Digitalisierung und praktische Umsetzung des Datenschutzes im Verein

Datenschutz in Vereinen

Beitrag von Florian Brechtel

Spätestens seit der Einführung der Europäischen Datenschutzgrundverordnung DSGVO im Jahre 2018 ist vielen Vereinsvorständen bewusst, dass sie sich mehr um  den Datenschutz kümmern sollten als in der Vergangenheit. Wichtigste Erkenntnis dabei: Datenschutz schützt nicht die Daten, sondern die Vereinsmitglieder und deren Persönlichkeitsrechte. Daher sollten Mitglieder über den Umgang mit ihren Daten Bescheid wissen und deren Speicherung und Verarbeitung schriftlich (!) eingewilligt haben.

Was kann, soll oder muss der Verein(svorstand) beim Datenschutz tun?

Zunächst muss sichergestellt sein, dass vertrauliche Daten nicht einfach für jeden zugänglich sind, sondern sich auf PC oder Laptops befinden, die in abschließbaren Räumen stehen bzw. Schränken verwahrt werden. Die Zugriffsrechte sollten personalisiert und regelmäßig aktualisiert werden. Auf den Geräten sollten aktuelle Antiviren-Programme installiert und auch die sonstige Software durch fortlaufende Aktualisierungen stets auf dem neuesten Stand gehalten werden.

Sofern die Daten lokal gespeichert werden, raten wir zu regelmäßigen Sicherungskopien, die an einem anderen Ort aufbewahrt werden, um sie vor Diebstahl oder Zerstörung durch Feuer, Wasser und Vandalismus zu schützen.

Werden die Daten in einer Cloud gespeichert, ist ebenfalls auf Zugriffsrechte zu achten. Daneben sollte geklärt sein, wo sich die Server des Anbieters befinden. Insbesondere bei ausländischen Firmen können diese in anderen europäischen Ländern oder sogar in Übersee stehen. In diesen Fällen ist es ratsam, dass der Verein deren Datensicherheit prüft.

Das Gleiche gilt auch, wenn ein Verein einen oder mehrere Social Media-Kanäle betreibt. Facebook, Instagram & Co. sind keine deutschen Firmen, so dass Daten und Bilder von Mitgliedern und Veranstaltungen ins Ausland transferiert werden. Auch hier sollten personalisierte Zugriffsrechte vergeben werden, um Missbrauch zu verhindern, aber auch, um Verantwortlichkeiten zuordnen zu können.

Gestaltung der Arbeitsabläufe im Verein

Unbedingt sollten Vereine das laut DSGVO geforderte Verarbeitungsverzeichnis erstellen. Neben der gesetzlichen Verpflichtung führen sich die Verantwortlichen dadurch auch noch einmal ganz genau vor Augen, wer an welcher Stelle im Verein mit welchen Daten zu tun hat und was mit ihnen geschieht. Dabei sollte nicht vergessen werden, auch externe Partner wie Steuerberater, (Lohn-) Buchhaltung etc. in den Blick zu nehmen und sich die DSGVO-konforme Verarbeitung der Daten auf deren Seite bestätigen zu lassen.

Hilfreich ist dabei auch die Nutzung der Möglichkeiten von Softwarelösungen zum Vereinsmanagement. Dort sind durch systemseitige Arbeitsabläufe und Schnittstellen viele der oben genannten Fragen fest verankert. Die Nutzung der Systeme sollte dann aber natürlich auch wieder nur personalisiert möglich sein.

Diese Systeme sind vor allem hilfreich, um den Klassiker unter den Datenschutzverstößen zu vermeiden: den Versand einer E-Mail an alle Mitglieder mit für alle sichtbare E-Mail-Adressen. Wenn das Rundschreiben über die Softwarelösung versandt wird, ist das systemseitig ausgeschlossen.

Sollte eine solche Software nicht im Verein im Einsatz sein, ist zumindest über eine Verschriftlichung der Abläufe beim Umgang mit Kommunikations- oder Bankdaten nachzudenken. Wer macht was, wann und wie? Und wer ist zuständig, wenn doch mal etwas schiefgeht?

Dies ist übrigens nicht der Datenschutzbeauftragte, denn der soll nur den Vorstand beraten und auf mögliche Missstände hinweisen. Verantwortlich ist letztlich der Vorstand. Umgekehrt gilt aber: Auch wenn der Vorstand eines Vereins letztlich für alle Dinge die Verantwortung trägt, ist er dennoch auf die Unterstützung aus dem Kreis der Mitglieder angewiesen.

Florian Brechtel

Seit mehr als zehn Jahren als selbstständiger Berater von Vereinen und Stiftungen tätig, seit 2021 Teil des HELFERRAT