Wenn man sich mit der Frage beschäftigt, ob Verbände auch den gesetzlichen Anforderungen zum Datenschutz unterliegen, muss man sich mit den Grundlagen des Datenschutzrechts auseinandersetzen:
Grundsätzlich ist das Datenschutzrecht rechtsformneutral, für Verbände ist es daher im Grundsatz unerheblich, ob diese als rechtsfähiger Verein oder als nicht-rechtsfähiger Verein agieren. Wichtig ist die Einschätzung, ob der betreffende Verband unter die Definition des Verantwortlichen aus Art. 4 Nummer 7 der Europäischen-Datenschutzgrundverordnung fällt:
„„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“
Die Europäische-Datenschutzgrundverordnung gibt hier den datenschutzrechtlichen Rahmen für Verbände vor. Auf nationaler Ebene haben sich bereits viele Aufsichtsbehörden zum Umgang mit datenschutzrechtlichen Anforderungen in Verbänden und Vereinen beschäftigt.
Gerade mitgliederzentrierte Organisationen, wie auch Verbände es sind, verarbeiten häufig eine Vielzahl an personenbezogenen Daten – vor allem dann, wenn der Mitgliederkreis vor allem aus natürlichen Personen besteht. Verbandstypische Prozesse, wie die Mitgliederverwaltung, die Veranstaltungsplanung und -durchführung oder die Beratung und Kommunikation mit Mitgliedern, führen in Verbänden regelmäßig zur Verarbeitung personenbezogener Daten.
Die Verarbeitung kann hierbei beispielsweise durch hauptamtlich Beschäftigte der Geschäftsstelle aber auch durch ehrenamtliche Mitglieder in Vorstand und verschiedenen Gremien erfolgen. Dadurch, dass die Verarbeitung von Daten häufig durch hauptamtliche, aber auch ehrenamtliche Personen erfolgt, ist es notwendig, einen besonderen Fokus auf das Thema Datenschutz zu legen. Innerhalb der hauptamtlichen Tätigkeit lassen sich von Verbandsseite aus, ähnlich wie in Unternehmen, verbindliche Regelung für die Verarbeitung personenbezogene Daten festlegen. Auch die Implementierung eines Datenschutzmanagementsystems kann innerhalb einer Geschäftsstelle in der Regel praxisnah und lösungsorientiert erfolgen. Zurückzuführen lässt sich dies auf die Tatsache, dass ist in den Verbänden selbst, ähnlich wie in Unternehmen, bereits etablierte Verarbeitungsprozess und Verantwortlichkeiten gibt.
Im Umgang mit ehrenamtlich tätig Personen kann die Umsetzung der Anforderungen der Datenschutzgesetze zur Herausforderung werden. Hier sind insbesondere Themen wie „Bring-your-own-device (BYOD)“ oder etwaige Vertraulichkeitsverpflichtungen zu beachten. Es erfordert daher in Zusammenarbeit mit allen Beteiligten, insbesondere mit dem Vorstand, ein praktikables Konzept zur Umsetzung der datenschutzrechtlichen Vorgaben im Verband. Dabei müssen klassische Verbandskonzepte in den Einklang mit aktuellen rechtlichen Anforderungen gebracht werden. Hierzu ist es notwendig, den Verband und seine Mitglieder aus verschiedenen Perspektiven zu betrachten. Ein Beispiel: Während bei der Gremien Arbeit in Verbänden die Verarbeitung personenbezogene Daten je nach Gremium in den Hintergrund treten kann, spielt das Thema Marketing und Öffentlichkeitsarbeit regelmäßig eine zentrale Rolle.
Zusammenfassend lässt sich festhalten, dass auch unabhängig von der Rechtsform und Größe eines Verbandes datenschutzrechtliche Vorgaben umgesetzt werden müssen. Verbände müssen sich daher innerhalb ihrer Verbandsarbeit mit folgenden Fragestellungen zum Datenschutz auseinandersetzen:
- Wie ist der Verband organisiert? Gibt es eigenständige Landesverbände?
- Muss ein Datenschutzbeauftragter bestellt werden? Kann die Position des Datenschutzbeauftragten intern besetzt werden?
- Wie können Dokumentationspflichten innerhalb der Verbandsarbeit umgesetzt werden?
- Werden aufgrund der Tätigkeit und Branche des Verbands besondere Kategorien personenbezogene Daten verarbeitet?
- Welche Angebote werden den Mitgliedern geboten? Für welche Zwecke werden die Daten der Mitglieder verarbeitet? Inwiefern muss hier eine Berücksichtigung der Datenschutzgesetze erfolgen?
- Welche verbindlichen Richtlinien und Regelungen müssen für hauptamtlich Beschäftigte festgelegt werden?
- Wie können ehrenamtliche Personen hinsichtlich der datenschutzrechtlichen Vorgaben verpflichtet werden?
- Wie kann ein Schulungskonzept für hauptamtliche und ehrenamtliche Personen aussehen? Wie kann eine regelmäßige Schulung sichergestellt werden? Wissen alle Personen, die Daten unter der Verantwortung des Verbands Daten verarbeiten, wie mit sicherheitsrelevanten Vorfällen umzugehen ist?
- Mit welchen Maßnahmen kann innerhalb des Verbands die technische Sicherheit erhöht werden?
- Werden Mitglieder ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert?
Immer mehr Verbände streben eine Digitalisierung ihrer Mitgliedsorganisation und damit ihrer Verbandsprozesse an. In diesem Zusammenhang kann die Digitalisierung als Chance gesehen werden, datenschutzrechtliche Vorgaben praktikabel umzusetzen und ins Verbandsleben zu integrieren.
Dieser Beitrag wurde nach bestem Gewissen und aktuellem Kenntnisstand bei der Veröffentlichung erstellt. Für die Richtigkeit und Vollständigkeit des Beitrags übernehmen wir keine Gewähr. Wir weisen darauf hin, dass dieser Beitrag nicht alle Besonderheiten des Einzelfalls berücksichtigt und daher keine individuelle Beratung zu einem konkreten Sachverhalt ersetzt. Gerne stehen wir Ihnen unter den bekannten Kontaktdaten zur Verfügung.
Bildquelle: Foto von Ryoji Iwata auf Unsplash