Datenschutz im Sportverein

Verantwortliche (Vorstände, Geschäftführungen) in Sportvereinen müssen eine Vielzahl von Aspekten beachten, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie ggf. nationaler Datenschutzgesetze zu erfüllen. Hier sind die wichtigsten Punkte, um Ärger mit Behörden oder wütenden Eltern zu vermeiden:

1. Rechtsgrundlagen für die Datenverarbeitung

  • Einwilligung: Besonders bei sensiblen Daten (z. B. Gesundheitsdaten) muss eine freiwillige, informierte und widerrufbare Einwilligung vorliegen.
  • Vertragserfüllung: Mitgliederdaten dürfen verarbeitet werden, wenn sie zur Durchführung des Mitgliedschaftsverhältnisses erforderlich sind.
  • Berechtigtes Interesse: Z. B. bei der Öffentlichkeitsarbeit, wenn keine überwiegenden Interessen der betroffenen Personen entgegenstehen.

2. Verzeichnis von Verarbeitungstätigkeiten

  • Erfassung aller Datenverarbeitungsvorgänge (z. B. Mitgliederverwaltung, Website, Newsletter, Wettkampfanmeldungen).
  • Muss jederzeit auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

3. Informationspflichten (gemäß Art. 13, 14 DSGVO)

  • Mitglieder, Trainer, Helfer, Eltern etc. müssen klar und verständlich darüber informiert werden:
     
    • Welche Daten verarbeitet werden
    • Zu welchem Zweck
    • Auf welcher Rechtsgrundlage
    • Wer Zugriff hat
    • Wie lange die Daten gespeichert werden

4. Datensicherheit

  • Technisch-organisatorische Maßnahmen (TOMs): Zugangskontrollen, verschlüsselte Kommunikation, sichere Passwörter, regelmäßige Backups.
  • Zugriffsberechtigungen: Daten nur für befugte Personen zugänglich machen.

5. Verträge zur Auftragsverarbeitung (AVV)

  • Bei Nutzung externer Dienstleister (z. B. Vereinssoftware, Cloud-Dienste, Newslettertools) ist ein AV-Vertrag gemäß Art. 28 DSGVO erforderlich.

6. Foto- und Videoaufnahmen

  • Einwilligung erforderlich, wenn Bilder eindeutig Personen zeigen und veröffentlicht werden sollen (z. B. auf Website, Social Media).
  • Ausnahmen bestehen ggf. bei „Ereignissen von öffentlichem Interesse“ (z. B. Turniere).

7. Löschkonzepte

  • Klare Regelungen, wann welche Daten gelöscht werden (z. B. nach Austritt aus dem Verein, Ablauf gesetzlicher Fristen).

8. Meldung von Datenschutzverletzungen

  • Pflicht zur Meldung von Datenpannen an die Datenschutzbehörde innerhalb von 72 Stunden.
  • Ggf. auch Information der betroffenen Personen.

9. Schulung und Sensibilisierung

  • Vereinsverantwortliche und ggf. Ehrenamtliche sollten regelmäßig zum Thema Datenschutz geschult werden.

10. Benennung eines Datenschutzbeauftragten

  • Pflicht besteht ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten.
  • Auch freiwillig möglich – sinnvoll zur Entlastung des Vorstands.