Datenschutz FAQ
FAQ = Antworten auf häufige Fragen ( englisch, Frequently Asked Questions )
Müssen die Informationspflichten des Art. 13 DS-GVO für bereits nach dem Bundesdatenschutzgesetz ( BDSG ) erfolgte Datenerhebungen nachgeholt werden?
Antwort:
Nein. Bei bereits erfolgten Datenerhebungen (von Altmitgliedern) nach dem BDSG sind die Informationspflichten des Art. 13 DS-GVO nicht zu erfüllen bzw. nachzuholen.
Darf ein Verein ohne die Einwilligung der Mitglieder Fotos veröffentlichen?
Antwort:
Ja und Nein.
Bei Fotos von Erwachsenen: Ja. Hier gilt, dass ein Verein aufgrund des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO Fotos veröffentlichen darf, da er ein berechtigtes Interesse daran hat, über das Vereinsgeschehen zu informieren. In aller Regel liegt durch das Posieren bzw. Lächeln in die Kamera zudem eine konkludente Einwilligung der abgelichteten Personen vor. Denn eine Einwilligung kann nach der DS-GVO auch konkludent – also durch schlüssiges Handeln – abgegeben werden.
Anderes gilt bei Mannschaftsfotos von Minderjährigen. Zwar hat der Verein auch in diesen Fällen ein berechtigtes Interesse an der Veröffentlichung, jedoch geht Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO von einem Überwiegen der Interessen der betroffenen Person aus, wenn es sich bei der betroffenen Person um ein Kind handelt. Bei Fotos von Minderjährigen ist daher stets eine Einwilligung der Erziehungsberechtigten erforderlich.
Darf ein Verein Fotos von internen Vereinsfeiern oder Vereinsausflügen veröffentlichen?
Antwort:
Grundsätzlich nicht.
Auch wenn möglicherweise ein berechtigtes Interesse des Vereins besteht, über vereinsinterne Aktivitäten zu berichten, so gehen die vernünftigen Erwartungen (vgl. Erwägungsgrund 47 DS-GVO) der Mitglieder in der Regel nicht dahin, dass der Verein Fotos von vereinsinternen Aktivitäten veröffentlicht. Daher ist hier eine Veröffentlichung nur dann zulässig, wenn eine Einwilligung der Fotografierten vorliegt und die Informationspflichten gem. Art. 13 DS- GVO erfüllt wurden.
Anderes gilt selbstverständlich, wenn es sich um Fotos handelt, die auch ohne Einwilligung veröffentlicht werden dürfen, z.B. bei Fotos, auf denen die Personen nur als Beiwerk erscheinen (s.o.).
Muss der Verein eine Einwilligungserklärung einholen?
Antwort:
Nein. Ein Verein darf – auch ohne Einwilligung – solche Daten erheben,
- die für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Art. 6 Abs. 1 lit. b) DS-GVO)
- wenn er an der Datenverarbeitung ein überwiegendes berechtigtes Interesse hat (Art. 6 Abs. 1 lit. f) DS-GVO).
Welche Form muss eine Einwilligung haben?
Antwort:
Anders als das BDSG, das für Einwilligungen grundsätzlich die Schriftform vorsieht, ermöglicht die DS-GVO die Einwilligung schriftlich, elektronisch, mündlich oder sogar konkludent* abzugeben.
* Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird.
Wann muss der Verein einen Datenschutzbeauftragten benennen?
Antwort:
Der Verein hat einen Datenschutzbeauftragen zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder der Verein Verarbeitungen vornimmt, die einer Datenschutzfolgenabschätzung gemäß Art. 35 DS- GVO unterliegen ( hohes Risiko für die Rechte und Freiheiten natürlicher Personen ).
Muss der Verein ein "Verzeichnis von Verarbeitungstätigkeiten" anlegen?
Antwort:
Nein. Bei Verantwortlichen, bei denen weniger als 250 Mitarbeiter beschäftigt sind, besteht eine Ausnahme von der Verzeichnisführungspflicht.
Muss der Verein eine "Datenschutzfolgenabschätzung" anlegen?
Antwort:
Nein. Eine Datenschutzfolgenabschätzung ist nur dann erforderlich, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten für die betroffene Person zur Folge hat. Dies ist insbesondere dann der Fall, wenn eine umfangreiche Verarbeitung besonderer Kategorie von Daten erfolgt (z.B. Verarbeitung von Gesundheitsdaten) oder wenn systematische und umfassende Bewertungen persönlicher Aspekte vorgenommen werden (z.B. Profiling). Hiervon ist bei Vereinen in aller Regel nicht auszugehen, kann jedoch bei Vereinen der Straffälligenhilfe oder bei Selbsthilfegruppen ausnahmsweise der Fall sein.
Wann muss der Verein einen Auftragsverarbeitungsvertrag abschließen?
Antwort:
Wenn Dienstleister Aufgaben für den Verantwortlichen erfüllen (z.B. Adressverwaltung, externe Lohnabrechnung, Wartung IT) und in diesem Zusammenhang mit personenbezogenen Daten umgehen bzw. Einblick in diese haben, so spricht man von einer Auftragsverarbeitung. Eine solche ist auch dann gegeben, wenn ein Verein seine Mitgliederdaten nicht auf einer eigenen EDV-Anlage speichert, sondern hierfür einen Datenbankserver nutzt, den ein Dienstleistungsunternehmen zu diesem Zweck zur Verfügung stellt.
Der Verein darf nur Auftragsverarbeiter einsetzen, die eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung gewährleisten.
Quelle:
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg
- "Datenschutz im Verein nach der DS-GVO"
➚ www.baden-wuerttemberg.datenschutz.de