Neue europaweite Datenschutzvorschriften – Auf was müssen Vereine jetzt achten?

Mit dieser Aufstellung möchte ich Ihnen einen allgemeinen Überblick über die neuen Pflichten von Vereinen und Parteien bei der Verarbeitung von persönlichen Daten geben. Da Vereine wie Parteien sehr unterschiedlich strukturiert sind, sind alle Angaben ohne Gewähr, erheben keinen Anspruch auf Vollständigkeit und ersetzen keine juristische Einzelfall-Beratung.

Leider führt die Anwendung der Datenschutzgrundverordnung (DSGVO) zurzeit zu großen Verunsicherungen, insbesondere bei Vereinen und mittelständischen Unternehmen. Wir als CDU/CSU-Gruppe im Europäischen Parlament hätten uns eine zukunftsorientiertere Balance zwischen dem Schutz der Rechte des Einzelnen und praktikablen Regeln für die europäische Wirtschaft gewünscht. Mit gezielteren Regelungen und mehr Ausnahmen für die alltägliche Datenverarbeitung durch Bürger, Vereine und kleine Unternehmen hätte dies verhindert werden können, was die anderen Fraktionen im Europäischen Parlament nicht zugelassen haben.

ALLGEMEINES
Mit der DSGVO werden die Regeln zur Verarbeitung personenbezogener Daten innerhalb der Europäischen Union vereinheitlicht. Da es sich um eine europäische Verordnung handelt, gelten die neuen Regeln direkt in allen Mitgliedstaaten. Der nationale Gesetzgeber kann darüber hinaus in bestimmten Bereichen (sog. Öffnungsklausel) eigene konkretisierende Vorschriften erlassen. Das bisher in Deutschland geltende Bundesdatenschutzgesetz (BDSG) wurde daher entsprechend angepasst und wird in Teilen fortbestehen. Die DSGVO wird ab dem 25. Mai 2018 angewendet.

GILT DIE DSGVO AUCH FÜR VEREINE/PARTEIEN?
Die Verordnung schützt gemäß Art. 2 Abs. 1 jede natürliche Person, sobald ihre personenbezogenen Daten ganz oder teilweise automatisiert (z.B. über PC, Smartphone, Kamera, Kopierer) in einer strukturierten Ablage wie beispielsweise in einem Mitgliederverzeichnis verarbeitet werden. Vereine und Parteien in Deutschland fallen als nichtöffentliche Stellen mit Niederlassung in der Europäischen Union unter den Anwendungsbereich der Verordnung. Ausgenommen sind lediglich der rein private Schriftverkehr einer natürlichen Person, ein privates Anschriftenverzeichnis oder die private Nutzung von sozialen Netzwerken.

WELCHE PERSONENBEZOGENEN DATEN SIND GEMEINT?
Personenbezogene Daten sind all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen u.a. der Name, der Aufenthaltsort, eine Mail-Adresse, eine Vereinsnummer. Nach Art. 9 ist die Verarbeitung von besonders sensiblen persönlichen Daten wie Gesundheitsdaten, Daten zur ethnischen Herkunft, politische Meinungen grundsätzlich untersagt, es sei denn es liegen Ausnahmen nach Art. 9 Abs. 2 vor.

RECHTMÄSSIGE VERARBEITUNG UND EINWILLIGUNG
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommt für Vereine und Parteien insbesondere Art. 6 Abs. 1 b) in Betracht, d.h. die Datenverarbeitung findet im Rahmen einer vertraglichen Beziehung (=Mitgliedschaft) statt. Die Daten von Mitgliedern (u.a. Name, Anschrift, Geburtsdatum, Bank-verbindung) können ohne Einwilligung aber nur für Vereinszwecke sowie zur Mitgliederbetreuung/-verwaltung verarbeitet werden. Wofür diese verarbeitet werden, ergibt sich aus der Satzung, die die Ziele bestimmt, für welche wiederum die Mitgliederdaten genutzt werden können. Man darf dabei aber nur die Daten verarbeiten, die zur Mitgliedschaft unbedingt nötig sind. Es gilt der Grundsatz der Datenminimierung. Vor dem 25. Mai 2018 eingeholte Einwilligungserklärungen sind auch nach diesem Stichtag gültig.

Vereine mit minderjährigen Mitgliedern müssen ggf. kleine Anpassungen vornehmen, da Jugendliche nach Art. 8 Abs. 1 nun erst mit 16 Jahren in die Verarbeitung ihrer Daten einwilligen können. Wollen Kinder ihre Mailadressen zur Anmeldung für Newsletter verwenden, müssen die Eltern dem zustimmen. Zudem müssen die Datenschutzerklärungen auf der Homepage des Vereins aktualisiert werden. Enthalten sein muss nun ein Hinweis, welche personenbezogenen Daten erhoben werden, wie lange sie gespeichert werden, wie ein Eintrag auf Datenlöschung gestellt werden kann und welche Daten an Dritte oder an Staaten außerhalb der EU weitergegeben werden. Der Verein ist verpflichtet, die Datenschutzerklärung in einfacher und verständlicher Sprache darzustellen.

DOKUMENTATION UND DATENSCHUTZBEAUFTRAGTER
Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 gilt nicht für Vereine und Parteien, die weniger als 250 Mitarbeiter beschäftigen. Ein Verein muss nur dann einen Datenschutzbeauftragten benennen, wenn mindestens 10 Personen im Verein mit der regelmäßigen und systematischen Verarbeitung von personenbezogenen Daten beschäftigt sind.

ZWECK DER DATENERHEBUNG
Meldet sich eine Person als Mitglied z.B. bei einem Sportverein an, können die bei der Registrierung erhobenen Daten auch für einen anderen Zweck (z.B. Senden von Geburtstagsgrüßen) verwendet werden. Hierfür muss allerdings eine inhaltliche Verbindung (z.B. Zusammengehörigkeitsgefühl der Vereinsmitglieder) zwischen beiden Zwecken bestehen, Garantien gegen Missbrauch vorliegen und der Betroffene informiert werden. Bei Belangen, welche über die satzungsmäßigen Vereinszwecke hinausgehen, ist eine Einwilligung des Mitglieds notwendig. Die Verwendung der Mitgliederdaten für Spendenaufrufe oder für Werbung zu Gunsten des Vereins ist also zulässig, ebenso die Weitergabe von Daten an einen Dachverband – jedoch nur, wenn der Betroffene dort automatisch Mitglied ist oder diesem vorher ausdrücklich zugestimmt hat. Notwendig ist eine Einwilligung hingegen bei der Weitergabe des Namen oder Wohnsitzes an einen Sponsor oder an andere Mitglieder des Vereins (Ausnahme: die Weitergabe ist gerade der Vereinszweck, z.B. bei einem Ehemaligenverein).

AUSKUNFTS- UND INFORMATIONSPFLICHTEN
Die DSGVO erweitert und ergänzt die datenschutzrechtlichen Ansprüche von Vereins- und Parteimitgliedern. Die Informationspflichten werden gemäß Art. 12-15 erheblich ausgebaut, sodass das Mitglied nun eine unentgeltliche Kopie der verarbeiteten Daten verlangen kann und über seine Auskunfts- und Interventionsrechte informiert werden muss.

Ebenso besteht ein Recht auf Löschung („Recht auf Vergessenwerden“) und der Betroffene kann nach Art. 21 jederzeit seine Einwilligung widerrufen. Die Stärkung der Betroffenenrechte bedeutet für den Verein einen zusätzlichen bürokratischen Aufwand, sobald der Betroffene von seinen Rechten Gebrauch macht.
Aus Art. 13 Abs. 1 und Abs. 2 folgt, dass der Verein in jedem Formular zur Erhebung personenbezogener Daten auf Folgendes hinweisen muss:

– Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
– Kontaktdaten des Datenschutzbeauftragten, wenn der Verein einen haben muss
– die Zwecke der Verarbeitung, am besten im Einzelnen aufzählen
– die Rechtsgrundlage der Verarbeitung
– Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, im Internet)
– die Absicht über Drittlandtransfers (z.B. bei Mitgliederverwaltung in der Cloud), sowie Hinweis auf Garantien zur Datensicherheit
– die Speicherdauer der personenbezogenen Daten
– die Belehrung über die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
– den Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung

– den Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde

Der Verein hat auch die Pflicht, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich in der Vereinssatzung oder auch in einer vom Vorstand beschlossenen Datenschutzerklärung festzulegen.