Hier gelangen Sie zu Teil 1, Teil 2, Teil 4 und Teil 5.
Dritte sind zum Beispiel Zuschauer bei Wettkämpfen oder Spielen, fremde Spieler, Teilnehmer an Wettkämpfen oder Lehrgängen sowie Gäste bei Vereinsveranstaltungen.
Ein berechtigtes Interesse kann ausschließlich an Daten, die zur Identifizierung ausreichend und erforderlich sind, bestehen. Zur Identifizierung ausreichend und erforderlich sind Vor- und Nachname, Geburtsdatum und Anschrift.
Ein Anspruch auf Vorlage des Personalausweises oder Angabe der Ausweisnummer besteht nicht. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Beschäftigten ist durch § 32 BDSG ausdrücklich erlaubt.
Als Beschäftigte im Sinne dieser Vorschrift gelten zum Beispiel:
- Mitarbeiter in der Vereinsgeschäftsstelle, auch im Rahmen von Minijobs beschäftigte Personen (z. B. Reinigungspersonal),
- Trainer und Übungsleiter,
- Bewerber auf eine Stelle im Verein.
Erhoben, verarbeitet, genutzt und übermittelt werden dürfen alle Daten, die zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses und/oder dessen Durchführung und/oder Beendigung erforderlich sind.
Gerade zur Durchführung eines Beschäftigungsverhältnisses ist Ihr Verein auf eine Fülle von Daten angewiesen, zum Beispiel Sozialversicherungsnummer, Krankenkasse des Beschäftigten, Art des Schulabschlusses.
Besondere gesetzliche Vorschriften, zum Beispiel im Sozialgesetzbuch, und dazu erlassene Rechtsverordnungen erlauben den Arbeitgebern daher die Erhebung dieser Daten ausdrücklich.
Das müssen Sie beachten, wenn Sie die Verwaltung der Mitgliederdaten an einen Dienstleister übertragen wollen
Ihr Verein darf sich zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten eines Dritten bedienen (§ 11 BDSG). Ihr Verein kann einem anderen Unternehmen also einen Auftrag erteilen, die Mitgliederdaten zu verwalten.
Der Verein hat aber bei Abschluss eines entsprechenden Vertrags über die Auftragsdatenverarbeitung darauf zu achten, dass er sich jegliche Entscheidungsbefugnis über die Verwendung der Daten vorbehält und der Dienstleister keinerlei inhaltlichen Bewertungs- und Ermessensspielraum bekommt.
Ihr Verein muss trotz der Datenverarbeitung durch den Dritten in der Lage bleiben, über Art und Umfang der zu erhebenden Daten, die Verwendung der Daten und Art und Umfang der Datenübermittlung zu entscheiden, und berechtigt sein, dem Auftragnehmer entsprechende Weisungen zu erteilen.
Der Auftragnehmer muss umgekehrt verpflichtet sein, die Weisungen des Vereins unbedingt zu befolgen. Datenverarbeitung im Auftrag liegt auch vor, wenn Ihr Verein über das Internet einen Datenbankserver zur Speicherung der Mitgliederdaten nutzt.
Sie liegt nicht vor beim Versand von Daten durch einen Postdienstleister oder beim Versand von E-Mails. Falls Sie einen Dritten mit der Datenverarbeitung beauftragen wollen, sind Sie verpflichtet, den Auftragnehmer/das Unternehmen sorgfältig auszuwählen und einen schriftlichen Vertrag zu schließen, der mindestens folgende Punkte regeln muss:
- Gegenstand und Dauer des Auftrags,
- Umfang, Art und Zweck der vorgesehenen Erhebung, Nutzung oder Verarbeitung von Daten,
- Art der Daten und Kreis der Betroffenen,
- die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
- Berichtigung, Löschung und Sperrung von Daten,
- die nach dem Datenschutzrecht bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- Umfang der Weisungsbefugnisse, die sich der Auftraggeber oder Auftragnehmer vorbehält,
- Rückgabe überlassener Datenträger und zur Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Wichtig: Sie müssen sich vor Beginn der Datenverarbeitung und anschließend in regelmäßigen Abständen von der Einhaltung der vom Auftragnehmer getroffenen organisatorischen und technischen Maßnahmen überzeugen.
Sie müssen Ihre Überprüfungen schriftlich festhalten. Allerdings können Sie der Kontrollverpflichtung auch durch die Anforderung von Prüfergebnissen und Zertifikaten nachkommen.
Im vierten Teil unserer Serie „Datenschutz im Verein“ haben wir für Sie noch einmal alle Grundsätze der Datennutzung zusammengefasst. Klicken Sie einfach hier.
Bildnachweis: © rawpixel/123rf.com Lizenzfreie Bilder
