Vorlesen

Wir informieren über Veränderungen im europäischen Datenschutzrecht

Das europäische Datenschutzrecht wird vereinheitlicht: Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) und das neue Bundesdatenschutzgesetz lösen vom 25. Mai 2018 an bisherige nationale Bestimmungen ab. Damit gehen Veränderungen für Organisationen einher, die personenbezogene Daten teilweise oder ganz automatisiert verarbeiten oder speichern. Somit sind auch Vereine betroffen.

Die wichtigsten Informationen zur DSGVO für Sportvereine werden nachfolgend in verschiedenen Artikeln dargestellt.

Podcast zum Thema: Hier finden Sie den aktuellen LSB NRW 

Podcast "Wort zum Sport"!

 

Als Hilfestellung für die Erstellung einer Datenschutzerklärung und die Einbindung auf Ihrer Website empfehlen wir den Datenschutz-Generator von Rechtsanwalt Thomas Schwenke.

Musterschreiben

ERSTE-HILFE-KOFFER für den 25.05.2018

Checkliste für Sportvereine – welche Maßnahmen sind mit der Geltung der EU-Datenschutzgrundverordnung (DSGVO) zu beachten?

1. Schritt: Bestandsaufnahme

Klären Sie, welche Daten der Verein auf welchem Wege erhebt und wie verarbeitet!

  • Wo werden die Daten gespeichert?
  • Wer hat (vereinsintern) Zugriff auf die Daten?
  • Wer darf Veränderungen an den Daten vornehmen?
  • An welche (externen) Organisationen/Personen werden welche Daten weitergegeben?
  • Wann werden Daten gelöscht?

Notizen:

 

 

 

2. Schritt: Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Vertraulichkeit

Auch wenn Vereine als nicht-öffentliche Stellen nicht gesetzlich verpflichtet sind, die Mitarbeiterinnen und Mitarbeiter auf das Datengeheimnis zu verpflichten, sollten dennoch alle Mitarbeiter auf die Vertraulichkeit verpflichtet werden. Dies ist eine organisatorische Maßnahme, um dem Prinzip des vertraulichen Umgangs Geltung zu verschaffen. Betroffen davon sind alle Personen im Verein, die Umgang mit personenbezogenen Daten haben (z.B. Vorstandsmitglieder, Abteilungsleiterinnen und -leiter, Geschäftsstellenmitarbeiterinnen und -mitarbeiter, Übungsleiterinnen und Übungsleiter).

Notizen:

 

 

 

3. Schritt: Merkblätter über die Informationspflichten erstellen

Nach Art. 13 und 14 der DSGVO sind die betroffenen Personen zum Beispiel bei Erhebung der Daten über bestimmte Aspekte zu informieren:

  • Wer erhebt die Daten?
  • Für welche Zwecke und auf welcher Rechtsgrundlage werden die Daten erhoben?
  • An wen werden die Daten weitergegeben?
  • Welche Rechte hat die betroffene Person?
  • Wie lange sollen die Daten gespeichert werden?

Wichtig: Hiervon sind alle Vereine – unabhängig von der Größe des Vereins und vom Umfang der Datenverarbeitung – betroffen!

Notizen:

 

 

 

4. Schritt: Einwilligungen überprüfen und ggf. überarbeiten

Einwilligungen in die Datenverarbeitung sind nur dann wirksam, wenn die Person bei der Abgabe der Einwilligung auch auf die Möglichkeit des Widerrufs und den Zweck der Datenverwendung hingewiesen wurde. Dies ist bei Alt-Einwilligungen vielfach nicht gegeben. Diese sind dann nachzuholen.

Notizen:

 

 


5. Schritt: Erstellen von Verzeichnissen von Verarbeitungstätigkeiten

Vereine müssen unter Umständen Verzeichnisse der Verarbeitungstätigkeiten erstellen. In den Verzeichnissen werden die einzelnen Aspekte der Datenverarbeitung beschrieben (z.B. Zwecke und Rechtsgrundlagen der Verarbeitung, aber auch die internen und externen Empfänger der Daten und die technischen und organisatorischen Maßnahmen, also wie die Daten vor unberechtigtem Zugriff geschützt werden).

Solche Verzeichnisse müssen alle Vereine erstellen, die mindestens 250 Mitarbeiter beschäftigen, besondere Kategorien von Daten wie zum Beispiel Gesundheitsdaten verarbeiten oder sonst personenbezogene Daten nicht nur gelegentlich verarbeiten.

 

Wichtig: Da viele Vereine ständig und damit nicht nur gelegentlich personenbezogene Daten verarbeiten, dürften viele Vereine von dieser Pflicht betroffen sein.

Notizen:

 

 

 

6. Schritt: Prüfen, ob ein Datenschutzbeauftragter zu benennen ist

Nach der DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht. Dies dürfte für die Sportvereine in der Regel nicht zutreffen. Nach dem BDSG (§ 38) ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei sind alle Personen unabhängig von ihrem Status zu berücksichtigen (z.B. ehrenamtlich tätige Vorstandsmitglieder, selbständige Übungsleiter).

Unabhängig von der Anzahl der Personen ist ein Datenschutzbeauftragter zu benennen, wenn eine Datenschutz-Folgeabschätzung durchzuführen ist. Dies ist zum Beispiel der Fall, wenn umfangreich Gesundheitsdaten verarbeitet werden. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden.

Notizen:

 

 

 

7. Schritt: Vorbereitungen treffen, um auf Rechte reagieren zu können

Die DSGVO sieht zahlreiche Rechte für die betroffenen Personen vor (z.B. Recht auf Auskunft, Löschung, Berichtigung, Einschränkung auf Verarbeitung, Datenübertragbarkeit). Insbesondere auf das Recht auf Auskunft sollten sich die Vereine einstellen und Vorbereitungen treffen. Denn die Vereine haben innerhalb eines Monats nach Eingang eines Antrags der betroffenen Person die Informationen zur Verfügung zu stellen.

Notizen:

 

 

 

8. Schritt: Prüfen, ob Verträge mit Auftragsverarbeitern vorhanden sind

 

Erfolgt eine Verarbeitung der Daten außerhalb des Vereins, kann eine Auftragsverarbeitung vorliegen. Das ist dann der Fall, wenn die Verarbeitung im Interesse und im Auftrag des Vereins erfolgt. Es handelt sich dann nicht um eine Weitergabe an außenstehende Dritte, so dass für die Weitergabe keine gesonderte Rechtsgrundlage erforderlich ist. Voraussetzung ist aber, dass grundsätzlich ein Vertrag zwischen dem Verein und dem Auftragsverarbeiter geschlossen wird, der einen bestimmten Inhalt haben muss. Eine Auftragsverarbeitung wird regelmäßig beim Cloud-Computing angenommen oder aber auch bei Beauftragung von Steuerberatern im Rahmen der Lohnbuchhaltung.

Notizen:

 

 

 



Autor*in: Landesbeauftragte für den Datenschutz Baden-Württemberg...

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen empfiehlt die Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg über die datenschutzrechtlichen Rahmenbedingungen beim Umgang mit personenbezogenen Daten in der Vereinsarbeit.


Autor*in: Elmar Lumer...

Im Sportverein werden vielfach Daten, darunter auch solche mit Personenbezug verarbeitet. Information über Personen haben in der Informationsgesellschaft und der weltweiten Vernetzung mehr denn je Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen. Daher gelten hier besondere Regelungen, die auch die Verantwortlichen in den Sportvereinen und –verbänden zu beachten haben.


Autor*in: Elmar Lumer...

Welche Auswirkungen hat das Inkrafttreten der EU-Datenschutzverordnung am 25.05.2018 auf den Datenschutz in Deutschland und damit für die Sportvereine?

 


Autor*in: Elmar Lumer...

Zum 25.05.2018 tritt ein neues Datenschutzrecht in Kraft. Ab dann gelten erstmalig die EU-Datenschutz-Grundverordnung und ein neu gefasstes Bundesdatenschutzgesetz.

 


Autor*in: Elmar Lumer...

Neben zahlreichen Detailbestimmungen gelten im Datenschutzrecht allgemeine Prinzipien, die bei der Verarbeitung stets zu beachten sind. Sie „schwingen“ bei der Auslegung und Anwendung der einzelnen Verarbeitungsvorgänge stets mit und sind dabei zu berücksichtigen.


Autor*in: Elmar Lumer...

Das Datenschutzrecht verfügt über eine eigene Sprache. Begriffe haben spezifische Bedeutungen, ohne deren Kenntnis das Datenschutzrecht schwer verständlich ist.


Autor*in: Elmar Lumer...

Werden personenbezogene Daten im Sportverein erhoben, verarbeitet und weitergegeben, bedarf es hierfür einer rechtlichen Grundlage. Eine ohne ausreichende Grundlage vorgenommene Verarbeitung ist unwirksam und kann sanktioniert werden.

 


Autor*in: Elmar Lumer...

Die Verarbeitung personenbezogener Daten bedarf einer rechtlichen Grundlage. Neben der Einwilligung können Daten aufgrund sogenannter Generalklauseln erhoben werden. In diesen Fällen benötigt der Verein keine Einwilligung der betroffenen Personen.


Autor*in: Elmar Lumer...

Eine Bedingung für die Rechtsmäßigkeit der Verarbeitung personenbezogener Daten kann die Einwilligung sein. Liegen keine sonstigen Tatbestände der Generalklausel vor, ist zwingend die Einwilligung der betroffenen Person einzuholen. Dabei sind wichtige Voraussetzungen zu beachten. Denn eine unwirksame Einwilligung führt zur Unzulässigkeit der Verarbeitung.


Autor*in: Elmar Lumer...

Die DS-GVO sieht unterschiedliche Rechte vor, die die betroffene Person u.a. gegenüber dem Verantwortlichen geltend machen kann. Der Verantwortliche hat die betroffene Person hierüber grundsätzlich vor bzw. mit der Erhebung der Daten zu informieren.

 


Autor*in: Elmar Lumer...

Um den Anforderungen des Datenschutzrechtes gerecht zu werden, hat der Verein unterschiedliche Maßnahmen zu ergreifen. Die zwingenden Schritte können durch zusätzliche freiwillige Vorkehrungen ergänzt werden, um den Datenschutz im Verein zu optimieren.


Autor*in: Elmar Lumer...

Der Verein muss die betroffene Person über zahlreiche Einzelheiten informieren, die im Zusammenhang mit der Datenerhebung relevant sind. Ein Verstoß gegen die Informationspflicht kann zur Unwirksamkeit der Datenverarbeitung führen und stellt einen Bußgeldtatbestand dar.

 


Autor*in: Elmar Lumer...

Ein effektiver Datenschutz verlangt Transparenz. Entsprechend hat jede betroffene Person ein Recht auf Auskunft gegenüber dem Verein. Die Vereine müssen sicherstellen, auf das Auskunftsverlangen ordnungsgemäß zu reagieren.


Autor*in: Elmar Lumer...

Der Verantwortliche hat die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten. Die DS-GVO beschreibt die Kriterien, die bei der Beurteilung des Schutzumfangs zu berücksichtigen, das BDSG die Maßnahmen, die ergriffen werden können.


Autor*in: Elmar Lumer...

Neben den Regelungen in der DS-GVO enthält das BDSG weitere Voraussetzungen, unter denen der Verein einen Datenschutzbeauftragten zu benennen hat.


Autor*in: Elmar Lumer...

Ist nach den datenschutzrechtlichen Regelungen zwingend ein Datenschutzbeauftragter zu benennen, stellen sich die Verantwortlichen in den Vereinen viele Fragen: Wer kann wie zum Datenschutzbeauftragten bestellt werden und welche Rolle kommt diesem zu?


Autor*in: Elmar Lumer...

Ob Reha- oder Tauchsport – viele Vereine verarbeiten Gesundheitsdaten ihrer Mitglieder oder von Kursteilnehmern. Gesundheitsdaten sind besonders schützenswerte Daten. Im Datenschutz werden sie als besondere Kategorie von Daten bezeichnet, für die besonders strenge Regeln gelten.

 


Autor*in: Elmar Lumer...

Die Daten der Vereinsmitglieder werden regelmäßig in Verwaltungsprogrammen erfasst und als Listen verwendet. Für jede Form der Verwendung muss eine datenschutzkonforme Grundlage vorliegen.

 


Autor*in: Elmar Lumer...

Vereine und Verbände bewerben regelmäßig ihre Angebote. Wenn Mitglieder oder Teilnehmer von Sportkursen direkt angeschrieben werden, sind nicht nur datenschutzrechtliche Aspekte zu beachten.


Autor*in: Elmar Lumer...

In Sportvereinen werden vielfach die Daten von Minderjährigen verarbeitet. Dabei sind zahlreiche Besonderheiten zu beachten.

 


Autor*in: Elmar Lumer...

Verstößt der Verein gegen Datenschutzbestimmungen, muss mit Sanktionen gerechnet werden. Von Unterlassungs- und Schadensersatzansprüchen bis zu Geldstrafen: die Palette der möglichen Rechtsfolgen ist breit.

 


Autor*in: Golo Busch...

Nach dem Telemediengesetz ist es für jeden Online- Diensteanbieter unerlässlich, dass er seine Anbieterkennzeichnungspflicht erfüllt. Das dient dem Verbraucherschutz.


Autor*in: Golo Busch...

Fällt ein Erbringer von Dienstleistungen in den Anwendungsbereich der DL-InfoV, so hat er die in diesem Gesetz festgelegten Informationspflichten zu erfüllen.


Autor*in: Golo Busch...

Die DL-InfoV trifft auch Regelungen zu Preisangaben, diskriminierenden Bedingungen und Sanktionen bei Verletzung der Vorschriften der DL-InfoV.


Autor*in: Golo Busch...

Mustertext für die Vereinssatzung zum Datenschutz im Verein.


Autor*in: Golo Busch...

Einer Internet-Domain liegen in der Regel verschiedene Vertragsverhältnisse zugrunde, sodass auch unterschiedliche Rechtsvorschriften betroffen sind. Durch die Registrierung eines Domain-Namens erwirbt der Inhaber der Internetadresse kein Eigentum.


Autor*in: Golo Busch...

Ein Verein muss bei der Erstellung seiner Homepage insbesondere das Urheberrecht beachten. Außerdem spielt das Recht am eigenen Bild eine wichtige Rolle im Zusammenhang mit der Veröffentlichung von Fotos und Videoaufnahmen der Spieler.


Autor*in: Golo Busch...

§ 7 UWG regelt den Umgang mit geschäftlichen Handlungen - insbesondere Werbung - die einen Marktteilnehmer unzumutbar belästigen.


Autor*in: Golo Busch...

Auch der Verein muss in seinen E-Mails Pflichtangaben zu seiner Rechtsform, zum Sitz, zum Registergericht nebst Registernummer und zum Vorstand tätigen.


Autor*in: Golo Busch...

Bei Verletzungen des Urheberrechtes oder des Markengesetzes kann derjenige, der verletzt ist, den Verletzer auf Unterlassung dieser Beeinträchtigung und auf Schadensersatz in Anspruch nehmen.


Autor*in: Golo Busch...

Den Betreiber eines Internetforums und virtuellen Gästebuches treffen Überwachungspflichten, um Rechtsverletzungen Dritter zu vermeiden.