Datenschutz im Sportverein

Was im Rahmen der neuen EU-Datenschutz-Grundverordnung auch für Sportvereine zu beachten ist, hat Herr Rechtsanwalt Elmar Lumer für den Landessportbund NRW nachfolgend zusammengetragen.

Zum Download stehen außerdem verschiedene Mustervorlagen bereit, die der Landessportbund NRW auf seiner Webseite zur Verfügung gestellt hat: Datenschutz - VIBBS LSB NRW

ERSTE-HILFE-KOFFER für den 25.05.2018

Checkliste für Sportvereine – welche Maßnahmen sind mit der Geltung der EU-Datenschutzgrundverordnung (DSGVO) zu beachten?

1. Schritt: Bestandsaufnahme
Klären Sie, welche Daten der Verein auf welchem Wege erhebt und wie verarbeitet!
Wo werden die Daten gespeichert? Wer hat (vereinsintern) Zugriff auf die Daten?
Wer darf Veränderungen an den Daten vornehmen?
An welche (externen) Organisationen/Personen werden welche Daten weitergegeben?
Wann werden Daten wie gelöscht?

2. Schritt: Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Vertraulichkeit
Auch wenn Vereine als nicht-öffentliche Stellen nicht gesetzlich verpflichtet sind, die Mitarbeiterinnen und Mitarbeiter auf das Datengeheimnis zu verpflichten, sollten dennoch alle Mitarbeiter auf die Vertraulichkeit verpflichtet werden. Dies ist eine organisatorische Maßnahme, um dem Prinzip des vertraulichen Umgangs Geltung zu verschaffen. Betroffen davon sind alle Personen im Verein, die Umgang mit personenbezogenen Daten haben (z.B. Vorstandsmitglieder, Abteilungsleiterinnen und -leiter, Geschäftsstellenmitarbeiterinnen und -mitarbeiter, Übungsleiterinnen und Übungsleiter).

3. Schritt: Merkblätter über die Informationspflichten erstellen

Nach Art. 13 und 14 der DSGVO sind die betroffenen Personen zum Beispiel bei Erhebung der Daten über bestimmte Aspekte zu informieren: Wer erhebt die Daten? Für welche Zwecke und auf welcher Rechtsgrundlage werden die Daten erhoben? An wen werden die Daten weitergegeben? Welche Rechte hat die betroffene Person? Wie lange sollen die Daten gespeichert werden?
Wichtig: Hiervon sind alle Vereine – unabhängig von der Größe des Vereins und vom Umfang der Datenverarbeitung – betroffen!

4. Schritt: Einwilligungen überprüfen und ggf. überarbeiten
Einwilligungen in die Datenverarbeitung sind nur dann wirksam, wenn die Person bei der Abgabe der Einwilligung auch auf die Möglichkeit des Widerrufs und den Zweck der Datenverwendung hingewiesen wurde. Dies ist bei Alt-Einwilligungen vielfach nicht gegeben. Diese sind dann nachzuholen.

5. Schritt: Erstellen von Verzeichnissen von Verarbeitungstätigkeiten

Vereine müssen unter Umständen Verzeichnisse der Verarbeitungstätigkeiten erstellen. In den Verzeichnissen werden die einzelnen Aspekte der Datenverarbeitung beschrieben (z.B. Zwecke und Rechtsgrundlagen der Verarbeitung, aber auch die internen und externen Empfänger der Daten und die technischen und organisatorischen Maßnahmen, also wie die Daten vor unberechtigtem Zugriff geschützt werden).
Solche Verzeichnisse müssen alle Vereine erstellen, die mindestens 250 Mitarbeiter beschäftigen, besondere Kategorien von Daten wie zum Beispiel Gesundheitsdaten verarbeiten oder sonst personenbezogene Daten nicht nur gelegentlich verarbeiten.
Wichtig: Da viele Vereine ständig und damit nicht nur gelegentlich personenbezogene Daten verarbeiten, dürften viele Vereine von dieser Pflicht betroffen sein.

6. Schritt: Prüfen, ob ein Datenschutzbeauftragter zu benennen ist

Nach der DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht. Dies dürfte für die Sportvereine in der Regel nicht zutreffen. Nach dem BDSG (§ 38) ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei sind alle Personen unabhängig von ihrem Status zu berücksichtigen (z.B. ehrenamtlich tätige Vorstandsmitglieder, selbständige Übungsleiter).
Unabhängig von der Anzahl der Personen ist ein Datenschutzbeauftragter zu benennen, wenn eine Datenschutz-Folgeabschätzung durchzuführen ist. Dies ist zum Beispiel der Fall, wenn umfangreich Gesundheitsdaten verarbeitet werden. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden.

7. Schritt: Vorbereitungen treffen, um auf Rechte reagieren zu können

Die DSGVO sieht zahlreiche Rechte für die betroffenen Personen vor (z.B. Recht auf Auskunft, Löschung, Berichtigung, Einschränkung auf Verarbeitung, Datenübertragbarkeit). Insbesondere auf das Recht auf Auskunft sollten sich die Vereine einstellen und Vorbereitungen treffen. Denn die Vereine haben innerhalb eines Monats nach Eingang eines Antrags der betroffenen Person die Informationen zur Verfügung zu stellen.

8. Schritt: Prüfen, ob Verträge mit Auftragsverarbeitern vorhanden sind

Erfolgt eine Verarbeitung der Daten außerhalb des Vereins, kann eine Auftragsverarbeitung vorliegen. Das ist dann der Fall, wenn die Verarbeitung im Interesse und im Auftrag des Vereins erfolgt. Es handelt sich dann nicht um eine Weitergabe an außenstehende Dritte, so dass für die Weitergabe keine gesonderte Rechtsgrundlage erforderlich ist. Voraussetzung ist aber, dass grundsätzlich ein Vertrag zwischen dem Verein und dem Auftragsverarbeiter geschlossen wird, der einen bestimmten Inhalt haben muss. Eine Auftragsverarbeitung wird regelmäßig beim Cloud-Computing angenommen oder aber auch bei Beauftragung von Steuerberatern im Rahmen der Lohnbuchhaltung.

Stand: April 2018
Elmar Lumer
Rechtsanwalt, Bonn