Datenschutz in Verbänden: Was müssen Vereine beachten?
- DSGVO gilt für Vereine und Verbände, schützt Mitgliederdaten.
- Verarbeitung personenbezogener Daten nur zu legitimen Zwecken erlaubt.
- Herausgabe von Mitgliederlisten zulässig, wenn Vereinszwecke erfüllt werden.
- Externe Dienstleister können bei DSGVO-Umsetzung helfen.
- Datenverarbeitung auf Rechtsgrundlagen stützen, Einwilligungen sind widerrufbar.
- Item A
- Item B
- Item C
Seit der Einführung der DSGVO hat sich die Rechtslage im Hinblick auf den Datenschutz deutlich verändert. Davon sind nicht nur Unternehmen und Behörden betroffen, sondern auch Verbände oder Vereine. Insbesondere für sie ist der Datenschutz auch im Alltag ein wichtiges Thema, denn die Erfassung und Verwendung von Mitgliederdaten ist meist ein essenzieller Teil der Vereinsarbeit. Umso wichtiger ist es, den Schutz personenbezogener Daten auch im Verband zu gewährleisten. In diesem Beitrag zeigen wir Ihnen, welche Regeln für Verbände gelten und wie Sie diese am besten umsetzen.
Ihr Verband benötigt rechtliche Unterstützung?
Unser Team besteht aus mehr als 80 Datenschutzexperten, die Sie gern umfassend zum Thema beraten. Nehmen Sie jederzeit Kontakt zu uns auf.
Das Wichtigste in Kürze
- Nicht nur Unternehmen, sondern auch Verbände und Vereine sind vom Datenschutz und der DSGVO betroffen. Insbesondere die Daten von Mitgliedern und Beschäftigten sind zu schützen.
- Die Verarbeitung personenbezogener Daten ist nur zu einem legitimen Zweck zulässig. Die Verarbeitung zu Verbandszwecken und zur Erfüllung der satzungsgemäßen Ziele gilt dabei in der Regel als legitimer Zweck.
- Auch die Herausgabe der Mitgliederliste an einzelne Mitglieder kann zulässig sein. Voraussetzung ist, dass damit Vereinszwecke erreicht werden sollen.
- Gerade kleinere Verbände haben häufig Probleme, die umfangreichen Vorgaben der DSGVO zu erfüllen. Hier kann es helfen, sich an externe Dienstleister zu wenden, die bei der Umsetzung langfristig unterstützen. Unsere Experten haben langjährige Erfahrung mit Verbandsformen und unterstützen bereits viele Verbände erfolgreich bei der Umsetzung der DSGVO.
Welche Verbände sind von der DSGVO betroffen?
Wer personenbezogene Daten erheben, speichern und verarbeiten möchte, muss sich mit den datenschutzrechtlichen Regelungen der DSGVO befassen. Die Verordnung ist rechtsformneutral und erfasst alle Verbände gleichermaßen.
Jeder selbständig organisierte Verein ist ein eigener datenschutzrechtlicher Verantwortlicher, der sich um den Datenschutz kümmern muss. Es kommt also auf Folgendes nicht an:
- Die Frage, ob Vereine rechtsfähig oder nicht rechtsfähig organisiert sind. Dies ist für die Anwendbarkeit der DSGVO nicht entscheidend.
- Die Größe des Verbandes oder dessen Struktur. Auch öffentlich-rechtliche Verbände sind von der DSGVO betroffen.
Verbandsorganisationen, die sich beispielsweise in Landesverbände unterteilen, sind dabei ebenso selbständig für die Einhaltung des Datenschutzes zuständig wie eine Service-GmbH.
Datenverarbeitung für Verbandszwecke
Die DSGVO bestimmt, dass mit Daten nur zweckgebunden umgegangen werden darf. Dieser Zweck muss vor der Erhebung der Daten festgelegt werden. Ist dieser Zweck erreicht, sind die dafür erhobenen und verarbeiteten Daten nicht mehr nötig und müssen schnellstmöglich gelöscht oder vernichtet werden. Zudem muss jede Datenverarbeitung gesetzlich erlaubt sein. Es ist eine sogenannte Rechtsgrundlage (Erlaubnisnorm) nötig. Sind deren Voraussetzungen erfüllt, dürfen die Daten zum festgelegten Zweck verarbeitet werden.
Nach der DSGVO sind Datenverarbeitungen immer dann zulässig, wenn sie nach einer der sechs Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO erlaubt sind. Nach Art. 6 Abs. 1 S. 1 lit. b DSGVO sind beispielsweise Datenverarbeitungen zulässig, die zur Begründung und Durchführung eines Vertragsverhältnisses erforderlich sind. Das ist im Verein etwa dann der Fall, wenn ein Mitglied einem Verein beitritt. Auch die Verwaltung und Betreuung der Mitglieder und die Verfolgung der Vereinsziele (zum Beispiel die Organisation von Veranstaltungen zur Förderung der satzungsgemäßen Ziele) sind grundsätzlich legitime Zwecke, um Daten zu erheben, zu speichern und zu nutzen.
Wichtig: Es kommt jedoch immer auch darauf an, welche Daten erhoben werden sollen. Der Grundsatz der Datenminimierung ist einzuhalten. Die Erhebung und weitere Verarbeitung der Daten muss für die Erfüllung des Zwecks notwendig sein und auf das unbedingt erhebliche Maß beschränkt sein. Während Daten wie Name und Kontaktdaten eines Mitglieds sowie gegebenenfalls Bankverbindungsdaten für die Einziehung von Mitgliedsbeiträgen, unproblematisch erhoben und verarbeitet werden dürfen, sind andere Daten, wie Informationen zu den persönlichen Lebensumständen der Vereinsmitglieder, zu ihrer finanziellen Situation, ihrem Gesundheitszustand oder ihren Vorlieben für die Begründung und Durchführung der Mitgliedschaft regelmäßig nicht notwendig
Mit der Digitalisierung zu mehr Datenschutz im Verband
Der europäische Datenschutz ist weitreichend und streng. Es erfordert viel Zeit und Ressourcen, die Anforderungen an den Datenschutz gesetzeskonform umzusetzen. Wir empfehlen daher: Machen Sie sich die Digitalisierung zu Nutze!
Daten digital zu speichern, zu verarbeiten und abzulegen ist nicht nur platzsparend, sondern erleichtert es auch, diese bei Bedarf schnell wiederzufinden, zum Beispiel, um diese zu löschen. Auch Automatisierungsprozesse können dabei helfen, den Alltag im Verband zu erleichtern, den Überblick über Mitglieder, Pflichten und Fristen zu behalten und die Vorzüge der Digitalisierung zu genießen.
Datenschutz in Verbänden: Wann dürfen personenbezogene Daten weitergegeben werden?
Auch bei der Weitergabe von Daten kommt es darauf an, ob sie der Verfolgung der Vereinszwecke dient und die Voraussetzungen einer Rechtsgrundlage erfüllt sind. Soll durch den Verein beispielsweise eine Stellenbörse für Mitglieder organisiert oder eine Vermittlung gestartet werden, wäre es grundsätzlich zulässig, Daten der Mitglieder nach außen preiszugeben, ebenso wie die Information zur Zugehörigkeit zum Verein.
Erlaubt ist auch die Weitergabe von Daten an andere Mitglieder, wenn es dem Zweck des Vereins dient. Sollen durch die Weitergabe die Vereinsziele erreicht werden, etwa weil es sich um einen Ehemaligenverein handelt, ist eine Aushändigung der Mitgliederliste an die anderen Mitglieder möglich.
Anders kann es hingegen aussehen, wenn die Datenweitergabe nicht mehr zur Durchführung des Mitgliedschaftsverhältnisses oder zur Erreichung der Vereinsziele erforderlich ist. Kann die Weitergabe dann nicht auf eine andere Rechtsgrundlage gestellt werden, etwa in Fällen, in denen die Übermittlung im berechtigten Interesse des Vereins, eines Mitglieds oder eines Dritten liegt, wäre sie unzulässig. Lässt sich die Datenverarbeitung auf keine andere Rechtsgrundlage stützen, weil deren Voraussetzungen nicht erfüllt sind, bleibt nur noch eine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a DSGVO, um eine Datenweitergabe zu ermöglichen.
Gut zu wissen: Die betroffenen Personen müssen nicht in jede durchgeführte Datenverarbeitung einwilligen. Lässt sich die Datenverarbeitung ohne Rechtsunsicherheit auf eine andere Rechtsgrundlage stützen, sollte diese Erlaubnisnorm genutzt werden. Eine Einwilligung kann jederzeit widerrufen werden. Damit entfällt die Erlaubnis, die Daten weiterzuverarbeiten und sie wären zu löschen. Daher empfiehlt es sich, nur dann auf eine Einwilligung zurückzugreifen, wenn andere Rechtsgrundlagen nicht existieren oder die Voraussetzungen der Norm nicht erfüllt werden.
Soll die Datenverarbeitung auf eine Einwilligung gestützt werden, muss die betroffene Person vor der Zustimmung umfassend informiert werden, welche ihrer Daten zu welchem Zweck verarbeitet und an wen die Daten gegebenenfalls weitergegeben werden.
Datenschutz-Checkliste für Verbände und Vereine
- Überblick verschaffen: Verschaffen Sie sich einen Überblick über Ihre internen Prozesse. Bei welchen Vorgängen werden Daten verarbeitet? Welche Daten werden erhoben und verwendet? Wie lange werden diese gespeichert? Zu welchem Zweck geschieht dies? – So ermitteln Sie nicht nur mögliche Risiken, sondern können auch unnötig komplexe Prozesse und Daten „ausmisten“ und Ihren Verein effizienter gestalten.
- Verarbeitungsprozesse dokumentieren: Dokumentieren Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden. Notieren Sie außerdem, welche Datenarten dies sind, welche Risiken für die Betroffenen bestehen, wann die Daten gelöscht werden und wer für die Datenverarbeitung und Löschung zuständig ist. Gerade in ehrenamtlichen Vereinen ist es wichtig, klare Zuständigkeiten zu regeln.
- Rechtsgrundlagen überprüfen: Stellen Sie sicher, dass für jeden Prozess eine geeignete Rechtsgrundlage vorhanden ist, die die Datenverarbeitung erlaubt.
- Einwilligung einholen: Kann die Datenverarbeitung, insbesondere eine Weitergabe,nicht auf eine andere Rechtsgrundlage gestützt werden, stellen Sie sicher, dass eine wirksame Einwilligung der betroffenen Personen vorliegt und holen Sie dies in Zweifelsfällen vor der nächsten Datenverarbeitung nach.
- Informationspflichten erfüllen: Informieren Sie die betroffenen Personen über die Verarbeitungsprozesse, insbesondere Zwecke der Datenverarbeitung, Rechtsgrundlagen, Speicherdauer, Empfänger der Daten sowie über die Rechte, die die DSGVO den betroffenen Personen einräumt. Stellen Sie sicher, dass diese Datenschutzinformationen regelmäßig aktualisiert werden. Sie können der Satzung beigefügt oder auf andere Weise zur Kenntnisnahme bereitgehalten werden.
- Technische und organisatorische Maßnahmen (TOM) treffen: Wenn noch nicht geschehen, treffen Sie Maßnahmen, die die gespeicherten Daten je nach Risiko ausreichend schützen. Das sind zum Beispiel Zutrittsbeschränkungen zu Servern oder Dokumenten sowie Zugriffsrechte nur für befugte und verantwortliche Personen. Hier gilt: Je sensibler die Daten oder höher das Risiko für diese, desto höher muss auch der Schutz ausfallen.
- Daten löschen: Nach Möglichkeit sollten Daten immer dann automatisiert vernichtet oder gelöscht werden, wenn der Zweck, zu dem Sie erhoben wurden, erreicht oder entfallen ist. Das ist zum Beispiel dann der Fall, wenn ein Mitglied austritt oder eine Veranstaltung vorüber ist. Automatisiert bedeutet, dass diese ohne Ihr Zutun gelöscht werden. Das spart nicht nur Zeit, sondern reduziert auch die Fehleranfälligkeit, dass Ihr Verein Daten zu lange vorhält. Ist eine automatische Löschung nicht möglich, sollten klare Zuständigkeiten und Anweisungen bestehen, um eine manuelle Löschung bzw. Vernichtung sicherzustellen.
- Datenschutzbeauftragte bestellen: Vereine, die mehr als 19 Personen regelmäßig mit der automatisierten Datenverarbeitung beschäftigen oder in denen Daten geschäftsmäßig verarbeitet werden, müssen einen Datenschutzbeauftragten bestellen und der zuständigen Aufsichtsbehörde melden. Er muss bei der Erfüllung seiner Aufgaben unabhängig sein, unterliegt also nicht den Weisungen des Vorstands. Ihm sind die zu seiner Aufgabenerfüllung erforderlichen Ressourcen zur Verfügung zu stellen. Außerdem muss er fachlich geeignet sein. Für Vereine und Verbände empfiehlt es sich daher in vielen Fällen, einen externen Datenschutzbeauftragten zu verpflichten.
- Rechte betroffener Personen wahren: Die DSGVO gewährt den betroffenen Personen verschiedene Rechte (z. B. Rechte auf Auskunft, Löschung, Widerspruch gegen bestimmte Datenverarbeitungen oder das Recht auf Widerruf von Einwilligungen. Stellen Sie durch geeignete interne Prozessabläufe und Zuständigkeiten sicher, dass die Rechte der Betroffenen innerhalb der in der DSGVO hierfür vorgesehenen Fristen umgesetzt werden.
Fazit
Verbände und Vereine haben weitreichende Pflichten in Bezug auf den Datenschutz. Dazu gehört insbesondere der Schutz der Mitgliederdaten. Das ist nicht nur für die rechtliche Absicherung wichtig, sondern auch für die Gemeinschaft innerhalb des Verbandes und dessen Reputation. Außerdem kann die Umsetzung zum Thema Datenschutz helfen, die internen Prozesse noch einmal zu sichten und zu optimieren. Denn wer weniger Daten und weniger Prozesse hat, benötigt auch weniger Zeit und Ressourcen für den Datenschutz.
Sie benötigen rechtliche oder technische Unterstützung im Datenschutz?
Wenden Sie sich gern an uns und unsere über 80 Datenschutzexperten. Wir beraten Sie zu den Themen Datenschutz-Software, externe Datenschutzbeauftragte oder zu allen anderen Fragen rund um den Datenschutz im Verband.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.