Am 25.05.2018 tritt sie in Kraft – die Datenschutz-Grundverordnung (kurz DSGVO). Auch Vereine fallen in ihren Anwendungsbereich, wenn sie personenbezogene Daten verarbeiten. Dies ist die Regel. Der Verein ist folglich verpflichtet, die Vorgaben der DSGVO umzusetzen und dauerhaft einzuhalten. Erfolgt dies nicht, können hohe Bußgelder durch die Aufsicht drohen.
Vereine brauchen personenbezogene Daten. Ohne die Informationen eines Vereinsmitglieds, zum Beispiel über seinen Namen, seine Kontoverbindung oder seine Telefonnummer, ist die Vereinsarbeit und die Betreuung von Vereinsmitgliedern nicht möglich. In der Praxis werden solche Daten vom Verein erfasst, gespeichert, verwendet und gegebenenfalls weitergeleitet, zum Beispiel an Dachverbände oder eine Druckerei zur Herstellung der Vereinszeitschrift.
Dadurch fällt gem. Art. 2 Abs. 1 DSGVO ein Verein regelmäßig in den Anwendungsbereich der DSGVO. Er verarbeitet (vgl. Art. 4 Nr. 2 DSGVO) personenbezogene Daten (Art. 4 Nr.1 DSGVO). Dies mindestens bei der Aufnahme in den Verein im Rahmen des Antrags auf Mitgliedschaft. Als Folge muss der Verein die Anforderungen der DSGVO auch umsetzen. Es ist wichtig zu beachten, dass die Größe des Vereins grundsätzlich keine Rolle spielt. Auch kleine Vereine werden von der DSGVO verpflichtet.
Die wesentlichen Fragestellungen an das Datenschutzprogram eines Vereins sind im Folgenden – nicht abschließend – aufgelistet:
- Notwendigkeit eines Datenschutzbeauftragten – Art. 37 DSGVO
- Informationspflichten bei Erhebung von Daten – Art. 12 DSGVO ff.
- Rechtmäßigkeit der Datenverarbeitung – Art. 5 und 6 DSGVO
- Anforderungen an eine ordnungsgemäße Einwilligung – Art. 7 und 8 DSGVO * Erstellung des Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO
- Datenschutz-Verpflichtung von Beschäftigten – Art. 28 und 32 Abs. 4 DSGVO
- Rechtmäßigkeit und Ausgestaltung der Auftragsverwaltung
- Umgang mit den Betroffenenrechten – Art. 5 und 12 DSGVO ff.
- Meldungen von Datenschutzverletzungen an die Aufsicht – Art. 33 und 34 DSGVO
- Rechtmäßigkeit bei Videoüberwachungen
- Technische und organisatorische Maßnahmen – Art. 24 und 32 DSGVO
Begleitet und ergänzt werden die Regelungen der DSGVO von der Neufassung des Bundesdatenschutzgesetztes (kurz: BDSG-Neu). Damit gewinnt die Rechtsordnung um das Thema Datenschutz an Komplexität. Wer Vorschriften übersieht, läuft in eine Haftungsfalle. So erweitert zum Beispiel § 38 Abs. 1 BDSG-Neu die Fälle des Art. 37 DSGVO, nach welchen ein Datenschutzbeauftragter notwendig ist.
Die Komplexität wird zusätzlich erhöht, wenn der Verein mit sensiblen Daten oder mit (sensiblen) Daten von Kindern arbeitet. Zu solchen Daten gehören u.a. genetischen Daten, biometrischen Daten oder Gesundheitsdaten (vgl. Art. 9 DSGVO). Plant zum Beispiel ein Schwimmverein oder ein Turnverein Daten über den Gesundheitszustand eines Mitglieds zu erheben, muss das Datenschutzprogram des Vereins dafür vorbereitet sein.
Verstöße gegen die DSGVO sind Bußgeld bewährt. Es gibt diverse Meldepflichten an die Aufsicht. So muss z.B. die Person des Datenschutzbeauftragen der Aufsicht mitgeteilt werden (vgl. Art. 37 Abs. 7 DSGVO). Jene hat sogar das Recht, vom Verein eine Dokumentation der Umsetzung und Einhaltung der DSGVO zu verlangen (vgl. nur Art. 5 Abs. 2 DSGVO) Zivilrechtlich trifft den Vorstand, als Vertretung des Vereins, die Pflicht, die DSGVO umzusetzen. Unterlässt er dies, kann ein Regressanspruch des Vereins gegen ihn die Folge sein. Die Nichtbeachtung der DSGVO kann also für den Verein und den Vorstand sehr teuer werden.
Im Ergebnis sind vom Verein eine Fülle von Bestimmungen zur Einhaltung der DSGVO zu beachten.
Aufgrund unserer Erfahrung im gewerblichen Rechtsschutz, mit der DSGVO und im Vereinsrecht, sind wir ein starker Partner an Ihrer Seite, für eine sorgfältige, rechtliche Überprüfung des Einzelfalls.
Ihr
Rechtsanwalt und Fachanwalt für Gewerblichen Rechtsschutz Vincent Feurstein
und Ihr
Wirtschaftsjurist Benedikt L. Uhl, B. Sc. univ.
Wir beraten Sie gerne zu den Themen Gewerblicher Rechtsschutz und IT-Recht. Nehmen Sie Kontakt mit uns auf.