Serie: Datenschutz – Vereinsleben ist keine Privatsache

Einwilligung: Dabei liegt es in der Regel natürlich im Interesse des Betroffenen, dass der Verein solche Daten speichert, damit das Freizeitvergnügen gut organisiert ablaufen kann. Dennoch muss in Zukunft eine Erlaubnis eingeholt werden, die es dem Verein ermöglicht, Daten zu erheben und zu verarbeiten. Diese Einwilligungserklärung ist nicht nötig, wenn zuvor eine vertragliche Vereinbarung über die Mitgliedschaft getroffen wurde, die den neuen Anforderungen entspricht. Die Mitglieder müssen eine unmissverständliche Willenserklärung abgegeben haben – mit der Option, die Verarbeitung ihrer Daten abzulehnen oder ihr zu widersprechen.

Verantwortung: Zuständig für den Schutz der personenbezogenen Daten ist jeweils der Vereinsvorstand. Anders als bei Unternehmen muss er keinen Datenschutzbeauftragten bestellen – es sei denn, im Verein wären mindestens zehn Personen (auch Ehrenamtler) regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt oder der Verein verarbeitet besonders sensible Daten, wie dies beispielsweise bei Selbsthilfegruppe der Fall sein kann.

Zweckgebunden: Der Verein darf mit den Daten seiner Mitglieder nur so umgehen, wie es dem Vereinszweck entspricht. Das bedeutet auch, dass zum Beispiel bei Selbsthilfevereinen zu Erkrankungen ein besonderes Schutzinteresse besteht.

Weitergabe: Eine Weitergabe personenbezogener Daten an Dritte ist bei Vereinen oft erforderlich, aber nicht generell zulässig. Die Übermittlung der Telefonnummer an andere Mitglieder wäre ohne Einverständnis nur im Sonderfall erlaubt, die Weitergabe von Daten an Verbände schon bei Meldungen zu Wettkämpfen und ähnlichem unerlässlich. Ähnlich differenziert ist die Veröffentlichung von Daten zum Beispiel in Mitteilungsblättern oder am Schwarzen Brett zu sehen: Nicht zulässig ist sie bei „ehrenrührigen Inhalten“ wie Sperren oder Vereinsstrafen, aber kein Problem, wenn es um Mannschaftsaufstellungen oder Spielergebnisse geht. Bei Veröffentlichungen im Internet ist besondere Zurückhaltung angebracht. Auf der sicheren Seite ist der Verein, wenn der Betroffene ausdrücklich sein Einverständnis erklärt hat.

Auskunft/Widerruf: Das Vereinsmitglied kann dieses Einverständnis natürlich jederzeit widerrufen, wenn die Verwendung über den eigentlichen Zweck hinausgeht oder die Mitgliedschaft erlischt. Es kann außerdem jederzeit Auskunft über die gespeicherten Daten verlangen sowie eine Berichtigung bei fehlerhaften Daten.

Datensicherheit: Falls Datenpannen passieren, muss der Verein entsprechend benachrichtigen. Es sei denn, er hat vorher technische und organisatorische Vorkehrungen – zum Beispiel durch Passwortschutz und Verschlüsselung – getroffen, die die Datensicherheit gewährleisten, sodass kein Risiko besteht.

Datenverarbeitung: Wie auch bei Unternehmen sollten Vereine – falls gefordert – zur Vorlage bei der Aufsichtsbehörde, aber auch um Überblick über die Abläufe im Umgang mit personenbezogenen Daten zu bekommen, ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Mit externen Dienstleistern, die im Auftrag des Vereins diese Daten bearbeiten, sollte auf jeden Fall ein Vertrag zur Auftragsverarbeitung geschlossen werden.

Strafen: Niemand rechnet damit, dass die hohen Bußgelder, die bei Verstößen gegen die DSGVO fällig werden können, auch bei Vereinen erhoben werden. Allerdings – vermuten Experten – könnten auch hier vier- bis fünfstellige Bußgelder anfallen und möglicherweise Schadensersatzansprüche auf die Vereine zukommen.

Fotos: Besondere Vorsicht ist auch bei der Verwendung von Fotos geboten. Beim Mannschaftsfoto ist die Schutzwürdigkeit durch das bewusste Positionieren weniger hoch als bei einem unbemerkt geschossenen Bild beim Vereinsfest. Auf der sicheren Seite ist man nur mit einer vorherigen Einwilligung zum jeweiligen Verwendungszweck. Regina Theunissen