Die Bedeutung der DSGVO für Vereine
Das Thema Datenschutz ist heute in aller Munde. Wer das Thema nicht ausdrücklich auf seiner Website anspricht oder ein Cookie-Banner einsetzt, kann teuer abgemahnt werden. Das gilt für Vereine wie auch für Unternehmen.
Die drei wichtigsten Fragen für Vereinsvorsitzende:
- Entspricht Ihre Vereinswebsite der Datenschutzgrundverordnung?
- Werden die Daten Ihrer Mitglieder DSGVO-konform gespeichert?
- Braucht Ihr Verein einen Datenschutzbeauftragten?
Die Antworten darauf und noch viel mehr lesen Sie jetzt in unserem ausführlichen DSGVO-Leitfaden für Vereine.
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) ist in der Zusammenfassung die Neuregelung der Datenschutzgesetze durch die EU. Sie trat am 24.05.2016 in Kraft und wird ab dem 25.5.2018 unmittelbar durchgesetzt. Bislang sind diese Gesetze EU-weit uneinheitlich gewesen, und die DSGVO wurde geschaffen, um sie zu vereinheitlichen und zu verbessern.
Viele Betreiber von Websites, sei es im Handel, im Service oder im Verein, sahen der verbindlichen EU-DSGVO mit Sorge entgegen, da sie viele schwer verständliche Neuregelungen befürchteten. Dabei sind die neuen Regeln erstens nicht so zahlreich wie gedacht (viele von ihnen bestehen bereits im Bundesdatenschutzgesetz, dem BDSG) und zweitens gut verständlich formuliert. Die Herausforderung liegt in der praktischen und technischen Umsetzung der DSGVO 2018, die 99 Artikel umfasst.
1.1 EU-Vorgaben für die DSGVO
Das Hauptanliegen der EU ist es, dem Verbraucher eine größere Kontrolle über die Verwendung seiner Daten einzuräumen. Zwar sind diverse Missstände im Laufe der Jahre sukzessive behoben worden, doch die neue Verordnung soll diesen Prozess umfassend auf ein höheres Niveau heben. Wer seit Mai 2018 persönliche Daten erheben, speichern und verwenden möchte, muss dafür eine ganze Reihe von Regeln befolgen. Die Zuwiderhandlung kann mit empfindlichen Bußgeldern geahndet werden.
1.2 Technische und organisatorische Maßnahmen
In jedem Umfeld, in dem persönliche Daten erhoben werden, müssen technische und organisatorische Maßnahmen die DSGVO möglich machen. Das bedeutet vor allem, dass die Personen, um deren Daten es geht,
- ihre Zustimmung geben müssen
- Widerspruch einlegen können
- Einsicht in die Daten verlangen können
- den Verwendungszweck erfragen können
- die Daten berichtigen oder unter Umständen sperren lassen können
Was sind die gesetzlichen Rahmenbedingungen der DSGVO?
Wie der Name „Datenschutzgrundverordnung“ bereits andeutet, handelt es sich bei der DSGVO nicht um das unverrückbare Ende der Datenschutzregeln. Zwar stehen die Regelungen, die die EU beschlossen hat, über der Gesetzgebung aller Mitgliedstaaten und müssen daher beim Entwurf neuer Gesetze berücksichtigt werden. Allerdings ist die DSGVO kein Gesetz an sich.
2.1 Öffnungsklauseln
Durch die über 70 Öffnungsklauseln der DSGVO erlaubt die EU den einzelnen Mitgliedsstaaten, die Grundverordnung in ihren eigenen Gesetzen zu ergänzen und zu konkretisieren, aber auch zu modifizieren. Letzteres ist in solchen Fällen erlaubt, in denen laut staatlichem Gesetz die Verantwortlichen (Vereine, Unternehmen) anderslautende rechtliche Verpflichtungen haben. Das bedeutet für Deutschland, dass die Regelungen des Bundesdatenschutzgesetzes von der DSGVO nicht außer Kraft gesetzt werden. Gegenteilig wurden sie überarbeitet und ergänzen die DSGVO nun.
2.2 Art. 28 – Die Auftragsverarbeiter-Klausel
Vor allem größere Vereine setzen häufig externe Dienstleister ein, die beispielsweise den Vereins-Newsletter versenden. Mit ihnen müssen Sie eine Vereinbarung über die Auftragsdatenverarbeitung abschließen. Diese bindet dem Dienstleister die Hände hinsichtlich der erhaltenen Daten – er verpflichtet sich, sie nicht anders als für den angegebenen Zweck zu verwenden. Darüber hinaus müssen die Mitglieder oder Interessenten darüber aufgeklärt werden, dass ihre Daten an den entsprechenden Dienstleister weitergeleitet werden. Auch die Benachrichtigung beim Wechsel des Auftragsverarbeiters ist in Art. 28 DSGVO geregelt. Die genaue Beschreibung der Verwendung ist ebenfalls verbindlich.
Was ist die Rolle des Datenschutzbeauftragten im Verein?
Wann genau ein Datenschutzbeauftragter bestellt werden muss, ist nach der entsprechenden Öffnungsklausel für Deutschland im neuen BDSG festgelegt worden: § 38 besagt, dass ein Datenschutzbeauftragter immer dann notwendig wird, wenn sich mehr als neun Personen im Verein immer mit der automatisierten Verarbeitung der personenbezogenen Daten der Mitglieder beschäftigen.
Ob es sich um einen internen oder einen externen Datenschutzbeauftragten handelt, bleibt dem jeweiligen Verein oder Unternehmen überlassen. Wichtig ist, dass er sich mit der Materie gut auskennt und selbstständig stets auf dem neuesten Stand bleibt, um jederzeit auf Änderungen und Weiterentwicklungen reagieren zu können. Er muss der zuständigen Aufsichtsbehörde gemeldet werden; das wird in Artikel 37 Absatz 8 der DSGVO festgelegt.
Im neu ausdefinierten Datenschutz besagt die Grundverordnung, dass der Datenschutzbeauftragte
- mit der Aufsichtsbehörde zusammenarbeitet
- die Verantwortlichen berät
- die Mitarbeiter, die Daten verarbeiten, schult und sensibilisiert
- dafür Sorge trägt, dass die DSGVO eingehalten wird
- für die Dokumentation der Maßnahmen rund um die Datenerhebung und -verarbeitung sorgt
Bereiten Sie Ihren Verein auf das neue Datenschutzrecht 2018 vor und vermeiden Sie teure Bußgelder!
Wie ist die Haftung im Verein nach der DSGVO geregelt?
Entsteht einer Person ein Schaden immaterieller oder materieller Natur durch den Verstoß eines Vereins oder Unternehmens gegen die Regeln der DSGVO, hat sie Anspruch auf Schadenersatz. Der Verantwortliche ist zunächst einmal der Verein/das Unternehmen selbst oder der engagierte Auftragsverarbeiter. Letzteres trifft aber nur zu, wenn der Dienstleister den rechtmäßigen Anweisungen des Auftraggebers nicht Folge geleistet oder im Rahmen seiner Arbeit die Pflichten aus der DSGVO nicht erfüllt hat.
Ist der Schaden, der zum Schadenersatz führt, auf eine mangelhafte Beratung zurückzuführen, geht die Haftung auf den Datenschutzbeauftragten laut DSGVO über: „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“, heißt es in Art. 2, Abs. 2. In kleineren Organisationen ohne Berater haftet also das Unternehmen oder der Verein. Wurde allerdings ein Datenschutzbeauftragter bestellt, der durch fehlende Akkuratesse in seinem Job den Schaden verursacht hat, ist er der Verantwortliche.
Welche Bedeutung hat die DSGVO für Vereine?
Vereine sollten alle Prozesse, die auf ihrer Website und in ihrer EDV-Abteilung mit den persönlichen Daten ihrer Mitglieder, Mitarbeiter oder Interessenten zu tun haben, genau überprüfen. Für die legale Erhebung und Verarbeitung der Daten ist es nötig, dass
- die betreffenden Personen aktiv ihre Einwilligung geben
- die Daten samt Verarbeitung notwendig sind zum Abschluss eines Vertrags
- die Daten samt Verarbeitung Voraussetzung sind, damit der Verein eine rechtliche Pflicht erfüllen kann
- die Daten samt Verarbeitung berechtigte Interessen des Vereins wahren, wenn nicht die Interessen der betroffenen Person überwiegen
Gerade letzterer Punkt erfordert Interpretation und Fingerspitzengefühl. Im Zweifelsfall ist es im Einklang mit der DSGVO für Vereine immer besser, weniger Daten preiszugeben als zu viele.
Welche Rechte stehen Vereinsmitgliedern beim Datenschutz zu?
- Sammlung und Verwendung der Daten – Jedes Mitglied hat das Recht, darüber informiert zu werden. Ein aktives Einverständnis ist zwingend erforderlich.
- Recht auf das Vergessenwerden – Das bedeutet, dass Sie nach Ende der Mitgliedschaft alle Daten löschen und einem eventuellen Auftragsverarbeiter sowie Ihrem Dachverband und allen weiteren Stellen Bescheid geben müssen, dass auch sie die Daten löschen.
- Recht auf den Zugriff auf die eigenen Daten – Sie müssen allen Mitgliedern den Zugriff auf persönliche Daten und deren Verwendungszweck gewähren. Das funktioniert online in passwortgeschützten Bereichen oder auf elektronischem Wege.
- Recht auf Datenübertragung – Integrieren Sie einen Weg, wie Sie angeforderte, persönliche Daten sicher und maschinenlesbar an Ihre Mitglieder übertragen können.
- Recht auf eine Berichtigung inkorrekter Daten – Sind Daten fehlerhaft, veraltet oder hat das Mitglied einen Einspruch eingelegt, müssen Sie unverzüglich die nötige Anpassung vornehmen.
- Einschränkung der Nutzung seiner Daten – Das kann jedes Mitglied einfordern. Für Sie bedeutet das, dass Sie zwar die Daten abspeichern, aber nicht verwenden dürfen.
- Einspruchsrecht gegen die Verwendung von Daten für das Direktmarketing – Lehnt ein Mitglied das direkte Marketing ab, dürfen Sie die Daten dafür nicht mehr verwenden.
Bei einer Gefährdung der Datensicherheit haben die Mitglieder das Recht, innerhalb von 72 Stunden benachrichtigt zu werden. Dafür müssen Sie Prozesse einrichten, um Probleme in der Datensicherheit sofort zu erkennen und die Betroffenen innerhalb der Frist zu benachrichtigen.
DSGVO – die ersten Jahre im Rückblick
Inzwischen ist die Datenschutzgrundverordnung (DSGVO) bereits seit über zwei Jahren in Kraft. Ein willkommener Anlass, einmal aus Vereinssicht zurückzublicken. Das erste Fazit dabei: Zumindest bis jetzt sind die vielfach befürchteten ganz großen Dramen ausgeblieben. Es bleiben aber genug Herausforderungen bei der täglichen Arbeit mit Daten im Verein.
Wegen der hohen Bußgelder und der gestiegenen bürokratischen Anforderungen im Datenschutz wurde vor Inkrafttreten der DSGVO teilweise sogar das Ende des Vereinswesens in Deutschland beschworen.
Ganz so dramatisch ist es nun doch nicht gekommen. Aber: Mehr oder weniger zähneknirschend arbeiten die Vereine nach wie vor an der DSGVO-Umsetzung. Dabei sind sie schon unterschiedlich weit gekommen.
Wie hoch sind die Bußgelder bei einem Verstoß gegen die DSGVO?
Die DSGVO ermöglicht in der Spitze Bußgelder bis zu 20 Millionen Euro. Diese können theoretisch auch gegen einen Verein verhängt werden. Allerdings gibt es in der DSGVO eine ganze Reihe von Kriterien, die bei der Festsetzung des Bußgeldes zu berücksichtigen sind. Die Einzelheiten dazu finden sich in Art. 83 Abs. 2 DSGVO.
So hohe Bußgelder wird also kein ehrenamtlich geführter Verein in Deutschland befürchten müssen. Fakt ist aber auch, dass alleine die Steigerung des Bußgeldrahmens von bisher maximal 300.000 Euro auf nun maximal 20 Millionen Euro dazu führt, dass die verhängten Bußgelder höher sind als in Zeiten vor der DSGVO.
Zumindest im ersten Jahr haben sich die Landesdatenschutzbeauftragten als Aufsichtsbehörde aber mit der Verhängung von Bußgeldern sehr zurückgehalten. Bis zum Januar 2019 wurden bundesweit erst 41 Bußgelder verhängt, zum größten Teil in Nordrhein-Westfalen. Vereine wurden bisher nicht mit Bußgeldern belastet. Alle Landesdatenschutzbeauftragten haben in den ersten Monaten der DSGVO insbesondere für Vereine Hilfestellungen angeboten.
Bei vielen Landesdatenschutzbeauftragten steht dieser Ansatz auch 2019 im Vordergrund. Selbstverständlich ist das aber nicht. So hat der Datenschutzbeauftragte des Landes Baden-Württemberg angekündigt, dass 2019 die Kontrollen zu- und die Beratungen abnehmen werden. Aber auch in Baden-Württemberg werden ehrenamtlich geführte Vereine nicht im Fokus der Landesdatenschutzbeauftragten stehen.
Als Vereinsverantwortlicher können Sie sich aber trotzdem nicht völlig entspannt zurücklehnen. Denn der Landesdatenschutzbeaufragte muss sich mit Ihrem Verein beschäftigen, wenn ihn eine Beschwerde über Ihren Verein erreicht. Und die Zahl der Beschwerden hat sich seit Inkrafttreten der DSGVO in allen Bundesländern massiv erhöht. Beschweren kann sich dabei grundsätzlich jeder über Ihren Verein.
In der Praxis besonders häufig sind Beschwerden im Zusammenhang mit den Auskunftsansprüchen. Nach Art. 15 DSGVO muss Ihr Verein auf Anfrage unverzüglich (= spätestens innerhalb eines Monats) verschiedene Informationen geben. Dazu gehören zum Beispiel Informationen zu den gespeicherten Daten, den Verarbeitungszwecken, der Rechtsgrundlage und der Herkunft der Daten. Die Details finden Sie in Art. 15 DSGVO.
VEREINSWELT-TIPP: Regeln Sie klar und eindeutig, wer in Ihrem Verein für die Beantwortung solcher Auskunftsanfragen zuständig ist, um Beschwerden beim Landesdatenschutzbeauftragten zu verhindern.
Wie können Vereine sich gegen Abmahnungen schützen?
Von vielen Vereinsverantwortlichen war sie befürchtet worden: die Abmahnwelle. Es hat zwar Abmahnungen gegeben, und dies auch schon am ersten Tag der DSGVO, aber nicht in dem befürchteten großen Umfang. Die Abmahner halten sich bislang weitgehend zurück. Das hat auch damit zu tun, dass juristisch noch offen ist, ob Verstöße gegen die DSGVO überhaupt abmahnfähig sind. Dazu gibt es unterschiedliche Gerichtsentscheidungen. Wenn Sie für Ihren Verein sichergehen wollen, sollten Sie die beiden größten Abmahnungsrisiken beseitigen:
- Stellen Sie die Internetseite ihres Vereins von HTTP- auf HTTPS-Verschlüsselung um. Das ist kein Hexenwerk und geht in der Regel problemlos über das Portal Ihres Providers. Neben den datenschutzrechtlichen Aspekten bewerten Suchmaschinen eine Website mit HTTPS-Verschlüsselung besser. Ihr Verein ist also besser zu finden.
- Für Ihre Website müssen Sie eine eigenständige Datenschutzerklärung erstellen, die unter dem Hinweis „Datenschutz“ auch direkt angesteuert werden kann. Die Inhalte sind relativ umfangreich und ergeben sich aus Art. 13 DSGVO. Sie sind individuell für jede Webseite zu erstellen. Hierzu finden Sie entsprechende Generatoren im Internet. Sie geben dort die Daten Ihres Vereins ein und die Datenschutzerklärung wird formuliert.
Grundsätzlich gilt bei allen Abmahnungen, dass Sie auf gar keinen Fall vorschnell die mitgelieferte Unterlassungserklärung unterschreiben sollten! Die Übersicht zeigt Ihnen, was Sie tun und was Sie lassen sollten.
Wie sollten sich ein Verein bei einer Abmahnung verhalten?
Das sollten Sie tun: | Das sollten Sie nicht tun: |
Abmahnung umgehend durch einen Anwalt prüfen lassen, ob und in welchem Umfang die Abmahnung berechtigt ist. | Die geforderte Unterlassungserklärung ohne anwaltliche Beratung unterschreiben. |
Wenn die Abmahnung berechtigt ist, den vorgeworfenen Verstoß beseitigen (also z.B. die Datenschutzerklärung anpassen), bevor Sie die Unterlassungserklärung unterschreiben. | Kontakt mit dem Abmahner oder seinem Anwalt aufnehmen, ohne das mit Ihrem Anwalt abgestimmt zu haben. |
6.4 Ein Ausblick in die Zukunft
Das Thema „Datenschutz“ ist an sich nicht neu. In vielen Vereinen spielte es aber in Zeiten vor der DSGVO eine weniger wichtige Rolle. Das hat sich nun geändert. Nach meinen Beobachtungen sind Vereinsmitglieder sensibler geworden, was den Umgang mit ihren Daten betrifft. Nicht nur deshalb wird das Thema DSGVO eine Dauerbaustelle für Ihren Verein werden, und das an verschiedenen Stellen.
Prüfen Sie mit der folgenden Checkliste daher jetzt, ob die wichtigsten DSGVO-Forderungen in Ihrem Verein bereits umgesetzt sind und an welchen Stellen Ihr Verein eventuell noch Handlungsbedarf hat.
DSGVO-Checkliste für Vereine
- Richten Sie ein Opt-in-Verfahren oder ein Double-Opt-in-Verfahren ein, mit dem die Mitglieder der Datennutzung aktiv zustimmen können. Das Opt-out-Verfahren, bei dem die Mitglieder das Häkchen bei der Zustimmung entfernen müssen, ist nicht mehr zulässig.
- Informieren Sie Ihre Mitglieder und Interessenten darüber, welche Daten Sie zu welchem Zweck erheben, wie Sie sie nutzen werden und wer sie verarbeitet (der Verein selbst oder ein Dienstleister).
- Dokumentieren und speichern Sie sorgfältig die Informations- und Zustimmungsverfahren.
- Sorgen Sie dafür, dass Daten gegebenenfalls sowohl in Ihrem EDV-System als auch in denen von Dienstleistern oder Dachverbänden zeitnah gelöscht werden können.
- Sie stellen Ihren Mitgliedern die eigenen Daten samt Verwendungszweck elektronisch zur Verfügung oder richten online einen Bereich ein, in dem sie ihre Daten einsehen können. Für Letzteres müssen die Bereiche passwortgeschützt sein, damit jeder nur seine eigenen Daten zu sehen bekommt.
- Auf Wunsch senden Sie die Daten auf elektronischem Wege, wofür Sie sicherstellen müssen, dass tatsächlich nur die Person die Daten erhält, die darauf ein Anrecht hat.
- Sie stellen eine sofortige Berichtigung fehlerhafter Daten in Ihrem EDV-System und an allen anderen Speicherstellen sicher.
- Sie sorgen dafür, dass ohne Zeitverzögerung die Datennutzungseinschränkungen und die Einwände gegen die Nutzung gegen das Direktmarketing umgesetzt werden.
- Verstärken Sie die Sicherheitsvorkehrungen für die persönlichen Daten Ihrer Mitglieder, Mitarbeiter und Interessenten, wenn sie nicht auf dem neuesten Stand sind.
- Kommt es trotzdem zu einer Offenlegung, einer versehentlichen Löschung oder einer Veränderung der Daten oder hatte jemand Unbefugtes Zugang dazu, müssen Sie die Risiken für die betroffenen Personen abschätzen: Wie groß ist die Wahrscheinlichkeit, dass sie finanziellen Schaden erleiden oder diskriminiert werden? Wie wahrscheinlich ist ein Identitätsdiebstahl? Bei einem hohen Risiko informieren Sie die betroffenen Personen innerhalb von 72 Stunden und dokumentieren Sie alle Schritte, die Sie zur Schadensbegrenzung und zur Risikobewertung vorgenommen haben.
Die DSGVO auf den Punkt gebracht
Tatsächlich bringt die DSGVO Neuerungen mit sich, die bei vielen Vereinen die Überarbeitung der Website nötig machen. Allerdings ist auch den Vereinen damit geholfen: Bessere Sicherheitssysteme gegen Datendiebstahl sorgen dafür, dass es gar nicht erst zu Problemen kommt.
Auch bringen die vereinheitlichten Regelungen nicht nur Komplikationen für Vereine und Unternehmen mit sich, sondern auch Vereinfachungen, etwa im Hinblick auf die vereinfachte Einwilligung, die nicht mehr nur schriftlich erfolgen darf. Die Datenschutzgrundverordnung ist aber vor allem dazu gedacht, auf einem globalen Markt die Interessen von Einzelpersonen bestmöglich zu schützen und international anzugleichen.
Downloads / Referenzen: EU Datenschutz-Grundverordnung
Der Europäische Rat der Europäischen Union selbst stellt eine Reihe von Dokumenten bezüglich der neuen Datenschutzgrundverordnung öffentlich zur Verfügung. Zuletzt findet sich dort folgendes Dokument im Register:
MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 (Quelle)
In dieser Mitteilung werden:
- die wichtigsten Neuerungen und Chancen, die sich durch die neuen EU-Datenschutzvorschriften eröffnet haben, in Erinnerung gerufen,
- die bisherigen Vorarbeiten auf EU-Ebene dargestellt,
- dargelegt, was die Europäische Kommission, die nationalen Datenschutzbehörden und die nationalen Behörden noch tun sollten, um die Vorbereitung auf einen erfolgreichen Abschluss zu bringen,
- und die Maßnahmen beschrieben, die die Kommission in den kommenden Monaten zu ergreifen beabsichtigt.
Darüber hinaus stellt das Land Baden-Württemberg Informationen über die datenschutzrechtlichen Rahmenbedingungen beim Umgang mit personenbezogenen Daten in der Vereinsarbeit bereit.