Datenschutz-Check: Damit das Geld bei Ihrem Förderverein bleibt

26.04.2021
300.000 Euro! So viel Strafe musste jetzt der VfB Stuttgart zahlen, weil er die Daten der Mitglieder nicht ausreichend vor unberechtigtem Zugriff geschützt hat. Zwar werden bei kleineren Vereinen nicht gleich sechsstellige Beträge fällig – existenzbedrohend aber kann eine aufgrund von Datenschutzverstößen verhängte Strafe schnell werden. Zudem schwebt in solchen Fällen stets das Damoklesschwert „persönliche Haftung“ über Ihnen. Aus einem einfachen Grund:

Wenn Sie als Vorstand des Fördervereins die Mitgliederdaten nicht gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sichern und schützen, verstoßen Sie gegen eine gesetzliche Pflicht. Das kann Ihnen als grobe Fahrlässigkeit, unter Umständen sogar als Vorsatz (schließlich müssen Sie als Vorstand solche Regelungen kennen) ausgelegt werden. Grobe Fahrlässigkeit oder Vorsatz aber bedeuten, dass der Verein Sie in Haftung nehmen kann (mehr dazu auf Seite 8 in dieser Ausgabe).

Warum wurde diese Strafe gegen den VfB Stuttgart verhängt?

Man mag es kaum glauben: Im Verein hatten (leitende) Mitarbeiter Zugriff auf die Mitgliederdaten. Diese verschickten sie munter an Dritte weiter – inklusive Festnetz- und Handynummern, E-Mail Adressen und sogar mit Informationen darüber, ob diese Mitglieder an zurückliegenden Mitgliederversammlungen teilgenommen hatten. Für den Datenschutzbeauftragten des Landes Baden Württemberg ein ganz klarer Verstoß gegen die DSGVO.

Nach der DSGVO dürfen personenbezogene Daten nur für „eindeutige und legitime Zwecke erhoben“ werden (Art. 5 Abs. 1b). Gleichzeitig müssen Sie dafür sorgen, dass die personenbezogenen Daten, die Ihr Förderverein erhebt, „vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ durch „geeignete technische und organisatorische Maßnahmen“ geschützt werden. Die Einhaltung dieser Grundsätze müssen Sie im Fall der Fälle nachweisen können.

Darauf kommt es an

Ohne eine Mitgliederverwaltung geht es nicht. Ihr Förderverein ist darauf angewiesen, Daten zu verarbeiten, da Vereinsarbeit ansonsten nicht möglich ist. Nach der DSGVO dürfen Sie in Ihrem Förderverein Daten verarbeiten, wenn es erforderlich ist oder Ihnen eine Einwilligung vorliegt (Art. 6 DSGVO).

Beispiel
Die Mitgliedschaft in Ihrem Förderverein stellt einen Vertrag dar. Die für die Mitgliederverwaltung erforderlichen Daten (Name, Vorname, Anschrift) dürfen Sie damit aufgrund Art. 6 Abs. 1b DSGVO verarbeiten. Eine Einwilligung ist damit nicht erforderlich.

Wichtig:  Weisen Sie die Mitglieder aber grundsätzlich darauf hin, dass sie einer Verarbeitung und Speicherung ihrer Daten jederzeit widersprechen können. Das heißt, Sie müssen die Mitglieder Ihres Fördervereins auf ihre Rechte bezüglich ihrer Daten hinweisen (Auskunftsanspruch, Berichtigungsanspruch, Löschungsanspruch, Beschwerderecht). Ein Muster für eine entsprechende Information an die Mitglieder habe ich für Sie vorbereitet, Sie können es auf hier finden:

Achtung! Dass Sie die Mitglieder über ihre Rechte informiert haben, unterliegt Ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Diesen Nachweis können Sie dadurch führen, dass Sie diese Informationen in den Aufnahmeantrag Ihres Fördervereins aufnehmen. Einen Muster-Aufnahmeantrag finden Sie hier:

Wo dürfen Mitgliederdaten gespeichert werden? Ob die Daten auf einem heimischen Computer, einem Vereinscomputer oder in einer Cloud gespeichert werden, bleibt ganz Ihrem Förderverein überlassen. Entscheidend ist, dass Sie die Mitgliederdaten gegen unbefugten Zugriff und Datenverlust schützen. Die Landesdatenschutzbeauftragten empfehlen hier:

  • Passwortschutz, wobei im Vorstand klar geregelt ist, wer auf die Daten zugreifen darf und wer nicht. Das Passwort sollte regelmäßig (zum Beispiel alle 8 Wochen) geändert werden.
  • aktueller Virenschutz und Firewall
  • wo möglich, Verschlüsselung der Daten
  • bei Speicherung in einer Cloud: verschlüsselter Datentransfer
  • aktuelles Betriebssystem und aktueller Browser
  • Sicherheitsupdates zeitnah installieren
  • regelmäßige Back-ups
  • Löschkonzept (zum Beispiel zu der Frage, wie Daten endgültig gelöscht werden können) Falls Sie Daten auf Papier aufbewahren: verschließbarer Aktenschrank, Schlüssel nur für diejenigen, die auf die Daten zugreifen dürfen.

Beachten Sie unbedingt die Grenzen bei der Speicherdauer

Bei jeder Datenverarbeitung müssen Sie auch an die Speicherdauer denken. Das ergibt sich aus dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1e DSGVO). Danach dürfen Sie Daten nur so lange verarbeiten, wie es für den konkreten Zweck erforderlich ist.

Die Daten von Spendern zum Beispiel müssen Sie 10 Jahre speichern (§ 147 Abgabenordnung (AO)). Etwas anderes ergibt sich, wenn Sie Daten von an einer Vereinsmitgliedschaft Interessierten verarbeiten. Diese dürfen Sie nicht ewig speichern.

Beispiel
Bei einer Veranstaltung Ihres Fördervereins legen Sie eine Liste aus, in die sich Interessenten für eine Probemitgliedschaft eintragen können. Peter Werner trägt sich für eine solche Probemitgliedschaft ein, kündigt diese jedoch nach einer gewissen Zeit. Gleichwohl schreibt der Verein ihn Jahre später an.

Folge: Hier kann ein Verstoß gegen die DSGVO vorliegen. Deshalb mein Tipp: Wenn Sie Daten von am Vereinsleben interessierten Menschen speichern, sollten Sie regelmäßig überprüfen, ob diese noch an Informationen interessiert sind. Erklärt die Person, dass sie kein Interesse mehr hätte, sollten Sie diese Daten sofort löschen – sonst kann sie Sie beim Landesdatenschutzbeauftragten „anschwärzen“

Fazit

Das Thema Datenschutz wird Vereine und Fördervereine in Deutschland weiter beschäftigen. Der aktuelle Fall des VfB Stuttgart zeigt es. Umso wichtiger, dass Sie gerade für dieses sensible Thema klare Spielregeln innerhalb des Vorstandes aufstellen. Nur diejenigen, die wirklich Zugriff benötigen, sollten auch Zugriff auf die Mitgliederdaten haben.