Zurück zum Lexikon

Lexikon

Datenschutz

Der Datenschutz wird in Deutschland besonders großgeschrieben. Auch dein Verein muss sich an die umfangreichen Bestimmungen halten. Sicher werdet ihr euch auch das eine oder andere Mal über die damit verbundene Arbeit ärgern. Aber führt euch bitte immer vor Augen, dass der Datenschutz kein Selbstzweck ist. Es geht hier darum, Menschen davor zu schützen, dass sie Opfer des Datenmissbrauchs werden. Leider geht man sehr häufig recht leichtsinnig mit den Daten um.

Was wird geschützt?

In der Datenschutzgrundverordnung (DSGVO) wird von den „personenbezogenen Daten“ gesprochen. Damit sind alle Informationen gemeint, auf deren Basis ein Mensch identifiziert werden kann. Hierzu gehören beispielsweise Name, Adresse, Familienstand, Geburtsdatum, Staatsangehörigkeit, Angaben zu den Vermögensverhältnissen, Beruf, Mitgliedschaften, Religion, politischer Einstellung, Gesundheitszustand, Aussehen usw. Daten gelten schon dann als schutzwürdig, wenn darüber die Möglichkeit besteht, Informationen über eine Person zu erlangen.

Auch euer Verein hat mit einer ganzen Reihe dieser personenbezogenen Daten zu tun. Ein Knackpunkt ist hier der Einsatz der elektronischen Datenverarbeitung bzw. der digitalen Kommunikation. Kriminelle haben beispielsweise ein Interesse daran, die Kontendaten, die für den Beitragseinzug verwechselt werden, in die Hände zu bekommen, um dann illegale Abhebungen von den Konten eurer Mitglieder vorzunehmen. Aber auch Firmen könnten an den allgemeinen Daten eurer Mitglieder Interesse bekunden, um ihre Kundenprofile zu ergänzen.

Es gibt immer noch (zu) viele Vereine, die das Thema Datenschutz auf die leichte Schulter nehmen. Doch wenn das Kind einmal in den Brunnen gefallen ist, ist es zu spät. Deshalb kümmert euch bitte möglichst frühzeitig um den Datenschutz, damit die Mitglieder Daten nicht in falsche Hände geraten.

Wer wird geschützt?

Die DSGVO ist für den Schutz der Daten von „betroffenen Personen“ geschaffen worden. Unter betroffenen Personen versteht man alle natürlichen Personen deren Daten in irgendeiner Form verarbeitet werden. Diese Verordnung bezieht sich also nicht auf juristische Personen (Vereine, Firmen usw.). Schon die Erhebung von Daten (beispielsweise im Mitgliedsantrag) stellt eine Verarbeitung im Sinne dieser Verordnung dar.

Zum Schutz seiner Daten erteilt die DSGVO Rechte an die Daten Eigentümer. Sie können beispielsweise verlangen,

Ziel der Gesetze zum Datenschutz ist es, die „informationelle Selbstbestimmung“ für alle Bürger zu erhalten und zu sichern. Damit ist gemeint, dass nur der Inhaber der persönlichen Informationen entscheiden darf, was mit den Daten geschieht.

Die gesetzlichen Grundlagen

Im Zentrum der gesetzlichen Bestimmungen steht die Datenschutzgrundverordnung (DSGVO), die ab dem 25.05.2018 für alle Staaten in der Europäischen Union verbindlich ist. Immer noch hält sich das Gerücht, dass die DSGVO ein juristisches Monster ist, das von Laien kaum beherrscht werden kann. Doch auch hier gilt der Grundsatz, dass nichts so heiß gegessen wie gekocht wird.

Neben der DSGVO gibt es das Bundesdatenschutzgesetz (BDSG). Im Kern überträgt das BDSG die Vorgaben der DSGVO in nationales Recht. Außerdem verfügen die einzelnen Bundesländer auch über eigene Datenschutzgesetze. Über allen nationalen Bestimmungen steht jedoch immer die DSGVO.

Wer haftet?

Kommt es zu materiellen oder auch immateriellen Schäden für den Eigentümer der personenbezogenen Daten haftet der „Verantwortliche“. Verantwortlich im Sinne der DSGVO ist der Vorstand eures Vereins. Tritt der Schaden bei einem externen Dienstleister auf (z. B. Steuerberater, Bank usw.), haftet dieser, wenn er den Anweisungen des Vorstands nicht vollumfänglich nachgekommen ist oder seiner Verpflichtungen nach der DSGVO nicht erfüllt hat.

Wichtig: Bei Vereinen, die verpflichtet sind, einen Datenschutzbeauftragten zu ernennen, kann dieser haftbar sein, wenn er seine Aufgabe nicht ausreichend oder gewissenhaft erfüllt hat.

Der Datenschutzbeauftragte

Nicht alle Vereine benötigen einen Datenschutzbeauftragten. Er ist nur notwendig, wenn sich mehr als neun Personen im Verein immer mit der automatisierten Verarbeitung der personenbezogenen Daten der Mitglieder beschäftigen. Wir empfehlen allerdings auch kleineren Vereinen, einen Datenschutzbeauftragten zu benennen. Da es sich hier um  eine sehr wichtige, zentrale Funktion handelt, besprechen wir diese ausführlich in einem eigenen Kapitel.

Überprüfen der Datenbestände

Ihr sollten unbedingt prüfen, ob die von euch erfassten Daten entsprechend DSGVO, BDSG und ergänzenden Bestimmungen ermittelt und archiviert wurden. Wichtig ist dabei, dass

Welche Rechte haben die Dateneigentümer?

Grundsätzlich hat jeder Dateneigentümer Anspruch darauf, über die Erfassung und Verwendung seiner Daten informiert zu werden.

Außerdem ist der Verein verpflichtet, alle personenbezogenen Daten, die der Verein nicht mehr benötigt oder zur Erfüllung anderer gesetzlicher Bestimmungen (z. B. steuerrechtliche Anforderungen) archivieren muss, unwiederbringlich zu löschen. Zu diesem „Recht auf Vergessen“ gehört auch, dass alle vom Verein eingeschalteten externen Dienstleister informiert werden, dass die Daten zu löschen sind.

Wichtig: Der Eigentümer kann der Datenerfassung zustimmen, den Gebrauch aber einschränken. Im Extremfall kann er sogar jede Nutzung untersagen.

Der Inhaber muss weiter die Möglichkeit haben, auf seine Daten und deren Verwendungszweck zuzugreifen. Am einfachsten geht das in einem passwortgeschützten Bereich eures Internetauftritts. Die Daten müssen dem Eigentümer auch sicher und maschinenlesbar übermittelt werden können.

Es dürfte selbstverständlich sein, aber die DSGVO weist noch einmal darauf hin, dass fehlerhafte Daten korrigiert werden müssen.

Außerdem kann der Eigentümer verbieten, dass seine Daten für Direktmarketingaktionen  verwendet werden. Der Verkauf der Daten an Dritte ist – nicht nur für Marketingaktionen – grundsätzlich nur mit ausdrücklicher Zustimmung des Dateneigentümers erlaubt. Da ihr euch mit diesem „Adressenhandel“ auf ganz dünnem Eis bewegt, raten wir hiervon grundsätzlich ab.

Wenn es zur Gefährdung der Datensicherheit kommt, müssen die betroffenen Eigentümer innerhalb von 72 Stunden benachrichtig werden. Deshalb braucht ihr auch ein „Frühwarmsystem“ mit dem Datenlecks oder Angriffe auf die Daten schnell und umfassend erkannt werden.

Das solltet ihr jetzt tun

Soweit ihr Daten via Internet erhebt, installiert ein Opt-in oder Double-Opt-In Verfahren. Das Opt-out-Verfahren ist nicht mehr erlaubt. Zur Erläuterung:

Opt.in:
Explizite Zustimmung vor der ersten Nutzung der Daten. Geschieht in der Regel durch Eintragen der Mailadresse oder anderen Kontaktdaten in ein Formular. Nachteil: Die Daten können auch von Dritten eingetragen werden. Der Ärger ist dann vorprogrammiert.

Double Opt-in:
Der Dateneigentümer erhält eine Nachricht per Mail. Hier wird er aufgefordert, die von ihm übersandten Daten zu bestätigen (meist über einen Bestätigungslink in der Mail). Die Daten werden erst durch die Bestätigung zur Verarbeitung freigegeben.

Opt-Out:
Statt einer Anmeldung muss der Dateneigentümer die Verwendung seiner Daten aktiv verbieten. Dieses Verfahren wurde bereits 2005 verboten (im Rahmen des Gesetzes gegen den unlauteren Wettbewerb.

Erstellt eine Datenschutzrichtlinie (ein Muster findet ihr hier: Datenschutzrichtlinie) und veröffentlich diese auf eurer Internetseite, in eurer Vereinszeitschrift oder am Schwarzen Brett.

Lasst von den Vereinsmitgliedern eine Einverständniserklärung für die Erstellung von Video- und Fotoaufnahmen unterschreiben (ein Muster findet ihr hier: Einwilligungserklärung Verein). Bei Aufnahmen von Kindern sollte zu jedem Termin eine Einverständniserklärung der Erziehungsberechtigten eingeholt werden (ein Muster findet ihr hier: Einwilligung Fotos Kinder).

Legt ein Verzeichnis an, in dem festgehalten wird, welche Daten wo verarbeitet werden. Eine Vorlage findet ihr hier: Muster Verzeichnis von Verarbeitungstätigkeiten

Prüft bei jeder (zwingend erforderlichen) Vereinbarung für die Verwendung der Daten durch beauftragte Dritte, ob die Mindestanforderungen zur Datensicherheit enthalten sind. Eine Checkliste hierzu findet ihr hier: Checkliste Auftragsverarbeitung

Lasst euch eine Datenschutzverpflichtung von jedem unterschreiben, der mit den personenbezogenen Daten des Vereins umgeht. Ein Musterschreiben für ehrenamtliche Mitarbeiter findet ihr hier: Muster Datenschutzverpflichtung ehrenamtlich. Ein Musterschreiben für bezahlte Kräfte findet ihr hier: Muster Datenschutzverpflichtung hauptamtlich.

Entwickelt ein IT-Sicherheitskonzept und setzt dieses um. Eine Checkliste für ein IT-Sicherheitskonzept findet ihr hier: Checkliste IT-Sicherheitskonzept

Ergänzt eure Mitgliedsanträge um einen Datenschutzhinweis. Ein Mitgliedsantragsmuster findet ihr hier: Beitrittserklärung DSGVO Muster.

Außerdem solltet ihr

Grundsätzlich solltet ihr wachsam sein, wenn ihr in irgendeiner Weise mit den personenbezogenen Daten anderer zu tun habt.