Vereine sind als solche unabhängig von ihrer Eintragung Normadressaten der DSGVO als sog. Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO. Verantwortlich für die Umsetzung sowie den Nachweis derselben ist der Vorstand des Vereins gem. § 26 Abs. 1 S. 2 BGB. Zur Umsetzung und Einhaltung der Vorgaben der DSGVO empfiehlt es sich, i.R.d. Aufbauorganisation eine Datenschutz-Governance-Struktur zu entwickeln, die trotz der beim Vorstand verbleibenden Verantwortlichkeit eine effiziente Erfüllung der datenschutzrechtlichen Anforderungen ermöglicht. Dadurch lassen sich Herausforderungen wie die rechtskonforme Verarbeitung von personenbezogenen Daten der Mitglieder, die datenschutzrechtlich korrekte Einbindung von externen Dienstleistern oder der richtige Umgang mit Betroffenenanfragen und Datenschutzverletzungen, mit denen sich Vereine täglich konfrontiert sehen, bewältigen.
Datenflüsse und ihre Rechtfertigung
Nach dem im Datenschutz geltenden Verbotsprinzip mit Erlaubnisvorbehalt bedarf es für jede Verarbeitung personen-bezogener Daten einer Rechtsgrundlage.
Ein Verein darf auf Grundlage des Art. 6 Abs. 1 S. 1 lit. b) DSGVO personenbezogene Daten seiner Mitglieder sowohl beim Vereinsbeitritt als auch während der Vereinsmitgliedschaft verarbeiten soweit dies für die Begründung der Mitgliedschaft oder deren Durchführung erforderlich ist. Erwartungsgemäß ergibt sich in der Folge regelmäßig für die von den Vereinen verschiedenen Mitgliedschaftsarten (z.B. aktiv, passiv, ermäßigt) ein differierender Verarbeitungsrahmen, der mitunter auch die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich werden lässt, bspw. um Schwerbehinderten oder Empfängern von Sozialleistungen eine ermäßigte Mitgliedschaft zu ermöglichen.
Bei den verschiedenen Mitgliedschaftsarten handelt es sich nicht um Rechtsbegriffe, sodass eine hinreichende Definition der Mitgliedschaftsarten seitens des Vereins notwendig ist, um eine Bewertung der Datenverarbeitungen im Hinblick auf die von Art. 6 Abs. 1 S. 1 lit. b) DSGVO geforderte Erforderlichkeit überhaupt vornehmen zu können.
Im Rahmen der Verarbeitungsvorgänge sind sämtliche Verarbeitungsprinzipien, die sich aus Art. 5 DSGVO (z.B. Transparenz, Integrität und Vertraulichkeit, etc.) ergeben, einzuhalten. Verarbeitungen ohne Bezug zum o.g. Mitgliedschaftsverhältnis bedürfen jeweils einer anderen sich aus Art. 6 DSGVO ergebenden Rechtsgrundlage.
Einbindung externer Dienstleister (sog. Auftragsverarbeiter)
Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“
Setzt ein Verein bspw. für die Pflege der Webseite oder das Newsletter-Management Dienstleister ein, die streng weisungsgebunden und nicht zu eigenen Zwecken Daten „des Vereins“ verarbeiten, so bedarf es für die Offenlegung der Daten ggü. diesen Dienstleistern keiner eigenen Rechtsgrundlage, da sie als Auftragsverarbeiter als „verlängerter Arm“ des Verantwortlichen angesehen werden. Allerdings ist vor der Einbindung eines Auftragsverarbeiters ein Vertrag über die Auftragsverarbeitung entsprechend den Vorgaben des Art. 28 DSGVO abzuschließen und dafür Sorge zu tragen, dass der Auftragsverarbeiter hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bietet.
Vor dem Hintergrund der zunehmenden Ausgliederung einzelner Geschäftsbereiche (z.B. Lizenzspielerabteilung, Merchandise, Reiseorganisation, Event- und Catering) in Kapitalgesellschaften stellt sich die Frage, inwieweit sich die Erkenntnisse zum kleinen Konzernprivileg für Unternehmensgruppen auch für die heute teilweise im Profisport vorhandenen Organisationsformen fruchtbar machen lassen.
Übermittlung an Dritte oder Gemeinsame Verantwortlichkeit
Dritter können für den Verein neben den bereits erwähnten in eigene Gesellschaften ausgegliederten Geschäftsbereichen auch Landes-, Bundes- oder Dachverbände sein, denen zur Organisation des Spielbetriebs Mitgliederdaten übermittelt werden; mit der Konsequenz, dass für solche Verarbeitungs-tätigkeiten eine eigenständige Rechtsgrundlage vorhanden sein muss.
Die Beachtung der Anforderungen zur Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO stellt sich z.B. im Kontext von Social-Media-Auftritten des Vereins oder im Rahmen von Portalen, die gemeinsam mit einem weiteren Verantwortlichen betrieben werden.
Pflicht zur Bestellung eines Datenschutzbeauftragten
Sobald im Verein regelmäßig mehr als 20 Personen mit Datenverarbeitungen beschäftigt sind, muss dieser einen Datenschutzbeauftragten benennen. Diese Pflicht besteht unabhängig von der haupt- bzw. ehrenamtlichen Tätigkeit dieser Personen. Um eine durch Interessenkonflikte hervorgerufene Besorgnis der Befangenheit zu vermeiden, können Vorstandsmitglieder nicht zugleich als Datenschutzbeauftragte fungieren.
Handlungsempfehlungen
Diese Darstellung ist lediglich ein knapper Ausschnitt der sich für Vereine aus der DSGVO ergebenden Pflichten. Weitere wesentliche Bestandteile der Datenschutz-Compliance zeigen die folgenden Handlungsempfehlungen:
1. Erfassung sämtlicher Datenflüsse im Verein von der Erhebung über die Speicherung bis hin zur Weitergabe und Löschung
2. Prüfung der Verträge über die Auftragsverarbeitung und Wahrnehmung von Kontrollrechten
3. Prüfung der Prozesse zum Umgang mit Betroffenen-anfragen und Datenschutzverletzungen
4. Prüfung der Umsetzung von Informationspflichten
5. Prüfung der Berechtigungskonzepte sowie Umsetzung von Löschpflichten
Unser Beratungsansatz
Sofern sich bei der Prüfung, der Bewertung oder der Anpassung der entsprechenden Prozesse Schwierigkeiten ergeben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir beraten Sie bzw. Ihren Verband oder Verein gerne kompetent und fachübergreifend bei der Optimierung Ihrer Datenschutzorganisation.
Zum Nachweis einer im Einklang mit den gesetzlichen Vorgaben der DSGVO stehenden Datenverarbeitung empfiehlt sich daher die Durchführung eines Datenschutz-Audits. Dabei können wir durch die langjährige Durchführung von Projekten bei Mandanten in der Sportbranche sowie auf weitreichende fachliche Expertise zurückgreifen. Im Rahmen eines Datenschutz-Audits unterstützen wir Ihren Verein oder Verband bei der Aufdeckung von Schwachstellen und möglicher Risiken und unterstützen bei den notwendigen Umsetzungen der Handlungsempfehlungen.