Umsetzung der DS-GVO in NRW

Wie die DS-GVO im Ehrenamt umgesetzt werden kann

Der Datenschutz beschäftigt große und kleine Unternehmen nun seit der Einführung der Datenschutzgrundverordnung (DS-GVO) und der Erneuerung des Bundesdatenschutzgesetzes (BDSG).

Die Einhaltung der Vorgaben betrifft aber alle, die personenbezogene Daten verarbeiten. Ein Hotspot der Datenverarbeitung sind hierbei sicherlich Vereine und Verbände. Da das Ehrenamt in Sachen Datenschutz oft nicht so flächendeckend informiert ist, wie ein gut aufgestelltes Unternehmen, möchten wir uns heute ausgiebig mit diesem Thema beschäftigen.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie nicht sicher sind, ob die Abläufe in Ihrem Verein oder Verband den Richtlinien im Datenschutz entsprechen, senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen in der Umsetzung der DS-GVO.

Das Ehrenamt in NRW und der Datenschutz

Datenschutz ist ein Thema, welches im Allgemeinen meist mit datenverarbeitenden Unternehmen der freien Wirtschaft in Verbindung gebracht wird. Dass der Datenschutz in allen Bereichen unseres Lebens und damit auch in Vereinen und Verbänden eine große Rolle spielt, wird hierbei oft vergessen.

Wenn man die Verarbeitung von personenbezogenen Daten im Verein betrachtet, dann kann man erst einmal sagen, dass die gesetzlichen Vorgaben für alle, die diese verarbeiten gleich sind. Weiter unten finden Sie dazu eine Checkliste. Grundsätzlich sollte sich jeder Verein darüber im Klaren sein, dass es hier keine Grauzonen oder Erleichterungen für Ehrenamt oder anhand der Größe des Vereins geben kann – eine Abmahnung kann auch für Vereine im Datenschutz eine Folge sein.

Bei der Umsetzung der DS-GVO und des BDSG müssen Vereine erst einmal beachten, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist. (Eine Definition personenbezogener Daten finden Sie hier.) Lediglich wenn es einen Grund zur Verarbeitung (also z.B. eine gesetzliche Grundlage) oder eine Einwilligung des Betroffenen gibt, dürfen personenbezogene Daten zweckgebunden verarbeitet werden. In vielen Fällen kann eine Datenverarbeitung zu Erfüllung der Vereinssatzung notwendig sein oder durch eine Einwilligungserklärung der Betroffenen abgedeckt werden. Im Datenschutz ist es dabei egal, ob der Verein ins Vereinsregister eingetragen ist oder ob es sich um einen nicht rechtsfähigen Verein handelt.

Datenschutzbeauftragter, VVT und Datenschutzfolgenabschätzung für Vereine

Wenn mindestens 20 Personen – egal in welchem Umfang – personenbezogene Daten in einem Verein regelmäßig verarbeiten, muss ein Datenschutzbeauftragter berufen werden. Dabei gelten beispielsweise auch Übungsleiter als Angestellte. (Bei den besonderen Konstellationen im Ehrenamt sollte immer ein Fachmann bei der Beurteilung dieser Situation hinzugezogen werden.) Vor allem bei Vereinen, die meist strukturell nicht so gut aufgestellt sind, wie beispielsweise ein Unternehmen in der Wirtschaft, bietet es sich an hier einen externen Datenschutzbeauftragten zu berufen.

Wer personenbezogene Daten verarbeitet, muss immer auch ein Verzeichnis der Verarbeitungstätigkeiten (VVT) führen. Hierbei werden alle Verarbeitungen aufgeführt und definiert, bei denen personenbezogene Daten bearbeitet werden. Dabei müssen Dinge wie der Zweck der Verarbeitung, die Gruppe der Betroffenen, Löschfristen usw. festgelegt und dokumentiert werden.

Werden Daten besonderer Kategorien (z.B. Gesundheitsdaten, Religionszugehörigkeit o.ä.) verarbeitet, muss auch eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden, um sicher zu stellen, dass die Datensicherheit für Betroffene gewährleistet ist.

Betroffenenrechte und TOMs im Verein und Verband

Für die Verarbeitung von personenbezogenen Daten gelten die Betroffenenrechte der DS-GVO. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und das Widerspruchsrecht.

Um sicher zu stellen, dass die Daten ausreichend geschützt werden, müssen auch im Ehrenamt die sogenannten technisch-organisatorischen Maßnahmen (TOMs) festgelegt und dokumentiert werden. Dabei handelt es sich um die Maßnahmen, die getroffen werden, um die Daten der Betroffenen vor dem Zugriff Unbefugter und deren Weitergabe zu schützen. Dazu gehören die abschließbaren Aufbewahrungsmöglichkeiten genauso, wie eine ausreichend sichere Firewall oder das DS-GVO-konforme Löschen der Daten.

ACHTUNG: Beachten Sie auch, dass der Datenschutz auch bei der Übermittlung der Mitgliederdaten an Dritte greifen muss. Hierbei sollte durch einen Fachmann geprüft werden, welche Voraussetzungen als Grundlage für die Weitergabe vorhanden sein müssen. Beispiele hierfür sind die Übermittlungen an Vereine und vereinsnahe Organisationen, die Weitergabe von Geburtstags- oder Adresslisten an andere Mitglieder oder auch an Versicherungen. Hierbei sollte genau auf die Betroffenenrechte, die nötige Einwilligung des Betroffenen und die Informationspflichten geachtet werden.

Checkliste zum Datenschutz im Verein

Zusammengefasst kann man also folgende Checkliste für Vereine als kleine Orientierungshilfe bei der Umsetzung der DS-GVO festlegen:

  • Verantwortlicher: verantwortlich für die Einhaltung des Datenschutzes im Verein ist der Vorstand.
  • Rechtmäßigkeit der Datenverarbeitung: prüfen Sie, welche Daten verarbeitet werden dürfen
  • Welche gesetzliche Grundlage, welcher Zweck wird erfüllt?
  • Holen Sie sich ggf. eine Einwilligungserklärung vom Vereinsmitglied ein.
  • Beachten Sie die Informationspflichten laut DS-GVO.
  • Benennen Sie ggf. einen (externen) Datenschutzbeauftragten.
  • Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT).
  • Halten Sie sich an die Aufbewahrungs- und Löschfristen.
  • Führen Sie ggf. eine Datenschutz-Folgenabschätzung durch.
  • Definieren und dokumentieren Sie die technisch-organisatorischen Maßnahmen (TOMs) zum Schutz der Betroffenendaten.
  • Stellen Sie sicher, dass Sie die Betroffenenrechte bei der Verarbeitung personenbezogener Daten im Verein einhalten.
  • Beachten Sie die gesetzlichen Vorgaben bei der Übermittlung von Daten an Dritte.
  • Prüfen Sie die Bearbeitung der Daten auch auf eine mögliche Auftragsdatenverarbeitung (ADV-Verträge).
  • Beachten Sie die Einhaltung der DS-GVO auch auf Ihrer Vereinshomepage, in den Sozialen Netzwerken, bei der Organisation von Veranstaltungen und zum Beispiel beim Versand von Informationen, Einladungen und einem Newsletter.

Durch die vielen Besonderheiten, die das Ehrenamt mit sich bringt, macht es Sinn, die Einhaltung des Datenschutzes regelmäßig durch einen Fachmann beurteilen zu lassen (z.B. durch ein Datenschutz-Audit). Ziehen Sie bei Unsicherheiten immer einen Fachmann zu Rate.

WICHTIG: Oftmals sind Offene Ganztagsschulen (OGS und OGATA) ebenfalls als Vereine organisiert und nutzen beispielsweise städtische Einrichtungen und deren technische Geräte. Viele gehen fälschlicherweise davon aus, dass daher der Datenschutz über den städtischen Anbieter geregelt ist. Dem ist meist nicht so – die Eltern und Kinder sind Mitglieder im Verein, der daher dann die Verantwortung für den Datenschutz tragen muss.

Externer Datenschutzbeauftragter für Vereine und Verbände in NRW

Die Datenschutzanforderungen für Vereine sind demnach recht komplex und können das Geflecht für einem Verein sehr schnell undurchdringbar machen. Ein besonderes Risiko kann man auch dadurch sehen, dass gerade Vereine durch das Ehrenamt leben – die Organisation der Arbeit von und mit Privatpersonen auf dem „kleinen Dienstweg“ oft aber den Datenschutz extrem wenig berücksichtigt. Wir von Datenschutzberater.NRW haben bereits Erfahrungen in der Umsetzung des Datenschutzes für Vereine in NRW.

Die Anforderungen des Ehrenamtes im Umgang mit der DS-GVO sind uns vertraut. Wir stellen einen externen Datenschutzbeauftragten (TÜV) und beraten Sie gerne in allen Feldern des Datenschutzes und der IT-Sicherheit:

Unser Team besteht aus Fachkräften aus dem Bereich Datenschutz, Datensicherheit, Steuerrecht und IT-Sicherheit und betreut KMU, Vereine, Praxen und Kanzleien in Köln, Düsseldorf, Bonn und ganz NRW bei der Umsetzung der DS-GVO.

Nehmen Sie einfach unverbindlich mit uns Kontakt auf. Wir erstellen Ihnen ein individuelles und praxisnahes – vor allem aber umsetzbares Konzept für Ihren Datenschutz.

Datenschutz für Vereine und Verbände in NRW