Datenschutzpraxis in Vereinen und Verbänden 2021 ff. Fünfzehn Handlungsfelder

1. Einleitung

Die EU – Datenschutzgrundverordnung  ( DS- GVO) hat uns im Jahre 2018 intensiv beschäftigt. Informationsveranstaltungen, Seminare, Vorträge, Tagungen, und… und … und. Ehrenamtliche in Vereinen und Verbänden sind umfassend „sensibilisiert“ und setzen auch in 2019 sukzessive das neue Datenschutzrecht um. Die Datenaufsichtsbehörden beklagen Mehrarbeit, haben Prüffelder entwickelt  und  kommuniziert und prüfen… zurückhaltend – wie in den vergangenen Jahren auch(!)- Vereine und Verbände.

Seit dem 25.5.2018 haben sich in der Vereins- und Verbandspraxis insgesamt fünfzehn Handlungsfelder „ herausgebildet“, die Vereine und Verbände in ihrem DS- GVO- Fokus haben müssen. 

Dieser Aufsatz erläutert kurz und knapp die Handlungsfelder. Der gleichnamige Power- Point- Vortrag kann  im downloadbereich unter www.maltejoerguffeln.de kostenfrei  heruntergeladen werden.  Telefonische Anfragen unter + 49 152 – 21 69 36 72  beantwortet der Verfasser  gerne.

2. Die 15 Handlungsfelder in der Datenschutzpraxis 2019 ff.

Die Verarbeitung  personenbezogener Daten natürlicher Personen ist verboten, es sei denn, Sie ist erlaubt ( Prinzip des Datenschutzes: Verbot mit Erlaubnisvorbehalt). Datenverarbeitung ist insbesondere in den Fällen des Art. 16 DS- GVO erlaubt („Einwilligung“).

1. Handlungsfeld 1 : Beitrittserklärung

„Alte“ Beitrittserklärungen  ( vor dem 25.5.2018) gelten fort. Die „ neuen“ Beitrittserkärungen müssen DS- GVO konform gestaltet werden. Gemäß dem Grundsatz der Datensparsamkeit/Datenminimierung dürfen Vereine und Verbände nur die für die Verwaltung zwingend notwendigen Daten erheben. Ohne Name, Vorname, Straße, Ort, Telekommunikationsverbindungen geht in Verein und Verband nichts.

1. Handlungsfeld  2  Informationspflichten, Rechte der Mitglieder

Viele Vereine haben nach dem 25.5.2018 ihre Mitglieder über deren Rechte nach der DS- GVO hingewiesen. Das MUSTER eines Informationsschreibens finden Sie im downloadbereich unter www.maltejoerguffeln.de  . Die Information kann erfolgen über Rundschreiben, Vereinszeitung oder auch e-mail-Newsletter.

1. Handlungsfeld 3  Minderheitenbegehren nach § 37 BGB

Mitglieder können nach den Satzungen ihres Vereines/Verbandes ein Minderheitenbegehren nach § 37 BGB auf Einberufung einer Mitgliederversammlung geltend  machen. Dazu ist ihnen Einsicht in die Mitgliederliste zu gewähren. Die antragstellenden Mitglieder sollten schriftlich auf den Datenschutz und ihre Verschwiegenheitspflicht hingewiesen werden.

1. Handlungsfeld 4  Datenschutzklausel in der Satzung

Weder vereinsrechtlich ( BGB) noch steuerrechtlich (AO, etc.) ist eine Datenschutzklausel in einer Satzung notwendig. Seit dem 25.5.2018 hat sich aber in vielen Diskussionen mit Praktikern die mehrheitliche Meinung herausgebildet, dass eine Datenschutzklausel in einer Satzung dem Datenschutz förderlich ist, Statt einer – den Inhalten der Beitrittserklärung ähnelnden umfassenden Datenschutzklausel  - wird jetzt von hier eine Globalklausel mit Verweis auf eine Datenverarbeitungsrichtlinie empfohlen. Diese kann wie folgt formuliert werden:

Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage dieser Satzung, der DS- GVO, dem BDSG und allen weiteren einschlägigen datenschutzrechtlichen Bestimmungen, die unter www……. einsehbar ist.

22. Handlungsfeld 5 Datenverarbeitungsrichtlinie

Es wird empfohlen, in einer vom Vorstand zu beschließenden Datenverarbeitungsrichtlinie Art und Weise und Umfang der Verarbeitung personenbezogener Daten klar festzulegen.  Eine MUSTER finden Sie unter https://www.chorverband-der-pfalz.de/wordpress/wp-content/uploads/2018/07/DS-GVO-Verschiedene-Muster-f%C3%BCr-die-Vereinsarbeit.pdf

1. Handlungsfeld 6  Bestellung eines Datenschutzbeauftragten

Nach § 38 I BDSG, Art. 37 DS- GVO ist ein Datenschutzbeauftragter ( intern oder extern) zu bestellen, wenn in der Regel mindestens z e h n Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Der sodann bestellte Datenschutzbeauftragte ist der jeweiligen Datenschutzaufsichtsbehörde zu melden.

Auch wenn de jure k e i n  Datenschutzbeauftragter zu bestellen und zu melden ist, sollte der Vorstand einen für Datenschutz- und Informationssicherheit verantwortliches Vorstandsmitglied durch Beschluss bestellen und öffentlich kommunizieren ( Homepage, Aushang etc.)

1. Handlungsfeld 7 Verarbeitungsverzeichnis

Jeder „Verantwortliche“ Datenverarbeiter hat nach Art. 30 DS- GVO ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, zu führen und zu aktualisieren und auf Nachfrage der Datenaufsichtsbehörde dieser vorzulegen. Das Verarbeitungsverzeichnis ist eine prozessorientierte Übersicht aller Datenverarbeitungsvorgänge und weist insbesondere aus, wer ? wann ? welche Daten ? in welchem Kontext ? wie ? verarbeitet. Ein einfaches , sehr praktikables Ein MUSTER finden Sie unter : https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf

1. Handlungsfeld 8 Videoüberwachung

Sollten Sie – bspw. zur Sicherung eines Vereinsheims .- ein Objekt videoüberwachen wollen, richtet sich die Zulässigkeit nach Art. 6 DS- GVO i.V.m. § 4 BDSG nF.  Beobachtung, Speicherung oder Verwendung, Kennzeichnung, Information und Löschung bedürfen jeweils individueller Verhältnismäßigkeitsprüfungen ( Erforderlichkeit, Geeignetheit, Zweck-Mittel-Relation). Ohne fachlichen Rat geht das  hier in der Regel nicht.

1. Handlungsfeld 9  Kooperation Verein und Verband

In der Regel erhebt der Verein personenbezogene  Daten i.S.d. Art. 4 Nr. 1 DS-GVO und gibt im Rahmen seiner Arbeit Daten weiter an Dachverbände, in denen der Verein Mitglied ist ( bspw.. für  Ehrungen seiner Mitglieder, Teilnahme an Wettkämpfen). Verein und Verband müssen nach überwiegender Meinung der Datenschutzpraktiker keinen Auftragsdatenverarbeitungsvertrag nach Art. 28 – DS- GVO schließen. Auch als nicht notwendig angesehen wird eine gemeinsame Vereinbarung nach Art. 26 DS- GVO, da die Datenverarbeitung auf Grund  von Verein und Verband bindenden Satzungslagen erfolgen. Es ist zu empfehlen auf diesen Tatbestand in der Beitrittserklärung oder der Datenverarbeitungsrichtlinie  expressis verbis hinzuweisen.

24. Handlungsfeld 10 Mitgliederverwaltung in der Cloud

Das ist die Zukunft der Mitgliederverwaltung, bzw. der Kommunikation mit den Mitgliedern.

Der Verein muss mit seinem „dritten“- externen Dienstleister einen Auftragsdatenverarbeitungsvertrag mit den Inhalten nach Art. 28,29 DS- GVO schließen.

1. Handlungsfeld 11 TOM  Technisch – Organisatorische Maßnahmen

Der Verein hat durch technisch-, organisatorische Maßnahmen ein Höchstmaß an Datenschutz und Datensicherheit zu gewähren. Maßnahmen können u.a. sein: Zutrittskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle. Passwörter für PC- Nutzung sind zu vergeben, mobile Geräte zu verschlüsseln, Netzwerksicherheit(Firewall) ist zu gewährleisten und … und … und.

1. Handlungsfeld 12 Datenschutz- Folgenabschätzung ( Art. 35 DS- GVO)

Vereine und Verbände, die hochsensible Daten mit hohem Risiko  für betroffene natürliche Personen verarbeiten ( bspw. im Gesundheitsbereich) müssen ggf. eine Datenschutz- Folgenabschätzung vornehmen und Bearbeitungsvorgänge darin systematisch beschreiben, Verarbeitungsvorgänge, Risiken und Abhilfemaßnahmen bewerten. Hier sollte in jedem Fall fachlicher Rat eingeholt werden.

1. Handlungsfeld 13 Internet-, Facebook- Seite

Die Anbieterkennung muss den Vorschriften der §§ 5, 6 TMG entsprechen. Die Homepage hat eine Datenschutzerklärung zu enthalten.. MUSTER unter https://www.webseitenschutzpaket.de/artikel/datenschutzerklaerung-auf-webseiten-inhalt/

1. Handlungsfeld 14 Bilder im Verein

Auch nach dem 25.5.2018 können bei nicht öffentlichen und öffentlichen Veranstaltungen in Verein und Verband   Bilder von Menschen gemacht und veröffentlicht werden. Das KunstUrhG liefert auch nach dem Inkrafttreten der DS- GVO die Rechtsgrundlage für die Verbreitung und Veröffentlichung von Personenbildern. „Ohne Einwilligung“ dürfen nach § 23 KunstUrhG veröffentlicht werden:  Bilder zeitgeschichtlicher Ereignisse, Bilder mit Personen als Beiwerk, Bilder von öffentlichen Versammlungen und Aufzügen, Bilder von Kunstveranstaltungen. Zu empfehlen ist bei nicht öffentlichen Veranstaltungen das Einholen einer Fotoerlaubnis vor dem Fotografieren.. Jeder, der fotografiert sollte sich vor der Veröffentlichung des Fotos einer anderen Person stets fragen, ob er das Bild auch veröffentlichen würde, wenn er auf dem Bild wäre ?. Stets ist daher die Reichweite der Veröffentlichungsbefugnis zu prüfen.

XV.     Handlungsfeld 15  WhatsApp im Verein

WhatsApp als Messenger Dienst ist unter Vereinsmitgliedern zur Standardkommunikation geworden. Jeder Vorstand muss sich vor dem Hintergrund der Sicherheitsrisiken bei WhatsApp und der Problematik der Weitergabe personenbezogener Daten entscheiden, ob WhatsApp als offizielles Kommunikationsmedium genutzt wird, oder nicht ? Die Mitgliederversammlung sollte hier final entscheiden.