Gastbeitrag
Was bedeutet die DSGVO für Vereine, Verbände und den Mittelstand?
Bereits seit dem 25. Mai 2018 sind die Regelungen der Datenschutz-Grundverordnung (DSGVO) EU-weit verbindlich. Schon im Vorfeld hatte sie nicht wenige ins Schwitzen gebracht, denn sie gilt für alle Unternehmen, die zumindest mit einer Niederlassung innerhalb der EU ansässig sind oder personenbezogene Daten von Bürgern der EU verarbeiten. Ihr Hauptanliegen ist die Erhöhung der Kontrolle darüber, was mit den Daten von Nutzern geschieht.
Also gilt die DSGVO nur für Unternehmen?
Unabhängig davon, ob Sie ein mittelständisches Unternehmen, einen Sportverband oder einen gemeinnützigen Verein leiten, gilt die DSGVO auch für Sie, wenn Sie personenbezogene Daten verarbeiten. Das ist auch der Fall, wenn Sie etwa eine Vereins-Homepage oder Fanseiten in sozialen Netzwerken betreiben.
Welche Daten Sie speichern und zu welchem Zweck das erfolgt, müssen Sie genau darstellen. Art. 30 DSGVO spricht hier von einem „Verzeichnis von Verarbeitungstätigkeiten“. Erhobene Daten dürfen dann auch nur zu eben diesem angegebenen Zweck verarbeitet werden. Für alles, was darüber hinausgeht, müssen Sie erst die Einwilligung des Dateninhabers einholen.
Das sollten Sie konkret tun bzw. nicht tun
In jedem Fall sollten Sie als Verein oder Verband nur personenbezogene Daten Ihrer Mitglieder erheben, wenn Sie dafür eine Rechtsgrundlage haben. Diese sollte in der Regel durch den Mitgliedsvertrag und die Vereinssatzung gegeben sein. Aber Vorsicht: Wollen Sie beispielsweise einen Newsletter versenden, brauchen Sie dafür erst eine Einwilligung. Weiterhin müssen Sie Ihren Mitgliedern die Möglichkeit geben, sich möglichst einfach aus dem Newsletter-Verteiler austragen zu können.
Grundsätzlich müssen Sie Vereinsmitglieder nicht nur über die Erhebung ihrer Daten informieren, sondern Ihnen auch mitteilen, dass sie dieser jederzeit widersprechen und die Löschung der entsprechenden Daten verlangen können. So einem Verlangen sollten Sie auch zeitnah nachkommen. Stellen Sie daher sicher, dass Sie das auch können. Generell sollten Daten nur so lange gespeichert werden, wie es für den angedachten Zweck notwendig ist.
Und außerdem?
Es geht noch weiter: Sobald in Ihrem Verein oder Verband mindestens zehn Personen ständig mit der Verarbeitung von Daten beschäftigt sind, müssen Sie auch einen Datenschutzbeauftragten benennen. Vergessen Sie auch nicht, die Datenschutzerklärung auf Ihrer Homepage anzupassen.
Problematisch kann unter Umständen die Datenübermittlung an Dritte sein. Bei Vereinen und Verbänden kann es sich dabei etwa um Dachverbände handeln, aber auch um die Medientreibenden. Mittelständische Unternehmen sollten beispielsweise vermeiden, Kundendaten ohne vorherige Einwilligung an Partnerunternehmen weiterzugeben.
Weiterführende Informationen zum Thema finden Sie auch auf der Seite von anwalt.org.
Alexander Kretschmar studierte Rechtswissenschaften an der Humboldt-Universität zu Berlin mit Abschluss der juristischen Zwischenprüfung. Danach schloss sich ein Bachelorstudium im Bereich des Journalismus an. Seither kombiniert er seine beiden Interessensgebiete „Recht“ und „Berichterstattung“ und ist als freier Rechtsjournalist für verschiedene Verbände in Berlin tätig. Schwerpunkt seiner Beiträge bilden vor allem datenschutzrechtliche Fragestellungen sowie Digitalthemen.
Kommentare