Warum Vertraulichkeitsverpflichtungen im Verein unverzichtbar sind
Jeder Sportverein beschäftigt Trainer und Übungsleiter, die ihr Wissen und Können ehrenamtlich weitergeben. Doch auch bei freiwilliger Tätigkeit gilt: Jeder, der für den Verein arbeitet, muss zur Wahrung der Vertraulichkeit verpflichtet werden. Dies betrifft insbesondere Helfer mit Zugriff auf personenbezogene Daten der Vereinsmitglieder.
Die Datenschutz-Grundverordnung (DS-GVO) schreibt diese Vertraulichkeitsverpflichtung verbindlich vor. Vereine müssen alle Mitarbeiter, Trainer und Funktionsträger entsprechend schulen und schriftlich verpflichten.
Muster: Verpflichtung zur Wahrung der Vertraulichkeit nach DS-GVO
Verpflichtungserklärung für Vereinsmitarbeiter
Verpflichtung zur Einhaltung datenschutzrechtlicher Anforderungen nach Datenschutz-Grundverordnung (DS-GVO) und zur Wahrung der Vertraulichkeit
Ich, Frau/Herr ………………………………………….
verpflichte mich, die datenschutzrechtlichen Vorgaben zu beachten und einzuhalten. Personenbezogene Daten dürfen nur mit Einwilligung oder auf gesetzlicher Grundlage verarbeitet werden.
Grundsätze der Datenverarbeitung nach Art. 5 DS-GVO
Die DS-GVO legt in Art. 5 Abs. 1 verbindliche Grundsätze für die Verarbeitung personenbezogener Daten fest. Diese Verpflichtungen gelten für alle Vereinsmitarbeiter mit Datenzugang.
Personenbezogene Daten müssen:
- auf rechtmäßige und nachvollziehbare Weise verarbeitet werden
- für festgelegte, eindeutige und legitime Zwecke erhoben werden
- dem Zweck angemessen und auf das notwendige Maß beschränkt sein (Datenminimierung)
- sachlich richtig und aktuell sein; unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen
- nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist
- durch geeignete technische und organisatorische Maßnahmen geschützt werden (Integrität und Vertraulichkeit)
Rechtliche Konsequenzen bei Verstößen
Verstöße gegen diese Vertraulichkeitsverpflichtung können mit Geldbuße und Freiheitsstrafe geahndet werden. Sie können zudem arbeitsvertragliche Pflichtverletzungen darstellen.
Schadenersatzansprüche betroffener Personen sind bei schuldhaften Verstößen möglich. Die Vertraulichkeitsverpflichtung aus dem Arbeits- oder Dienstvertrag bleibt davon unberührt.
Die Verpflichtung gilt auch nach Beendigung der Tätigkeit unbefristet weiter.
Ich bestätige, die Bedeutung meiner Verpflichtung zur Vertraulichkeit und die Folgen eines Verstoßes verstanden zu haben. Ich werde mich an die Vorgaben halten.
Ort, Datum ………………………………………….. ……………………………………………
Unterschrift Verpflichteter
Ein Exemplar der Verpflichtung und des Merkblattes mit Erläuterungen habe ich erhalten.
…………………………………………… ……………………………………………
Ort, Datum Unterschrift Verpflichteter
Merkblatt zur Vertraulichkeitsverpflichtung im Verein
Einführung in den Datenschutz für Vereinsmitarbeiter
Sie werden über Ihre Pflichten im Umgang mit personenbezogenen Daten unterrichtet und unterzeichnen eine Vertraulichkeitsverpflichtung. Dieses Merkblatt fasst die wichtigsten Punkte zusammen.
Bei Fragen zum Datenschutz wenden Sie sich an Ihren Vorgesetzten oder den Datenschutzbeauftragten. Zögern Sie nicht nachzufragen, ob ein bestimmter Umgang mit personenbezogenen Daten erlaubt ist.
Was schützt das Datenschutzrecht?
Die Vertraulichkeitsverpflichtung dient dem Schutz des Persönlichkeitsrechts betroffener Personen. Das können Vereinsmitglieder, Kunden, Kollegen oder Sie selbst sein.
Das Persönlichkeitsrecht gibt jedem Menschen das Recht, selbst zu entscheiden, wer was über ihn wissen darf. Jeder bestimmt selbst, wer seinen Wohnort oder Gesundheitszustand erfahren soll.
Ausnahmen erfordern eine Rechtfertigung: entweder eine Einwilligung der betroffenen Person oder eine gesetzliche Erlaubnis. Die wichtigste Erlaubnis gilt für Daten zur Vertragserfüllung, wie etwa Ihr Name im Mietvertrag.
Pflichten bei der Datenverarbeitung im Verein
Sie dürfen personenbezogene Daten nur bei entsprechender Erlaubnis verarbeiten. Das Gesetz verpflichtet Sie persönlich, nur autorisiert mit Daten zu arbeiten – ob beim Lesen, Notieren, Löschen oder Weitergeben.
Die Erlaubnis benötigt sowohl der Verein als auch Sie persönlich nach interner Aufgabenverteilung. Die Vertraulichkeitspflichten einzuhalten ist Ihre persönliche Verpflichtung.
Ihre Vertraulichkeitsverpflichtung gilt zeitlich unbefristet, auch nach Tätigkeitsende. Sie gilt gegenüber allen nicht dienstlich zuständigen Personen – auch gegenüber Kollegen, Familie und Presse.
Weisungsbefugnis und Hierarchie
Halten Sie sich bei der Datenverarbeitung stets an die Weisungen Ihres Vorstandes. Bei Auftragsverarbeitung hat die Weisung des Kunden Vorrang, solange nichts Verbotenes verlangt wird.
In besonderen Fällen können Gesetze die Herausgabe personenbezogener Daten vorschreiben. Widersprüchliche Weisungen sind selten und rechtlich komplex – wenden Sie sich sofort an Ihren Vorstand oder den Datenschutzbeauftragten.
Definition personenbezogener Daten
Personenbezogene Daten sind alle Informationen über identifizierte oder identifizierbare natürliche Personen (Art. 4 Nr. 1 DS-GVO). Das umfasst Namen, Adressen, Vereinsmitgliedschaften oder Kontostände.
Auch Kontonummern oder Standortdaten sind personenbezogen, wenn die Person identifizierbar ist. Bereits Geburtsdatum, Postleitzahl und Geschlecht reichen oft zur Identifizierung aus.
Geben Sie vermeintlich anonyme Daten niemals ohne Zustimmung Ihres Vorgesetzten und des Datenschutzbeauftragten weiter. Es könnten auch Betriebsgeheimnisse sein, die streng vertraulich zu behandeln sind.
Rechtliche Grundlagen der Datenverarbeitung im Verein
Verarbeitungsgrundsätze nach DS-GVO
Der Verein und Sie als Mitarbeiter dürfen personenbezogene Daten nur mit Rechtsgrundlage verarbeiten. Art. 4 Nr. 2 DS-GVO definiert Verarbeitung sehr weit: jeder Kontakt mit personenbezogenen Daten.
Dazu gehören Erheben, Erfassen, Organisieren, Speichern, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Abgleichen, Einschränken, Löschen oder Vernichten. Als Rechtsgrundlage gelten Einwilligung oder gesetzliche Erlaubnisse nach Art. 6 Abs. 1 DS-GVO.
Ihr Vorgesetzter informiert Sie, für welche Daten eine Rechtsgrundlage vorliegt. Andere Daten dürfen Sie nicht verwenden.
Zweckbindung und Zweckänderung
Personenbezogene Daten dürfen nur zu festgelegten Zwecken verwendet werden. Jede Zweckänderung benötigt eine eigene Rechtsgrundlage.
Kundendaten für die Vertragsabwicklung dürfen beispielsweise nicht automatisch für Werbung genutzt werden. Fragen Sie Ihren Vorgesetzten, ob eine Zweckänderung erlaubt ist.
Als Grundregel gilt: Geben Sie personenbezogene Daten niemals aus eigener Entscheidung weiter oder nutzen Sie sie nicht privat außerhalb dienstlicher Notwendigkeit.
Technische und organisatorische Maßnahmen
Personenbezogene Daten müssen vor unbefugtem Zugriff und Verlust geschützt werden. Der Verein verschlüsselt Daten bei Internet-Übertragung und erstellt regelmäßig Backups.
Ausdrucke mit personenbezogenen Daten oder Datenträger wie CDs, USB-Sticks oder Festplatten müssen ordnungsgemäß geschreddert oder sicher gelöscht werden. Einfaches Wegwerfen ist nicht zulässig.
Geben Sie Ihr Passwort niemals an Kollegen oder Dritte weiter. Kleben Sie es nicht an den Computer. Bei Missbrauch haften Sie persönlich.
Betroffenenrechte nach DS-GVO
Informationspflicht und Auskunftsrecht
Das Persönlichkeitsrecht umfasst das Recht zu wissen, was andere über einen wissen. Der Verein muss betroffene Personen bei Datensammlung informieren.
Jeder Mensch kann nach Art. 15 DS-GVO eine Kopie seiner gespeicherten Daten verlangen. Alles, was Sie über Mitglieder notieren, kann schriftlich an diese gelangen.
Notieren Sie nur Angaben, für die eine Speichererlaubnis besteht. Schreiben Sie knapp, neutral und niemals beleidigend. An andere Personen dürfen normalerweise keine Auskünfte gegeben werden – dies wäre eine erlaubnispflichtige Übermittlung.
Löschung, Berichtigung und Widerspruch
Nicht mehr benötigte Daten müssen nach Art. 17 DS-GVO gelöscht werden. Falsche Daten sind nach Art. 16 DS-GVO zu berichtigen.
Sprechen Sie Ihren Vorgesetzten an, wenn nicht mehr benötigte Daten weiterhin gespeichert bleiben. Die unrechtmäßige Speicherung kann mit Geldbußen bis 20 Millionen Euro oder vier Prozent des Jahresumsatzes bestraft werden.
Betroffene Personen können der Datennutzung für Werbezwecke widersprechen (Art. 21 Abs. 2, 3 und 5 DS-GVO). Auch in anderen Fällen besteht ein Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO.
Umgang mit Auskunftsersuchen
Leiten Sie Auskunftsersuchen, Widersprüche oder andere datenschutzbezogene Anfragen sofort an den Datenschutzbeauftragten weiter. Bearbeiten Sie diese nur bei ausdrücklicher Aufgabenzuweisung.
Auch Behörden oder Polizei erhalten nicht ohne Weiteres Daten. Der Verein benötigt einen förmlichen Beschlagnahmebeschluss oder in bestimmten Fällen ein förmliches Auskunftsersuchen.
Informieren Sie bei Kontakt durch Polizei oder Behörden sofort Ihren Vorgesetzten und den Datenschutzbeauftragten.
Kommentar hinterlassen
Du musst angemeldet sein, um einen Kommentar abzugeben.