Zum Inhalt springen
Home » Datenschutz-News » Der PrivacyGuide für Sportvereine: DSGVO im Sportverein

Der PrivacyGuide für Sportvereine: DSGVO im Sportverein

Datenschutz ist eine grundlegende Notwendigkeit für alle Organisationen, die persönliche Daten verarbeiten und Sportvereine sind keine Ausnahme. Unser PrivacyGuide für Sportvereine entwickelt in Kooperation mit dem Landessportbund Thüringen, bietet eine maßgeschneiderte Lösung, um Vereinen bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu helfen und stellt eine umfassende Unterstützung im Datenschutz dar.

Bedeutung der DGSVO im Sportverein

Die DSGVO folgt einem klaren System: Die Verarbeitung personenbezogener Daten ist nicht pauschal zulässig, sondern nur erlaubt, wenn eine Rechtsgrundlage vorhanden ist. Zudem gibt es weitere Bestimmungen für spezielle Formen der Datenverarbeitung einerseits, und eine Vielzahl an Betroffenenrechten andererseits.

Auch Sportvereine sind von den meisten Anforderungen der DSGVO gleichermaßen betroffen wie Unternehmen und Konzerne aller Größen! Das gilt auch für drohende Schadensersatzansprüche wegen Datenschutzverletzungen, ebenso für behördliche Maßnahmen und Bußgelder. Als Vorstand müssen Sie sich daher um die Umsetzung datenschutzrechtlicher Vorgaben kümmern.

Datenschutzbeauftragter – ja oder nein?

Benötigt der Verein einen (internen oder externen) Datenschutzbeauftragten?

Der Verein muss einen Datenschutzbeauftragten bestellen,

  • wenn seine Kerntätigkeit zu einer Überwachung betroffener Personen führt,
  • wenn seine Kerntätigkeit die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (insb. Gesundheitsdaten) und oder von Daten über strafrechtliche Verurteilungen und Straftaten darstellt,
  • wenn entweder mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder Verarbeitungen vorgenommen werden, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

In der Regel erfüllen gerade kleinere Sportvereine diese Anforderungen nicht und müssen daher keinen Datenschutzbeauftragten bei der Aufsichtsbehörde melden. Es sollte jedoch jemand im Verein benannt sein, der die Umsetzung des Datenschutzes verantwortet.

Rechtlicher Exkurs:

Hierbei ist besonders hervorzuheben, dass allein die Tatsache, dass besonders geschützte Datenkategorien nach Art. 9 und 10 DSGVO verarbeitet werden, gerade noch nicht pauschal eine Datenschutz-Folgenabschätzung erforderlich machen (Umkehrschluss aus Art. 35 Abs. 3 DSGVO) und daher auch nicht die Pflicht auslöst, einen Datenschutzbeauftragten zu benennen. Typische Verarbeitungssituationen, die hier ein genaueres Hinsehen erforderlich machen, wären etwa eine Einsichtnahme erweiterter Führungszeugnisse nach § 72a SGB VIII von nicht nur einzelnen Personen, sondern allen Vereinsmitgliedern oder die großflächige Speicherung von Gesundheitsdaten (Sportverletzungen).

Das Verzeichnis der Verarbeitungstätigkeiten im Sportverein

Nach Art. 30 Abs. 1 DSGVO muss auch der Verein ein Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten („Verarbeitungsverzeichnis“) führen. Hiervon gibt es zwar gesetzliche Ausnahmen, nach der Auffassung vieler Datenschutzaufsichtsbehörden finden diese jedoch keine Anwendung auf Sportvereine.

Rechtlicher Exkurs:

Während die Frage, wann eine Datenverarbeitung „gelegentlich“ im Sinne des Art. 30 Abs. 5 DSGVO ist, schon für ein Unternehmen nicht einfach zu beantworten ist, ist dies für einen Sportverein, der seiner Natur nach bereits in den meisten Fällen ein Ergebnis des „gelegentlichen“ Tätigwerdens vieler Personen darstellt, in der Literatur bisher nahezu unbeantwortet. Im Rahmen der Tätigkeit im Verein liegt bei den mittlerweile üblichen Mengen an Datenverarbeitungen (Social Media, Sport-Ticker, Mitglieder-Listen, Newsletter etc) jedoch wohl tatsächlich selten eine nur gelegentliche Datenverarbeitung vor. So beurteilt dies etwa auch der der LfDI Baden-Württemberg in seiner Veröffentlichung „Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)“ vom 24.02.2020, S. 34. Zudem ist zu berücksichtigen, dass es im Sportverein regelmäßig zur Verarbeitung besonders schützenswerter Daten im Sinne des Art. 9 und des Art. 10 DSGVO kommt. Auch dies schließt die Rückausnahme des Abs. 5 aus.

Die Datenschutzaufsichtsbehörden der Bundesländer stellen auf ihren Websites verschiedene Vorlagen zur Verfügung, die befüllt werden können.

Betroffenenanfragen

Eine Schadensersatzpflicht des Vereins zugunsten eines Dritten kann dadurch ausgelöst werden, dass Sie Betroffenenanfragen nicht rechtzeitig beantworten. Wenn Personen sich an den Verein wenden und Auskunft über ihre personenbezogenen Daten verlangen, müssen Sie diese Anfragen stets beantworten.

Weitere Informationen dazu, wie Sie einen Auskunftsanspruch beantworten müssen, finden Sie auch in diesem Artikel.

Ausblick: DSGVO im Sportverein

In den nächsten Beiträgen erklären wir Ihnen, was Sie an Datenschutz bei Sportveranstaltungen und Events beachten müssen, wie Sie mit Mitgliederdaten umgehen müssen und was Sie bei minderjährigen Vereinsmitgliedern besonders berücksichtigen müssen.

Viele weitere Informationen zu diesem und anderen Themen erhalten Sie in der datenschutzrechtlichen Beratung der RMPrivacy GmbH sowie in unserem PrivacyGuide.

Bildnachweis: KI generiert