VereinswissenDatenschutz im Verein – Das müsst ihr beachten

Ihr seid ein Verein in Deutschland oder Österreich und fragt euch, was ihr datenschutzrechtlich zu beachten habt? Datenschutz mag auf den ersten Blick wie eine bürokratische Anforderung erscheinen, die nur Unternehmen betrifft. Doch jeder Verein, von der Freiwilligen Feuerwehr bis zum Sportclub, muss sich mit der Verarbeitung personenbezogener Daten auseinandersetzen und sich an die Datenschutz-Grundverordnung halten. 

Die EU-Datenschutz-Grundverordnung (DSGVO) hat das Bewusstsein für den Datenschutz bei Firmen und Organisationen, aber auch in weiten Teilen der Bevölkerung geschärft und klare Richtlinien gesetzt, die auch im Vereinswesen unerlässlich sind. Für Vereine geht es darum, ein Verständnis zu entwickeln, welche Daten und zu welchem Zweck erhoben werden, wie sie verarbeitet und geschützt werden müssen und dass die Privatsphäre der Mitglieder stets gewahrt bleibt. Wir zeigen euch, wie wichtig Datenschutz im Verein in Deutschland und Österreich ist, wie ihr die Daten eurer Vereinsmitglieder am besten schützen könnt und worauf ihr für die Einhaltung der DSGVO achten solltet.

Das Wichtigste in Kürze

  • Als Verein müsst ihr interne Prozesse etablieren, die den Datenschutz gewährleisten und den Umgang mit Mitgliederdaten klar regeln. Werden die Daten von allen mit geeigneten technischen Massnahmen vor Datendiebstahl geschützt und wisst ihr genau, wer auf welche Daten Zugriff hat?
  • Regelmäßige Überprüfungen der Datenaktualität und Notwendigkeit sind essenziell. Daten sollten nur so lange wie nötig gespeichert und sicher gelöscht werden. Wisst ihr über alle Orte Bescheid, an denen Daten gespeichert werden? Und könnt ihr garantieren, dass personenbezogene Daten auf Wunsch wirklich an allen Stellen gelöscht werden, auch auf Backups? 
  • Mitglieder müssen über die Datensammlung samt deren Nutzung und ihre Rechte klar informiert werden. Transparenz ist dabei ein zentrales Element des Datenschutzes. Informiert ihr eure Mitglieder, welche Daten ihr über sie speichert und wozu ihr diese Daten nutzt (z.B. um ihnen Mitgliederrechnungen schicken zu können)?
  • Für die Verarbeitung sensibler Daten wie Gesundheitsinformationen, aber auch Daten, aus denen ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen einer Person hervorgehen, ist eine ausdrückliche Einwilligung der Betroffenen erforderlich, die klar und unmissverständlich eingeholt werden muss.
  • Regelmäßige Schulungen der Leute, die in der Vereinsverwaltung mitarbeiten oder Zugriff auf Daten des Vereins haben sind wichtig, um das Bewusstsein für den Datenschutz zu schärfen. Größere Vereine, bei denen 20 oder mehr Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben oder Vereine, die sensible Daten verarbeiten, müssen eine*n qualifizierte*n Datenschutzbeauftragte*n ernennen.

DSGVO konforme Mitgliederverwaltung im Verein

Mit eurem Verein steht ihr vor der Herausforderung, effizient den Überblick über die Mitgliederdaten zu behalten und gleichzeitig den Datenschutz zu gewährleisten. Hierbei ist es entscheidend, dass eure internen Prozesse so gestaltet werden, dass alle, die auf Mitgliederdaten zugreifen müssen, dies schnell und einfach können, alle anderen aber keinen Zugriff auf eure personenbezogenen Daten haben. 

Schutz vor Datendiebstahl

Um die Mitgliederdaten eures Vereins vor dem Zugriff von Aussenstehenden zu schützen, müsst ihr geeignete Prozesse einführen, technische Massnahmen ergreifen und diese in den sogenannten TOMs dokumentieren (mehr dazu weiter unten im Abschnitt: «Technische und organisatorische Maßnahmen zum Datenschutz»).

Wenn Mitgliederdaten zum Beispiel auf einem privaten Computer gespeichert werden, müsst ihr Regeln festlegen, wie diese Daten geschützt werden (z.B., dass die private Festplatte verschlüsselt werden muss, dass der verwendete Laptop nach X Minuten Inaktivität den Sperrbildschirm zeigt, damit niemand auf personenbezogene Daten zugreifen kann, falls dieser im Zug vergessen wird, dass auch Backups verschlüsselt und sicher verwahrt werden müssen usw.). Auch wenn Mitgliederdaten per Mail verschickt werden – zum Beispiel an die Kassiererin oder bei einer Amtsübergabe - müsst ihr gewährleisten, dass dies sicher geschieht und entsprechende Prozesse definieren, dokumentieren und schulen. Denn wenn mal etwas passiert, müsst ihr nachweisen können, welche Massnahmen ihr zum Schutz eurer personenbezogenen Daten festgelegt und wie ihr für deren Umsetzung gesorgt habt.

Software-Tipp
All dies wird mit einer modernen Online-Vereinssoftware wie ClubDesk natürlich viel einfacher, weil in diesem Fall ClubDesk bzw. ein professionelles Rechenzentrum die höchsten technischen Schutzmassnahmen gewährleistet - angefangen vom Einbruchsschutz über professionelle Firewalls bis zu sicheren Backups - und ihr von den TOMs von ClubDesk profitiert. Und weil bei in der Cloud gespeicherten Daten alle - von der Präsidentin über den Kassierer bis zum Trainer - auf die für sie relevanten Daten zugreifen können, müsst ihr nur in ganz wenigen Ausnahmefällen Mitgliederdaten verschicken.

Natürlich müsst ihr trotzdem noch dafür sorgen, dass die Leute, denen ihr Zugriff auf personenbezogene Daten gebt, sichere Passwörter verwenden, diese nicht rumliegen lassen und z.B. keine Mitgliederdaten runterladen und unverschlüsselt aufbewahren.

Einschränkung des Zugriffs

Jede*r Mitarbeiter*in des Vereins darf nur auf diejenigen Mitgliederdaten zugreifen können, die für deren Aufgabe im Verein wirklich benötigt werden. Eine Person, die in eurem Verein zum Beispiel „nur“ für die Aktualisierung von Kontaktdaten der Mitglieder zuständig ist, sollte nicht sehen können, wer noch offene Rechnungen hat und die Trainierin der A-Junioren sollte vermutlich nur Zugriff auf die Daten der von ihr betreuten Teammitglieder haben. Und natürlich sollte nicht die Partnerin des Kassierers durch Öffnen einer Excelliste sehen können, wer mit den Mitgliederbeiträgen im Verzug ist. Oder gibt jemand ein Amt ab, dann solltet ihr entsprechende Prozesse festlegen und zum Beispiel festhalten, wie die Daten sicher vom PC der alten Amtsinhaberin gelöscht werden, und ihr müsst dokumentieren, auf welche Online-Dienste diese Person Zugriff hat (DropBox, Google Docs, Webpages usw.) und wer sicherstellt, dass all diese Zugriffe gelöscht werden.

Software-Tipp
Wieder erleichtert die Arbeit mit einer modernen Online-Software all dies enorm. Mit ClubDesk kann niemand, der z.B. im selben Haushalt lebt, ohne ein Passwort auf Mitgliederdaten zugreifen. Weil ihr ganz einfach festlegen könnt, wer aus eurem Verein auf welche Daten Zugriff hat, ist es kinderleicht, dass Personen wirklich nur auf die für ihre Arbeit notwendigen Daten zugreifen können. Mit ClubDesk legt ihr die Zugriffsrechte auf eure Mitgliederdaten, auf eure Vereinsdokumente, die Webseite oder Rechnungen alle zentral an einer Stelle fest. Wenn also jemand aus dem Vorstand zurücktritt, müsst ihr das genau an einer Stelle umstellen und diese Person hat keinen Zugriff mehr auf irgendwelche vertraulichen Daten. Es müssen keine Daten weitergegeben oder gelöscht werden. Das ist so einfach und übersichtlich, dass nichts dokumentiert oder Prozesse festgelegt werden müssen, ausser wann die Rolle des alten Amtsinhabers umgestellt wurde.

Auskunft über Löschung von Daten

Ihr müsst euren Mitgliedern jederzeit Auskunft geben können, welche personenbezogenen Daten ihr speichert, wo diese gespeichert sind und wozu ihr sie verwendet. Auch hier gilt es, Prozesse festzulegen und zu dokumentieren, wer welche Daten speichern darf (ist es der Chorleiterin z.B. gestattet, Anwesenheiten an Proben zu speichern), wo überall Daten gespeichert sind und wie im Falle einer Löschungsanfrage vorgegangen werden muss, damit die Daten wirklich an allen Stellen gelöscht werden.

Software-Tipp
Mit ClubDesk gibt es nur eine zentrale Kontaktverwaltung und nicht mehrere Excel-Listen, Finanz-Programme, Webseiten-Lösungen oder Online-Speicherdienste, in denen Mitglieder oder Zugangsdaten gespeichert sind. Eine Löschung aller personenbezogenen Daten einer Person ist daher mit einem Klick erledigt. Und weil es nur eine zentrale Datenbank gibt, wisst ihr ganz genau, welche Daten gespeichert werden und auch wo und damit wer für deren Sicherheit verantwortlich ist. All das ist für euch in den TOMs, die Bestandteil der Auftragsverabeitungsvereinbarung mit ClubDesk sind, dokumentiert.

Praktische Umsetzung der Datenschutzbestimmungen

Datenschutz ist also mehr als das Sammeln von Einwilligungserklärungen. Es geht auch darum, aktiv zu managen, welche Informationen erhoben werden, wie lange sie aufbewahrt und wie sie sicher gelöscht werden. Unabhängig davon, mit welchen Hilfsmitteln ihr personenbezogene Daten verwaltet, solltet ihr in eurem Verein regelmäßig prüfen, ob die gespeicherten Daten noch aktuell sind und ob sie noch benötigt werden. Ein datenschutzkonformes Vorgehen erfordert eine konstante Auseinandersetzung mit den gespeicherten Informationen und ein bewusstes Datenmanagement.

Datenschutz und Vertragsbeziehungen im Verein

Wenn Mitglieder eures Vereins Dienstleistungen in Anspruch nehmen, wie etwa die Teilnahme an Trainings oder einem Kurs, müsst ihr die entsprechenden Daten verarbeiten und speichern damit ihr die Leistung überhaupt erbringen könnt (z.B. über eine Verschiebung informieren oder eine Rechnung schicken könnt). Daher dürft ihr solche Daten speichern. Hierbei ist es von größter Bedeutung, dass ihr nur die notwendigen Daten erfasst und diese nicht länger als nötig aufbewahrt werden. So werden die Mitglieder geschützt und ihr stellt sicher, dass euer Verein die DSGVO-Anforderungen einhält. 

Die Bedeutung von Information und Transparenz

Jedes Mitglied hat das Recht darauf zu wissen, welche Daten vom Verein gesammelt werden und zu welchem Zweck. Transparenz ist ein Schlüsselelement des Datenschutzes. Euer Verein ist verpflichtet, klar und verständlich zu kommunizieren, wie mit den Daten umgegangen wird und warum die Daten benötigt werden. Auch über ihre Rechte in Bezug auf die Daten müssen die Mitglieder informiert werden.

Datenschutzhinweise für Mitglieder

Üblicherweise wird über den Schutz der Mitgliederdaten in den Datenschutzhinweisen des Vereins informiert. Wenn ihr wollt, dass sich auch potenzielle Neumitglieder vor dem Beitritt zu eurem Verein über euren Umgang mit Mitgliederdaten informieren können, dann empfiehlt es sich die Datenschutzhinweise auf eurer Vereinswebseite zu veröffentlichen.

Software-Tipp
Wer seine Vereinswebseite mit ClubDesk erstellt, erhält einen Vorschlag für einen Datenschutzhinweis der, wenn nötig ganz einfach an spezifische Anforderungen eures Vereins angepasst werden kann (enthält auch einen Link auf einen Datenschutzgenerator speziell für Vereine). Wer nicht mir ClubDesk arbeitet, kann einen Musterdatenschutzhinweis hier herunterladen. 

Datenschutzhinweis für Besucher der Vereinswebseite

Denkt daran, dass ihr auch die Besucher eurer Vereinswebseite darüber informieren müsst, welche Cookies ihr verwendet, welche Analysetools ihr einsetzt und welche Daten ihr wozu speichert.

Auch hierbei unterstützt euch ClubDesk optimal mit einem entsprechenden Cookiebanner und einem Vorschlag für einen Datenschutzhinweis.

Datenschutz bei berechtigtem Interesse des Vereins

Es gibt Situationen, in denen euer Verein personenbezogene Daten verarbeiten muss, um legitime Interessen zu verfolgen, etwa bei der Veranstaltungsorganisation oder der Mitgliederverwaltung. In solchen Fällen müsst ihr eine Interessenabwägung vornehmen und sicherstellen, dass die Interessen eurer Mitglieder in Bezug auf Datenschutz nicht überwiegen.

Einverständnis für Veröffentlichung

Wenn ihr Daten von Mitgliedern z.B. auf eurer Webseite veröffentlicht, auch wenn diese nur für andere Mitglieder oder sogar nur für Mitglieder desselben Teams oder derselben Gruppe sichtbar sind, müsst ihr von den Mitgliedern darüber ein Einverständnis einholen. Ein Muster findet ihr in folgendem PDF auf Seite 22.

Bei Bildern, die keine besonderen Kategorien personenbezogener Daten preisgeben, könnte der Verein ein berechtigtes Interesse an der Öffentlichkeitsarbeit haben, wenn nicht überwiegende Interessen der betroffenen Person entgegenstehen. Grundsätzlich regt z.B. der Datenschutzbeauftragte von Mecklenburg-Vorpommern an, sparsam mit Fotos umzugehen, die Mitglieder eindeutig erkennbar zeigen. Im entsprechenden PDF wird auf Seite 17 ausgeführt: "Ein Siegerportrait ist natürlich ok, aber bei Fotos von Kindern im Training empfehlen wir solche Aufnahmen für die Homepage auszuwählen, bei denen Gesichter nicht unbedingt erkennbar sind, oder im Zweifel eine Einwilligung einzuholen."

Besondere Sorgfalt bei sensiblen Daten

Besonders sensible Daten, erfordern eine gesonderte Behandlung und dürfen nur mit ausdrücklicher Einwilligung der betroffenen Personen verarbeitet werden. Euer Verein muss in diesen Fällen besondere Sorgfalt walten lassen und die Einwilligung eurer Mitglieder klar und unmissverständlich einholen. Dazu gehören folgende Daten:

 

  • Gesundheitsdaten (z.B. Allergien, Unverträglichkeiten, Verletzungen)
  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen
  • Gewerkschaftszugehörigkeit
  • genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Umgang mit Mitgliederlisten im Sinne des Datenschutzes

Mitgliederlisten sind ein klassisches Beispiel für den sorgfältigen Umgang mit personenbezogenen Daten. Es muss klar definiert sein, welche Personen in eurem Verein Zugriff auf solche Listen haben und zu welchem Zweck die Mitgliederlisten genutzt werden dürfen. Die Verteilung solcher Listen muss kontrolliert erfolgen, um den Datenschutz nicht zu gefährden. 

Software-Tipp
Mit einer Vereinssoftware wie ClubDesk könnt ihr ganz einfach Regeln festlegen, wer auf welche Mitgliederdaten Zugriff hat. Dennoch solltet ihr die Leute auf jeden Fall darauf hinweisen, dass die Daten innerhalb von ClubDesk sicher sind, aber dass dies beim Herunterladen auf den privaten PC oder beim Verschicken per E-Mail ohne entsprechende Schutzmassnahmen (Anonymisierung, Verschlüsselung, Passwortschutz etc.) nicht mehr der Fall ist.

Datenschutz im Verein bedeutet also weit mehr als nur die Erfüllung gesetzlicher Vorgaben. Es geht um den verantwortungsbewussten Umgang mit Informationen und das Vertrauen eurer Mitglieder. Jeder Verein sollte eine Datenschutz-Policy haben, die nicht nur auf dem Papier existiert, sondern auch gelebt wird. Dazu gehört die Sensibilisierung und die regelmäßige Schulung der Verantwortlichen zum Umgang mit personenbezogenen Daten.

Regelmäßige Schulungen entwickeln ein Bewusstsein

Eine zentrale Rolle für den bewussten Umgang mit personenbezogenen Daten spielt die Schulung der Verantwortlichen in eurem Verein. Datenschutz ist ein komplexes Thema und bedarf einer gewissen Weiterbildung über die Rechte und Pflichten, die sich daraus ergeben. Ihr könnt innerhalb eures Vereins beispielsweise Workshops anbieten oder Informationsmaterial bereitstellen, um das Bewusstsein für den Datenschutz zu schärfen und so Fehlern vorzubeugen.

Hier findet ihr zwei ausführliche, aber klare Leitfäden, die sich als Grundlage für eine Schulung eignen und viele weitere konkrete Fragen beantworten:

Die Rolle der Datenschutzbeauftragten

Größere Vereine oder solche, die besonders sensible Daten (siehe oben) verarbeiten, sollten eine*n Datenschutzbeauftragte*n ernennen. Diese Person ist in eurem Verein nicht nur für die Überwachung der Einhaltung der Datenschutzbestimmungen zuständig, sondern auch Ansprechpartner*in für Mitglieder und Behörden. Datenschutzbeauftragte sollten entsprechend qualifiziert sein und unabhängig agieren können.

Ein Datenschutzbeauftragter ist für einen Verein erforderlich, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Es spielt keine Rolle, ob diese Personen ehrenamtlich, fest angestellt, freiberuflich oder in Teilzeit tätig sind. Entscheidend ist, dass ihre Aufgaben mehrheitlich in der Datenverarbeitung liegen (z.B. Trainer und Trainerinnen deren Hauptaufgabe das Trainieren und nicht das ständige Bearbeiten von Daten ist, zählen daher nicht mit).

Technische und organisatorische Maßnahmen zum Datenschutz

Euer Verein sollte nicht nur organisatorische, sondern auch technische Maßnahmen für den Datenschutz ergreifen (auch TOMs genannt). Dazu zählen beispielsweise die Verschlüsselung von Daten, sichere Passwörter und der Schutz vor unberechtigtem Zugriff. Euer Verein muss sicherstellen, dass die technische Infrastruktur den Anforderungen des Datenschutzes gerecht wird und dass sie regelmäßig aktualisiert wird.

Software-Tipp
Durch die Nutzung einer modernen Vereinssoftware wie ClubDesk, könnt ihr viele der folgenden Massnahmen outsourcen - aber nicht ganz alle. Um Themen wie sichere Passwörter oder Regeln zur Veröffentlichung von Daten müsst ihr euch auf jeden Fall kümmern.

Zu den wichtigsten technischen Massnahmen der DSGVO gehören:

Firewalls & WLAN: Eure Daten sollten durch aktuelle, kompetent gemanagte Firewalls vor Zugriffen aus dem Internet geschützt werden. Und auch die WLANs (WiFi), mit deren Hilfe auf eure Vereinsdaten zugegriffen wird, sollten angemessen konfiguriert sein. Also verwendet z.B. den WPA2-Standard und sichere Passwörter.

Zutrittskontrolle: Nicht nur der Zugriff über Netzwerke (Internet, WiFi usw.), sondern auch der direkte physische Zugriff auf Computer, Festplatten oder Backup-Medien sollte gut gesichert sein, am besten in einem Rechenzentrum oder gut gesicherten Räumlichkeiten.

Zugriffsrechte: Mit Hilfe von Passwörtern, Zugriffsrollen, Nutzergruppen usw. solltet ihr genau festlegen können, wer mit welchen Rechten (Lesen und Schreiben, Nur Lesen, Gar nicht) auf welche Daten zugreifen kann. Bitte bedenkt, dass ihr nur den Leuten Zugriff zu den Daten geben solltet, die diese Daten für ihre Vereinsarbeit wirklich brauchen.

Verschlüsselung: Um eure Daten vor unbefugtem Zugriff zu schützen, sollten diese nur verschlüsselt gespeichert und auch verschickt werden. Dazu gehört auch die Verwendung von sicheren Passwörtern.

Sicherheitskopien: Damit ihr auf eure Daten auch noch nach einem Hardwaredefekt, Verlust eines Computers, versehentlichem Löschen oder der Verschlüsselung durch Hacker zugreifen könnt, müsst ihr regelmässig Backups erstellen. Denkt daran, auch eure Backups sicher aufzubewahren, zu verschlüsseln und auch Daten-Löschaufträge zeitnah auf Backups nachzuführen.

Als Verein seid ihr dafür verantwortlich, dass diese technischen Massnahmen auch auf den privaten Computern von allen ehrenamtlichen Vereinsmitarbeitern umgesetzt werden, sobald auf diesen Geräten personenbezogene Daten gespeichert sind. Es ist also schon problematisch, eine Excel-Liste mit den Teilnehmern eines Trainings auf einem heimischen PC zu speichern, wenn dieser nicht mit einem sicheren Passwort geschützt ist, die Festplatte nicht verschlüsselt wurde oder das Gerät gar vom Ehepartner oder den Kindern mit genutzt wird.

Software-Tipp
Mit einer Online-Vereinssoftware wie ClubDesk könnt ihr euch zum Glück ganz einfach jede Menge Aufwand und Massnahmen ersparen, weil die Vereinsdaten mit ClubDesk nicht ausserhalb des Rechenzentrums gespeichert werden, es gar nicht möglich ist ohne Passwort z.B. auf die Mitgliederdaten zuzugreifen und Daten auch nicht verschickt oder an andere Personen weitergegeben werden müssen.

Zu den wichtigsten organisatorischen Massnahmen der DSGVO gehören:

Prozesse und Richtlinien: Euer Verein sollte klare Verfahren und Richtlinien für den Umgang mit Daten aufstellen, diese dokumentieren und sicherstellen, dass alle, die mit Vereinsdaten arbeiten, diese Richtlinien kennen und einhalten. Neben dem Bewusstsein über die Verantwortung für den sicheren Umgang mit Daten, gehören klare Regeln zu Passwörtern (Mindestlänge, Sonderzeichen usw.) und Veröffentlichung von Daten und Fotos. Auch Massnahmen gegen Phishing und Spoofing zählen zu den wichtigen Themen, die ihr in eurem Verein ansprechen solltet.

Infos und Schulungen: Stellt sicher, dass ihr die Leute, die Zugriff auf eure Vereinsdaten haben, gut über das Thema Datenschutz informiert und immer mal daran erinnert, wie wichtig es ist, eure Sicherheitsmassnahmen einzuhalten (Gute Passwörter zu verwenden, Daten zu verschlüsseln usw.)

Datenverarbeitungsvereinbarung: Nutzt ihr die Dienste Dritter, um personenbezogene Daten zu speichern oder zu übermitteln, dann müsst ihr mit diesen Dienstleistern einen Vertrag abschliessen, in dem diese euch den sicheren und DSGVO-konformen Umgang mit euren Daten zusichern. Bei der Nutzung von ClubDesk geschieht dies automatisch mit einer Auftragsverarbeitungsvereinbarung, die Bestandteil der AGBs (Abschnitt 11.7) ist. Nutzt ihr weitere Dienste (Cloudspeicher, Onlineformulare, Webseiten Provider), sollten auch von diesen AVVs vorliegen.

Risikoanalyse: Überprüft und hinterfragt eure Prozesse und Sicherheitsmassnahmen regelmässig und stellt sicher, dass diese den aktuellen Bedrohungen oder technischen Möglichkeiten entsprechen.

Mehr Infos zu Technisch-organisatorischen Maßnahmen (TOMs) hier >>

Software-Tipp
Auch das Definieren und Dokumentieren der organisatorischen Massnahmen, ist mit einer Vereinssoftware wie ClubDesk natürlich deutlich weniger aufwändig. Tritt jemand aus dem Vorstand aus, müsst ihr in ClubDesk nur an einer Stelle die Zugriffsrechte dieser Person ändern und festlegen, wer das macht. Arbeitet ihr stattdessen mit verschiedenen Softwaretools und lokal gespeicherten Daten, solltet ihr unbedingt dokumentieren, wer alles auf welche Dienste und Daten Zugriff hat. Nur so wisst ihr (und nicht nur eine Person) bei einem Austritt, wo überall ihr Zugriffsrechte abschalten müsst und wer das macht (und wenn es mehrere Tools sind, eventuell mit einer Anleitung, wie genau sie abgeschaltet werden müssen). Zudem stellt ihr sicher, dass die ausscheidende Person vertrauliche Daten sicher an den bzw. die Nachfolgerin übergibt (z.B. Verschlüsselungsregeln beim Versand per E-Mail) und wie ihr gewährleistet, dass alle personenbezogenen Daten wirklich komplett vom privaten Rechner dieser Person gelöscht werden.

Incident-Response-Plan bei Datenschutzverletzungen

Trotz aller Vorsichtsmaßnahmen, die euer Verein ergreift, kann es zu Datenschutzverletzungen kommen. Für solche Fälle sollte euer Verein einen sogenannten Incident-Response-Plan haben. Dieser legt fest, wie im Falle einer Datenpanne zu reagieren ist, wer informiert werden muss und wie die betroffenen Mitglieder zu benachrichtigen sind. Eine schnelle und transparente Reaktion kann das Vertrauen der Vereinsmitglieder erhalten und den Schaden minimieren.

Dokumentation und Nachweisführung

Die DSGVO fordert in Ländern der EU, dass euer Verein Maßnahmen zum Datenschutz und die Einhaltung der Datenschutzbestimmungen nachweisen kann. Das bedeutet, dass euer Verein dokumentieren muss, welche Datenverarbeitungsaktivitäten stattfinden, auf welcher rechtlichen Grundlage sie basieren und welche Schutzmaßnahmen getroffen wurden. Diese Dokumentation ist nicht nur für die Aufsichtsbehörden wichtig, sondern dient auch als Selbstkontrolle für euren Verein.

DSGVO-CHECKLISTE für euren Verein

Checkliste zum Download
Legitimation der Datenverarbeitung von Mitgliedern

Überprüft, ob für die Erhebung, Speicherung und Bearbeitung von Mitgliederdaten eine gesetzliche Erlaubnis besteht oder die Einwilligung des Betroffenen vorliegt. Stellt zudem sicher, dass satzungsinterne Datenschutzbestimmungen mit der DSGVO konform sind.

Richtlinien zur Datenspeicherung

Sorgt dafür, dass nur notwendige Daten gesammelt werden und die Speicherung zeitlich an den Bedarf sowie gesetzliche Fristen angepasst ist.

Gewährleistung von Datensicherheit

Führt Sicherheitsvorkehrungen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Daten durch (TOMs) und überprüft diese regelmäßig.

Datenschutzbeauftragten ernennen

Sobald mehr als 20 Personen in eurem Verein mit der automatisierten Datenschutzverarbeitung betraut sind, sollte ein*e Datenschutzbeauftragte*r ernannt werden.

Führung eines Verarbeitungsverzeichnisses

Legt ein Verzeichnis an, das Zuständigkeiten, Zugriffsrechte und Verarbeitungszwecke der Daten klar definiert (entsprechend Art. 30 DSGVO).

Mitgliederinformation zur Datenverarbeitung

Klärt Mitglieder bereits beim Beitritt schriftlich über die Datenverarbeitung auf und informiert bestehende Mitglieder über Änderungen.

Einhaltung der DSGVO durch Mitarbeiter

Jede mit Mitgliederdaten arbeitende Person im Verein muss über die DSGVO aufgeklärt und zur Einhaltung verpflichtet werden.

Daten Diestleistern anvertrauen (Auftragsverarbeitungsvereinbarung)

Lasst ihr personenbezogene Daten durch Dienstleister speichern oder verarbeiten, müsst ihr mit diesen eine Auftragsverarbeitungsvereinbarung abschliessen. In Verträge mit externen Dienstleistern, mit denen ihr keine Auftragsverarbeitungsvereinbarung habt, solltet ihr Datenschutzklauseln mit aufnehmen und die Datenschutzmaßnahmen der Dienstleister solltet ihr regelmäßig prüfen.

Benachrichtigungspflicht bei Sicherheitsverletzungen

Für den Fall einer Datenschutzverletzung solltet ihr ein Verfahren zur schnellen Reaktion und Benachrichtigung von Mitgliedern und Aufsichtsbehörden festlegen.

Bewertung des Verarbeitungsrisikos

Nehmt eine Risikoeinschätzung vor und versucht so, das Risiko, das mit der Datenverarbeitung einhergeht, einzuschätzen.

Zusammenfassung: Datenschutz im Verein

Datenschutz im Verein ist ein fortlaufender Prozess, der sorgfältige Planung und kontinuierliche Anpassung erfordert. Es geht darum, ein Gleichgewicht zu finden zwischen dem effizienten Vereinsmanagement und dem Recht der Mitglieder auf Privatsphäre und Schutz ihrer personenbezogenen Daten. Ein proaktiver Ansatz und die Einbindung aller Mitglieder sind dabei der Schlüssel zum Erfolg. Eine Vereinssoftware wie ClubDesk erleichtert die DSGVO konforme Verarbeitung von Mitgliederdaten enorm. 

Häufige Fragen zum Datenschutz im Verein

Ihr habt noch Fragen zum Thema Datenschutz im Verein? Die häufigsten Fragen beantworten wir euch hier:

Was ist die DSGVO und wie betrifft sie Vereine?

Die DSGVO ist eine Verordnung der EU, die den Umgang mit personenbezogenen Daten reguliert. Sie gilt für alle Organisationen, einschließlich Vereine, die personenbezogene Daten verarbeiten.

Welche Arten von Daten sind als "personenbezogene Daten" zu betrachten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere Name, Adresse, E-Mail-Adressen, Telefonnummern und Fotos.

Müssen Vereine eine*n Datenschutzbeauftragte*n ernennen?

Dies hängt von der Größe des Vereins und der Art der Datenverarbeitung ab. In der Regel müssen Vereine, die regelmäßig und systematisch große Mengen personenbezogener Daten verarbeiten, eine*n Datenschutzbeauftragte*n ernennen.

Wie sollten Vereine die Einwilligung zur Datenverarbeitung einholen?

Vereine müssen sicherstellen, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, spezifisch, informiert und unmissverständlich erteilt wird. Dies kann zum Beispiel durch ein Anmeldeformular mit Datenschutzerklärung erfolgen.

Was müssen Vereine tun, um die Sicherheit der Daten zu gewährleisten?

Vereine müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten, wie z.B. sichere Speicherung, regelmäßige Updates von Software und Schulungen für Mitarbeitende.

Welche Rechte haben Mitglieder in Bezug auf ihre Daten?

Mitglieder haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen, Berichtigungen zu veranlassen, die Löschung ihrer Daten zu fordern und der Datenverarbeitung in bestimmten Fällen zu widersprechen.

Zurück