1. Informationspflichten Bei der Erhebung von Daten von Mitgliedern oder Dritten hat eine datenschutzrechtliche Unterrichtung zu erfolgen. In jedem Formular zur Datenerhebung muss daher Name und Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten, die einzelnen Zwecke der Verarbeitung, deren Rechtsgrundlage, die berechtigten Interessen, ggf. die Empfänger oder Kategorien von Empfängern (bei Weitergabe z.B. an einen Dachverband), ggf. die Absicht über Drittlandtransfer (z.B. Mitgliederverwaltung in Cloud) sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit, die Speicherdauer, die Belehrung über Betroffenenrechte, ein Hinweis auf das jederzeitige Widerspruchsrecht zur Einwilligung sowie auf ein Beschwerderecht bei der Aufsichtsbehörde hingewiesen werden. Ein Unterlassen dieser Unterrichtung ist bußgeldbewehrt. 

2. Datenschutzordnung Die Grundzüge der Datenerhebung, -verarbeitung und –nutzung ist schriftlich festzulegen. Darin ist konkret festzulegen, welche Daten wie, wo und für welche Zwecke (z.B. Vereinsziel, Mitgliederbetreuung, -verwaltung und ggf. andere Zwecke, z.B. „Schwarzes Brett“, „Vereinsnachrichten“) verwendet werden, ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen und wer Zugriff hat. 

3. Einwilligung Ein ausdrückliche Einwilligung der Mitglieder ist nur erforderlich, wenn der Verein Daten in weitergehendem Maße verarbeitet, als durch die Vereinszwecke bedingt. Wenn dem so ist, muss sie ausdrücklich und nach vollständiger und verständlicher Information auch über das Widerspruchsrecht erteilt werden. Vorsorglich sollte sie beweissicher gesichert werden. 

4. Datenerhebung bei Dritten Daten von Gästen, Zuschauern oder Besuchern können erhoben werden, soweit dies zur Wahrnehmung berechtigter Interessen des Vereins erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Über die Datenerhebung ist zu unterrichten (s.o. 1.). 

5. Speicherung von Daten Die Speicherung kann durch den Verein selbst oder im Wege der Auftragsdatenverarbeitung (bei Dritten) erfolgen. Hierbei müssen die Daten von Mitgliedern und Beschäftigten des Vereins getrennt gespeichert werden. In jedem Falle sind die Daten zu sichern, z.B. über passwortgeschützte Nutzer-Accounts, ein Firewall-System sowie eine Verschlüsselung. Bei der Verarbeitung durch Dienstleister (z.B. auf einem Internet-Datenbankserver) muss darauf geachtet werden, dass eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung gewährleistet ist, z.B. über eine Zertifizierung und/oder anerkannte Verhaltenskodizes. 

6. Nutzung der Daten Jeder Nutzer (i.d.R. Funktionsträger) darf nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten oder nutzen (z.B. Kassierer nur Name, Anschrift und Bankverbindung). Grundsätzlich erfolgt die Verarbeitung und Nutzung nur im Rahmen des Vereinszweckes und zur Mitgliederbetreuung und -verwaltung. Daten Dritter dürfen nur für die Begründung oder Durchführung eines rechtsgeschäftlichen Schuldverhältnisses genutzt werden. Für Werbung und Spendenaufrufe dürfen Mitgliederdaten nur zur Erreichung der eigenen Ziele des Vereins genutzt werden; für die Werbung Dritter nur mit ausdrücklicher Einwilligung. Daten Dritter (z.B. Gäste) darf der Verein für Werbezwecke nur nutzen, wenn darin eingewilligt wurde oder der Verein ein berechtigtes Interesse an der Nutzung zu Werbezwecken hat und keine Interessen und Grundrechte des Betroffenen entgegenstehen. Telefonische Werbung bei Dritten und E-MailWerbung ist nur mit ausdrücklicher Einwilligung erlaubt. Besteht der Vereinszweck darin, persönliche oder geschäftliche Kontakte zu pflegen, ist die Herausgabe von Mitgliederlisten zur Erreichung des Vereinszieles zulässig, sonst nicht ohne vorherige Einwilligung. 

7. Aushänge, Publikationen Personenbezogene Daten dürfen z.B. in Vereinsblättern nur bekannt gemacht werden, wenn es für die Erreichung des Vereinszwecks unbedingt erforderlich ist (z.B. Mannschaftsaufstellungen). Persönliche Nachrichten über Eintritte, Austritte, Geburtstage oder Jubiläen können veröffentlich werden, solange keine schutzwürdigen Belange des Betroffenen bekannt sind. Auf eine derartige Verwendung sollte vorsorglich bei Eintritt hingewiesen und ggf. um Widerspruch gebeten werden. 8. Datenübermittlung Die Weitergabe von Daten an z.B. einen Dachverband oder andere Vereine ist unzulässig, wenn das Mitglied nicht auch selbst dort Mitglied ist. Ansonsten ist eine Übermittlung zulässig, um die Vereinsziele des übermittelnden Vereins zu verwirklichen (z.B. Organisation eines Turniers). Ist ein Verein verpflichtet, Daten an eine Dachorganisation zu übermitteln (z.B. Bundes-/Landesverband), sollte dies in der Satzung geregelt sein. Denn dadurch ist klargestellt, dass die Übermittlung im Vereinsinteresse erforderlich ist. Fehlt eine Satzungsregelung sollte über die erforderliche Mitteilung informiert werden. 

8. Internet, Intranet Eine Veröffentlichung von Daten im Internet ist eine Übermittlung an Jedermann. Daher ist diese nur nach vorheriger ausdrücklicher Einwilligung zulässig. Für Funktionsträger gilt, dass auch ohne ihre Einwilligung Daten zur „dienstlichen“ Erreichbarkeit veröffentlicht werden dürfen. Spielergebnisse, Mannschaftsaufstellungen, Ranglisten o.ä. können ausnahmsweise auch ohne vorherige Einwilligung kurzzeitig ins Internet gestellt werden, wenn die Betroffenen darüber informiert sind und keine schutzwürdigen Belange entgegenstehen. Die Veröffentlichung muss auf das nötigste begrenzt sein, z.B. auf Nachname, Vorname, Vereinszugehörigkeit und – in Ausnahmefällen – der Geburtsjahrgang. Für ein passwortgeschütztes Intranet und die dortige Datenveröffentlichung gilt das gleiche wie für Mitgliederlisten (s.o. 6.). 

9. Recht auf Löschung und Einschränkung Wenn die Daten für die genannten Zwecke nicht mehr notwendig sind, die Einwillligung widerrufen wird oder ein Widerspruch erhoben wird, sind die Daten unverzüglich zu löschen. In der Datenschutzordnung muss daher festgelegt sein, welche Arten von Daten bis zu welchem Ereignis oder für welche Dauer verarbeitet werden. 

10. Datenschutzbeauftragter Wenn die Kerntätigkeit (primärer Geschäftszweck) des Vereins in der Durchführung von Verarbeitungsvorgängen besteht, welche eine regelmäßige und systematische Überwachung von Personen erforderlich macht (z.B. Videoüberwachung im Stadion) oder in der Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) besteht, ist ein Datenschutzbeauftragter zu benennen. Darüber hinaus, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der Datenschutzbeauftragte ist aufgrund seiner beruflichen Qualifikation und seines Fachwissens auszuwählen. Hierz gibt es Mindestanforderungen an die Fachkunde und Unabhängigkeit. Funktionsträger und Verantwortliche für Datenverarbeitung sind wegen etwaiger Interessenkollisionen hierzu ungeeignet. Der Datenschutzbeauftragte muss nicht Mitglied des Vereins sein. Seine Kontaktdaten sind zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen. Hierbei genüg sein Name und seine Email-Adresse. Besteht keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, kann dieser freiwillig bestimmt werden oder der Vereinsvorstand sorgt für die Überwachung. 

11. Verarbeitungsverzeichnis Jeder Verantwortliche (Verein) hat schriftlich oder in elektronischer Form ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Zunächst besteht zwar eine Ausnahme bei Vereinen mit weniger als 250 Mitgliedern und die Verarbeitung nur gelegentlich erfolgt und keine sensiblen Daten verarbeitet werden. Da in jedem Verein aber i.d.R. regelmäßig personenbezogene Daten verarbeitet werden, ist ein Verzeichnis zu führen. 

Bei weitergehenden Fragen stehen wir Ihnen gerne zur Verfügung.

Zeit für Gesundheit e.V. (i. G)