Information

der Vorstandschaft des Theaterverein „D´Henaberger Bühne e.V.“

zum Grundrecht auf Datenschutz in Vereinen


Der Schutz personenbezogener Daten wurde in einigen Mitgliedstaaten der Europäischen Union bereits sehr früh geregelt. So trat in Deutschland – und zwar in Hessen – im Jahre 1970 das weltweit erste Datenschutzgesetz in Kraft. In allen heutigen Mitgliedsstaaten der Europäischen Union gelten noch bis einschließlich 24. Mai 2018 nationale Datenschutzgesetze. Diese setzen die EU-Richtlinie 95/46/EG um. Die gegenwärtigen Vorschriften gewähren natürlichen Personen einen gewissen – aber noch nicht ausreichenden – Schutz vor dem Missbrauch der sie betreffenden personenbezogenen Daten. Deshalb gilt die Datenschutz-Grundverordnung (DSGVO) ab 25. Mai 2018, um nationale Datenschutzgesetze für alle EU-Mitgliedsstaaten zu homogenisieren.

Personenbezogene Daten – Informationelle Selbstbestimmung

Unter dem Begriff „informationelle Selbstbestimmung“ versteht man das Recht des Einzelnen, selbst und höchstpersönlich über den Umgang mit seinen personenbezogenen Daten zu bestimmen. Der Einzelne soll nach dem Willen des Gesetzgebers als Individuum darüber bestimmen können, ob und welche Informationen über ihn verarbeitet und welche Informationen durch Dritte gespeichert werden sollen. Die informationelle Selbstbestimmung wurde durch das Bundesverfassungsgericht in den Stand der Grundrechte erhoben. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu gehören unter anderem:

· allgemeine Personendaten (Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse,  

   Telefonnummer)

· Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der

   Krankenversicherung, Personalausweisnummer)

· Bankdaten (Kontonummern, Kreditinformationen)

· Online-Daten (IP-Adresse, Standortdaten)

· physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße)

· Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen,

   Zulassungsdaten)

· Kundendaten (Bestellungen, Adressdaten, Kontodaten)

 

Datenschutzrechtliche Anwendung der EU-Datenschutz-Grundverordnung (EU-DSGVO)

Mit Wirkung vom 25. Mai 2018 ist die EU-DSGVO durch jede öffentliche sowie nicht-öffentliche Stelle ohne Übergangsfrist umzusetzen. Das bedeutet, dass natürliche Personen, Einzelunternehmen (Vereine, Verbände), Personengesellschaften (GbR, OHG) und Kapitalgesellschaften (GmbH, AG), beim Umgang mit personenbezogenen Daten gemäß den Vorgaben der EU-DSGVO handeln müssen. Vereine und Verbände sind daher – genauso wie Unternehmen – verpflichtet, ihren Datenverarbeitungsprozess den gesetzlichen Vorschriften anzupassen und zu dokumentieren.

Die Vorschriften der EU-DSGVO regeln die Verarbeitung personenbezogener Informationen auf EU-Ebene. Sie gilt für die komplette oder teilweise automatisierte Verarbeitung personenbezogener Daten, sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem IT-System gespeichert sind oder gespeichert werden sollen.

 

Auswirkungen für Vereine und Verbände

Erhebt oder verarbeitet ein Verein/Verband personenbezogene Daten seiner Mitglieder, fällt dies ab 25. Mai 2018 unter die EU-Datenschutz-Grundverordnung. Mitgliederdaten dürfen im Rahmen der Vereinstätigkeit erhoben, verarbeitet oder genutzt werden. Die Vereinssatzung gilt hierbei als Grundlage für die Tätigkeit (Zweck) des Vereins und dem hieraus resultierenden Umfang der Datenerhebung. Zuständig für den Schutz personenbezogener Daten ist der Vorstand. Die wichtigsten fünf Punkte, die zu erledigen sind:

 

1.    Einverständniserklärungen:                                                                                                                      Neumitglieder empfehlen wir durch Unterschrift im Aufnahmeantrag auf die Zustimmung zur Datenerhebung im Rahmen der Vereinssatzung als „Zweck“ auf den Datenschutz zu verpflichten. Bestandsmitglieder sollten ebenfalls schriftlich durch eine Einwilligungserklärung der Datenerhebung zustimmen. Das Gewohnheitsrecht (juristisch „Übung“) kann, muss aber im Streitfall eine schriftliche Zustimmung nicht ersetzen. Mitgliederlisten (z. B. für Minderheitenverlangen auf Einberufung einer Mitgliederversammlung) sollten sich möglichst auf die zur Kontaktaufnahme nötigen Daten beschränken.

 

2.     Bestellung „Datenschutzbeauftragter“:                                                                                                                Unter Umständen muss ein Datenschutzbeauftragter benannt werden. Die Pflicht zur Benennung eines Datenschutzbeauftragten wurde in Art. 37 der DSGVO und in § 38 Bundesdatenschutzgesetz (BDSG) normiert. Nach dieser Vorschrift haben Unternehmen, Vereine und Verbände als „Verantwortliche“ und „Auftragsverarbeiter“ die Pflicht, einen Datenschutzbeauftragten unter folgender Voraussetzung zu benennen: Mindestens 10 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Hierzu gehören Voll- und Teilzeitmitarbeiter, Vorstände, Geschäftsführer und ehrenamtlich tätige Personen. Sollten in Ihrem Verein weniger als zehn Personen[1] ständig mit der Verarbeitung personenbezogener Daten betraut sein, ist zwar kein Datenschutzbeauftragter zu bestellen, allerdings sind die Anforderungen der DSGVO trotzdem umzusetzen.

 

3. Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO (Verfahrensverzeichnisse):                                      Wer personenbezogene Daten verarbeitet, muss dies dokumentieren. Auf Nachfrage ist diese Dokumentation

an die Datenschutz-Aufsichtsbehörde herauszugeben, damit sie sich ein schnelles Bild verschaffen kann. Das Verzeichnis dient lediglich der Behörde und eventuell eigenen Zwecken – an Dritte muss es jedoch nicht herausgegeben werden. Die Inhalte, die das Verzeichnis der Verarbeitungstätigkeiten enthalten muss, listet Art. 30 DSGVO im Detail auf. Auch wenn es etwas nach bürokratischer Arbeit aussieht – das aktuelle Verzeichnis der Verarbeitungstätigkeiten sollte in jedem Verein vorgehalten werden (oder zumindest innerhalb kürzester Zeit erstellt werden können).

 

4.     Erfassung der Auftragsverarbeiter nach Art. 28 DSGVO:                                                                                  Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Auftragsverarbeiter sind schriftlich zu verpflichten.

 

5.     Informationspflicht und Sicherstellung der Betroffenenrechte Art. 15 DSGVO:Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung. Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren. Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten.

 

gez.

der Vorstand



[1]  Beim Theaterverein Althegnenberg ist ausschließlich die Vorstandschaft mit der Datenverarbeitung ihrer Mitglieder betraut und dies sind derzeit weniger als 10 Personen.

Dieses Schreiben als PDF