{"id":1208,"date":"2021-05-17T18:29:00","date_gmt":"2021-05-17T16:29:00","guid":{"rendered":"https:\/\/redaktion.moeckernkiez.net\/?p=1208"},"modified":"2023-05-22T09:41:26","modified_gmt":"2023-05-22T07:41:26","slug":"datenschutz-bei-vereinen","status":"publish","type":"post","link":"https:\/\/moeckernkiez.org\/?p=1208","title":{"rendered":"Datenschutz im Verein umsetzen"},"content":{"rendered":"\n

Datenschutzbestimmungen praktisch umsetzen<\/strong><\/h2>\n\n\n\n

In vielen Vereinen ist auch nach mehr als drei Jahren nach dem Inkrafttreten der Datenschutzgrundverordnung noch einiges im Argen. Dies hat unterschiedliche Ursachen. Eine d\u00fcrfte bei den verantwortlichen Vorst\u00e4nd*innen liegen, die den Schutz der Vereinsmitglieder gef\u00e4hrlich naiv vernachl\u00e4ssigen.
(Siehe z. B. „Aussp\u00e4hen unter Freunden, das geht gar nicht“<\/a>)
Hier sind die wichtigsten Themen f\u00fcr Vereine leicht verst\u00e4ndlich zusammen gefasst.<\/p>\n\n\n\n

Quelle: Unabh\u00e4ngige Landeszentrum f\u00fcr Datenschutz Schleswig-Holstein<\/a> <\/p>\n\n\n\n

Einleitung<\/a>
1. Anwendbare Vorschriften<\/a>
2. Verantwortlichkeiten und Personenbezug, Ordnungswidrigkeiten<\/a>
2.1 Datenschutzrechtliche Verantwortung<\/a>
2.2 Personenbezug<\/a>
2.3 Anwendung des Ordnungswidrigkeitengesetzes (OWiG)<\/a>
3. Aufnahme neuer Mitglieder<\/a>
3.1 Gestaltung von Aufnahmeb\u00f6gen<\/a>
3.2 Informationspflichten<\/a>
4. Gestaltung der Vereinssatzung<\/a>
5. Rechte von Vereinsmitgliedern<\/a>
5.1 Rechte nach der DSGVO<\/a>
5.2 Auskunft zu Mitgliederdaten und Einsatz von Treuh\u00e4ndern<\/a>
6. Einbeziehung von Dienstleistern<\/a>
7. Verzeichnis T\u00e4tigkeiten, Benennung eines Datenschutzbeauftragten <\/a>
8. Technisch-organisatorische Anforderungen<\/a>
<\/p>\n\n\n\n

Einleitung<\/strong><\/h2>\n\n\n\n

Das Unabh\u00e4ngige Landeszentrum f\u00fcr Datenschutz Schleswig-Holstein (ULD)<\/strong> mit seiner Leiterin, der Landesbeauftragten f\u00fcr Datenschutz, \u00fcberwacht die Einhaltung datenschutzrechtlicher Vorschriften bei \u00f6ffentlichen (Beh\u00f6rden) und nicht\u00f6ffentlichen Stellen (Unternehmen) in Schleswig-Holstein. Au\u00dferdem kann das ULD in strittigen F\u00e4llen nach dem Informationszugangsgesetz Schleswig-Holstein angerufen werden. Vereine und Verb\u00e4nde unterst\u00fctzen mit ihrer Arbeit wichtige Aufgaben in der Gesellschaft auf vielf\u00e4ltigen T\u00e4tigkeitsgebieten. Oft werden gemeinn\u00fctzige Zwecke verfolgt, wobei die T\u00e4tigkeit darauf gerichtet ist, die Allgemeinheit auf materiellem, geistigem oder sittlichem Gebiet selbstlos zu f\u00f6rdern. Das Ehrenamt nimmt dabei eine wichtige Rolle ein. Viele Mitglieder werden f\u00fcr ihre Vereine unentgeltlich t\u00e4tig. Die Erf\u00fcllung datenschutzrechtlicher Anforderungen wird dabei in der Praxis von manchen Vereinen als schwierig oder b\u00fcrokratisch angesehen. Im Zusammenhang damit steht oft eine gewisse Verunsicherung. Der erforderliche Verwaltungsaufwand zur Einhaltung der Datenschutzregeln wird sehr hoch eingesch\u00e4tzt, gerade im Hinblick auf die Einf\u00fchrung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018. Mit der DSGVO haben sich zahlreiche rechtliche Vorgaben allerdings nicht ge\u00e4ndert. Kritisch ist es, wenn auf Nachfrage einzelne Vereine etwa nicht erl\u00e4utern k\u00f6nnen, welche personenbezogenen Daten von Vereinsmitgliedern und Dritten von wem auf welchen Systemen verarbeitet werden. Andere Vereine wiederum hatten bereits vor der Einf\u00fchrung der DSGVO bestehende Datenschutzregeln eingehalten und somit ab dem 25.05.2018 keinen nennenswerten Aufwand, die Anpassungen an das ge\u00e4nderte Recht vorzunehmen. Das vorliegende Praxisheft soll eine \u00dcbersicht dar\u00fcber geben, welche Datenschutzregeln von Vereinen und Verb\u00e4nden einzuhalten 4 sind und was im Einzelnen veranlasst werden sollte. Damit verbunden ist die Hoffnung, dass die praktischen Tipps eine effiziente Hilfestellung bieten.<\/p>\n\n\n\n

1. Anwendbare Vorschriften<\/strong><\/h2>\n\n\n\n

Auch f\u00fcr Vereine (Vereine mit eigener Rechtspers\u00f6nlichkeit, die im Vereinsregister eingetragen werden, sowie nicht rechtsf\u00e4hige Vereine) gelten ab dem 25.05.2018 die Verordnung (EU) 2016\/679 (Datenschutz-Grundverordnung (DSGVO)) und das Bundesdatenschutzgesetz (BDSG) in seiner neuen Fassung (BGBl. I, Nr. 44, vom 05.07.2017). Die Vorschriften gelten ohne Einschr\u00e4nkung. Es ist z. B. nicht von Bedeutung, ob etwa hauptamtliche oder ehrenamtliche Mitarbeiter f\u00fcr den Verein t\u00e4tig sind, wie viele Mitglieder der Verein hat, ob der Verein in erster Linie eigenwirtschaftlichen Zwecken dient oder ob ausschlie\u00dflich und unmittelbar gemeinn\u00fctzige und mildt\u00e4tige Zwecke verfolgt werden, welche Gr\u00f6\u00dfe ein etwaiger Kundenstamm hat, ob der Verein eher einen lokalen oder \u00fcberregionalen Wirkungskreis hat und ob die personenbezogenen Daten des Vereins ganz oder teilweise bei einer \u00fcbergeordneten Stelle wie einem Bundesverband verarbeitet werden. <\/p>\n\n\n\n

2. Verantwortlichkeiten und Personenbezug, Ordnungswidrigkeiten <\/strong><\/h2>\n\n\n\n

2.1. Datenschutzrechtliche Verantwortung<\/strong><\/h2>\n\n\n\n

Der Verein ist f\u00fcr die Einhaltung s\u00e4mtlicher datenschutzrechtlicher Vorgaben nach den obigen Vorschriften verantwortlich. \u201eVerantwortlicher\u201c ist in diesem Kontext die nat\u00fcrliche oder juristische Person, Beh\u00f6rde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen \u00fcber die Zwecke<\/strong> und Mittel<\/strong> der Verarbeitung von personenbezogenen Daten<\/strong> entscheidet (Art. 4 Nr. 7 DSGVO). Die Entscheidung \u00fcber die Zwecke (z. B. Verarbeitung personenbezogener Daten zur Spendenwerbung, zur Erf\u00fcllung steuerrechtlicher Vorgaben, zur Einziehung der Mitgliedsbeitr\u00e4ge, zur Ber\u00fccksichtigung von Geburtstagen und Jubil\u00e4en von Vereinsmitgliedern, zur Abwicklung von Vereinswechseln, zur Ver\u00f6ffentlichung im Webauftritt des Vereins oder in einer Informationsbrosch\u00fcre) und Mittel (eingesetzte Informationstechnik, Kl\u00e4rung von Fragen des Zugriffs auf personenbezogene Daten sowie ihrer L\u00f6schung) wird von den Vereinsorganen f\u00fcr den Verein getroffen. Nicht die Vereinsorgane (z. B. Vorstand, Mitgliederversammlung, Beirat) oder ein etwaig benannter Datenschutzbeauftragter sind \u201eVerantwortliche\u201c aus Datenschutzsicht, sondern der Verein selbst. Von der Verantwortung aus Datenschutzsicht ist die Haftung, beispielsweise im Fall von Ordnungswidrigkeiten, zu unterscheiden. <\/p>\n\n\n\n

2.2 Personenbezug<\/strong><\/h2>\n\n\n\n

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare nat\u00fcrliche Person<\/strong> beziehen (Art. 4 Nr. 1 DSGVO). Im Verein sind dies vor allem die Angaben zu ehrenamtlichen und hauptamtlichen Mitarbeiter(inne)n und zu Vereinsmitgliedern. Zu den personenbezogenen Daten k\u00f6nnen z. B. folgende Daten z\u00e4hlen: Nachnamen, Vornamen, E-Mail-Adressen, Telefonnummern, Kontoverbindungsdaten, Anschriften, Fotografien, Angaben aus einem Ausweisdokument, Angaben zum Beruf und zu bestehenden Qualifikationen und Funktionen, Angaben zur Bonit\u00e4t, Kfz-Kennzeichen (Halterinformationen sind durch die einfache Registerauskunft nach \u00a7 39 Abs. 1 des Stra\u00dfenverkehrsgesetzes \u2013 StVG ermittelbar), Name eines Schiffs (Angaben zum Eigent\u00fcmer sind bei den im Schiffsregister eingetragenen Schiffen nach \u00a7 8 Abs. 1 der Schiffsregisterordnung ermittelbar), Angaben zu Platzierungen und Leistungen von Sportlern.
Das Datenschutzrecht bezieht sich nicht auf Daten von juristischen Personen (z. B. andere Vereine oder Kapitalgesellschaften). Werden hingegen personenbezogene Daten von nat\u00fcrlichen Personen verarbeitet, beispielsweise Vertretungsberechtigte und Besch\u00e4ftigte anderer Vereine, sind die Datenschutzanforderungen zu ber\u00fccksichtigen. <\/p>\n\n\n\n

2.3 Anwendung des Ordnungswidrigkeitengesetzes (OWiG) <\/strong><\/h2>\n\n\n\n

Werden im Verein die datenschutzrechtlichen Vorgaben verletzt und wird dabei der Tatbestand einer Ordnungswidrigkeit<\/strong> erf\u00fcllt, kommt die Verh\u00e4ngung einer Geldbu\u00dfe in Betracht (vgl. Art. 83 DSGVO). Hat jemand als vertretungsberechtigtes Organ einer juristischen Person (z. B. Vorstand des Vereins nach \u00a7 26 BGB) oder als Mitglied eines solchen Organs (vgl. \u00a7 30 Abs. 1 Nr. 1 OWiG) oder als Vorstand eines nicht rechtsf\u00e4higen Vereins oder als Mitglied eines solchen Vorstandes (vgl. \u00a7 30 Abs. 1 Nr. 2 OWiG) eine Ordnungswidrigkeit begangen, wodurch Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbu\u00dfe festgesetzt werden. Das Verhalten der Organe bzw. der Mitglieder der Organe wird dem Verein zugerechnet. Adressat des Bu\u00dfgeldbescheids ist der Verein. Nach Ma\u00dfgabe von \u00a7 9 Abs. 1 Nr. 1 OWiG kommt daneben eine Haftung des Vorstands des eingetragenen Vereins oder von einzelnen Mitgliedern dieses Vereins in Betracht. <\/p>\n\n\n\n

3. Aufnahme neuer Mitglieder <\/strong><\/h2>\n\n\n\n

3.1 Gestaltung von Aufnahmeb\u00f6gen <\/strong><\/h2>\n\n\n\n

Werden nat\u00fcrliche Personen als Vereinsmitglieder aufgenommen, so erfolgt die Erhebung personenbezogener Daten z. B. \u00fcber einen Aufnahmebogen<\/strong> oder ein Webformular<\/strong>. Die Erhebung bestimmter Daten ist dabei grunds\u00e4tzlich rechtm\u00e4\u00dfig, da dies f\u00fcr die Begr\u00fcndung der Mitgliedschaft erforderlich ist. Hierzu k\u00f6nnen etwa Kontaktdaten des Mitglieds zwecks Zustellung von Einladungen zu Mitgliederversammlungen oder Kontoverbindungsdaten zur Einziehung von Mitgliedsbeitr\u00e4gen z\u00e4hlen. Eine entsprechende Erforderlichkeit kann f\u00fcr die Verarbeitung von Kontaktdaten des Mitglieds bestehen, wenn der Verein f\u00fcr dieses eine Versicherung in Bezug auf Haftungsrisiken (etwa f\u00fcr Mitglieder, die als Vorst\u00e4nde t\u00e4tig sind) schlie\u00dfen m\u00f6chte. Daten, die nicht erforderlich sind, d\u00fcrfen nicht zu den Pflichtangaben geh\u00f6ren. Beispielsweise darf der Beruf nicht abgefragt werden, wenn er f\u00fcr die Mitgliedschaft nicht relevant ist. F\u00fcr die Zusendung von Direktwerbung<\/strong> durch den Verein an seine Mitglieder in Form eines E-Mail-Newsletters ist eine Einwilligung<\/strong> des jeweiligen Mitglieds erforderlich (vgl. \u00a7 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb \u2013 UWG). Die Aufnahme von Fotografien<\/strong> in Vereinsbrosch\u00fcren, im Webauftritt des Vereins oder \u00e4hnlichen Medien bedarf grunds\u00e4tzlich auch der Einwilligung des Mitglieds. Speziell f\u00fcr Einwilligung m\u00fcssen vor allem die Anforderungen nach Art. 7 und Art. 13 DSGVO eingehalten werden. Die Versendung von Direktwerbung an die Postadressen<\/strong> der Mitglieder kann einem berechtigten Interesse des Vereins entsprechen (vgl. Erw\u00e4gungsgrund 47 Satz 7 DSGVO), gerade wenn dies eigene Angebote von Waren oder Dienstleistungen betrifft. Besteht die Intention zur Direktwerbung unter Verwendung der Postadressen bereits bei Aufnahme des Mitglieds, muss nach Art. 21 Abs. 4 DSGVO im Rahmen dieser ersten Kommunikation auf ein Widerspruchsrecht gegen die Verarbeitung der Mitgliederdaten f\u00fcr Zwecke der Direktwerbung hingewiesen werden.
Die Verwendung von E-Mail-Adressen oder Postadressen f\u00fcr den Zweck der Zusendung von regelm\u00e4\u00dfig erscheinenden Informationsbriefen ohne Werbecharakter<\/strong> kann nach Art. 6 Abs. 1 Buchst. f DSGVO gerechtfertigt sein. Entscheidend ist nach Art. 6 Abs. 1 Buchst. f DSGVO, inwieweit die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen (= Verein) oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (= Vereinsmitglied), die den Schutz personenbezogener Daten erfordern, \u00fcberwiegen. Dies gilt insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Von Bedeutung sind dabei z. B. ablehnende \u00c4u\u00dferungen von Mitgliedern. Bei Kindern<\/strong> kann die Einsichtsf\u00e4higkeit fehlen. Eine h\u00e4ufige Zusendung von Informationsbriefen (z. B. w\u00f6chentlich) kann von einzelnen Mitgliedern als st\u00f6rend empfunden werden und deren Interessen tangieren. Zur Vornahme einer sicheren Abw\u00e4gung nach Art. 6 Abs. 1 Buchst. f DSGVO ist zu empfehlen, das Votum des Mitglieds, bei Kindern das Votum des Tr\u00e4gers elterlicher Verantwortung, einzuholen. F\u00fcr die Gestaltung eines Aufnahmebogens oder eines entsprechenden Webformulars<\/strong> ist zu raten, die einzelnen Verarbeitungszwecke (z. B. Direktwerbung per E-Mail, Direktwerbung per Briefpost, Zusendung von Informationsbriefen ohne Werbecharakter, Ver\u00f6ffentlichung von Fotografien) in jeweils separaten Informationstexten \/ Einwilligungserkl\u00e4rungen zu formulieren, die vom (k\u00fcnftigen) Mitglied ebenso separat angekreuzt \/ angeklickt oder unterzeichnet werden m\u00fcssen. Dem Mitglied muss die Freiheit verbleiben, sich f\u00fcr oder gegen einzelne der beabsichtigten Verarbeitungen zu entscheiden. <\/p>\n\n\n\n

3.2 Informationspflichten<\/strong><\/h2>\n\n\n\n

Die Erhebung von personenbezogenen Daten bei der beitrittswilligen Person im Rahmen einer Aufnahme als Vereinsmitglied f\u00fchrt dazu, dass der Verein Informationspflichten nach Art. 13 DSGVO erf\u00fcllen muss. Die Vorschrift enth\u00e4lt einen Katalog an Informationen, die dem (k\u00fcnftigen) Mitglied im Zeitpunkt der Erhebung vorliegen m\u00fcssen. Hierzu z\u00e4hlen u. a. Angaben zu den Verarbeitungszwecken, den Empf\u00e4ngern personenbezogener Daten, den Kontaktdaten des Datenschutzbeauftragten des Vereins (soweit eine Benennung erfolgte), den Rechten des Vereinsmitglieds aus datenschutzrechtlicher Sicht (z. B. Recht auf Auskunft) und zu den Speicherfristen f\u00fcr die erhobenen Daten. Es ist zu empfehlen, die entsprechenden Pflichtangaben direkt im Text eines Aufnahmebogens bzw. Webformulars zu ber\u00fccksichtigen. <\/p>\n\n\n\n

4. Gestaltung der Vereinssatzung<\/strong><\/h2>\n\n\n\n

F\u00fcr die Beurteilung, ob eine Verarbeitung personenbezogener Daten durch den Verein rechtm\u00e4\u00dfig ist, sind vor allem Art. 6 Abs. 1 Buchst. b und f DSGVO von Bedeutung (Buchstabe b: Verarbeitung erforderlich f\u00fcr die Erf\u00fcllung eines Vertrags zwischen Verein und Mitglied; Buchstabe f: Verarbeitung zur Wahrung berechtigter Interessen des Vereins oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Vereinsmitglieds, die den Schutz personenbezogener Daten erfordern, \u00fcberwiegen, insbesondere dann, wenn es sich bei dem Vereinsmitglied um ein Kind handelt). Bedingt die Erf\u00fcllung von satzungsm\u00e4\u00dfig fixierten Vereinszwecken<\/strong> die Verarbeitung personenbezogener Daten von Mitgliedern, so k\u00f6nnen entsprechende Satzungsbestimmungen bei der Pr\u00fcfung von Art. 6 Abs. 1 Buchst. b und f DSGVO herangezogen werden. Satzungsregelungen zur Darstellung von \u00dcbermittlungen personenbezogener Daten an \u00f6ffentliche Stellen sind grunds\u00e4tzlich entbehrlich. Beispielsweise geh\u00f6ren dazu \u00dcbermittlungen an das Amtsgericht bez\u00fcglich Eintragungen im Vereinsregister \u2013 etwa die Eintragung von Vorstandsmitgliedern im Register oder die \u00dcbersendung einer Mitgliederliste zum Sitzungsprotokoll einer Mitgliederversammlung. Auch eine \u00dcbermittlung von personenbezogenen Daten an Finanzbeh\u00f6rden in Bezug auf die Abf\u00fchrung von Lohnsteuer f\u00fcr hauptamtliche Mitarbeiter(innen) im Verein muss nicht in der Satzung geregelt werden. <\/p>\n\n\n\n

5. Rechte von Vereinsmitgliedern <\/strong><\/h2>\n\n\n\n

5.1 Rechte nach der DSGVO <\/strong><\/h2>\n\n\n\n

Zu den Rechten der Vereinsmitglieder (nat\u00fcrliche Personen) z\u00e4hlen: <\/p>\n\n\n\n

Information bei der Erhebung von personenbezogenen Daten (Art. 13 und Art. 14 DSGVO), <\/p>\n\n\n\n

    \n
  • das Auskunftsrecht (Art. 15 DSGVO), <\/li>\n\n\n\n
  • das Recht auf Berichtigung (Art. 16 DSGVO), <\/li>\n\n\n\n
  • das Recht auf L\u00f6schung (Art. 17 DSGVO), <\/li>\n\n\n\n
  • das Recht auf Einschr\u00e4nkung der Verarbeitung (Art. 18 DSGVO), <\/li>\n\n\n\n
  • die Mitteilungspflicht in Bezug auf die Berichtigung, L\u00f6schung oder Einschr\u00e4nkung der Verarbeitung (Art. 19 DSGVO), <\/li>\n\n\n\n
  • das Recht auf Daten\u00fcbertragbarkeit (Art. 20 DSGVO), <\/li>\n\n\n\n
  • das Widerspruchsrecht (Art. 21 DSGVO) und <\/li>\n\n\n\n
  • das Recht, nicht einer ausschlie\u00dflich auf einer automatisierten Verarbeitung \u2013 einschlie\u00dflich Profiling \u2013 beruhenden Entscheidung unterworfen zu werden, die der betroffenen Person gegen\u00fcber rechtliche Wirkung entfaltet oder sie in \u00e4hnlicher Weise erheblich beeintr\u00e4chtigt (Art. 22 DSGVO). <\/li>\n<\/ul>\n\n\n\n

    Der Verein muss den Vereinsmitgliedern die Aus\u00fcbung ihrer Rechte nach Art. 12 Abs. 2 Satz 1 DSGVO erleichtern. Hierzu z\u00e4hlt etwa, dass die Vereinsmitglieder auf ihre Rechte m\u00fcndlich, schriftlich oder elektronisch hingewiesen werden, z. B. im Rahmen der Prozedur einer Aufnahme als Mitglied. Ferner besteht die Verpflichtung des Vereins, im Falle der Geltendmachung eines Rechts innerhalb eines Monats<\/strong> die gestellten Antr\u00e4ge zu bearbeiten. Die Monatsfrist darf unter Ber\u00fccksichtigung der Komplexit\u00e4t und der Anzahl der Antr\u00e4ge um weitere zwei Monate verl\u00e4ngert werden. In dieser Situation muss der Antragstellende allerdings eine Zwischennachricht innerhalb des ersten Monats nach Antragseingang erhalten. Erg\u00e4nzend: Verarbeitet der Verein personenbezogene Daten von Nichtmitgliedern<\/strong>, so stehen auch diesen die Rechte nach den Art. 12 ff. DSGVO gegen\u00fcber dem Verein zu.<\/p>\n\n\n\n

    5.2 Auskunft zu Mitgliederdaten und Einsatz von Treuh\u00e4ndern <\/strong><\/h2>\n\n\n\n

    Vereine sind teilweise mit der Fragestellung befasst, wie mit dem Antrag von Vereinsmitgliedern umzugehen ist, die Kontaktdaten der anderen Mitglieder<\/strong> zu erhalten. Die Mitglieder m\u00f6chten die Kontaktdaten h\u00e4ufig dazu verwenden, ein Mitgliederbegehren auf den Weg zu bringen, das auch mit Kritik an der bestehenden Vereinsf\u00fchrung im Zusammenhang stehen kann. In der Rechtsprechung wurde als L\u00f6sungsansatz hierf\u00fcr ein gestuftes Verfahren entwickelt: Zun\u00e4chst soll ein Treuh\u00e4nder ausgew\u00e4hlt werden, der vorzugsweise Berufsgeheimnistr\u00e4ger ist (\u00a7 203 Abs. 1 Nr. 3 des Strafgesetzbuchs \u2013 StGB) oder als Richter an einem deutschen Gericht oder Hochschullehrer an einer deutschen Hochschule t\u00e4tig ist. Die Kontaktdaten (z. B. eine Mitgliederliste) werden diesem Treuh\u00e4nder<\/strong> vom Verein \u00fcberlassen. Weiterhin pr\u00fcft der Treuh\u00e4nder den Zweck der Datenerhebung, insbesondere inwieweit die Antrag stellenden Mitglieder die Kontaktdaten zur Versendung von kommerzieller Werbung oder im Sinne einer Abwerbung verwenden wollen oder der Inhalt der beabsichtigten Mitteilung gegen Strafvorschriften verst\u00f6\u00dft. Gleichzeitig steht der Treuh\u00e4nder mit s\u00e4mtlichen Vereinsmitgliedern im Kontakt und muss etwaige Widerspr\u00fcche gegen die Weiterleitung von Kontaktdaten an die Antrag stellenden Vereinsmitglieder ber\u00fccksichtigen.
    Unabh\u00e4ngig von der obigen Konstellation sind Vereine oft mit der Frage befasst, ob Kontaktdaten zu bestimmten Mitgliedern (z. B. Telefonnummer und Anschrift) an andere Mitglieder herausgegeben werden d\u00fcrfen. Die anfragenden Mitglieder m\u00f6chten diese Daten etwa zur Bildung von Fahrgemeinschaften<\/strong> verwenden. Der Verein darf in einem solchen Fall nicht einfach Telefonnummern, Adressen und andere Kontaktdaten herausgeben, wenn das betroffene Vereinsmitglied damit nicht einverstanden ist. Allerdings k\u00f6nnte der Verein auf den Wunsch eines Mitglieds dessen Kontaktdaten weitergeben, damit sich andere Mitglieder bei Bedarf mit ihm in Verbindung setzen k\u00f6nnen.<\/p>\n\n\n\n

    6. Einbeziehung von Dienstleistern<\/strong><\/h2>\n\n\n\n

    Erbringen andere Stellen weisungsgebundene Dienstleistungen in Bezug auf die Verarbeitung personenbezogener Daten des Vereins (z. B. Drucken von Vereinspost f\u00fcr die Mitglieder, Administrieren von Systemen, Bereitstellung von Speicherplatz oder ganzer Anwendungen (z. B. Cloud-Dienste)), so m\u00fcssen die Regelungen zur Auftragsverarbeitung<\/strong> nach Art. 28 und Art. 29 DSGVO beachtet werden. In diesen F\u00e4llen bedarf es eines schriftlichen Vertrags (Art. 28 Abs. 9 DSGVO) zwischen dem Verein als Auftraggeber und dem Dienstleister als Auftragnehmer mit einem verpflichtenden Inhalt (vgl. Art. 28 Abs. 3 DSGVO). Der Auftragnehmer muss zuvor sorgf\u00e4ltig vom Verein ausgew\u00e4hlt werden, d. h. der Auftragnehmer muss die Gew\u00e4hr daf\u00fcr bieten, dass geeignete technische und organisatorische Ma\u00dfnahmen so durchgef\u00fchrt werden, dass die Verarbeitung im Einklang mit den Anforderungen nach der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gew\u00e4hrleistet (Art. 28 Abs. 1 DSGVO). Verantwortlich bleibt aber der Verein, d. h. er muss sicherstellen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben einh\u00e4lt.<\/p>\n\n\n\n

    7. Verzeichnis von Verarbeitungst\u00e4tigkeiten und Benennung eines Datenschutzbeauftragten<\/strong><\/h2>\n\n\n\n

    Vereine m\u00fcssen wie jede andere nicht\u00f6ffentliche oder \u00f6ffentlicheStelle ein Verzeichnis von Verarbeitungst\u00e4tigkeiten<\/strong> nach Art. 30 Abs. 1 DSGVO f\u00fchren. Hierzu ergeben sich keine vereinsspezifischen Besonderheiten. Eine Benennpflicht f\u00fcr Datenschutzbeauftragte<\/strong> gilt f\u00fcr Vereine regelm\u00e4\u00dfig dann, wenn sie mindestenszehn Personen st\u00e4ndig mit der automatisierten Verarbeitung personenbezogener Daten besch\u00e4ftigen (vgl. \u00a7 38 Abs. 1 BDSG). Dabei ist nicht der Besch\u00e4ftigungsstatus entscheidend (befristet oder unbefristet, Teilzeit oder Vollzeit \u2013 auch Ehrenamtliche z\u00e4hlen mit). Ebenso werden Praktikanten oder Personen, die ihren Bundesfreiwilligendienst oder das freie soziale Jahr ableisten, hinzugez\u00e4hlt. Vorstandsmitglieder z\u00e4hlen auch dazu. Unabh\u00e4ngig von der Personenanzahl k\u00f6nnen bei Vereinen Benennpflichten nach Art. 37 Abs. 1 DSGVO ausgel\u00f6st werden. In Betracht kommt gegebenenfalls Art. 37 Abs. 1 Buchst. c DSGVO f\u00fcr die F\u00e4lle, in denen die Kernt\u00e4tigkeit des Vereins in der umfangreichen Verarbeitung besonderer Datenkategorien (d. h. mit besonderer Sensibilit\u00e4t, siehe Art. 9 Abs. 1 DSGVO) besteht: Werden etwa Aufgaben im Bereich der Jugendhilfe wahrgenommen, Beratungen und Therapiema\u00dfnahmen durchgef\u00fchrt und f\u00fchrt der Verein dabei z. B. Beratungsakten mit einer Vielzahl an Gesundheitsdaten(= besondere Datenkategorie) zu einzelnen Personen, so kann eine Benennpflicht entstehen, auch wenn weniger als zehn Personendes Vereins diese personenbezogenen Daten automatisiert verarbeiten.<\/p>\n\n\n\n

    8. Technisch-organisatorische Anforderungen<\/strong><\/h2>\n\n\n\n

    Bei jeder Verarbeitung personenbezogener Daten, unabh\u00e4ngig davon, ob dies per Computer oder auf Papier geschieht, m\u00fcssen Vereine die Informationssicherheit ausreichend gew\u00e4hrleisten. Dies betrifft beispielsweise eine Abschottung der Daten gegenunberechtigte Zugriffe oder die Notwendigkeit eines Backups. Nach Art. 32 Abs. 1 DSGVO muss der Verantwortliche unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen geeignete technische und organisatorische Ma\u00dfnahmen treffen, um ein dem Risiko angemessenes Schutzniveausicherzustellen. Hier bestehen keine vereinsspezifischen Besonderheiten. Bei einem Datenschutzvorfall \u2013 beispielsweise wenn Daten verloren gegangen sind oder sich Unbefugte Zugriff verschaffen konnten \u2013 muss der Verein nach Art. 33 DSGVO die Datenschutzaufsichtsbeh\u00f6rde dar\u00fcber unverz\u00fcglich informieren. Entstehen durch den Datenschutzvorfall hohe Risiken f\u00fcr die betroffenen Personen, muss der Verein sie nach Art. 34 DSGVO benachrichtigen. Ferner gelten die Vorgaben nach Art. 25 DSGVO (Datenschutzdurch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). Der Verein muss die Umsetzung der Anforderungen auch von hinzugezogenen Dienstleistern verlangen, die Teile der Verarbeitung im Auftrag \u00fcbernehmen (siehe Abschnitt 6). Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 sowie Art. 24 DSGVO muss der Verein dokumentieren, welche technischen undorganisatorischen Ma\u00dfnahmen er ergriffen hat und inwieweit die Risiken damit ausreichend einged\u00e4mmt werden.<\/p>\n\n\n\n

    <\/p>\n\n\n\n

    Kontakt<\/p>\n\n\n\n

    Unabh\u00e4ngiges Landeszentrum f\u00fcr Datenschutz Schleswig-Holstein (ULD)
    Holstenstra\u00dfe 98
    24103 Kiel
    Telefon:+49 431 988-1200
    Telefax:+49 431 988-1223
    E-Mail: mail@datenschutzzentrum.de
    https:\/\/www.datenschutzzentrum.de\/<\/p>\n\n\n\n

    Brosch\u00fcren zu weiteren Themen<\/strong><\/p>\n\n\n\n

      \n
    • Datenschutz bei Vereinen<\/li>\n\n\n\n
    • Datenschutzbeauftragte<\/li>\n\n\n\n
    • Mustervereinbarung f\u00fcr einen Vertrag zur Auftragsverarbeitung<\/li>\n\n\n\n
    • Informationspflichten<\/li>\n\n\n\n
    • Video\u00fcberwachung<\/li>\n\n\n\n
    • Fotos und Webcams<\/li>\n<\/ul>\n\n\n\n

      k\u00f6nnen Sie von unserer Homepage herunterladen unter https:\/\/www.datenschutzzentrum.de\/praxisreihe\/<\/p>\n","protected":false},"excerpt":{"rendered":"

      In vielen Vereinen ist immer noch, nach mehr als drei Jahren seit dem Inkraftetens der Datenschutzgrundverordnung, einiges im Argen. Unwissenheit und Nachl\u00e4ssigkeit sind die h\u00e4ufigsten Ursachen …<\/p>\n","protected":false},"author":2,"featured_media":7371,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","iawp_total_views":11,"footnotes":""},"categories":[63,5],"tags":[],"class_list":["post-1208","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles","category-moeckernkiez","entry","rows-excerpt"],"uagb_featured_image_src":{"full":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",1024,670,false],"thumbnail":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462-140x140.jpg",140,140,true],"medium":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462-350x229.jpg",350,229,true],"medium_large":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462-768x503.jpg",768,503,true],"large":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",1024,670,false],"1536x1536":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",1024,670,false],"2048x2048":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",1024,670,false],"awpcp-thumbnail":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",191,125,false],"awpcp-featured":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",300,196,false],"awpcp-featured-on-lists":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",300,196,false],"awpcp-large":["https:\/\/moeckernkiez.org\/wp-content\/uploads\/2020\/10\/gdpr-data-protection-privacy-3438462.jpg",640,419,false]},"uagb_author_info":{"display_name":"MB","author_link":"https:\/\/moeckernkiez.org\/?author=2"},"uagb_comment_info":0,"uagb_excerpt":"In vielen Vereinen ist immer noch, nach mehr als drei Jahren seit dem Inkraftetens der Datenschutzgrundverordnung, einiges im Argen. Unwissenheit und Nachl\u00e4ssigkeit sind die h\u00e4ufigsten Ursachen ...","publishpress_future_action":{"enabled":false,"date":"2026-05-23 19:35:06","action":"change-status","newStatus":"draft","terms":[],"taxonomy":"category","extraData":[]},"publishpress_future_workflow_manual_trigger":{"enabledWorkflows":[]},"_links":{"self":[{"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/posts\/1208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1208"}],"version-history":[{"count":10,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/posts\/1208\/revisions"}],"predecessor-version":[{"id":17870,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/posts\/1208\/revisions\/17870"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=\/wp\/v2\/media\/7371"}],"wp:attachment":[{"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/moeckernkiez.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}