Datenschutzerklärung

Die neuen Regelungen gelten nicht nur für "Unternehmen" (Art. 4 Nr. 18 DS-GVO), sondern für alle
natürlichen und juristischen Personen - auch für Vereine.

Welche Daten müssen geschützt werden?

Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen
oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder, daneben aber auch Spender,
Klienten, Kunden, Vermieter usf. Typischerweise erhoben werden Name und Anschrift, Geburtsdatum,
Eintrittsdatum, Bankverbindung u.ä. All das sind personenbezogene Daten. Die Art der Erfassung
(digital oder auf Papier) spielt keine Rolle. Der Datenschutz bezieht sich auf das Erheben, Verarbeiten
(Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen (jede Verwendung) von Daten.

Erlaubnis

Daten werden im Rahmen einer vertraglichen Beziehung erhoben. Diese vertragliche Beziehung ist
die Mitgliedschaft. Die für die Mitgliederverwaltung erforderlichen Daten dürfen also in jeden Fall verwendet werden. Das gleiche gilt, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung
erforderlich sind. Das gilt z.B. für Spender und dem Vermieter. Hier müssen die
Spendenbescheinigungen mit ihren Daten 10 Jahre aufbewahrt werden.

Zuständigkeit

Zuständig für den zum Schutz personenbezogener Daten ist der Vorstand. Die Personen, die mit der
Datenverarbeitung befasst sind, müssen auf das Datengeheimnis verpflichtet werden. Auf ein
entsprechendes Merkblatt wird verzichtet. Die Personen, die mit Mitgliederdaten zu tun haben,
erkennen den Datenschutz mit Erhalt dieser Mitteilung an.

Umgang mit Daten

Der Verein darf die von ihm gesammelten Daten nur im Rahmen des BDSG oder einer anderen
Rechtsvorschrift nutzen. Die Datenschutzbestimmungen können nicht per Satzung eingeschränkt
werden. Das Erheben, Speichern, Ändern oder Übermitteln personenbezogener Daten oder ihre
Nutzung ist nur zulässig, wenn dies für die Erfüllung des Vereinszweckes erforderlich ist.
Das gilt insbesondere für Anschrift und Bankdaten der Mitglieder.
Nach § 4 Abs. 3 BDSG muss der Betroffene über die folgende Umstände informiert werden:

  • die Identität der verantwortlichen Stelle (= Akkordeonfreunde Ladenburg e.V.)
  • die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung (= Mitgliederverwaltung)
  • über die Empfänger, soweit die Daten weitergeleitet werden und er nicht mit einer
    Übermittlung zu rechnen hatte.

Übermittlung von Daten

Teilweise muss der Verein Daten von Mitgliedern weitergeben. Ob das zulässig ist, hängt vom
Einzelfall ab:

  • Weitergabe an andere Mitglieder: i.d.R. nur im Sonderfall; das ist vor allem das
    Minderheitenbegehren nach § 37 BGB
  • Weitergabe an Verbände: Die ist regelmäßig zulässig, wenn sie sich schon aus der
    Vereinstätigkeit ergibt (z.B. Wertungsspielmeldungen, Kursanmeldungen, usw.). Geht die
    Datenweitergabe darüber hinaus, sollte das in der Satzung geregelt werden oder in der
    Einverständniserklärung benannt werden.
  • Veröffentlichung von Daten:Die Veröffentlichung (Zeitung, Mitteilungsblatt, Schwarzes Brett)
    ist zulässig, wenn sie dem Vereinszweck dient, z.B. bei Orchesteraufstellungen oder Spielergebnissen.
    Nicht zulässig ist regelmäßig die Veröffentlichung der Namen in Fällen mit "ehrenrührigem" Inhalt
    wie Hausverboten, Vereinsstrafen oder Entlassungen.
  • Veröffentlichung im Internet: Die Veröffentlichung personenbezogener Daten durch einen
    Verein im Internet ist grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich
    damit einverstanden erklärt hat. Informationen über Vereinsmitglieder (z.B. Spielergebnisse
    und persönliche Leistungen, Gruppen- oder Orchesterbilder, Ranglisten, usw.) oder Dritte
    (z.B. Auftritte bei externen Vereinen, Veranstaltungen usw.) können i.d.R. auch ohne
    Einwilligung kurzzeitig ins Internet gestellt werden, wenn die Betroffenen darüber informiert
    sind.
  • Persönliche Nachrichten, wie z.B. zu Spenden, Geburtstagen und Jubiläen sind in der Regel
    unproblematisch. Das Mitglied kann dem aber widersprechen.
  • Die Weitergabe zu Werbezwecken (etwa an Sponsoren) darf nur mit Zustimmung des
    jeweiligen Mitglieds erfolgen.

Widerspruchs- und Auskunftsrecht

Grundsätzlich darf der Verein keine personenbezogenen Daten erheben, speichern oder weitergeben,
wenn er nicht über eine Einwilligung verfügt oder eine entsprechende Rechtsgrundlage besteht. Diese
Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Es können aber in
diesem Fall andere Erlaubnistatbestände vorliegen.
Zentraler Punkt des Datenschutzes ist zudem das Recht des Betroffenen auf Auskunft. Er muss darüber
informiert werden, in welchem Umfang Daten von ihm gespeichert sind. Dieses Auskunftsrecht ist in
Artikel 15 der DS-GVO zweistufig ausgestaltet. Danach hat die betroffene Person das Recht, von dem
Verantwortlichen eine Bestätigung darüber zu verlangen, ob (= 1. Stufe) überhaupt Daten verarbeitet
werden. Ist dies der Fall, hat die Person ein Recht auf Auskunft über diese personenbezogenen
Daten (= 2. Stufe).
Hier besteht auch das Recht auf unentgeltliche Überlassung einer Kopie der personenbezogenen Daten,
die Gegenstand der Verarbeitung sind. Wenn das Mitglied feststellt, dass die gespeicherten Daten nicht
korrekt sind, hat es ein Recht auf Berichtigung (beispielsweise Namensänderung). Die Mitglieder haben
in den folgenden Fällen ein Recht auf Vergessen (d.h. die Löschung der Daten):

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige
    Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Eine weiteres Recht der Mitglieder und betroffenen Personen und damit eine Verpflichtung für den Verein
besteht in der Benachrichtigungspflicht des Vereins bei der Verletzung datenschutz-rechtlicher
Verpflichtungen. Diese Verpflichtung besteht nur dann nicht, wenn der Verein im Vorfeld die geeigneten
technischen und organisatorischen Maßnahmen ergriffen hat.
Beispiel: Es wurde in die Geschäftsstelle eingebrochen und der Computer mit den Mitgliederdaten
wurde gestohlen. Die Benachrichtigungspflicht entfällt, wenn der Computer mit einem Passwort geschützt
war und die Daten verschlüsselt waren.

Datenübertragbarkeit

Neu ist in der DS-GVO das Recht auf Datenübertragbarkeit (Art. 20). Die betroffene Person hat danach
das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verein bereitgestellt hat, in einem
gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf Datenübertragbarkeit beinhaltet,
dass diese Daten beispielsweise einem anderen Verein, dem Deutschen Harmonikaverband, usw.
übermittelt werden.

Verzeichnis der Verarbeitungstätigkeiten

Die DS-GVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden
muss. Das gilt auch für kleinere Vereine, da die Datenverarbeitung nicht nur gelegentlich
erfolgt (Art. 30 Abs. 5 DS-GVO (siehe Anhang)).

Auftragsverarbeitung

Externe Dienstleister, mit denen Verein zusammenarbeitet, bezeichnet die DS-GVO "Auftrags-verarbeiter".
Hier sind folgende Punkte zu beachten:

  • eine sorgfältige Auswahl des Dienstleisters ("Auftragverarbeiters")
  • In eine entsprechende vertragliche Vereinbarung können/sollten Regelungen zum Datenschutz
    aufgenommen werden.
  • Kontrolle: Der Auftragsverarbeiter sollte ggf. seine Datenschutzmaßnahmen (am besten vertraglich)
    darstellen. Eventuell sollte der Verein das kontrollieren.
  • Beendigung des Vertrages: Müssen Unterlagen zurückgegeben werden? Sind Löschungen vorzunehmen?

Bußgeldvorschriften

Drastische Änderungen enthält die DS-GVO bei der Höhe der Bußgelder. Bei Vereinen können im Fall von
Verstößen vier- bis fünfstellige Bußgelder verhängt werden. Nach Artikel 82 der DS-GVO haben Personen,
die wegen eines Verstoßes gegen die Verordnung einen immateriellen Schaden erleiden, einen
Schadensersatzanspruch. Ein solcher immaterieller Schaden kann beispielweise in einer Rufschädigung
bestehen.

Anerkennung

Die Mitglieder des Vereins „Akkordeonfreunde Ladenburg e.V.“ erkennen diese Datenschutz-
Grundverordnung auch ohne schriftliche Bestätigung an. Ein Widerspruch muss schriftlich erfolgen.

Ich hab's gelesen!