Was sind personenbezogene Daten?
Angaben einer natürlichen Person bzw. eines Menschen wie:
- Name, Anschrift, E-Mail Adresse, Telefonnummer, Bankdaten, Geschlecht, Größe, Gewicht, körperliche Besonderheiten
Welchen Unterschied gibt es zu den vereinsbezogenen Daten?
Ein Verein ist eine juristische Person:
- Empfehlung E-Mailadresse: vorstand@verein.de oder info@verein.de
- Standortdaten des Vereinshauses, Turnhalle, Sportplatz
- Es wird empfohlen ein Postfach statt der Privatanschrift des Vorsitzenden als Kontaktadresse zu nutzen.
Muss die Satzung angepasst werden?
- Diese Frage kann weder mit ja noch mit nein beantwortet werden, denn es kommt sehr stark darauf an, was bereits in der Satzung steckt und/oder was rein soll. Der Verein kann auch eine entsprechende Richtlinie/Ordnung festlegen.
§…Datenschutz
(1) Die Erhebung und Verarbeitung personenbezogener Daten der Mitglieder und Mitarbeiter durch den Verein erfolgt nur, soweit dies zur Erfüllung des Satzungszwecks erforderlich ist und eine Rechtsgrundlage oder eine ausdrückliche Einwilligung des Betroffenen für die Verarbeitung personenbezogener Daten vorliegt.
(2) Die Erhebung und Verarbeitung personenbezogener Daten im Verein erfolgt im Rahmen der Bestimmungen der EU-Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes.
(3) Zur weiteren Ausgestaltung und zu den Einzelheiten der Datenerhebung- und verwendung erlässt der Verein eine Datenschutzrichtlinie, die durch den Vorstand beschlossen und geändert wird.
Benötigt ein Verein einen Datenschutzbeauftragten?
- Nein, nicht zwingend, da die Vereinsmitarbeiter in der Regel mit der Mitgliederverwaltung nicht „ständig beschäftigt“ sind und, weil in der Regel nicht mehr als 10 Vereinsmitarbeiter mit der Mitgliederverwaltung beschäftigt sind.
Müssen Aufnahmeanträge in Papierform bestehen bleiben oder kann man diese nach dem Scan entsorgen und die Anträge digital sichern?
- In welcher Art und Weise Aufnahmeanträge vorgehalten werden, entscheidet jeder Verein selbst.
- Die Aufbewahrung/Speicherung darf sowohl in Papierform als auch elektronisch erfolgen.
- Die Aufbewahrung/Speicherung muss grundlegende Anforderungen erfüllen (verschlossene Räume und Schränke bzw. passwortgeschützter PC/Server).
- Bei der Vernichtung von Papier muss sichergestellt sein, dass die Art und Weise den gängigen Normen entspricht (Vernichtung mittels eigenem Schredder oder durch ein professionelles Aktenvernichtungs-unternehmen).
- Die digitalen Daten müssen durch Ihre höhere Beweglichkeit entsprechend geschützt werden.
Was ist bei der Meldung von Daten an den Fachverband zur Teilnahme am Wettkampf- und Ligenbetrieb zu beachten?
- Auftragsdatenverarbeitung/Verarbeitung durch Dritte – muss Vertrag mit Fachverband geschlossen werden? Nein, ist in Satzung geregelt.
- Sorgfältige Auswahl der Übermittlung an die Verbände (z.B. E-Mail verschlüsselt oder an persönlich bekannte Ansprechpartner).
Was passiert nach dem Wettkampf mit den Anmeldedaten von Athleten?
- Daten müssen nach dem Wettkampf beim Empfänger der Anmeldedaten (z.b. Turnierveranstalter, Auswärtsgegner) gelöscht werden.
- Zweck der Sammlung der Daten ist nach der Teilnahme am jeweiligen Wettkampf nicht mehr gegeben (Es sei denn, die Liga schreibt etwas anderes vor).
Was muss ich beachten bei der Dokumentation von Wettkämpfen, Spielberichten, Bildern auf der Vereins-Homepage?
- Ein wirksamer Mitgliedsvertrag muss vorliegen oder in Anbahnung sein, somit gibt es die Einwilligung des Mitglieds.
- Im Aufnahmeantrag wird die Verwendung der Daten geregelt, dort muss auf die Verwendung von Daten auf der Vereins-Homepage hingewiesen werden.
- Zeitgeschichtliche Dokumentation aus öffentlichem Interesse
Was muss ich beachten bei der Veröffentlichung von Bildern auf Webseiten, Facebook, Weitergabe an Dritte (Medien)?
- Einwilligung muss bei Aufnahme von Neumitgliedern eingeholt werden.
- Liegt bei Bestandsmitgliedern keine Einwilligung nach aktuellem Stand vor, sollte dies nachgeholt werden.
- Ein Aushang oder Hinweise dazu, dass bei Sportveranstaltung Fotos gemacht werden, sind nützlich, um Besucher/Nichtmitglieder zu informieren. Ein Absatz in der ausgehängten Stadionordnung oder die Mitteilung auf der Eintrittskarte sind hier wirksame Mittel.
- Es ist stets darauf zu achten, dass das Sportgeschehen im Vordergrund zu sehen ist, dann können im Hintergrund auch (Besucher/Gäste) kleiner abgebildet zu sehen sein, die nicht um Erlaubnis gefragt werden müssen
Wie gehe ich mit Facebook und WhatsApp um?
- Ein sorgsamer Umgang ist wünschenswert.
- Unterscheidung zwischen offiziellen (vom Vereinsmitarbeiter eingerichteten) und inoffiziellen Gruppen.
- Austausch von Treffpunkt, Wetter, Bedarf an Kleidung über WhatsApp oder andere Messenger-Dienste ist unkritisch. Nur sport-/vereinsbezogene Kommunikation zulassen.
- Bei Daten mit konkretem Personenbezug – wie bei Mitgliederverwaltung – ist verschlüsselte E-Mail vorzuziehen.
- Aufnahmeanträge/-bzw. -bestätigungen per Post oder E-Mail versenden.
- Die Veröffentlichung von Daten auf Facebook mittels Aufnahmeantrag oder über die Satzung des Vereins regeln.
Mit wem sind Verträge zur Auftragsdatenverarbeitung zu schließen?
- IT-Dienstleister, die eine Webseite oder die E-Mail Postfächer bereitstellen. Dienstleister sollten Musterverträge vorhalten.
- Veröffentlichung von Daten auf Facebook mittels Aufnahmeantrag oder über die Satzung des Vereins regeln.
Welche Löschfristen gibt es nach Austritt eines Mitglieds aus dem Verein?
- Konkrete Löschfristen?
- Generell gilt: siehe Verarbeitungsverzeichnis Mitgliederverwaltung, bzw. Beitragsverwaltung.
- Eine Kontaktpflege ehemaliger Mitglieder für Einladungen ist mit deren Einwilligung möglich.
Was muss der Verein tun, wenn eine Datenschutz-Verletzung geschieht?
- Abklären, ob tatsächlich eine Verletzung bei personenbezogenen Daten vorliegt.
- Beurteilung, welchen Umfang die Verletzung hat und wie viele personenbezogene Daten von wie vielen Mitgliedern/Nichtmitgliedern betroffen sind.
- Einleiten von Maßnahmen, die eine Vergrößerung eines Schadens eindämmt (Diebstahl bzw. Einbruch oder Hackerangriff bei der Polizei melden).
- Rücksprache mit einem Experten in Sachen Datenschutz halten.
- innerhalb von 72 Stunden Meldung an den Landesdatenschutz-beauftragten durchführen und um eine Bewertung bitten bzw. das weitere Vorgehen abstimmen.
Wer prüft die Einhaltung der DS-GVO und wie wahrscheinlich ist eine Prüfung meines Vereins?
- Extern: Datenschutzbehörden des jeweiligen Bundeslandes.
- Intern: die Führung des Vereins (Vorstand, ggf. Geschäftsführer mit einem internen oder externen Datenschutzbeauftragten).
- Eine externe Prüfung kann jederzeit stattfinden.
Gibt es eine Frist, bis wann alle Maßnahmen durchgeführt worden sein müssen?
- Seit dem 25.05.2018 finden in Deutschland das Bundesdatenschutzgesetz in der neuen Fassung sowie die Datenschutz-Grundverordnung Anwendung.
- Das bedeutet, ab 25.05.2018 gilt dieses Recht in der BRD, welches auch entsprechend umzusetzen ist.
- Es gibt derzeit keine Frist, zu der alle Maßnahmen umgesetzt werden müssen. Diese können bei Prüfung kurzfristig gesetzt werden.
Welche Bußgelder können drohen?
- Je nach Schwere des Vergehens bis max. 20 Mio. € oder 4% des im vergangenen Jahres erzielten Umsatzes, je nachdem, was größer ist.
- Bußgelder müssen laut Gesetzeslage angemessen und abschreckend sein.
Welche Gefahr besteht für Vereine durch Abmahnanwälte?
- Ob Unterlassungsansprüche gegen Konkurrenten wegen DSGVO-Verstößen geltend gemacht werden können, ist derzeit noch unklar, weil es zu wenige Urteile zur DS-GVO gibt.
- Beispiel: Das Fehlen einer SSL-Verschlüsselungsowie eine fehlerhafte Datenschutzerklärung führten in einem Fall zu einem Verstoß gegen den §13 Telemediengesetz. Der Streitwert eines einstweiligen Verfügungsverfahrens wurde auf 2.000 Euro festgesetzt.