Verein(t) für den Datenschutz
Transparenz im Umgang mit Daten: DSGVO auch im Vereinsleben beachten.

Suchmaschinen, Fitnesstracker, elektronische Steuererklärung, Social Media, Online-Kartendienste – die Menge an Daten, die erhoben werden, steigt seit einigen Jahren immer weiter an und auch in Zukunft scheint dieser Trend noch nicht abzubrechen. Zugleich wächst bei vielen Menschen auch das Bewusstsein dafür und sie gehen vorsichtiger mit ihren Daten um. Das bemerkte zuletzt auch der Landesbeauftrage für Datenschutz und Informationsfreiheit des Landes Mecklenburg-Vorpommern. Seinen Angaben nach ist die Anzahl der eingegangenen Beschwerden besonders im Hinblick auf das Thema Betroffenenrechte in diversen Bereichen wie Unternehmen, Vereinen und Arztpraxen gestiegen. „Besonders für Vereine ist das Thema Datenschutz eine Herausforderung, da diese Aufgabe meist einer Person aufgetragen wird, die sich zusätzlich zum allgemeinen Vereinsleben damit auseinandersetzt“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, und erklärt weiter: „Es gibt dabei einige grundsätzliche Herausforderungen, die Vereine beachten sollten, um sich vor Prüfverfahren und Bußgeldern der Aufsichtsbehörden zu schützen.“

Zunächst gilt es für den Verein festzustellen, welche personenbezogenen oder -beziehbaren Daten überhaupt in welchen Prozessen aufgenommen und verarbeitet werden. Dazu gehören nicht nur Namen, sondern ebenfalls Daten wie Telefonnummern, Geburtsdaten, Kontonummern oder Adressen. Informationen, die nicht für die Mitgliedschaft relevant sind, sollten auch nicht erhoben werden. Welche Daten zu welchem Zweck und für wie lange von einem Verein erhoben werden, sollten Mitglieder am besten bereits bei der Aufnahme erfahren.

Aber nicht nur Angaben der Mitglieder gehören dazu, sondern beispielsweise auch die von Spendern. Wer für die Verarbeitung der Daten zuständig ist, wird in der Regel in der Satzung oder der Geschäftsordnung des Vereins bestimmt. Jeder Funktionsträger hat dabei aber nur mit den Informationen Umgang, die für die Erfüllung seiner Tätigkeit relevant sind. Dafür sollte ein Verzeichnis der Verarbeitungstätigkeiten geführt werden, in dem festgelegt ist, wer aufgrund welches Verarbeitungsbereiches auf welche Daten Zugang hat.

Personenbezogene Daten sind grundsätzlich zweckgebunden, dürfen also nur für die Aufgabe genutzt werden, zu dem der Verein sie erhoben hat und den er entsprechend seiner Satzung verfolgt. Das bedeutet gleichermaßen, dass es nicht zulässig ist, dass alle Mitglieder auf Angaben über andere frei zugreifen können, es sei denn, der Zweck des Vereins liegt genau darin, dass beispielsweise Menschen mit ähnlichen Interessen miteinander in Kontakt treten.

Für viele Vereine ist es üblich, dass sie Informationen über Mitglieder oder Ähnliches an einem „schwarzen Brett“ veröffentlichen. Auf diese Weise erhalten aber auch vereinsfremde Personen Einblick in die persönlichen Angelegenheiten. „Die Vereinsmitglieder sollten im Vorfeld Informationen über die geplante Veröffentlichung erhalten, sodass sie die Gelegenheit haben, ihr zu widersprechen. Wenn diese Meldungen aber schutzwürdige Informationen der Betroffenen enthalten, sollte im Zweifel lieber davon abgesehen werden. Gleiches gilt auch für Vereinsblätter oder Meldungen im Internet“, mahnt Haye Hösel.

Für den Schutz der personenbezogenen Daten ist der Vereinsvorstand zuständig. Haben in einem Verein dabei mehr als neunzehn Personen Zugriff auf diese Informationen, gilt es einen Datenschutzbeauftragten zu bestellen. Er darf nicht Teil des Vorstands sein und kann entweder selbst Vereinsmitglied sein oder als externer Datenschützer benannt werden.

Ein weiterer wichtiger Punkt für die Datenverarbeitung im Verein stellt die Löschung der erhobenen Daten dar. Nicht selten geben Karteileichen der letzten Jahre und Jahrzehnte noch Auskunft über Adressen oder Telefonnummern ehemaliger Mitglieder. Hösel erklärt: „Vereine müssen ein Löschkonzept entwickeln, in dem sie festlegen, dass sie Daten von Mitgliedern, die aus dem Verein austreten, nach dem Ablauf der gesetzlichen Frist löschen.“ Verlangt ein Vereinsmitglied die umgehende Löschung seiner Daten, muss das innerhalb von 72 Stunden geschehen, da dies sonst eine Meldung bei der Aufsichtsbehörde nach sich ziehen kann. Dies bezieht sich jedoch nicht zwingend auf alle Daten, sondern kommt jeweils auf die gespeicherten Informationen an. Rat durch einen Fachmann ist hier meist unerlässlich.

Druckansicht