Datenschutz im Verein: die zwölf wichtigsten Fragen

Zusammenfassung

Auch wenn man anderes vermuten könnte: Datenschutz schützt Menschen, nicht Daten. Menschen sollen geschützt werden vor falschem oder fahrlässigem Umgang mit Daten, die sie betreffen. Dadurch sollen sie vor Schäden, Missbrauch und Manipulation bewahrt werden.

Im Übrigen ist es ein Grundrecht zu wissen, wer welche Angaben wann über einen kennt. Deshalb gewährt Datenschutz unter anderem auch Korrektur- und Einspruchsrechte.

Besondere Brisanz erhält das Thema Datenschutz auch durch die gesetzliche Neuordnung: Zum 25. Mai 2018 tritt in allen EU-Mitgliedstaaten die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft.^[1] Mit ihr erhöhen sich die Anforderungen an Vereine und alle anderen Datenverarbeiter. Bei Nichtbeachtung können Bußgelder in Höhe von bis zu 20 Mio. Euro drohen.

Die 7 häufigsten Fallen

1. Den Kopf in den Sand stecken – "Es wird schon nichts passieren"

Das Thema Datenschutz aussitzen zu wollen, ist keine gute Idee. Jeder Datenverarbeiter muss sich eine Strategie überlegen, wie er die (neuen) gesetzlichen Anforderungen des Datenschutzrechts umsetzen kann. Diese Umsetzung muss er auch belegen können (Stichwort "Rechenschaftspflicht"). Die Datenschutz-Aufsichtsbehörden besitzen das Recht, dies zu überprüfen.

2. Keine Datenschutz-Organisation

Jede Stelle, die personenbezogene Daten verarbeitet, muss sich mit den Datenschutz-Anforderungen proaktiv auseinandersetzen und eine entsprechende Organisation aufbauen: Die Daten sind auf organisatorischer und technischer Ebene wirkungsvoll zu schützen. Die Mitarbeiter müssen Bescheid wissen, was sie mit Daten tun dürfen und was nicht. Es sollte entsprechende Prozessbeschreibungen, Handlungs- oder Arbeitsanweisungen geben. Es ist sicherzustellen, dass der Datenschutzbeauftragte, wenn es einen gibt, in alle Datenschutzfragen eingebunden wird.

3. Betroffene werden nicht informiert

Immer wenn der Verein personenbezogene Daten erhebt (z. B. bei der Entscheidung über einen Mitgliedschaftsantrag), müssen die davon Betroffenen informiert werden (Art. 13 und 14 DSGVO). Das Gesetz sieht eine Reihe von Pflichtangaben vor, u. a. etwa, welche Daten zu welchem Zweck erhoben werden, wie lange sie gespeichert werden, an wen die Daten ggf. weitergegeben werden, wo sich die Betroffenen beschweren können, welches die zuständige Aufsichtsbehörde ist. Diese Informationen können über ein zusätzliches Formblatt oder eine Internetseite mitgeteilt werden.

4. Kein Datenschutzbeauftragter bestellt

Immer wenn die gesetzlichen Voraussetzungen für die Bestellung eines Datenschutzbeauftragten vorliegen, muss eine Person dazu ernannt werden. In allen anderen Fällen sollte überlegt werden, ob ein Datenschutzbeauftragter auf freiwilliger Basis bestellt wird.

5. Auftragsverarbeitung ohne datenschutzrechtliche Vereinbarung

Wenn ein Dienstleister beauftragt wird und er Einblick in personenbezogene Daten erhält (z. B. IT-Systemadministrator, Cloud-Anbieter, Callcenter), muss mit diesem eine datenschutzrechtliche Vereinbarung im Sinne des Art. 28 DSGVO abgeschlossen werden. Darin sind eine Reihe von Punkten zu regeln, die den Umgang und den Schutz der personenbezogenen Daten festlegen.

6. Keine Meldung nach einer Datenpanne

Falls der Schutz von personenbezogenen Daten beeinträchtigt wird, muss dies der Datenschutz-Aufsichtsbehörde und in manchen Fällen auch den Betroffenen mitgeteilt werden. Das ist der Fall, wenn etwa die Mitgliederdatenbank gehackt wird oder auch schon dann, wenn eine E-Mail oder ein Fax mit personenbezogenen Daten aus Versehen an einen falschen Adressaten geschickt wird.

7. Datenschutz-Folgenabschätzung wird nicht durchgeführt

Wenn personenbezogene Daten auf risikoreiche Art und Weise verarbeitet werden (z. B., weil eine neue Technologie zum Einsatz kommt oder besonders große Datenmengen verarbeitet werden), ist vorab eine Folgenabschätzung durchzuführen. Sie besteht in einer Bewertung und Dokumentation der Datenverarbeitung, der Zwecke und der Risiken. Können die Datenschutzrisiken nicht vorab gemildert werden, muss zwingend die Datenschutz-Aufsichtsbehörde eingeschaltet werden.

[1] Verordnung (EU) 2016/679 vom 27. April 2016. Dieser Artikel berücksichtigt ausschließlich die Rechtslage ab Inkrafttreten der DSGVO zum 25.5.2018.

1 Welche Vereine müssen die Datenschutzregeln beachten?

Grundsätzlich alle – und zwar ohne Ausnahme. Denn die DSGVO trifft EU-weit Vorgaben für alle Stellen, die personenbezogene Daten verarbeiten, egal welcher Rechtsform oder Größe. Nur private und familiäre Datenverarbeitungen fallen nicht darunter.

Daran schließt sich die Frage an, wann Daten personenbezogen sind? Personenbezogen sind sie immer dann, wenn sie sich auf eine identifizierte oder identifizierbare Person beziehen. Im Verein betrifft das vor allem Mitglieder (mit Angaben etwa zur Adresse, Mitgliedsnummer, zum Mitgliedskonto, Fotos), es fallen aber auch Mitarbeiter und Helfer aller Art darunter (etwa mit Angaben zur Funktion im Verein, betreute Mitglieder, Aufwandsentschädigung oder Gehaltsgruppe, Art der Tätigkeit und Einsatzgebiete, Sozialversicherungsnummer, Urlaubstag...