Häufig gefragt - FAQ für Vereine

Im Folgenden beantwortet das BayLDA 10 Fragen zur Umsetzung der DS-GVO bei Vereinen und Ehrenamtlichen, die in der letzten Woche der unter der Nummer 0981-531810 erreichbaren Hotline des BayLDA am häufigsten gestellt wurden.

#1 Ist es erforderlich, von allen (aktiven und passiven) Vereinsmitgliedern eine schriftliche Einwilligungserklärung zur Datenverarbeitung einzuholen?
Antwort

Nein. Für die Verarbeitung der Daten von Vereinsmitgliedern zum Zwecke der regulären Mitgliederverwaltung muss von den Mitgliedern keine Einwilligung eingeholt werden, da das Gesetz die Verarbeitung zum Zwecke der Verwaltung der Mitgliedschaft auch ohne Einwilligung erlaubt. Die Mitglieder müssen aber bei der Erhebung ihrer Daten (d. h. grundsätzlich bei Vereinseintritt) über die Verarbeitung ihrer Daten durch den Verein informiert werden.

#2 Müssen Informationen zum Datenschutz dem Aufnahmeantrag beigefügt werden oder reicht ein Hinweis auf die Veröffentlichung auf der Homepage bzw. Auslage im Vereinsheim?
Antwort

Das kommt darauf an. Neumitgliedern müssen bei Erhebung Ihrer Daten, also der Regel beim Ausfüllen des Antrags, die notwendigen Informationen mitgeteilt, d. h. zur Verfügung gestellt werden, dass das Mitglied sie ohne Mühe umgehend zur Kenntnis nehmen kann. Im Onlineverfahren reicht deshalb ein Link. Im Offlineverfahren (Papierantrag) müssen die Informationen auch auf Papier zur Verfügung gestellt werden.

#3 Muss mein Verein einen Datenschutzbeauftragten benennen?
Antwort

Nicht zwangsläufig: Nur dann, wenn im Verein mindestens zehn Personen ständig, d. h. die überwiegende Zeit, die sie für den Verein aufbringen, mit der Verarbeitung von personenbezogenen Daten zu tun haben. Häufige gelegentliche Anlässe lösen noch keine Benennungspflicht aus. Im Verein können daher ohne Weiteres auch mehr als 10 Personen regelmäßig Zugriff auf die Datenbestände der Vereinsmitglieder nehmen (beispielsweise zur Organisation von wöchentlichen Proben, Trainingseinheiten, Spielen oder Veranstaltungen), ohne dass deshalb ein Datenschutzbeauftragter bestellt werden müsste, da hier zwar eine wiederkehrende und häufige, aber keine ständige Datenverarbeitung vorliegt.

#4 Brauche ich als Verein ein "Verzeichnis der Verarbeitungstätigkeiten"?
Antwort

Ja. Jeder Verein muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel nicht nur gelegentlich Daten verarbeitet. Muster, wie ein solches Verzeichnis aussehen kann, findet man auf unser Webseite unter den Handreichungen für Vereine und kleine Unternehmen sowie etwas umfangreicher in den offiziellen Infomaterialien.

#5 Darf mein Verein noch Mannschaftsfotos auf der eigenen Vereinshomepage veröffentlichen?
Antwort

Ja. Grundsätzlich hat ein Verein ein legitimes Interesse daran, Fotos zu veröffentlichen, um z. B. auf der Vereinshomepage über Aktivitäten zu berichten und über den Verein zu informieren – hier konkret über den aktuellen Mannschaftskader. In der Regel ergeben sich daraus auch keine besonderen Beeinträchtigungen für die betroffenen Personen, d. h. die abgelichteten Spieler und Betreuer. Im Ergebnis ist die Verarbeitung von Fotos somit nach Art. 6 Abs. 1 lit. f) DS-GVO rechtmäßig. Voraussetzung ist aber eine ausreichende vorherige Information über die geplante Veröffentlichung.

#6 kann es sein, dass auf einer Webseite zwei Datenschutzerklärungen stehen?
Antwort

Das kommt darauf an. Es ist denkbar, dass man die Informationen, wie man mit den personenbezogenen Daten der Vereinsmitglieder im Zusammenhang mit Mitgliederverwaltung, Löschen usw. umgeht, in einer Datenschutzerklärung (auch) auf die Homepage stellt.

Zwingend notwendig ist jedoch immer eine Datenschutzinformation darüber, was mit den Daten der Nutzer auf einer Webseite geschieht, diese Datenschutzinformation muss spezifisch auf die Funktionen der Webseite eingehen.

#7 Welche Maßnahmen der Datensicherheit sind zwingend erforderlich?
Antwort

Zugangsschutz (Passwortschutz), Regelung der Benutzerrechte (wer darf auf welche Daten zugreifen?), Virenscanner, aktuelle Betriebssysteme, sichere Kommunikation (gegebenenfalls Ende zu Ende Verschlüsselung) und Datensicherung (Backup, Schutz vor Verlust) sind standardmäßig notwendige Bestandteile der Datensicherheit.

#8 Dürfen unsere Spieler untereinander mit einem Messenger-Dienst kommunizieren?
Antwort

Ja. Es spricht nichts dagegen, dass sich Vereinsmitglieder oder Spieler untereinander weiterhin über die bisher eingesetzten Kommunikationswege austauschen.

#9 Darf mein Verein Bilder von Spielszenen eines Fußballspiels ohne weitere Voraussetzungen veröffentlichen?
Antwort

Ja. Bei Fotos, auf denen nicht die einzelne Person, sondern der Charakter der Veranstaltung bzw. des Spiels im Mittelpunkt steht, ist keine Einwilligung der abgebildeten Personen erforderlich. Voraussetzung ist aber auch hier eine ausreichende vorherige Information über die geplante Veröffentlichung.

#10 Darf mein Verein noch Vereinsinformationen per E-Mail an die Mitglieder versenden?
Antwort

Ja. Sollte keine spezielle Newsletter-Software eingesetzt werden und der Versand manuell erfolgen, ist darauf zu achten, dass die E-Mail-Adressen der Empfänger dabei immer in das „BCC“-Feld eingetragen werden. Alternativ kann auch auf andere Weise sichergestellt werden, dass die angeschriebenen Personen für die anderen Empfänger nicht sichtbar sind. Andernfalls würden beim Eintrag in das „AN“-Feld oder das „CC“-Feld personenbezogene Daten an alle übrigen Empfänger übermittelt, was ohne Einwilligung der betroffenen Personen nicht zulässig ist – dies ist unabhängig davon, ob sich manche Vereinsmitglieder ohnehin persönlich kennen oder nicht.