DSGVO Informationspflichten

Wer muss die Richtlinien der DS-GVO einhalten?

Immer wieder stellen sich Verantwortliche die Frage: Wann und von wem muss die DS-GVO eingehalten werden? So kommt es auch im Bereich von Vereinen, Verbänden und gemeinnützigen Organisationen immer wieder vor, dass die Einhaltung der DS-GVO in Frage gestellt oder vernachlässigt wird, was durchaus Folgen in Form von Bußgeldern mit sich bringen kann.

Vereine, Verbände oder gemeinnützige Organisationen in NRW und deutschlandweit müssen sich an die in der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) festgelegten Vorgaben im Datenschutz halten.

Müssen gemeinnützige Vereine den Datenschutz einhalten?

Dabei ist es egal, wo ein Verein seinen Sitz hat. Egal ob in Köln, Düsseldorf, Bonn oder anderen Bereichen in NRW, Deutschland oder sogar in der EU – für alle gilt:

Werden personenbezogene Daten verarbeitet, muss der Datenschutz eingehalten werden. Unabhängig davon ist auch, welche Größe der Verein hat, sobald Mitglieder natürliche Personen sind und deren Daten verarbeitet werden, greift der Datenschutz. Ebenso ist es unerheblich, ob der Verein im Vereinsregister eingetragen ist – erkennbar beispielsweise durch die Kennzeichnung „e.V.“-, ein wirtschaftlicher oder nicht rechtfähiger Verein ist. Auch gemeinnützige Vereine sind daher nicht vom Datenschutz ausgenommen.

Beim Datenschutz ist es auch nicht wichtig, in welcher Form die Datenverarbeitung erfolgt. Digitale und analoge Datenverarbeitung unterliegt gleichermaßen den gesetzlichen Vorgaben. Dabei sollte man bedenken, dass Erfassung, Speicherung bzw. Aufbewahrung und sogar die Vernichtung von personenbezogenen Daten eine Verarbeitung im Sinne des Datenschutzes bedeutet.

Welche Betroffene gibt im Datenschutz für Vereine?

Sprechen wir vom Datenschutz und den damit verbundenen gesetzlichen Vorgaben, fallen die Begriffe „Betroffener“ und „Verantwortlicher“. Der Verantwortliche ist hierbei dann nicht derjenige, der die Verarbeitung der personenbezogenen Daten übernimmt, sondern der Verantwortliche der Organisation, welche diese verarbeitet. Das können Geschäftsführer, Vorstände oder andere ähnliche Posten sein. Mehr zum Thema finden Sie hier.

Der Betroffene ist im Datenschutz immer derjenige, dessen personenbezogene Daten verarbeitet werden. Im Falle des Vereins können dies die Mitglieder, Mitarbeiter oder weitere Personen wie Interessenten usw. sein.

Prüfen Sie daher immer, welche Verantwortlichen und welche Betroffenen in Ihrem Verein gemäß dem Datenschutz vorhanden sind. Ein (externer) Datenschutzbeauftragter kann Ihnen bei der Einschätzung helfen und auch das Vertrauen im Umgang mit den personenbezogenen Daten des Betroffenen fördern.

Zweck der Verarbeitung laut Datenschutz

In unserem Blog haben wir bereits darauf hingewiesen, dass für die rechtmäßige Verarbeitung personenbezogener Daten unterschiedliche Vorgaben gegeben sein müssen. An erster Stelle muss dabei die Datenverarbeitung überhaupt erlaubt sein. Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten. Liegen aber Gründe vor, warum eine Verarbeitung erlaubt oder gar notwendig ist (gesetzliche Vorgaben, berechtigtes Interesse oder die Einwilligung des Betroffenen), dürfen diese verarbeitet werden (Verbot mit Erlaubnisvorbehalt).

Darüber hinaus ist eine Verarbeitung von personenbezogenen Daten auch immer Zweckgebunden (siehe dazu auch unseren Blog-Artikel). Das bedeutet, dass die personenbezogenen Daten nur für diesen Zweck verwendet werden dürfen. Dieser muss vor der Verarbeitung festgelegt und dem Betroffenen mitgeteilt werden. Bei Vereinen kann ein Zweck der Verarbeitung zum Beispiel die „Erfüllung der Vereinsziele“ o.ä. sein.

Folgen im Datenschutz für Vereine – eine Checkliste

Vereine kommen also um die Erfüllung und Einhaltung der gesetzlichen Vorgaben im Datenschutz nicht herum. Daher ist es wichtig, sich eine Checkliste im Datenschutz zu erstellen, um die wichtigsten Themen zu bearbeiten.

Zu den wichtigsten Punkten zählen:

Ein besonderes Augenmerk sollte auch bei der internen Weitergabe von Daten z.B. an andere Vereinsmitglieder gelegt werden. Prüfen Sie auch hier immer, ob diese notwendig und vor allem erlaubt ist, solche speziellen Situationen sollten immer durch einen (externen) Datenschutzbeauftragten beurteilt werden.

Beachten Sie dabei: Diese Vorgaben gelten immer für alle Arten von Datenverarbeitung, wenn personenbezogene Daten bearbeitet werden, dazu gehören auch Papierakten, das Erstellen von Kopien, der Versand von Faxen oder E-Mails, das Löschen oder Vernichten von Daten usw.

Externer Datenschutzbeauftragter schafft zusätzliches Vertrauen und Sicherheit

Nicht nur für die Außenwirkung kann der (externe) Datenschutzbeauftragte hilfreich sein, da er zusätzliches Vertrauen für Betroffene schafft. Gerade für Vereine bietet es sich an, dass der Datenschutz durch einen – meist externen – Datenschutzbeauftragten beurteilt wird. Wenn der Datenschutz und seine Vorgaben nicht eingehalten werden, kann das zu empfindlichen Strafen führen, welche gerade für Vereine eine große Hürde darstellen.

Zudem sind die Abläufe im Datenschutz gerade auch in Vereinen durchaus komplex und können unter Umständen durch das teilweise ehrenamtliche Engagement nicht abgedeckt werden. Durch regelmäßige Datenschutz-Audits und projektbezogenen Datenschutz kann der externe Datenschutzbeauftragte die Situation im Verein entsprechend der Vorgaben beurteilen und Schwachstellen aufdecken.

Mehr zum Thema Datenschutz und Vereine lesen Sie auch hier.

Das Team von Datenschutzberater.NRW besteht aus Fachleuten aus Datenschutz, IT und Steuerrecht und hilft Ihnen gerne bei der Beurteilung des Datenschutzes in Ihrem Verein, Verband oder Ihrer Organisation im Großraum Bonn, Düsseldorf, Köln, Gummersbach, Siegen, Dortmund, Siegburg und ganz NRW. Unser gesamtes Angebot finden Sie hier.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Pflichten im Datenschutz für Vereine in NRW