Datenschutz: LSFV BW

Es ist keine Pflicht. Um die Anforderungen der DSGVO zu erfüllen, muss an den Antrag ein Informationsblatt angehängt werden, das darlegt, welche Daten Sie erheben und wie diese verwendet werden. Ein Muster für die Informationspflicht bei Erhebung von personenbezogenen Daten gemäß Art. 13 DS-GVO finden Sie im Praxisratgeber des Landesbeauftragten für Datenschutz auf den Seiten 12-15. (PDF-Datei)

Wir schlagen Ihnen vor, den Antrag und das Informationsblatt in eine PDF zusammenzuführen und diese auf Ihre Webseite zu stellen, sodass das Informationsblatt zugänglich ist. Zudem können Sie in den Antrag noch einen Satz aufnehmen, dass das Informationsblatt gelesen wurde („Das Informationsblatt zur Datenverarbeitung habe ich/haben wir zur Kenntnis genommen und erkläre mich/erklären uns einverstanden.“) Bei der Ausgabe in Papierform wäre es ratsam, das Informationsblatt an den Mitgliedsantrag zu tackern.

Bei bereits erfolgten Datenerhebungen (von Altmitgliedern) nach dem BDSG sind die Informationspflichten des Art. 13 DS-GVO nicht zu erfüllen bzw. nachzuholen. Erst für Datenerhebungen ab dem 25. Mai 2018 bzw. wenn bei Bestandsmitgliedern weitergehende Datenerhebungen/Änderungsmitteilungen erfolgen, sind die Informationspflichten zu erfüllen.

Selbstverständlich schadet es nicht, auch den bisherigen Mitgliedern das Informationsblatt zukommen zu lassen, Sie sind dazu jedoch nicht verpflichtet.

Das ist davon abhängig, wie viele Personen bei Ihnen Zugriff auf personenbezogene Daten haben. Sind es mehr als 20 Personen, muss der Förderverein einen Datenschutzbeauftragten ernennen bzw. einen externen Beauftragten bestellen. Bei weniger als 20 Personen, die auf personenbezogene Daten zugreifen können, muss der Verein keinen DSB beauftragen.

Sollten Sie einen DSB benötigen, ist es notwendig, Namen und Kontaktdaten derjenigen/desjenigen an die zuständige Behörde weiterzugeben. In Baden-Württemberg können Sie dies online über die Internetseite des Landesbeauftragten für Datenschutz tun. Zudem müssen Kontaktdaten des DSB veröffentlicht werden. Hierbei ist es ausreichend, wenn die E-Mail-Adresse des DSB auf der Vereinshomepage frei zugänglich genannt wird.

Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben. Dies kann direkt oder indirekt erfolgen, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder aber einer Online-Kennung (z.B. Cookie).

Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit werden als „besondere personenbezogene Daten“ bezeichnet und sind extra schützenswert. Daher erfordert der Umgang mit diesen Daten separate Regeln. 

Ja, das dürfen Sie, auch ohne explizite Einwilligung. Der Kontakt zu den Mitgliedern, die Einladung zu Mitgliederversammlung oder anderen Veranstaltungen, Informationen zur Arbeit des Vereins, etc. sind für das Funktionieren des Vereins grundlegend und damit rechtlich zulässig. Bei der Verarbeitung von Mitgliederdaten ist die Vereinssatzung von Bedeutung – diese bestimmt die Vereinsziele, für welche die Mitgliederdaten genutzt werden können. Sie kommt hierbei einem Vertrag gleich.

In Art. 6 Abs. 1 lit. B) DS-GVO wird dargelegt, dass beim Vereinseintritt und während der Mitgliedschaft die Daten von Mitgliedern erhoben und verarbeitet werden dürfen, die für die Begründung und Durchführung des Vertrages (d.h. der Mitgliedschaft) erforderlich sind. Damit dürfen alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder benötigt werden. Dies können z.B. Name, Anschrift, Kontaktdaten und die Bankverbindung sein.

Für Daten, die darüber hinaus erhoben werden und nicht für die Vereinsziele notwendig sind, bedarf es einer gesonderten Einwilligung.

Für die Aufnahme und die mögliche Veröffentlichung von Fotos bedarf es in den meisten Fällen der Einwilligung des Fotografierten. Diese Einwilligung muss nicht zwangsweise schriftlich erfolgen, auch ein direkter Blick in die Kamera wird von vielen Rechtsanwälten bereits als Einwilligung verstanden. Mit einer Unterschrift gehen Sie jedoch auf Nummer sicher und vermeiden Konflikte.

Besondere Vorsicht gilt bei Fotos von Kindern und Jugendlichen. Hier ist in der Regel eine Zustimmung der Eltern erforderlich. Es ist nicht festgelegt, ab welchem Alter Kinder eigenständig einwilligen dürfen; die DS-GVO gibt an, dass Kinder und Jugendliche selbst einwilligen dürfen, wenn Sie die Konsequenzen der Verwendung ihrer Daten verstehen können und in der Lage sind, zu widersprechen. Bei Kindern unter 13 Jahren ist davon nicht auszugehen.

Schauen Sie hierzu gerne auch in die FAQ zu Fotos des Landesbeauftragten für Datenschutz.

Rechtlich ist der vertretungsberechtigte Vorstand für die Belange des Vereins verantwortlich und haftbar. Sollte jedoch ein Datenschutzbeauftragter für den Verein ernannt worden sein, trägt auch dieser eine gewisse Verantwortung für die Umsetzung der DS-GVO und kann bei fahrlässigem Handeln ebenfalls haftbar gemacht werden.

Nein, nicht unbedingt. Sie können Datenschutzregelungen in die Satzung aufnehmen oder diese in einem gesonderten Regelwerk niederlegen. Falls nicht bereits geschehen, können Sie in der Satzung festlegen, welche Daten beim Vereinseintritt für die Verfolgung der Vereinsziele und für die Mitgliederbetreuung/-verwaltung notwendigerweise erhoben werden. Auch sollte festgelegt werden – in der Satzung oder in einer separaten Datenschutzregelung – zu welchem Zweck welche Daten an Dritte weitergegeben werden dürfen. Es empfiehlt sich, eine solche Datenschutzregelung ebenso wie eine Satzungsänderung von der Mitgliederversammlung beschließen zu lassen.

Vereine, die eine eigene Internetseite betreiben, müssen sicherstellen, dass eine rechtsgültige und vollständige Datenschutzerklärung auf ihrer Seite eingebunden ist, die ohne Schwierigkeiten von Nutzern aufgerufen werden kann. Eine Verlinkung im Footer (Fußzeile der Website) bietet sich etwa an. Zudem muss das Impressum auf seine Vollständigkeit überprüft werden. Hier sind die Kontaktdaten des Vereins anzugeben, die Registernummer sowie das Registergericht, der Name bzw. die Namen der vertretungsberechtigten Vorstände sowie die Kontaktdaten des für die Internetseite Verantwortlichen.

Sollten Sie Cookies nutzen, um Werbung zu schalten oder den Aufenthalt von Nutzern auf den einzelnen Seiten zu analysieren, sollten Sie über einen Cookie-Hinweis nachdenken. 

Weiterhin ist es von Nöten, Auftragsdatenverarbeitungs-Verträge (AV-Verträge) mit dem Provider der Webseite (z.B. strato) und möglicherweise dem Verantwortlichen (falls er nicht Mitglied ist, sondern extern beauftragt wurde) abzuschließen. Ein Muster hierfür finden Sie im Praxisratgeber (PDF-Datei) ab Seite 20.

Falls Sie auf Ihrer Webseite Fotos veröffentlichen, stellen Sie sicher, dass Sie für all diese Bilder die Rechte besitzen und die Personen mit der Veröffentlichung einverstanden sind. Sollten Sie thematische Bilder benötigen, können Sie diese entweder bei Anbietern wie z.B. Fotolia oder Shutterstock käuflich erwerben oder bei lizenzfreien Datenbanken wie etwa pixabay schauen.

Ein Muster für die Einholung von Einwilligungen zur Veröffentlichung von Mitgliederdaten auf der Webseite finden Sie im Praxisratgeber (PDF-Datei), S. 16.

Sollten Sie Ihre Mitgliedschaft im Landesverband grafisch darstellen wollen, stellen wir Ihnen gerne unser Logo zur Verfügung. Fragen Sie uns einfach an.

Das ist davon abhängig, welche Aktionen der Verein durchführt und welche Kanäle Sie zur Kommunikation nutzen. Falls Sie Newsletter oder Einladungen über Verteiler versenden, die nicht nur aus Mitgliedern bestehen, stellen Sie sicher, dass Sie hierfür eine Berechtigung haben. Sollten Sie bisher Verteiler von der Schule genutzt haben, besprechen Sie bitte mit der Schule, inwieweit diese die Genehmigung hat, Ihnen die Daten auszuhändigen. Hier empfehlen wir, der Schule Ihre Einladung zur Verfügung zu stellen und etwa über das Sekretariat an die Eltern versenden zu lassen. Möglicherweise hat die Schule auch einen monatlichen Newsletter, in dem Sie Ihre Informationen unterbringen können.

In jedem Fall müssen Sie als Verein (genau wie alle Unternehmen) ein Verzeichnis der Verarbeitungstätigkeiten führen. Ein Muster hierfür finden Sie im Praxisratgeber (PDF-Datei) ab Seite 17. Dieses kann z.B. in einer Excel-Liste angefertigt werden und zeigt auf, welche Daten wie von wem und zu welchem Zweck verarbeitet werden.

Stellen Sie als Vorstand sicher, dass personenbezogene Daten sicher gespeichert sind und nicht von unbefugten Dritten eingesehen werden können. Wer z.B. Mitgliederdaten in einer Excel-Liste verarbeitet, sollte sicherstellen, dass zumindest der Computer, auf dem die Liste abgelegt ist, passwortgeschützt ist. Andernfalls sollte die Excel-Liste mit einem Passwort geschützt sein. Wir raten von der Speicherung der Listen auf Clouds (z.B. Google Drive, One Drive) ab, die etwa aufgrund ihres Standorts nicht DSGVO-konform sind.

Mit der Nutzung unserer Datenbank erfüllen Sie die Forderungen nach sorgfältiger und sicherer Speicherung. Alle Nutzer erhalten einen separaten Zugang, so dass sichergestellt ist, dass keine unbefugten Personen auf Mitgliederdaten zugreifen können. Bitte geben Sie Ihre Zugangsdaten nicht an Dritte weiter. Die Daten werden auf dem Server unseres Anbieters gespeichert, mit dem wir einen AV-Vertrag geschlossen haben. Sie sind somit online abrufbar, aber dennoch von Unbefugten nicht einsehbar.

Wir haben einen Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag) erstellt und an alle Datenbanknutzer versendet. Sollten Sie den Vertrag nicht erhalten haben, melden Sie sich bitte bei uns, wir lassen Ihnen unverzüglich erneut eine Version zukommen. Bitte füllen Sie den Vertrag aus und senden ihn uns unterschrieben als Scan, per Fax oder per Post zurück. Damit sind sowohl Sie als auch wir abgesichert.

Der Landesbeauftragte für Datenschutz hat auf seiner Internetseite Leitlinien veröffentlicht, die Auskunft darüber geben, wann eine Meldung von Verletzungen des Schutzes personenbezogener Daten (Datenpanne) erfolgen muss. Sollte es bei Ihnen zu einer Verletzung gekommen sein, können Sie sich hier (PDF-Datei) informieren.

Artikel 33, Absatz 1 sagt dazu: "Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen."

Sollte die Meldung der Datenpanne nötig sein, können Sie dies online tun.