Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DS-GVO) das in der gesamten Europäischen Union unmittelbar geltende Datenschutzrecht. Was bedeutet die DS-GVO für den Vereinsfußball? Worum geht es dabei? Wieso betrifft einen Amateurklub Datenschutz überhaupt? Wer ist für die Umsetzung im Verein verantwortlich? Auf dieser Seite beantwortet der Berliner Fußball-Verband die wichtigsten Fragen rund ums Thema „Datenschutz im Verein".
Die Datenschutzgrundverordnung (DS-GVO) ist das seit dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar geltende Datenschutzrecht. Die DS-GVO löst das bisherige Bundesdatenschutzgesetz (BDSG) ab. Im BDSG finden sich inzwischen nur noch spezielle deutsche Regelungen zum Datenschutz. Die Grundsätze des „Verbots mit Erlaubnisvorbehalt", der „Datenvermeidung und Datensparsamkeit", der „Zweckbindung" und der „Transparenz" prägen aber auch weiterhin das Datenschutzrecht.
Das Datenschutzrecht ist immer dann anwendbar, wenn personenbezogene Daten verarbeitet werden. Personenbezogen sind Daten, die eine identifizierte oder identifizierbare natürliche Person betreffen. Personenbezogen sind daher Daten, durch die eine Person direkt (etwa über den Namen) bestimmt werden kann, aber auch solche Daten, die eine Kennnummer (z.B. Mitgliedsnummer) enthalten, aufgrund derer Sie oder ein anderer die betroffene Person identifizieren können (pseudonyme Daten). Nicht anwendbar ist das Datenschutzrecht auf anonyme Daten, bei denen eine Identifizierung des Betroffenen für niemanden mehr möglich ist.
Liegen personenbezogene Daten vor, unterliegt jede Verarbeitung (Erhebung, Speicherung, Bearbeitung, Übermittlung, etc.) dem Datenschutzrecht. In diesem Fall darf eine Verarbeitung nur vorgenommen werden, wenn es dafür eine rechtliche Grundlage gibt.
Im Verein werden insbesondere Daten der Mitglieder, der Hauptamtlichen und Ehrenamtlichen personenbezogen verarbeitet. In Betracht kommen aber auch Kontaktdaten von Funktionsträgerinnen und Funktionsträgern, Fans und Dienstleistern. Überdies liegt eine Verarbeitung personenbezogener Daten im Rahmen des Spielbetriebs vor.
Nein, viele grundsätzliche Dinge bleiben beim Alten; man muss sich aber an viele neue Begriffe gewöhnen (z.B. Auftragsverarbeitung statt bisher Auftragsdatenverarbeitung). Wer sich bisher schon mit dem Datenschutzrecht befasst hat, findet sich in der DS-GVO schnell zurecht. Es gibt allerdings auch neue Anforderungen, die Anpassungen erforderlich machen (siehe „Was muss ich als Vereinsverantwortlicher jetzt veranlassen?“).
Im Verein ist der Vorstand für die Umsetzung der gesetzlichen Anforderungen verantwortlich und muss daher entsprechende Veranlassungen treffen. Soweit ein Datenschutzbeauftragter bestellt ist, überwacht dieser zwar die Einhaltung des Datenschutzrechts, ist jedoch selbst nicht für die Umsetzung der sich daraus ergebenden Anforderungen zuständig.
Wenn Sie im Bereich des Datenschutzes bisher gut aufgestellt waren, ist der Aufwand überschaubar. Geringfügige Anpassungen sind im Bereich der Betroffenenrechte und hier insbesondere der Informationspflichten (siehe „Welche Informationspflichten treffen meinen Verein?“) erforderlich. Das Verzeichnis über die Verarbeitungstätigkeiten ist anzupassen (siehe „Was ist ein Verzeichnis der Verarbeitungstätigkeiten und braucht mein Verein so etwas?“) und die Verträge über die
Auftragsverarbeitung sind zu prüfen. Schließlich sollten Sie sich mit den Dokumentations- und Nachweispflichten der DSG-VO vertraut machen, um im Falle des Falles den Nachweis über eine ordnungsgemäße Datenverarbeitung führen zu können.
Sollten die datenschutzrechtlichen Vorgaben bei Ihnen im Verein bisher eher weniger Aufmerksamkeit gefunden haben oder nicht vollständig umgesetzt worden sein, ist der nun erforderliche Aufwand entsprechend höher.
In jedem Fall empfiehlt es sich, zunächst mit den außenwirksamen Handlungsfeldern zu beginnen:
Danach sollten die übrigen Maßnahmen umgesetzt werden:
Ggf. sind in Ihrem Verein noch weitere Maßnahmen zu treffen; unter dem Punkt „Wo bekommen wir weitere Informationen?“ finden Sie zusätzliche Hinweise.
Hinsichtlich der Pflicht, einen Datenschutzbeauftragten für den Verein zu bestellen, ändert sich für Vereine wenig. Wie schon nach alter Rechtslage muss ein Verein auch nach dem neuen BDSG einen Datenschutzbeauftragten bestellen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Die zu berücksichtigenden Personen müssen nicht beim Verein angestellt sein, da auch eine ehrenamtliche Tätigkeit (z.B. Trainer, Jugendwart, Kassenwart) ausreichend ist. Der Vereinsvorstand wird allerdings nicht mitgerechnet. Ständig ist die Tätigkeit, wenn sie für die Erledigung der Aufgabe normalerweise erforderlich ist und auch erfolgt. Gelegentliche Aushilfstätigkeiten finden demnach keine Berücksichtigung.
Ist ein Datenschutzbeauftragter zu bestellen, muss dieser über entsprechende Fachkenntnisse im Datenschutzrecht verfügen. Mit zunehmender Größe der Vereinsorganisation wachsen daher auch die Anforderungen an die fachliche Qualifikation des Datenschutzbeauftragten.
Die Bestellung ist der jeweils zuständigen Landesdatenschutzbehörde mitzuteilen.
Dieses Verzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Vereins. Darin werden die Verarbeitungsvorgänge erfasst, bei denen personenbezogene Daten betroffen sind. Dies sind normale Verwaltungsprozesse, wie etwa die Mitgliederverwaltung oder Buchhaltung, aber auch fußballspezifische Prozesse wie die Erstellung der elektronischen Spielberechtigungslisten und des elektronischen Spielberichts oder die Antragstellung über Pass Online und die Erstellung des Spielerpass Online. Für jeden Verarbeitungsprozess werden dessen Zweck und die verarbeiteten personenbezogenen Daten beschrieben, auf welcher Rechtsgrundlage die Verarbeitung erfolgt, ggf. an wen die Daten übermittelt werden und welche Maßnahmen für den Schutz der Daten ergriffen wurden.
Ein Verzeichnis der Verarbeitungstätigkeiten über alle Verarbeitungsprozesse ist erst ab 250 Mitarbeitern zu führen. Daher beschränkt sich bei kleineren Vereinen die Verpflichtung auf solche Verarbeitungsprozesse, die nicht nur gelegentlich ausgeführt werden (v.a. die Mitgliederverwaltung) und bei denen besondere Kategorien von Daten (z.B. Gesundheitsdaten wie Größe, Gewicht, Gesundheitszustand, Krankheiten) verarbeitet werden.
Um die Verarbeitung personenbezogener Daten für die Betroffenen (Mitglieder, Beschäftigte, Ehrenamtliche, Kunden, Nutzer, Fans) möglichst transparent zu gestalten, sehen Art. 13 und 14 DSGVO umfassende Informationspflichten vor. Dies ist insbesondere im Hinblick auf die Vereinswebsite und die Mitgliederverwaltung – insbesondere bei der Ansprache neuer Mitglieder – relevant.
Ja, denn die DS-GVO schützt Kinder und Jugendliche besonders, indem eine wirksame datenschutzrechtliche Einwilligung (z.B. zur werblichen Ansprache) erst nach Vollendung des 16. Lebensjahres möglich ist und bis dahin die gesetzlichen Vertreter wirksam einwilligen müssen.
Dies gilt allerdings nur für die Verarbeitung von Daten, die aufgrund einer Einwilligung erfolgt. Soweit die Daten aufgrund der Vereinsmitgliedschaft (etwa für den Spielbetrieb) verarbeitet werden, ist eine Einwilligung nicht erforderlich.
Wer personenbezogene Daten verarbeitet, ist gesetzlich dazu verpflichtet für einen angemessenen technischen und organisatorischen Schutz dieser Daten zu sorgen. Dazu gehören mindestens der Schutz vor unbefugten Zugriffen, ein aktueller Virenschutz und regelmäßige Datensicherung sowie regelmäßige Sicherheitsupdates für Betriebssystem und Anwendungssoftware. Je nach Vereinsgröße und Komplexität der eingesetzten Informationstechnologie können wegen des größeren Risikos weitere Maßnahmen erforderlich werden. Der Verein trägt auch die Verantwortung, dass Auftragsverarbeiter in ihren Systemen für angemessenen Schutz sorgen. Seriöse Anbieter legen daher spätestens auf Anfrage eine Beschreibung der Sicherheitsmaßnahmen vor und haben auch vor einer persönlichen Prüfung keine Angst.
Die Datenverarbeitung im DFBnet (ohne die Komponente DFBnet Verein) ist eine Auftragsverarbeitung für Ihren Verband. Der Verband bleibt auch nach dem neuen Datenschutzrecht für die Verarbeitung seiner Daten verantwortlich. Die DFB GmbH verarbeitet diese Daten daher ausschließlich aufgrund der Weisung des jeweiligen Verbandes und in dem von ihm vorgegebenen Rahmen. Die Ordnungsgemäßheit der Auftragsverarbeitung durch die DFB GmbH wird stellvertretend für die Landesverbände und deren Mitgliedsvereinen regelmäßig durch den Datenschutzbeauftragten des DFB e.V. überprüft. Für die Komponente DFBnet Verein (Vereinsverwaltung im DFBnet) ist nach wie vor der Verein für die Verarbeitung seiner Daten verantwortlich. Die DFB GmbH verarbeitet diese Daten daher ausschließlich aufgrund der Weisung des jeweiligen Vereins und in dem von ihm vorgegebenen Rahmen. Für diese Komponente ist also eine gesonderte Vereinbarung zur Auftragsdatenverarbeitung zwischen dem Verein und der DFB GmbH notwendig. Die Ordnungsgemäßheit der Auftragsverarbeitung durch die DFB GmbH wird stellvertretend für die Landesverbände und deren Mitgliedsvereine regelmäßig durch den Datenschutzbeauftragten des DFB e.V. überprüft.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) stellt kostenfrei online eine Reihe von sehr nützlichen Praxishilfen zur Verfügung, die die erforderlichen Schritte anhand von Beispielen und in allgemeinverständlicher Sprache erklären und Mustertexte enthalten – hier zu finden.
Zudem gibt es von einigen Aufsichtsbehörden Hinweisblätter speziell zum Datenschutz im Verein:
Auch der Landessportbund Berlin hat einige wichtige und hilfreiche Informationen zusammengetragen: LSB Berlin: Datenschutz im Verein
Links mit Musterformularen und weiterführenden Informationen:
Muster Einwilligungserklärung (separat oder als Anlage zum Aufnahmeantrag):
Einwilligungserklärung ausführlich
Muster Verarbeitungsverzeichnis:
Verarbeitungsverzeichnis blanko
Informationspflichten der Vereine gegenüber Ihren Mitgliedern
Weiterführende Informationen unter https://lsb-berlin.net/angebote/verbands-und-vereinsberatung/datenschutz-internet/datenschutz-im-verein/