Datenschutzerklärung
Webseite
Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei
Nutzung der Website unseres Vereins. Personenbezogene Daten sind alle Daten,
die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen,
Nutzerverhalten. Die Nutzung unserer Website ist ohne Angabe von
personenbezogenen Angaben möglich. Bei der bloß informatorischen Nutzung
der Website, also wenn Sie sich nicht registrieren oder uns anderweitig
Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die
Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten
möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich
sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu
gewährleisten (Art. 6 Abs. 1, Satz1, Buchst. f DS-GVO):
-
Datum und Uhrzeit der Anfrage
-
Inhalt der Anforderung
-
Website, von der die Anforderung kommt
-
Browser
-
Betriebssystem und dessen Oberfläche
Soweit Sie einzelne Services auf unserer Website nutzen oder über die Website
mit uns in Kontakt treten, werden personenbezogene Daten (Name, ggf. Anschrift
oder E-Mail-Adressen) erhoben, um Ihre Fragen zu beantworten oder die
angeforderten Services zu erbringen. Dies erfolgt, soweit möglich, immer auf
freiwilliger Basis. Wir werden diese Daten ohne Ihre ausdrückliche schriftliche
Zustimmung nicht an Dritte weitergeben.
Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die
Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls
gesetzliche Aufbewahrungspflichten bestehen.
Die rechtlichen Grundlagen finden Sie im Bundesdatenschutzgesetz (BDSG-neu)
sowie der Datenschutzgrundverordnung (DS-GVO).
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden
personenbezogenen Daten:
-
Recht auf Auskunft,
-
Recht auf Berichtigung oder Löschung,
-
Recht auf Einschränkung der Verarbeitung,
-
Recht auf Widerspruch gegen die Verarbeitung,
-
Recht auf Datenübertragbarkeit.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über
die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
SpVgg Schrollbach O.-N.-R. 1920 e. V.
Informationsblatt „Datenschutz im Verein“
Worum geht’s bei der Datenschutzgrundverordnung?
Die Datenschutzgrundverordnung (DS-GVO) ist das ab dem 25. Mai 2018 in der gesamten
Europäischen Union unmittelbar geltende Datenschutzrecht. Die DS-GVO löst das
bisherige Bundesdatenschutzgesetz (BDSG) ab. Im zukünftigen BDSG finden sich dann nur
noch spezielle deutsche Regelungen zum Datenschutz. Die Grundsätze des „Verbots mit
Erlaubnisvorbehalt", der „Datenvermeidung und Datensparsamkeit", der „Zweckbindung"
und der „Transparenz" prägen aber auch weiterhin das Datenschutzrecht.
Wieso betrifft meinen Verein Datenschutz überhaupt?
Das Datenschutzrecht ist immer dann anwendbar, wenn personenbezogene Daten
verarbeitet werden. Personenbezogen sind Daten, die eine identifizierte oder
identifizierbare natürliche Person betreffen. Personenbezogen sind daher Daten, durch die
eine Person direkt (etwa über den Namen) bestimmt werden kann, aber auch solche Daten,
die eine Kennnummer (z.B. Mitgliedsnummer) enthalten, aufgrund derer Sie oder ein
anderer die betroffene Person identifizieren können (pseudonyme Daten). Nicht
anwendbar ist das Datenschutzrecht auf anonyme Daten, bei denen eine Identifizierung
des Betroffenen für niemanden mehr möglich ist.
Liegen personenbezogene Daten vor, unterliegt jede Verarbeitung (Erhebung,
Speicherung, Bearbeitung, Übermittlung, etc.) dem Datenschutzrecht. In diesem Fall darf
eine Verarbeitung nur vorgenommen werden, wenn es dafür eine rechtliche Grundlage
gibt.
Im Verein werden insbesondere Daten der Mitglieder, der Hauptamtlichen und
Ehrenamtlichen personenbezogen verarbeitet. In Betracht kommen aber auch
Kontaktdaten von Funktionsträgerinnen und Funktionsträgern, Fans und Dienstleistern.
Überdies liegt eine Verarbeitung personenbezogener Daten im Rahmen des Spielbetriebs
vor.
Sind die Anforderungen der DS-GVO ganz andere als im bisherigen
Datenschutzrecht?
Nein, viele grundsätzliche Dinge bleiben beim Alten; man muss sich aber an viele neue
Begriffe gewöhnen (z.B. Auftragsverarbeitung statt bisher Auftragsdatenverarbeitung). Wer
sich bisher schon mit dem Datenschutzrecht befasst hat, findet sich in der DS-GVO schnell
zurecht. Es gibt allerdings auch neue Anforderungen, die Anpassungen erforderlich
machen (siehe „Was muss ich als Vereinsverantwortlicher jetzt veranlassen?“)
Wer ist für die Umsetzung im Verein verantwortlich?
Im Verein ist der Vorstand für die Umsetzung der gesetzlichen Anforderungen
verantwortlich und muss daher entsprechende Veranlassungen treffen. Soweit ein
Datenschutzbeauftragter bestellt ist, überwacht dieser zwar die Einhaltung des
Datenschutzrechts, ist jedoch selbst nicht für die Umsetzung der sich daraus ergebenden
Anforderungen zuständig.
Was muss ich als Vereinsverantwortlicher jetzt veranlassen?
Wenn Sie im Bereich des Datenschutzes bisher gut aufgestellt waren, ist der Aufwand
überschaubar. Geringfügige Anpassungen sind im Bereich der Betroffenenrechte und hier
insbesondere der Informationspflichten (siehe „Welche Informationspflichten treffen
meinen Verein?“) erforderlich. Das Verzeichnis über die Verarbeitungstätigkeiten ist
anzupassen (siehe „Was ist ein Verzeichnis der Verarbeitungstätigkeiten und braucht mein
Verein so etwas?“) und die Verträge über die Auftragsverarbeitung sind zu prüfen.
Schließlich sollten Sie sich mit den Dokumentations- und Nachweispflichten der DSG-VO
vertraut machen, um im Falle des Falles den Nachweis über eine ordnungsgemäße
Datenverarbeitung führen zu können.
Sollten die datenschutzrechtlichen Vorgaben bei Ihnen im Verein bisher eher weniger
Aufmerksamkeit gefunden haben oder nicht vollständig umgesetzt worden sein, ist der
nun erforderliche Aufwand entsprechend höher.
In jedem Fall empfiehlt es sich, zunächst mit den außenwirksamen Handlungsfeldern zu
beginnen:
datenschutzrechtliche Informationspflichten auf der Vereinswebsite anpassen
Überarbeitung von datenschutzrechtlichen Einwilligungserklärungen (soweit
vorhanden)
Datenschutzbeauftragten bestellen, soweit dies erforderlich ist und auf der
Vereinswebsite und gegenüber der zuständigen Landesdatenschutzbehörde
bekannt geben (siehe „Muss mein Verein einen Datenschutzbeauftragten
bestellen?“)
Danach sollten die übrigen Maßnahmen umgesetzt werden:
Verzeichnis über die Verarbeitungstätigkeiten überarbeiten oder anlegen
Informationspflichten gegenüber Mitgliedern, Ehrenamtlichen und Mitarbeitern
erfüllen
Verträge über die Auftragsverarbeitung abschließen oder erneuern
Regelungen zum Umgang mit Datenschutzverstößen aufstellen
Ggf. sind in Ihrem Verein noch weitere Maßnahmen zu treffen; unter dem Punkt „Wo
bekommen wir weitere Informationen?“ finden Sie zusätzliche Hinweise.
Muss mein Verein einen Datenschutzbeauftragten bestellen?
Hinsichtlich der Pflicht, einen Datenschutzbeauftragten für den Verein zu bestellen, ändert
sich für Vereine wenig. Wie schon nach alter Rechtslage muss ein Verein auch nach dem
neuen BDSG einen Datenschutzbeauftragten bestellen, wenn er in der Regel mindestens
zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigt. Die zu berücksichtigenden Personen müssen nicht beim Verein angestellt sein,
da auch eine ehrenamtliche Tätigkeit (z.B. Trainer, Jugendwart, Kassenwart) ausreichend ist.
Der Vereinsvorstand wird allerdings nicht mitgerechnet. Ständig ist die Tätigkeit, wenn sie
für die Erledigung der Aufgabe normalerweise erforderlich ist und auch erfolgt.
Gelegentliche Aushilfstätigkeiten finden demnach keine Berücksichtigung.
Ist ein Datenschutzbeauftragter zu bestellen, muss dieser über entsprechende
Fachkenntnisse im Datenschutzrecht verfügen. Mit zunehmender Größe der
Vereinsorganisation wachsen daher auch die Anforderungen an die fachliche Qualifikation
des Datenschutzbeauftragten.
Die Bestellung ist der jeweils zuständigen Landesdatenschutzbehörde mitzuteilen.
Was ist ein Verzeichnis der Verarbeitungstätigkeiten (VVT) und
benötigt mein Verein so etwas?
Dieses Verzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten
und der rechtlichen Absicherung des Vereins. Darin werden die Verarbeitungsvorgänge
erfasst, bei denen personenbezogene Daten betroffen sind. Dies sind normale
Verwaltungsprozesse, wie etwa die Mitgliederverwaltung oder Buchhaltung, aber auch
fußballspezifische Prozesse wie die Erstellung der elektronischen Spielberechtigungslisten
und des elektronischen Spielberichts oder die Antragstellung über Pass Online und die
Erstellung des Spielerpass Online. Für jeden Verarbeitungsprozess werden dessen Zweck
und die verarbeiteten personenbezogenen Daten beschrieben, auf welcher
Rechtsgrundlage die Verarbeitung erfolgt, ggf. an wen die Daten übermittelt werden und
welche Maßnahmen für den Schutz der Daten ergriffen wurden.
Ein Verzeichnis der Verarbeitungstätigkeiten über alle Verarbeitungsprozesse ist erst ab
250 Mitarbeitern zu führen. Daher beschränkt sich bei kleineren Vereinen die Verpflichtung
auf solche Verarbeitungsprozesse, die nicht nur gelegentlich ausgeführt werden (v.a. die
Mitgliederverwaltung) und bei denen besondere Kategorien von Daten (z.B.
Gesundheitsdaten wie Größe, Gewicht, Gesundheitszustand, Krankheiten) verarbeitet
werden.
Welche Informationspflichten treffen meinen Verein?
Um die Verarbeitung personenbezogener Daten für die Betroffenen (Mitglieder,
Beschäftigte, Ehrenamtliche, Kunden, Nutzer, Fans) möglichst transparent zu gestalten,
sehen Art. 13 und 14 DS-GVO umfassende Informationspflichten vor. Dies ist insbesondere
im Hinblick auf die Vereinswebsite und die Mitgliederverwaltung – insbesondere bei der
Ansprache neuer Mitglieder – relevant.
Muss ich bei Kindern und Jugendlichen Besonderheiten beachten?
Ja, denn die DS-GVO schützt Kinder und Jugendliche besonders, indem eine wirksame
datenschutzrechtliche Einwilligung (z.B. zur werblichen Ansprache) erst nach Vollendung
des 16. Lebensjahres möglich ist und bis dahin die gesetzlichen Vertreter wirksam
einwilligen müssen.
Dies gilt allerdings nur für die Verarbeitung von Daten, die aufgrund einer Einwilligung
erfolgt. Soweit die Daten aufgrund der Vereinsmitgliedschaft (etwa für den Spielbetrieb)
verarbeitet werden, ist eine Einwilligung nicht erforderlich.
Muss sich mein Verein auch um Datensicherheit kümmern?
Wer personenbezogene Daten verarbeitet, ist gesetzlich dazu verpflichtet für einen
angemessenen technischen und organisatorischen Schutz dieser Daten zu sorgen. Dazu
gehören mindestens der Schutz vor unbefugten Zugriffen, ein aktueller Virenschutz und
regelmäßige Datensicherung sowie regelmäßige Sicherheitsupdates für Betriebssystem
und Anwendungssoftware. Je nach Vereinsgröße und Komplexität der eingesetzten
Informationstechnologie können wegen des größeren Risikos weitere Maßnahmen
erforderlich werden. Der Verein trägt auch die Verantwortung, dass Auftragsverarbeiter in
ihren Systemen für angemessenen Schutz sorgen. Seriöse Anbieter legen daher spätestens
auf Anfrage eine Beschreibung der Sicherheitsmaßnahmen vor und haben auch vor einer
persönlichen Prüfung keine Angst.
Was bedeutet die DS-GVO für DFBnet?
Hier ändert sich wenig: Die Datenverarbeitung im DFBnet ist eine Auftragsverarbeitung für
Ihren Verein (und alle sonstigen Fußballvereine und -verbände in Deutschland). Der Verein
bleibt auch nach dem neuen Datenschutzrecht für die Verarbeitung seiner Daten
verantwortlich. Die DFB GmbH verarbeitet diese Daten daher ausschließlich aufgrund der
Weisung des jeweiligen Vereins und in dem von ihm vorgegebenen Rahmen. Die
Ordnungsgemäßheit der Auftragsverarbeitung durch die DFB GmbH wird stellvertretend
für die Landesverbände und deren Mitgliedsvereinen regelmäßig durch den
Datenschutzbeauftragten des DFB e.V. überprüft.
Wo bekommt man weitere Informationen?
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) stellt kostenfrei online eine
Reihe von sehr nützlichen Praxishilfen zur Verfügung, die die erforderlichen Schritte
anhand von Beispielen und in allgemeinverständlicher Sprache erklären und Mustertexte
enthalten – hier zu finden.
Zudem gibt es von einigen Aufsichtsbehörden Hinweisblätter speziell zum Datenschutz im
Verein:
• Baden-Württemberg: „Datenschutz im Verein nach der
Datenschutzgrundverordnung“
• Bayern: „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an
kleine Unternehmen, Vereine, etc.“
• Niedersachsen: „Datenschutz im Verein nach der DS-GVO“ mit einer
Checkliste und Infoblättern