DSGVO für Vereine

Wenn Ihr gerade schon unruhig werdet, weil so viel Text folgt: Ihr könnt Euch auch einfach direkt per eMail an mich wenden.

***

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar!

Achtung: Falls Ihr noch null Plan habt, was die DSGVO überhaupt ist, schaut lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

***

Ja, die DSGVO gilt für alle. Auch den Chor, die freiwillige Feuerwehr, etc.
Warum? Weil Ihr eine Mitgliederliste und eine Buchhaltung und ggf. auch noch eine Website habt und ziemlich sicher eMails bekommt und versendet. Vielleicht gebt Ihr noch Fotos Eurer Vereinsaktivitäten an die Presse oder veröffentlicht sie anderswo.

Es ist übrigens völlig egal, falls Ihr Eure Mitgliederliste und Buchhaltung nur offline und/oder auf Papier habt; die Datenschutzgrundverordnung gilt auch dann für Euch.

Keine Panik, so schlimm wie es an manchen Stellen klingt, ist das für Euch ziemlich sicher trotzdem nicht. Als Verein habt Ihr vermutlich recht wenig Daten im Gegensatz zu so manchem Unternehmen.

Als “Daten” gelten im Sinne der DSGVO nur die personenbezogenen Daten natürlicher Personen. Die Firmendaten Eures Getränkelieferanten oder Vereinslokals gelten nicht, das sind ja Unternehmen. Aber die Telefonnummer vom Lieferfahrer Georg oder der Wirtin Siglinde dann wieder schon, weil es sich bei denen um “natürliche Personen” handelt, egal ob sie Mitglieder bei Euch sind oder nicht. Wenn Ihr unsicher seid, was alles unter “personenbezogene Daten” fällt, schaut in den Detailartikel “Was sind personenbezogene Daten?”.

Verantwortlich für die Verarbeitung von personenbezogene Daten in Eurem Verein ist der Vorstand – so wie in einem Unternehmen auch die Geschäftsführung verantwortlich ist.

Was Ihr konkret braucht:
* eine Überblicksliste, was Ihr überhaupt an Daten von natürlichen Personen habt
* aus der Überblicksliste macht Ihr ein Verarbeitungsverzeichnis
* aus dem Verarbeitungsverzeichnis ergibt sich dann die Datenschutzerklärung für Eure Mitglieder und ggf eine zweite für Eure Website
* aus dem Verarbeitungsverzeichnis ergibt sich außerdem, mit welchen Dienstleistern Ihr ggf. sogegannte Auftragsverarbeitungsverträge abschließen müsst

Was Ihr also auf jeden Fall machen müsst, ist eine Inventur, welche Daten Ihr tatsächlich habt und womit Ihr diese Daten verarbeitet. Voraussichtlich werden das Namen, Adressen, Mitgliedsnummern, Telefonnummern, eMailadressen und ggf. Fotos Eurer Mitglieder und vielleicht auch anderer Personen haben. Wenn Ihr ein Chor seid und Konzerte veranstaltet, habt Ihr vermutlich Fotos, auf denen auch Menschen aus dem Publikum zu sehen sind.

Hinweis: Auch Daten, die Ihr nur offline und lokal habt, gelten im Sinne der DSGVO. Wenn Ihr sagt, Ihr stellt jetzt Eure Vereinswebsite ein, ändert das nur begrenzt etwas.

Schreibt alles auf, was Euch einfällt, wo Ihr personenbezogene Daten habt. Es ist übrigens völlig normal, dass man auf manche Sachen erst später draufkommt. Das ist ok, die Liste ist ein Arbeitsdokument und kann jederzeit erweitert werden, falls neue Dienstleister dazukommen oder verkürzt werden, falls andere wegfallen.

Aus dieser Überblicksliste macht Ihr dann das Verarbeitungsverzeichnis. Das ist die etwas formellere Form Eurer Liste, wo noch die Namen der Verantwortlichen vorne dran gehören und mit welcher Rechtsgrundlage Ihr die jeweiligen Daten verarbeitet.

Als Verein habt Ihr zum Beispiel eine Dokumentationspflicht, die den Namen sowie Eintritts- & Austrittsdatum Eurer Mitglieder umfasst. Die Adresse braucht Ihr vielleicht für die Zustellung der Einladung zur jährlichen Mitglieder-/Generalversammlung und für das Geburtsdatum habt Ihr (hoffentlich) die Einwilligung der Mitglieder, dass Ihr das gespeichert habt und ihnen dann eine Karte schickt, ein Ständchen singt, etc.

Was auch ins Verarbeitungsverzeichnis gehört ist, wohin Ihr die Daten ggf. noch weitergebt/hochladet/synchronisiert/… Falls Ihr in Deutschland ein eingetragener Verein seid, geht Eure Buchhaltung zum Finanzamt. In Österreich sind grundsätzlich alle Vereine eingetragen, da geht die Buchhaltung dann zum Finanzamt, wenn der Jahresumsatz eine bestimmte Grenze überschreitet. Dafür sind aber die Vorstandsmitglieder in Österreich grundsätzlich namentlich im zentralen Vereinsregister eingetragen.

Schaut in den Detailartikel “Verschaffe Dir einen Überblick und erstelle ein Verarbeitungsverzeichnis” für mehr Tipps und Beispiele. Dort findet Ihr auch eine Vorlage, mit der Ihr das Verarbeitungsverzeichnis erstellen könnt.

Das Verarbeitungsverzeichnis ist ein lebendes Dokument. Wenn Ihr z.B. den Hostinganbieter Eurer Website ändert, gehört das auch im Verarbeitungsverzeichnis geändert. Am besten macht Ihr Euch eine Notiz, dass das Verarbeitungsverzeichnis und die sich daraus ergebende(n) Datenschutzerklärunge(n) jährlich bei den Vorbereitungen zur Mitgliederversammlung/Generalversammlung überprüft werden, ob noch alles so stimmt und Ihr immernoch dieselbe Software, dieselben Dienstleister etc. nutzt.

Die Datenschutzerklärung ergibt sich, wie gesagt, aus dem Verarbeitungsverzeichnis. Wenn Ihr eine Website habt, gehört dort in jedem Fall eine Datenschutzerklärung gut sichtbar und leicht zu finden drauf. Sie sollte in einfacher Sprache geschrieben und gut verständlich sein.

Schaut in den Detailartikel “Die Datenschutzerklärung, Aufzucht und Hege” für Tipps und Beispiele, wie Ihr Eure Datenschutzerklärung gestalten könnt. Habt Ihr Google Analytics oder ein Facebookpixel auf der Seite? Hand auf’s Herz: Schaut Ihr Euch die Auswertungen wirklich an? Falls nein, nehmt die Tracker doch einfach raus, dann müsst Ihr sie auch nicht ausweisen.

Für Eure Mitglieder empfehle ich eine zweite Datenschutzerklärung, in die Ihr alles reingebt, was Ihr tatsächlich mit den Mitgliederdaten tut, wo die liegen, etc.. Das geht “nur Besucher” Eurer Website ja nicht zwingend etwas an. Wenn jemand bei Euch Mitglied werden möchte, gehört die Datenschutzerklärung für Mitglieder gleich an den Mitgliedsantrag angehängt. Für die bestehenden Mitglieder solltet Ihr die Datenschutzerklärung einmal ausschicken, wenn Ihr sie dann habt.

Obacht bei Generatoren aus dem Internet! Die geben meist Texte aus wie “Laut Paragraph X, Artikel Y, Absatz Z …” – das versteht kein Mensch und niemand hat den Gesetzestext zur Hand, um das mal eben nachlesen zu können, was einem der Satz sagen möchte. Das widerspricht dem Grundsatz, dass Datenschutzerklärungen in einfacher Sprache geschrieben sein sollen. Ihr könnt natürlich einen Generator verwenden, um mal den Grundstock Eurer Datenschutzerklärung zu erstellen, aber dann ist noch genug Arbeit drin, den Text lesbar zu machen. Außerdem steht bei allen Generatoren dran, dass das ja nur Hilfestellungen sind und ohnehin der Anwender haftet. Ihr könnt also eigentlich die Texte auch gleich selber schreiben, dann werden sie voraussichtlich lesbarer.

Ebenfalls Obacht bei all diesen “All-in-One-Angeboten”, die damit werben, dass sie “alles” für Euch machen und übernehmen. Entweder es steht im Kleingedruckten, dass sie Eure Inventur nicht kennen können und ohnehin der Verantwortliche haftet, oder das Angebot ist nicht seriös. Die oben genannte Überblicksliste kann Euch keiner abnehmen!

Last not least die Auftragsverarbeitungsverträge. Die braucht Ihr immer dann, wenn jemand anderer in Eurem Auftrag personenbezogene Daten für Euch verarbeitet. Wenn Ihr drauf gekommen seid, dass Ihr z.B. Eure Mitglieder oder die Presse via Google Mail anschreibt, werdet Ihr einen Auftragsverarbeitungsvertrag mit Google brauchen. Wenn Ihr eine WhatsApp Gruppe für die offizielle Kommunikation in Eurem Verein habt, braucht Ihr einen solchen Vertrag mit Facebook. Wenn Ihr Programmhefte in Druck gebt, wo Fotos und/oder Namen von Vortragenden oder Sängern drin sind, braucht Ihr – neben deren ausdrücklicher Einwilligung – einen Auftragsverarbeitungsvertrag mit der Druckerei.

(Der Detailartikel zu den Auftragsverarbeitungsverträgen ist noch in Arbeit, folgt aber in den nächsten Tagen, inklusive einer Vorlage.)

Die üblichen Fallen:

  • Clouddienste (Dropbox, etc.)
  • Mitgliederliste in Google Docs
  • WhatsApp (gehört zu Facebook Inc.)
  • Doodle
  • Foto-Ausdruckservices (Aldi/dm/Rossmann/…)
  • Fotos von Menschen auf der FB-Seite
  • Videos oder Stimmaufnahmen von Menschen auf Eurer Website oder FB-Seite
  • Es ist wirklich alles halb so wild. Klärt das einmal bei Euch im Vorstand und setzt Euch an die Überblicksliste. Falls Ihr drauf kommt, dass Ihr an der einen oder anderen Stelle etwas datenschutzrechtlich noch nicht optimal gelöst habt, nicht verzagen. Es gibt für die meisten Dienstleister gute Alternativen:

  • WhatsApp – Signal (für Einzelchats und Gruppen bis max. 10 Leute), Threema (uneingeschränkt zu empfehlen), Riot (für große Gruppen)
  • Doodle – Dudle
  • Dropbox – NextCloud (kann auch als Ersatz für WeTransfer genutzt werden, wenn Du die Dateien direkt aus der NextCloud heraus freigibst)
  • Gmail / GMX / Yahoo Mail / Web.de / … (alle gratis Mailanbieter) – Posteo, mailbox.org oder einen eigenen Mailserver nutzen, der vllt ohnehin schon bei Eurem Hostingvertrag dabei ist, wenn Ihr eine Website oder einen Blog habt
  • Google Docs – Pads (z.B. vom C3W gehostet)
  • ***

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel “DSGVO – An sich ganz easy”
    “Was sind personenbezogene Daten?”
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie “DSGVO – an sich ganz easy”

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.