eine Verarbeitung personenbezogener Daten im Rahmen des Sportbetriebes vor.
Welches sind die wesentlichen Neuerungen im Datenschutz?
Konkret in der neuen Verordnung geregelt werden vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.
Die Rechte der Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen und Vereine gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben. Außerdem wird das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, nun in Gesetzesform gegossen.
Neben bereits bekannten Pflichten stellt die DSGVO auch weitergehende Anforderungen an den Datenschutz in Unternehmen und Vereinen. Neu ist beispielsweise die Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, etwa durch neue Technologien.
Außerdem gilt die DSGVO auch für Unternehmen und Vereine, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote sich aber an EU-Bürger wenden. Dies hat weitreichende Konsequenzen etwa für Unternehmen wie Facebook und Google mit Sitz in den USA.
Der Bußgeldrahmen bei Verstößen wird erheblich erhöht und kann bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens oder Vereines betragen.
Was ist ein Verzeichnis der Verarbeitungstätigkeiten (VVT)?
Dieses Verzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Vereins. Darin werden die Verarbeitungsvorgänge erfasst, bei denen personenbezogene Daten betroffen sind. Dies sind normale Verwaltungsprozesse, wie etwa die Mitgliederverwaltung oder Buchhaltung, aber auch sportspezifische Prozesse. Für jeden Verarbeitungsprozess werden dessen Zweck und die verarbeiteten personenbezogenen Daten beschrieben, auf welcher Rechtsgrundlage die Verarbeitung erfolgt, ggf. an wen die Daten übermittelt werden und welche Maßnahmen für den Schutz der Daten ergriffen wurden.
Ein Verzeichnis der Verarbeitungstätigkeiten über alle Verarbeitungsprozesse ist erst ab 250 Mitarbeitern zu führen. Daher beschränkt sich bei kleineren Vereinen die Verpflichtung auf solche Verarbeitungsprozesse, die nicht nur gelegentlich ausgeführt werden (v.a. die Mitgliederverwaltung) und bei denen besondere Kategorien von Daten (z.B. Gesundheitsdaten wie Größe, Gewicht, Gesundheitszustand, Krankheiten) verarbeitet werden.
Welche Informationspflichten treffen meinen Verein?
Um die Verarbeitung personenbezogener Daten für die Betroffenen (Mitglieder, Beschäftigte, Ehrenamtliche, Kunden, Nutzer, Fans) möglichst transparent zu gestalten, sehen Art. 13 und 14 DSGVO umfassende Informationspflichten vor. Dies ist insbesondere im Hinblick auf die Vereinswebsite und die Mitgliederverwaltung – insbesondere bei der Ansprache neuer Mitglieder – relevant. Betroffen sind aber auch viele andere Bereiche im Verein, wie die Erhebung sozialer Daten (Gesundheitsdaten), Anwesenheitslisten, Telefonlisten, Meldungen zu Wettkämpfen und, und, und…
Muss ich bei Kindern und Jugendlichen Besonderheiten beachten?
Ja, denn die DSGVO schützt Kinder und Jugendliche besonders, indem eine wirksame datenschutzrechtliche Einwilligung (z.B. zur werblichen Ansprache) erst nach Vollendung des 16. Lebensjahres möglich ist und bis dahin die gesetzlichen Vertreter wirksam einwilligen müssen. Dies gilt allerdings nur für die Verarbeitung von Daten, die aufgrund einer Einwilligung erfolgt. Soweit die Daten aufgrund der Vereinsmitgliedschaft (etwa für den Spielbetrieb) verarbeitet werden, ist eine Einwilligung nicht erforderlich.
Muss sich mein Verein auch um Datensicherheit kümmern?
Wer personenbezogene Daten verarbeitet, ist gesetzlich dazu verpflichtet für einen angemessenen technischen und organisatorischen Schutz dieser Daten zu sorgen. Dazu gehören mindestens der Schutz vor unbefugten Zugriffen, ein aktueller Virenschutz und regelmäßige Datensicherung sowie regelmäßige Sicherheitsupdates für Betriebssystem und Anwendungssoftware. Je nach Vereinsgröße und Komplexität der eingesetzten Informationstechnologie können wegen des größeren Risikos weitere Maßnahmen erforderlich werden. Der Verein trägt auch die Verantwortung, dass Auftragsverarbeiter in ihren Systemen für angemessenen Schutz sorgen. Seriöse Anbieter legen daher spätestens auf Anfrage eine Beschreibung der Sicherheitsmaßnahmen vor und haben auch vor einer persönlichen Prüfung keine Angst.
Wer ist für die Umsetzung im Verein verantwortlich?
Im Verein ist grundsätzlich der Vorstand nach § 26 BGB für die Umsetzung der gesetzlichen Anforderungen verantwortlich und muss daher entsprechende Veranlassungen treffen. Soweit ein/e Datenschutzbeauftragte/r bestellt ist, überwacht dieser zwar die Einhaltung des Datenschutzrechts und steht als Ansprechpartner zur Verfügung. Er/sie ist jedoch selbst nicht für die Umsetzung der sich daraus ergebenden Anforderungen zuständig.
Muss mein Verein einen Datenschutzbeauftragten bestellen?
Hinsichtlich der Pflicht, einen Datenschutzbeauftragten für den Verein zu bestellen, ändert sich für Vereine wenig. Wie schon nach alter Rechtslage muss ein Verein auch nach dem neuen BDSG einen Datenschutzbeauftragten bestellen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Die zu berücksichtigenden Personen müssen nicht beim Verein angestellt sein, da auch eine ehrenamtliche Tätigkeit (z.B. Trainer, Jugendwart, Kassenwart) ausreichend ist. Der Vereinsvorstand wird allerdings nicht mitgerechnet. Ständig ist die Tätigkeit, wenn sie für die Erledigung der Aufgabe normalerweise erforderlich ist und auch erfolgt. Gelegentliche Aushilfstätigkeiten finden demnach keine Berücksichtigung.
Ist ein Datenschutzbeauftragter zu bestellen, muss dieser über entsprechende Fachkenntnisse im Datenschutzrecht verfügen. Mit zunehmender Größe der Vereinsorganisation wachsen daher auch die Anforderungen an die fachliche Qualifikation des Datenschutzbeauftragten.
Die Bestellung ist der jeweils zuständigen Landesdatenschutzbehörde mitzuteilen.
Wie setzt der TSV Berlin-Wittenau 1896 e.V. alle diese Vorgaben um?
Natürlich war uns die Sicherheit der Daten unserer Mitglieder schon immer sehr wichtig. Darum ist Datenschutz im Allgemeinen nichts Neues im TSV. Allerdings nutzen auch wir die Aktualität des Themas um unsere sämtlichen Prozesse nochmal zu überdenken und hier und da Änderungen bzw. Ergänzungen vorzunehmen sowie die haupt- und ehrenamtlichen Mitarbeiter für dieses Thema zu sensibilisieren. Folgende Schritte haben wir unternommen:
- Es wurde ein/e Datenschutzbeauftragte/r benannt, der/die im Verein über die Prinzipien des Datenschutzes informiert und auf die Einhaltung dieser achtet
- Die Datenschutzbelehrung auf dem Beitrittsformular wurde erweitert
- Alle aktuellen und künftigen Mitarbeiter, Übungsleiter und Funktionsträger bestätigen mit ihrer Unterschrift, dass sie über die Prinzipien der DSGVO aufgeklärt und zur Einhaltung verpflichtet wurden
- Für die Umsetzung der DSGVO im TSV wird eine individuelle verbindliche Datenschutzordnung erstellt und veröffentlicht
- Sämtliche Formularvordrucke wurden/werden überprüft und ggs. überarbeitet um der Informationspflicht nachzukommen
Habt ihr Fragen, Hinweise oder Anmerkungen? Dann wendet euch bitte an unseren Datenschutzbeauftragten des TSV Berlin-Wittenau 1896 e.V.
Hendrik-Brian Melz
Tel +49 170-3000 363
E-Mail datenschutz@tsv-berlin-wittenau.de