DSGVO: Was Vereine beim Umgang mit Daten beachten müssen

Nürnberg - Seit 2016 steht sie in den Gesetzbüchern, am 25. Mai wurde die Europäische Datenschutz-Grundverordnung wirksam – doch die Fragezeichen sind geblieben. Die häufigsten Fragen, die an der Hotline des Bayerischen Landesamtes für Datenschutzaufsicht gestellt werden, haben wir zusammengefasst.

Braucht jeder Sport- oder Kulturverein künftig einen Datenschutzbeauftragten?

Vereine brauchen nur dann einen Datenschutzbeauftragten, wenn zehn oder mehr Personen ständig mit Hilfe von Computern Daten der Vereinsmitglieder verarbeiten. Der Übungsleiter eines Schwimmvereins etwa, der nur mit den Namen seiner Teilnehmer umgeht, ist sicher nicht ständig "mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigt. Das Schlüsselwort ist "ständig" und meint die überwiegende Tätigkeit: Im Verein können auch mehr als zehn Personen regelmäßig Zugriff auf die Datenbestände der Vereinsmitglieder nehmen – etwa weil sie Proben oder Trainingseinheiten organisieren. Ein Datenschutzbeauftragter muss deshalb nicht bestellt werden, da zwar eine wiederkehrende und häufige, aber keine ständige Datenverarbeitung vorliegt.

Muss der Verein die Daten seiner Mitglieder überblicken?

Jeder Verein muss einen Überblick haben, welche Daten im Verein vorhanden sind. Er muss ein Verzeichnis für die Verfahren anlegen, die im Verein stattfinden: Mitgliederverwaltung, Beitragseinzug, Betrieb einer Webseite oder Durchführung von Veranstaltungen mit externen Beteiligten.

Muss sich der Verein von allen Mitgliedern schriftlich erlauben lassen, dass er ihre Daten verarbeitet?

Um die Daten der Vereinsmitglieder zu verarbeiten – etwa um Beiträge einzuziehen, zu Versammlungen einzuladen, Listen der Teilnehmer eines Sportkurses zu erstellen oder eine Mannschaft zu bilden – muss von den Mitgliedern keine Einwilligung eingeholt werden, schließlich geht es um reguläre Mitgliederverwaltung. Das Gesetz erlaubt die Verarbeitung zum Zwecke der Verwaltung der Mitgliedschaft auch ohne Einwilligung. Die Mitglieder müssen aber bei der Erhebung ihrer Daten, das heißt grundsätzlich bereits beim Eintritt in den Verein, über die Verarbeitung ihrer Daten durch den Verein informiert werden.

Welche Anforderungen bestehen an die Datensicherheit?

Aktenordner mit Mitgliederdaten dürfen, wie bisher auch schon, nicht einfach offen im Vereinsheim herumstehen. Um sich vor Datendiebstahl oder Manipulation zu schützen, muss auf dem PC standardmäßig Virenschutz und eine Firewall installiert sein. Sind Mitgliederdaten auf einem privaten PC, muss dieser Bereich mit Passwörtern geschützt werden, damit andere Familienmitglieder nicht darauf zugreifen können.

Wer ist verantwortlich für den Datenschutz im Verein?

Der Vorstand muss sicherstellen, dass im gesamten Verein mit personenbezogenen Daten ordnungsgemäß umgegangen wird. Dazu kann gehören, dass per Info oder in Mitgliederversammlungen auf die Vorschriften hingewiesen wird.

Haften Ehrenamtliche für Fehler?

Gegenüber dem Landesamt für Datenschutz haftet der Verein, vertreten durch den Vorstand, für Datenschutzverstöße. Vereine dürfen die Daten ihrer Mitglieder nur satzungsgemäß oder für berechtigte Interessen des Vereins verwenden – etwa, wenn ein Sportverein die Mannschaftsaufstellung veröffentlicht. Für politische Wahlwerbung dürfen die Daten nicht weitergegeben werden.

Darf ein Verein seine Mitglieder noch fotografieren und auf der Homepage zeigen? Dürfen Mitglieder noch geehrt werden oder Vereinschroniken erstellt?

Der Verein kann nach wie vor über Vereinsaktivitäten, etwa Turniere, Termine, Ausflüge oder einen Basar, auf der Homepage, in der Vereinszeitung oder in einem Bericht für die Tageszeitung berichten. Der Verein muss vorher darüber informieren, zu welchem Zweck und wo die Bilder veröffentlicht werden sollen. Dies kann schon beim Beitritt zum Verein geschehen oder bei Mitgliedsversammlungen. Bei öffentlichen Veranstaltungen mit Gästen, etwa anderer Vereine, kann leicht ein Schild mit einem Fotografier-Hinweis aufgestellt werden. Sind Kinder betroffen, ist grundsätzlich die Eltern-Einwilligung nötig.

Wann müssen im Verein Daten gelöscht werden?

Wenn man Daten nicht mehr braucht, etwa weil ein Mitglied aus dem Verein ausgetreten ist, sind die Daten zu löschen. Fordert das Finanzamt zur Prüfung der Gemeinnützigkeit des Vereins die weitere Speicherung von Mitgliederdaten, dürfen sie nicht gelöscht werden.

Dürfen Vereinsmitglieder untereinander über WhatApp kommunizieren?

Vereinsmitglieder oder Spieler können sich untereinander über die bisher eingesetzten Kommunikationswege austauschen.

Darf der Verein noch Vereinsinformationen an die Mitglieder per E-Mail senden?

Ja. Allerdings ist zu beachten, dass die E-Mail-Adressen der Empfänger immer in das "BCC"-Feld eingetragen werden, es muss sichergestellt werden, dass die angeschriebenen Personen für die anderen Empfänger nicht sichtbar sind.

Noch mehr Fragen? Die Hotline der Datenschutzaufsicht ist für Vereine unter 09 81/53 18 10 erreichbar. Servicezeit von Montag bis Freitag von 8 Uhr bis 19 Uhr. Hier bietet die Behörde Formulare und Hilfestellungen an.