Inhaltsverzeichnis
Vereinsdatenschutz
Vereinsdatenschutz ist der Datenschutz bei eingetragenen Vereinen (e.V.) als Verantwortlichem.
Auch bei teilweise großer Nähe zu öffentlichen Einrichtungen, z.B. Fördervereinen an Hochschulen, handelt es sich doch um juristische Personen des privaten Rechts. Daher haben die Landesdatenschutzgesetze, wie das thuerdsg meist1) nur eingeschränkte Bedeutung. Im Regelfall gilt neben der DSGVO das BDSG.
Als juristische Personen des privaten Rechts müssen Vereine bei der Verarbeitung personenbezogener Daten als Verantwortlicher die gleichen Regeln befolgen, wie andere, z.B. Unternehmen in der Rechtsform einer GmbH, auch.
Datenschutzbeauftragter
Auch Vereine haben die Pflicht gem. § 38 Abs. 1 BDSG ab 10 Beschäftigten, die ständig, automatisierte personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu bestellen. Als Faustregel bedeutet das, dass ab 10 Personen, die regelmäßig an Computern arbeiten, ein Datenschutzbeauftragter zu bestellen ist.
Achtung: Entgegen einem allgemeinen Missverständnis muss auch ein Verein (wie jeder Verantwortliche) die Regeln des Datenschutzes auch dann beachten, wenn kein Datenschutzbeauftragter zu bestellen ist. Das bedeutet, dass der Verstand des Vereins, der als gesetzlicher Vertreter für den Datenschutz verantwortlich ist, nicht verpflichtet ist, sich durch einen Datenschutzbeauftragten unterstützen zu lassen. Die Pflichten sind aber die gleichen.
Verzeichnis von Verarbeitungstätigkeiten
Vereine werden in aller Regel verpflichtet sein, ein VVT zu führen. Die Frage ist aber, wie intensiv dieses ausgestaltet sein muss. Die Regeln sind gemäß Art. 30 DSGVO grundsätzlich die selben. In der Verwaltungspraxis ist jedoch zu beobachten, dass zumindest das LDA Bayern ein Muster2) zur Verfügung stellt, dass deutlich einfacher gehalten ist, als das allgemeine Formular3) . Eine bearbeitbare Word-Version des Vereinsmusters: Muster-VVT für Vereine des LDA Bayern
Ehrenamtliche Tätigkeit
Zur rechtlichen Einordnung ehrenamtlicher Tätigkeit gibt es nur wenige Aussagen. Im Ansatz zutreffend dürfte es sein, wenn die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Tätigkeit von Ehrenamtlichen dem Beschäftigtendatenschutz zuordnet, wie es im Jahresbericht 2018 S. 114f. geschehen ist, wo die ehrenamtliche Tätigkeit unter der Überschrift Beschäftigtendatenschutz steht. Allerdings muss anders als in dem Jahresbericht bedacht werden, dass der Beschäftigtendatenschutz normalerweise von einem professionellen Umfeld ausgeht und zum Gegenstand hat, die Beschäftigten als Betroffene Person vor dem Arbeitgeber als Verarbeiter zu schützen. Bei den genannten Ausführen geht es dagegen fast ausschließlich um das Verhältnis der Ehrenamtlich tätigen zu Dritten Personen.
Jedenfalls wird die Tätigkeit von Ehrenamtlichen nicht als Auftragsverarbeitung Art. 28 DSGVO oder gemeinsame Verantwortliche gem. Art. 26 DSGVO einzuordnen sein.
Bei der Tätigkeit von Ehrenamtlichen ist zunächst zu prüfen, ob Besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO vorliegen. In dem genannten Fall betraf das die Gewerkschaftszugehörigkeit. Das wäre aber beispielsweise bei Gesundheitsdaten ebenso der Fall.
Wenn dem so ist, soll es nicht genügen, dass die Ehrenamtler eine Datenschutzerklärung unterschreiben und belehrt werden.
Vielmehr werden für die ehrenamtliche Tätigkeit mit den personenbezogenen Daten folgende Anforderungen aufgestellt:
- klare schriftliche Beschreibung der Rechte und Pflichten sowohl des Verantwortlichen als auch der ehrenamtlich Tätigen,
- genaue Beschreibung welche Daten wie, wo und in welchem Umfang verarbeitet werden dürfen (Verhaltensregeln analog zu Regeln für Tele-Heimarbeit),
- klare Festlegung zu technisch-organisatorischen Maßnahmen, insbesondere bei Gebrauch von privater Hardware bzw. privaten Endgeräten (faktisch analog der Einschränkungen von Bring your own device im Beschäftigungsverhältnis) und
- jährliches Reporting der Ehrenamtlich Tätigen zu Veränderungen bei ihrer Leistungserbringung.
Eine vollständige Umsetzung dieser Vorgaben erscheint unrealistisch. Dennoch sollten diese Vorgaben als ein Idealbild Beachtung finden, dem sich schrittweise angenähert wird.
Gerade eine umfassende Regelung zu privater Hardware wird in aller Regel ebenso unmöglich sein, wie die Ausstattung aller Ehrenamtler mit Hardware des Vereins. Allenfalls wäre hier denkbar, virtuelle Maschinen vorzuschreiben. Allerdings setzt das in der Erst-Einrichtung auch nicht unerhebliche IT-Kenntnisse voraus und im laufenden Betrieb eine gute Internetanbindung.
Zumindest auf allgemeiner Ebene sollten Grundregeln für Datenschutz und IT-Sicherheit festgeschrieben werden.4)
Weblinks
- datenschutzbeauftragter-info.de:DSGVO-Hilfe für Vereine: Checklisten, Praxisratgeber und 10-Punkte-Plan