Datenschutz für Vereine und Verbände

Eine Datenschutzerklärung (englisch: Privacy Policy) umschreibt die Maßnahmen, die eine Organisation ergreift, um die Privatsphäre und die Daten ihrer Kunden oder Benutzer zu wahren. Besonders schützenswert sind hierbei sogenannte personenbezogene Daten. Darüber hinaus wird üblicherweise dargelegt, wie diese Daten gesammelt, genutzt und ob sie gegebenenfalls an Dritte weitergegeben werden.

In einer Datenschutzerklärung steht in der Regel:

• welche Art personenbezogener Daten festgesetzt werden
• eine Begründung, wozu diese Informationen gesammelt werden und zu welchem Zweck die Institution (der Verein/Verband) diese nutzt.
• die Bedingungen, unter denen die Informationen an andere Organisationen weitergegeben werden können.
• dass die Organisation sich verantwortlich erklärt, die gesammelten Daten zu schützen.
• die organisatorischen Strukturen, die über die Privacy Policy hinausgehen (wie etwa ein Datenschutzbeauftragter).
• wie die Kontrolle der Umsetzung und Umgang mit eventuellen Beschwerden funktioniert.

Von nun an sollen also Betroffene leichter Zugang zu ihren Daten und den Informationen über deren Nutzung bekommen.

Darüber hinaus wird das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf die Löschung personenbezogener Daten, nun gesetzlich festgelegt.

Sollte ein Dienst, Unternehmen oder eine Institution Daten speichern, können Nutzer sie korrigieren oder löschen lassen, zum Beispiel nachdem ein Preisausschreiben abgelaufen ist.

Generell müssen Organisationen und Unternehmen persönliche Daten nun unverzüglich löschen, wenn diese nicht mehr benötigt werden.

Erhebt oder verarbeitet ein Verein oder Verband personenbezogene Daten seiner Mitglieder, fällt dies unter das Bundesdatenschutzgesetz. Mitgliederdaten dürfen im Rahmen der Vereinstätigkeit erhoben, verarbeitet oder genutzt werden.
Die Vereinssatzung gilt hierbei als Grundlage für die Tätigkeit (Zweck) des Vereins und dem hieraus resultierenden Umfang der Datenerhebung. Neumitgliedern empfehlen wir durch Unterschrift im Aufnahmeantrag auf die Zustimmung zur Datenerhebung im Rahmen der Vereinssatzung als „Zweck“ auf den Datenschutz zu verpflichten.

Bestandsmitglieder sollten ebenfalls schriftlich durch eine Einwilligungserklärung der Datenerhebung zustimmen. Das Gewohnheitsrecht (juristisch „Übung“) kann, muss aber im Streitfall eine schriftliche Zustimmung nicht ersetzen. Mitgliederlisten sollten sich möglichst auf die zur Kontaktaufnahme nötigen Daten beschränken.

Hinzu kommt eine Vielzahl von Dokumentationspflichten, wie zum Beispiel die Erfassung der Verarbeitungstätigkeiten nach Art. 30 DS-GVO, die Benennung und Verpflichtung von Auftragsverarbeitern nach Art. 28 DS-GVO, technisch-organisatorische Maßnahmen, obligatorische Datenschutzerklärung für jede Homepage, Datenschutzhandbuch, IT-Sicherheitskonzepte, etc.

Vereine und Verbände müssen einen Datenschutzbeauftragten bestimmen, sobald mehr als neun Personen mithilfe von Computern Daten der Vereinsmitglieder erheben, verarbeiten, verwalten oder nutzen.

Dabei ist es unerheblich, ob es sich um Angestellte, freie Mitarbeiter, Voll- oder Teilzeitbeschäftigte, Auszubildende, Leihpersonal, ehrenamtliche Mitarbeiter oder Mitarbeiter von externen Dienstleistern handelt.

Erhebt, verarbeitet, verwaltet oder nutzt ein Verein Daten, die eine Vorabkontrolle erforderlich machen, ist unabhängig von der Anzahl der datenverarbeitenden Personen ein Datenschutzbeauftragter zu bestellen.

Eine Vorabkontrolle ist immer dann vorzunehmen, wenn die Daten die rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugung, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben eines Mitgliedes betreffen.

Der Datenschutzbeauftragte wird immer durch die Vereinsfunktionäre bzw. den Vorstand bestimmt.

In der Regel darf ein Verein oder Verband all jene Daten erheben, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift sowie Geburtsdatum und ggf. auch Bankverbindung, Bankleitzahl und Kontonummer) notwendig sind.
Der Abschluss von Versicherungsverträgen zugunsten des Vereins oder seiner Mitglieder ist ebenfalls vom Vereinszweck gedeckt, soweit Risiken bestehen, gegen die sich der Verein nicht zuletzt aus Fürsorgegründen schützen muss, sodass die erforderlichen Daten erhoben werden dürfen.  Grundsätzlich nicht erforderlich ist dagegen die Frage nach der früheren Mitgliedschaft des Beitrittswilligen in einer konkurrierenden Organisation. Die vom Verein erhobenen Daten werden nur dann „gleichzeitig“ zu Daten eines anderen Vereins, etwa eines Dachverbandes, wenn das Vereinsmitglied auch der anderen Vereinigung ausdrücklich in Form einer eigenen Erklärung beitritt.
Der Verein darf nur dann Mitgliederdaten für einen anderen Zweck als zur Verfolgung eigener Vereinsziele sowie Mitgliederbetreuung und -verwaltung erheben, wenn die Organisation ein berechtigtes Interesse daran hat. Berechtigt ist in diesem Sinne jeder Zweck, dessen Verfolgung nicht im Widerspruch zur Rechtsordnung steht. Aus dem vertraglichen Vertrauensverhältnis zwischen den Vereinsmitgliedern und dem Verein folgt jedoch, dass der Verein bei der Verarbeitung der personenbezogenen Daten seiner Mitglieder stets auf deren Datenschutzgrundrecht Rücksicht nehmen muss. Aus diesem Grund dürfen die Mitgliederdaten nur in Ausnahmefällen für andere Zwecke als zur Betreuung und Verwaltung der Mitglieder und im Dienste des Vereinszwecks verwendet werden.

Soll die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gemäß den Vorgaben der DSGVO erfolgen, ist dies nur erlaubt, solange nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Neu ist, dass die DSGVO davon ausgeht, dass ein solches Überwiegen vor allem dann vorliegt, wenn es sich bei der betroffenen Person um ein Kind handelt. Denn bei Personen unter 16 Jahren überwiegen die schutzwürdigen Interessen des betroffenen Kindes, im Alter zwischen 16 und 18 Jahren kann allerdings jedoch eine Abwägung mit anderen Interessen erfolgen. 

Eine Einwilligung für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist erforderlich, sobald der Verein in weitergehendem Maße personenbezogene Daten verarbeitet, als er aufgrund der unten unter Nr. 2, 4 und 5 dargestellten Regelungen befugt ist. Es empfiehlt sich nicht, Einwilligungen für Datenverarbeitungsmaßnahmen einzuholen, die bereits aufgrund einer gesetzlichen Erlaubnis möglich sind. Denn dadurch entsteht beim Betroffenen der Eindruck, er könne mit der Verweigerung der Einwilligung oder dem späteren Widerruf die Datenverarbeitung verhindern.  Hat der Verein aber von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zurückzugreifen, wird der Betroffene getäuscht, da man ihn erst nach seiner ausdrücklichen Einwilligung fragt, dann aber doch auf gesetzliche Ermächtigungen zurückgreift. Die Einwilligung ist datenschutzrechtlich nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht und dieser zuvor umfassend und verständlich darüber informiert worden ist, welche Daten aufgrund der Einwilligung für welchen Zweck vom Verein verarbeitet werden sollen.  Insbesondere soll darauf aufmerksam gemacht werden, welche verschiedenen Verarbeitungsvorgänge laut der neuen DSGVO vorgesehen sind, unter welchen Voraussetzungen die Daten an Dritte weitergegeben werden, dass die betreffende Erklärung freiwillig ist, wie lange die Daten wo gespeichert werden sollen und was die Einwilligung rechtlich für die betroffene Person bedeutet. Soweit es nach den Umständen des Einzelfalles erforderlich ist, oder aber die betroffene Person es verlangt, muss sie auch über die Konsequenzen der Verweigerung der Einwilligung belehrt werden (§ 51 Abs. 4 Sätze 3 und 4 BDSG-neu).
Außerdem soll die betroffene Person vor ihrer Einwilligung darauf aufmerksam gemacht werden, dass sie diese stets widerrufen kann (§ 51 Abs. 3 Satz 3 BDSG-neu).
Eine Dokumentation dieser Informationen ist nicht vorgeschrieben, allerdings ist der Erklärungsempfänger, also der Verein oder Verband, ggf. verpflichtet, nachzuweisen, dass bzw. mit welchem Inhalt die betreffenden Hinweise erfolgt sind.
Die Aufnahme in einem Verein darf aber grundsätzlich nicht von der Einwilligung in die Datenverarbeitung für vereinsfremde Zwecke abhängig gemacht werden (Art. 7 Abs. 4 DSGVO).

Cyber-Angriffe werden immer häufiger und ausgeklügelter. Viele Unternehmen und NPOs denken, dass sie als Ziel für Hacker-Angriffe nicht interessant sind. Damit wiegen Sie sich in falsche Sicherheit. Denn viele Hacker-Angriffe erfolgen gar nicht zielgerichtet, sondern infiltrieren Ihre IT bei einer breitangelegten Aktion eher zufällig. Zudem merken gehackte Unternehmen und NPOs oft erst viel später, dass sie Ziel eines Hacker-Angriffes geworden sind.

Wichtig ist, dass Ihre Mitarbeiter regelmäßig auf mögliche IT-Sicherheitsgefahren und Cyber-Schutzmaßnahmen hingewiesen werden. Das gilt vor allem, um das Öffnen von unbekannten Mail-Anhängen und die Ausführung von Fake-President-Anweisungen zu verhindern. Fake-President-Anweisungen sind beispielsweiße Aufforderungen vom Geschäftsführer zu Auslandsüberweisungen, die gar nicht von diesem stammen.

Selbst die beste IT kann keine 100%-ige Sicherheit garantieren. Deshalb ist der zusätzliche Abschluss einer Cyber-Versicherungspolice unbedingt anzuraten.

Je höher das Level Ihrer IT-Sicherheit ist, umso eher bekommt Ihre NPO eine gute Cyber-Police zu einem angemessenen Preis. Es lohnt sich also für Ihre NPO, bereits im Vorfeld zu investieren, zumal auch die rechtlichen Anforderungen an die IT-Sicherheit in Zukunft noch steigen werden.

• Eigenschäden, die in Ihrer gemeinnützigen Einrichtung entstehen.
  Dazu zählen Kosten für die Daten- und Programmwiederherstellung und auch die, welche durch eine mögliche Betriebsunterbrechung entstehen können.

• Drittschäden, also Vermögensschäden, die bei einem Dritten entstehen.
  Zum Beispiel durch deren Betriebsunterbrechung, aber auch durch Folgen von Datenschutzverletzungen. 

• Abwehrkosten, u.a. bei behördlichen Datenschutzverfahren

• Service-Leistungen: Der Versicherer stellt zahlreiche Leistungen zur Verfügung,
  z.B. IT-Risikoanalysen im Vorfeld und Hilfe bei der Krisenkommunikation im Schadensfall.
  Achten Sie darauf, ein Versicherungskonzept zu wählen, das auch Erpressung und Lösegeld absichert. 
  
  
• Datenmanipulation, z.B. wenn Ihr Online-Banking mit gestohlenen Identitätsdaten  genutzt wird.