Datenschutz im Sportverein | ||
Was im Rahmen der neuen EU-Datenschutz-Grundverordnung auch für Sportvereine zu beachten ist, hat Herr Rechtsanwalt Elmar Lumer für den Landessportbund NRW nachfolgend zusammengetragen. Zum Download stehen außerdem verschiedene Mustervorlagen bereit, die der Landessportbund NRW auf seiner Webseite zur Verfügung gestellt hat: Datenschutz - VIBBS LSB NRW ERSTE-HILFE-KOFFER für den 25.05.2018Checkliste für Sportvereine – welche Maßnahmen sind mit der Geltung der EU-Datenschutzgrundverordnung (DSGVO) zu beachten? 1. Schritt: Bestandsaufnahme 2. Schritt: Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Vertraulichkeit 3. Schritt: Merkblätter über die Informationspflichten erstellen Nach Art. 13 und 14 der DSGVO sind die betroffenen Personen zum Beispiel bei Erhebung der Daten über bestimmte Aspekte zu informieren: Wer erhebt die Daten? Für welche Zwecke und auf welcher Rechtsgrundlage werden die Daten erhoben? An wen werden die Daten weitergegeben? Welche Rechte hat die betroffene Person? Wie lange sollen die Daten gespeichert werden? 4. Schritt: Einwilligungen überprüfen und ggf. überarbeiten 5. Schritt: Erstellen von Verzeichnissen von Verarbeitungstätigkeiten Vereine müssen unter Umständen Verzeichnisse der Verarbeitungstätigkeiten erstellen. In den Verzeichnissen werden die einzelnen Aspekte der Datenverarbeitung beschrieben (z.B. Zwecke und Rechtsgrundlagen der Verarbeitung, aber auch die internen und externen Empfänger der Daten und die technischen und organisatorischen Maßnahmen, also wie die Daten vor unberechtigtem Zugriff geschützt werden). 6. Schritt: Prüfen, ob ein Datenschutzbeauftragter zu benennen ist Nach der DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht. Dies dürfte für die Sportvereine in der Regel nicht zutreffen. Nach dem BDSG (§ 38) ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei sind alle Personen unabhängig von ihrem Status zu berücksichtigen (z.B. ehrenamtlich tätige Vorstandsmitglieder, selbständige Übungsleiter). 7. Schritt: Vorbereitungen treffen, um auf Rechte reagieren zu können Die DSGVO sieht zahlreiche Rechte für die betroffenen Personen vor (z.B. Recht auf Auskunft, Löschung, Berichtigung, Einschränkung auf Verarbeitung, Datenübertragbarkeit). Insbesondere auf das Recht auf Auskunft sollten sich die Vereine einstellen und Vorbereitungen treffen. Denn die Vereine haben innerhalb eines Monats nach Eingang eines Antrags der betroffenen Person die Informationen zur Verfügung zu stellen. 8. Schritt: Prüfen, ob Verträge mit Auftragsverarbeitern vorhanden sind Erfolgt eine Verarbeitung der Daten außerhalb des Vereins, kann eine Auftragsverarbeitung vorliegen. Das ist dann der Fall, wenn die Verarbeitung im Interesse und im Auftrag des Vereins erfolgt. Es handelt sich dann nicht um eine Weitergabe an außenstehende Dritte, so dass für die Weitergabe keine gesonderte Rechtsgrundlage erforderlich ist. Voraussetzung ist aber, dass grundsätzlich ein Vertrag zwischen dem Verein und dem Auftragsverarbeiter geschlossen wird, der einen bestimmten Inhalt haben muss. Eine Auftragsverarbeitung wird regelmäßig beim Cloud-Computing angenommen oder aber auch bei Beauftragung von Steuerberatern im Rahmen der Lohnbuchhaltung. Stand: April 2018 |
