Checkliste DSGVO – Datenschutz im Verein

In der Beratungspraxis empfinden sich viele ehrenamtlich tätige Vorstandsmitglieder gemeinnütziger Vereine häufig überfordert mit den verschiedenen, von ihnen zu bewältigenden Aufgaben des Datenschutzes im Verein. Die nach der EU-Datenschutzgrundverordnung (DSGVO) relevanten Bereiche sind in der nachfolgenden Checkliste skizziert: 

1) Aktualisierung für DSGVO-konforme Datenschutzerklärung für die Website

2) Allgemeine Datenschutzerklärung Vereinsverwaltung (Art. 13,14 DSGVO)

3) Prüfung Erfordernis Datenschutzbeauftragter

Nach Art. 37 Abs. 4 DSGVO in Verbindung mit § 38 Abs. 1 BDSG-neu gilt die 10-Personen-Regel: Sind mindestens zehn Personen im Verein ständig mit der Datenverarbeitung beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. 

4) Entwurf Formulare für Einwilligung in die Datenverarbeitung (notwendig bei Veranstaltungen, Ausschreibungen, Wettkämpfen, Veröffentlichung von Fotos, etc.). 

5) Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten ist i. d. R. zu führen, da in Vereinen die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt und damit die Ausnahmevorschrift des Art. 30 abs. 5 DSGVO nicht greifen dürfte. 

Für jede einzelne Verarbeitungstätigkeit sind folgende Angaben vorgeschrieben:

• Namen und die Kontaktdaten des Verantwortlichen sowie ggf. des Vertreters;
• Namen und die Kontaktdaten des Datenschutzbeauftragten (falls erforderlich);
• die Zwecke der Datenverarbeitung;
• die Art der Personen, deren Daten verarbeitet werden (z. B. Mitglieder, Beschäftigte oder Lieferanten);
• die Art der verarbeiteten Daten;
• die möglichen Empfänger der Daten, an die Daten übermittelt werden oder worden sind;
• die Übermittlung von Daten in die USA oder in ein anderes Land außerhalb der EU (z. B. bei der Nutzung von Webmail-Diensten oder anderen Cloud-Diensten);
• Löschfristen;
• Beschreibung der technischen und organisatorischen Maßnahmen der Datensicherheit nach Art. 32 DSGVO.

6) Einführung Datenschutz-Management-System „Datenschutzordnung“. 

Der Datenschutz-Verantwortliche (=Vorstand) ist bei der Verarbeitung personenbezogener Daten für die Umsetzung und Einhaltung der Verordnung verantwortlich und muss dies jederzeit nachweisen können (Art. 5 Abs. 2 sowie Art. 24 Abs. 1 DSGVO). Daher wird der Verantwortliche ein System zur Steuerung und Kontrolle der datenschutzkonformen Datenverarbeitung einführen müssen – ein Datenschutz-Management-System, mit dem die ergriffenen Maßnahmen zur Einhaltung der DSGVO zudem angemessen dokumentiert werden können. 

Im Rahmen des Datenschutz-Management-Systems wird die Vereinsführung Standartvorgehensweisen für typische Sachverhalte entwickeln müssen. Dieses Regelwerk kann als „Datenschutzrichtlinie“ oder „Datenschutzordnung“ bezeichnet werden.

7) Ggf. Datenschutz-Folgeabschätzung erforderlich

Fazit:

Zusammenfassend stehen für den verantwortlichen Vereinsvorstand eine Vielzahl datenschutzrechtlich relevanter Aufgaben an, die das Zeitbudget ehrenamtlich Tätiger und das Vereinsbudget häufig nicht unerheblich beanspruchen dürften. Diese Erfahrung kann ich aus eigener, mehr als zehnjähriger ehrenamtlicher Vorstandstätigkeit im Vorsitz eines gemeinnützigen Vereins bestätigen. 

Dennoch sollte im Hinblick auf die nicht unerheblichen Bußgelder, die der Verordnungsgeber vorgesehen hat, die Thematik des Datenschutzes im Verein nicht „auf die leichte Schulter“ genommen werden. Es genügt bereits ein mit der Vereinsführung verärgertes Mitglied, um bei datenschutzrechtlich begründeten Beschwerden, einen unvorbereiteten Vorstand in einen erheblichen Zugzwang zu bringen.