Reuber, Die Besteuerung der Vereine, Datenschutzgrundver ... / 1. Informationspflichten (Art. 12–23 DSGVO)

Tz. 21

Stand: EL 110 – ET: 02/2019

Werden personenbezogene Daten direkt bei der betroffenen Person abgefragt, so hat der Verein – aus Gründen der Transparenz von Datenverarbeitungsprozessen im Zeitpunkt der Datenerhebung – eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (s. Art. 13 Abs. 1 und Abs. 2 DSGVO). Daraus folgt, dass der Verein in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt, auf Folgendes hinweisen muss:

• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
• Kontaktdaten des Datenschutzbeauftragten,
• Zwecke der Verarbeitung (im Einzelnen aufzählen),
• Rechtsgrundlage der Verarbeitung,
• berechtigte Interessen i. S. d. Art. 6 Abs. 1 Buchst. f DSGVO,
• Empfänger oder Kategorien von Empfängern (z. B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, Veröffentlichung im Internet),
• Absicht über Drittlandtransfer (z. B. bei Mitgliederverwaltung in der Cloud) sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit,
• Speicherdauer der personenbezogenen Daten,
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung),
• Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung,
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde.

Teilt der Verantwortliche die vorgesehenen Informationen nicht, nicht vollständig oder inhaltlich unrichtig mit, so verletzt er seine Informationspflichten und kann gemäß Art. 83 Abs. 5 Buchst. b DSGVO mit einem Bußgeld geahndet werden.

Werden personenbezogene Daten auf andere Weise als bei der betroffenen Person erhoben, muss der Verein zusätzlich die betroffene Person über die Kategorie der verarbeiteten personenbezogenen Daten und über die Quelle der erhobenen Daten informieren. Der Verein muss diese Informationen innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats nach der Erhebung erteilen.

Hinweis:

Eine Vereins-Homepage bedarf eines Impressums und einer Datenschutzerklärung. Hier finden sich im Internet Hilfestellungen, z. B. Datenschutzhinweis-Generatoren (vgl. auch Kurzpapier Nr. 10; https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/ds-gvo---kurzpapiere-155196.html.

Eine Veröffentlichung im Internet bietet für Vereine gute Möglichkeiten der Selbstdarstellung, birgt im Falle fehlenden Passwortschutzes aber gleichzeitig erhebliche datenschutzrechtliche Risiken, weil personenbezogene Daten weltweit abgerufen werden können, also auch außerhalb des Geltungsbereichs der DSGVO. Zudem können im Internet abgerufene Daten verfälscht oder zur Profilbildung verwendet werden. Eine Veröffentlichung im Internet sollte daher stets mit Einwilligung des Betroffenen erfolgen.