Datenschutz & Vereine, eine Arbeitshilfe

#dsgvo
#vereine
#fussball
#arbeitshilfe
georg herrmann
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [1]

„Personenbezogenen Daten haben einen Eigentümer und dieser Eigentümer hat
entsprechend der DSGVO Rechte auf sein Eigentum!“
DSGVO, Datenschutz-Anpassungsgesetz, Datenschutz-Deregulierungsgesetz, Materien-
Datenschutz- Anpassungsgesetz, Verordnung der Datenschutzbehörde über die
Ausnahme von der Datenschutz- Folgeabschätzung. Novelle des
Telekommunikationsgesetz 2003 (Abschnitt 12, Datenschutzbestimmungen) 09.2018;
Grundsätzlich, der Schutz personenbezogener Daten bezieht sich sowohl auf digitale
als auch auf analoge (schriftliche) Daten. Die Rechte des Datenbesitzers beziehen sich
immer auf alle Fälle der Datenverarbeitung. Die Pflichten des Verantwortlichen
(derjenige der mit den Daten als Erster arbeitet) gelten ebenfalls für alle Bereiche der
Datenverarbeitung.
Unternehmen und Vereine verarbeiten personenbezogenen Daten auf
unterschiedlicher Art zu unterschiedlichen Zwecken. Die Fragenstellungen in dieser
Konzeption sind daher allgemeiner Natur gehalten. Eine individuelle Abstimmung über
Pflichten durch die DSGVO ist daher auf alle Fälle zu empfehlen.
Datenschutzverletzungen können verfolgt werden:
Nach einer Kontrolle der Datenschutzbehörde, die Behörde arbeitet aktiv und
kann Kontrollen vor Ort als auch mittels Fragebogen und Aufforderung der
Übermittlung der Unterlagen (Verarbeitungsverzeichnis usw.) durchführen;
Durch eine Anzeige bei der DSB. Dies kann durchaus durch Kunden oder
Mitarbeiter erfolgen. Wie bei anderen Rechtsgrundlagen kann auch hier ein
„Neideffekt“ oder „Verärgerung“ ausschlaggebend sein.
Durch eine Selbstanzeige nach einem Datenschutz-Verstoß bei der
Datenschutzbehörde. Hierfür gibt es klare Regelungen in der DSGVO.
Durch mediale Berichterstattung (Bsp. Blogger berichtet über unsachgemäße
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [2]

Datenvernichtung, vor allem bei Papierform)
In der DSGVO ist das Vorgehen der Datenschutzbehörde klar geregelt: warnen,
verwarnen, strafen. Die Strafen richten sich nach der Schwere des Datenschutz-
Verstoßes.
Inhalt:
Seite 03: Schwerpunkte und Fragestellungen
Seite 08: Checkliste, 15 Schritte
Seite 25: Schwerpunkt Fussballvereine
Seite 30: Begriffsbestimmungen, Facebook Gewinnspiele
Seite 34: Foto & Video
Seite 37: Abschlussbemerkungen
Sämtliche Inhalte wurden mit größtmöglicher Sorgfalt zusammengestellt, erfolgen jedoch ohne Gewähr. Sie stellen keine
Beratungsleistung welcher Art auch immer dar und können eine entsprechende Beratung nicht ersetzen. Insbesondere
deswegen wird keine Haftung hinsichtlich Richtigkeit, Vollständigkeit und Aktualität der Informationen (einschließlich des
Verweises auf andere Quellen) übernommen.
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [3]

Schwerpunkt Vereine und DSGVO
Die DSGVO ist für Vereine eine große Herausforderung. Einerseits werden die
Tätigkeiten im Verein Großteils auf ehrenamtlicher Basis ausgeführter, andererseits hat
der Vereine vor allem verschiedenste Zwecke der Datenverarbeitung.
Jede Art von Datenverarbeitung ist verboten, außer sie ist erlaubt. Bei entsprechender
Information und EINWILLIGUNG des Besitzers der personenbezogenen Daten können
die Daten entsprechend den Regeln der DSGVO verarbeitet werden.
Das Erstellen des Verzeichnisses der Verarbeitungstätigkeiten entsprechend DSGVO
Art. 30 soll am Ende des Erhebungs- und Kontrollprozesses der Datenverarbeitung
stehen.
Ein Verein wird sich zu Beginn mit folgenden Fragen beschäftigen müssen:
Welche Art von Daten werden erhoben? In einem Unternehmen unterscheidet man
grob in 4 Datengruppen (Mitarbeiter, Kunden, Lieferanten, marketingtechnische
Daten). Bei einem Verein gibt es aber eine Vielzahl an Datengruppen. Beispiele:
Mitarbeiter/Spieler/Trainer mit einem Vertrag
Funktionäre
Aktive Mitglieder
Passive Mitglieder
Spieler/Trainer ohne Vertrag
Spielstammdatenblatt (Name, Geb.Dat., Vereinseintritt, Strafen, Verletzungen)
Sponsoren
Marketingtechnische Daten (Bezieher der Newsletter, Mitgliederzeitung u.ä.)
Für die jeweiligen Datengruppen werden die personenbezogenen Daten im
unterschiedlichen Umfang erhoben werden müssen. Bsp.:
Mitarbeiter/Spieler/Trainer mit Vertrag: Name, Adresse, Geb.Datum, sowie alle
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [4]

Daten die zu einer ordnungsgemäßen Abwicklung der Lohnzahlungen nötig sind;
Passive Mitglieder: Name, Adresse, Geb.Datum, Beitrittsdatum,
Mitgliedsart/Mitgliedsbeitrag, Mailadresse
Sponsoren: Firmenname, Ansprechpartner, Adressen, Telefonnummer,
Mailadresse, Sponsorart/Sponsorhöhe
Newsletterbezieher: Name, Mailadresse
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Zu welchem Zweck werden die Daten verarbeitet? Aus den Datengruppen heraus,
ergibt sich auch der jeweilige Zweck der Datenverarbeitung, wobei einige besondere
Bereiche im Sportvereinswesen noch dazukommen. Beispiele:
Mitgliederverwaltung
Lohnverrechnung (Mitarbeiter/Spieler/Trainer mit Vertrag)
Vereinsinterne Abwicklung (Funktionäre, Vorstand)
Marketingstechnische Maßnahmen (Newsletter, Vereinszeitung)
Sonderfälle:
Trainings
Profiling/Programme zur Kontrolle der Entwicklung und Überwachung des
Vereinsinterne Kommunikationsplattformen (WhatsApp Gruppe)
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [5]

Woher stammen die Daten? Im Allgemeinen werden die Daten bei einem Verein
aufgrund der Mitgliedschaft, also dem Beitritt zum Verein, die Rechtsgrundlage für die
Verarbeitung (DSGVO Art. 6, 1, b) darstellen. Bei marketingtechnische Daten sollte eine
Zustimmung (Art. 6, 1, a) vorliegen bzw. muss seit 25.5. eingehoben werden.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Werden Daten weitergegeben oder von Dritten verarbeitet? Die meisten Vereine sind
Fach- und Dachverbänden bzw. regionalen oder bundesweiten Institutionen
angeschlossen. Um einen ordnungsgemäßen Spielbetrieb bei einem Sportverein
aufrecht zu erhalten, werden daher personenbezogene Daten von bestimmten
Datengruppen weitergegeben. Ebenso ist besonders im Sportbereich das System der
Spielgemeinschaften (vor allem im Nachwuchsbereich) sehr beliebt, auch hier werden
personenbezogenen Daten entsprechend an Dritte weitergegeben.
In vielen Fällen wird auch die Abwicklung der Lohnverrechnung oder die Buchhaltung
von Dritten abgewickelt.
Über diese Weitergabe oder Verarbeitung durch Dritte (dabei ist ein
Datenverarbeitungs-Vertrag abzuschließen) muss der Besitzer der personenbezogenen
Daten informiert werden.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [6]

Wer hat Zugriff oder arbeitet mit diesen personenbezogenen Daten (sowohl in
digitaler als auch Papierform)? Die Abklärung der Zugriffsmöglichkeiten auf die
jeweiligen Daten ist vor allem für die Schutzbestimmungen im Sinne der DSGVO wichtig.
Auch hier werden sich aufgrund der unterschiedlichen Datenverarbeitungszwecke
unterschiedliche Zugriffsgruppe ergeben.
1.) Obmann, Kassier, Rechnungsprüfer (Beispiel: Abrechnung Mitgliedsbeiträge)
2.) Vorstand (Beispiel Sponsorenverträge)
3.) Trainer, Betreuer (Beispiel Spielerstammdatenblatt)
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Braucht ein Verein einen Datenschutzbeauftragten? Im Art. 37 wird die Benennung
eines Datenschutzbeauftragten definiert. Der Art. 37, (1), c) stellt dabei die
Herausforderungen für Vereine insbesondere Sportvereine dar.
Die Verarbeitung von Gesundheitsdaten dürfte bei einigen Sportvereinen der Fall sein.
Diagnosen über Verletzungen, Reha-Dauer, Entwicklung des Heilungsprozesses sowie
die konditionelle Entwicklung sind unabhängig ob in Papierform oder in Verbindung mit
einer Software eine besondere Datenkategorie (sensible Daten). Bei einer
umfangreichen Erhebung oder Datenverarbeitung durch einen Trainer oder Trainerstab
zu prüfen. Siehe dazu auch Empfehlungen der Bundessportorganisation (BSO) zur
DSGVO.
Laut Auskunft der Datenschutzbehörde fallen Vereine nicht unter die Ausnahme Art. 9,
(2), d).
Es kommt somit darauf an, welche Daten vom Verein bzw. vom
Trainingsverantwortlichen verarbeitet werden. Bei einer umfangreichen Erhebung oder
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [7]

Datenverarbeitung von sensiblen Daten durch einen Trainer oder Trainerstab ist die
Frage Datenschutzbeauftragter genau zu prüfen. Siehe dazu auch Empfehlungen der
Bundessportorganisation (BSO) zur DSGVO.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Datenschutz steht schon in den Vereinsstatuten? In manchen Fällen wurde das Thema
Datenschutz bereits in den Vereinsstatuten berücksichtigt. Vor allem die Formulierung:
„Die Bestimmung über den Datenschutz ist streng einzuhalten. Jedes Mitglied gibt aber
durch seinen Beitritt die unwiderrufliche Zustimmung, dass seine personenbezogenen
Daten, insbesondere Name, Geburtsdatum, Beruf, Funktion im Verein und im Landesoder
Bundesverband, seine für das Vereinswesen Bedeutung habende Ausbildung, seine
sportlichen Erfolge und seine fachliche und organisatorische Ausbildung mittels
Datenverarbeitung erfasst werden und innerhalb des Vereins, verarbeitet und
weitergegeben werden, insbesondere für die Information, Führung der Buchhaltung,
Zustellung von Informationsmaterial aller Art.“ Wurde dabei gerne verwendet.
Diese Formulierung ist nicht DSGVO-Konform. Idealerweise sollte der entsprechende §
Datenschutz in den Statuten geändert werden: „§ Datenschutz. Die
datenschutzrechtlichen Bestimmungen werden durch eine eigene
Datenschutzrichtlinie des Vereins geregelt.“ Die Datenschutzrichtlinie kann jedes Mal
ohne viel Aufwand an die entsprechenden gesetzlichen Bestimmungen angepasst
werden.
Notizen:
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [8]

CHECKLISTE für Vereine zur Umsetzung der DSGVO
Schritt 1: Aufgabendefinition und Verteilung
DSGVO Umsetzung als Thema im Vorstand oder für Arbeitskreis im Verein
Start- und Endtermin festsetzen
Vorbereitung der nötigen Unterlagen und Ansprechpersonen/Kontakte
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 2: Datenumgang identifizieren
Unterscheidung schriftliche Daten und elektronische Daten
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Der Verein wird u.a. folgende personenbezogenen Daten erheben:
Mitglied: (Art. 6, Abs. 1, lit b)
Weitergabe an:
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier
Geburtsort, Staatsangehörigkeit TFV, ÖFB
Geburtsdatum
Eintrittsdatum beim Verein
Funktion im Verein
Unterzeichnung des Mitgliedschaftsantrages.
Mitarbeiter: (Art. 6, Abs. 1, lit b)
Weitergabe an:
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier
Geburtsort, Staatsangehörigkeit Lohnverrechnung
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [9]

Geburtsdatum bei externer Verrechnung
personenrelevante Daten zur Personalverrechnung Datenverarbeitungsvertrag
(SV-Nr., Eintrittsdatum, Familienstand, usw.)
Unterzeichnung des Arbeitsvertrages.
Spieler: (Art. 6, Abs. 1, lit b)
Weitergabe an:
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier
Geburtsort, Staatsangehörigkeit Trainerteam
Geburtsdatum TFV, ÖFB
Geschlechts (Frauen- und Herrenfußball). gegebenenfalls im
Passfoto Rahmen einer SPG
Beitrittsdatum zum Verein
Vor- und Nachname der Erziehungsberechtigten bis zum 14. Lebensjahr, Art. 8, Abs. 1 Unterzeichnung des
Mitgliedschaftsantrages/der Spieleranmeldung
Trainer: (Art. 6, Abs. 1, lit b)
Weitergabe an:
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier
Geburtsort, Staatsangehörigkeit Trainerteam
Geburtsdatum TFV, ÖFB
Geschlechts (Frauen- und Herrenfußball). gegebenenfalls im
Passfoto Rahmen einer SPG
Beitrittsfoto zum Verein
Unterzeichnung des Mitgliedschaftsantrages/der Traineranmeldung
Sponsoren: (Art. 6, Abs. 1, lit b)
Weitergabe an:
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand, Kassier
Firmenname, Sponsorbetrag, Sponsorleistungen Unterzeichnung Sponsorvereinbarung
Interessierten (Newsletter, Mitgliederzeitung), (Art. 6, Abs. 1, lit a)
Weitergabe an.
Vor- bzw. Nachname, Wohnort, E-Mail-Adresse Vorstand,
Medienbetreuer Bei direkter Weitergabe an Druckerei oder Werbeagentur Datenverarbeitungsvertrag
Verwendung elektronische Programm zur Trainingsunterstützung- und Kontrolle.
Programmname: (Link der Datenschutzerklärung des Betreibers), Firmensitz
Programmablauf: gespeicherte Daten, Speicherort (Cloud udgl.)
Programmauswertung: Personenkreis die auf das Programm Zugriff haben, Formen der Auswertung (digital,
gedruckt)
Programmsicherheit: DSGVO konform, Passwortsicherheit udgl.
Abklärung betreffend Datenverarbeitungsvertrag mit Programmanbieter
Bei einer umfangreichen Erhebung oder Datenverarbeitung von sensiblen Daten
durch einen Trainer oder Trainerstab (Bsp. Gesundheitsdaten) ist die Frage
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [10]

Datenschutzbeauftragter genau zu prüfen. Siehe dazu auch Empfehlungen der
Bundessportorganisation (BSO) zur DSGVO.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 3: Rechte der Personen sichern
Art. 15 bis Art. 21 definiert die Rechte der betroffenen Person (Dateneigentümer) und
diese Rechte sind vom Verantwortlichen (Verein) zu erfüllen.
Recht auf Auskunft (Art. 15 DSGVO), Prüfung der Bereitstellung eines
Fernzuganges bzw. einer Kopie der betreffenden personenbezogene Daten (Zwecke,
verarbeitete Daten, Empfänger, Speicherdauer, Betroffenenrechte, Herkunft der Daten,
automatisierte Entscheidungsfindung, Übermittlung in Drittländer usw.)
Recht auf Berichtigung (Art. 16 DSGVO)
Richtigstellung falscher Daten
Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO), Prüfung
und Dokumentation allfälliger Ausnahmen
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Prüfung und
Implementierung der Markierung / Sperrung bis zur Entscheidung über die weitere
Verarbeitungstätigkeit
Recht auf Datenübertragbarkeit (Art. 20 DSGVO), Prüfung der Anwendbarkeit
auf vorhandene Daten sowie Prüfung der technischen Machbarkeit und
Implementierung in den Systemen
Recht auf Widerspruch (Art 21 DSGVO)
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [11]

Der Verein hat zu definieren, wer und über welche Kommunikationswege die
Einhaltung der Rechte der betroffenen Personen gewährleistet werden. Eine
Einforderung eines Rechts durch eine betroffene Person muss innerhalb 4 Wochen
behandelt werden.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 4: Einwilligungen
Die Rechtmäßigkeit der Verarbeitung personenbezogene Daten kann, sofern diese nicht
der Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung dient, insbesondere
durch die Einwilligung einer natürlichen Person sichergestellt werden. Dabei sind die
Vorgaben der DSGVO im Detail zu beachten.
Die Einwilligung soll durch eine freiwillige, eindeutige Handlung erfolgen, mit der
bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden
personenbezogene Daten einverstanden ist
Der Verantwortliche muss nachweisen können, dass die betroffene Person ihre
Einwilligung zu der Verarbeitungstätigkeit gegeben hat
Der betroffenen Person muss zur Kenntnis gebracht werden, wer der
Verantwortliche ist, für welche Zwecke ihre personenbezogenen Daten verarbeitet
werden und dass die Einwilligung auch verweigert oder zurückgezogen werden kann
Eindeutiges, nachweisbares Einverständnis mit der Verarbeitung der
personenbezogenen Daten einholen, z.B. Ermöglichung des Anklickens eines Kästchens
beim Besuch einer Internetseite (Stillschweigen, bereits angekreuzte Kästchen oder
Untätigkeit sind keine Einwilligung)
Erstellung einer Einwilligungserklärung in verständlicher Form und klarer
Sprache („kein Verstecken in AGBs“)
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [12]

Bei noch nicht vollendetem 14. Lebensjahr ist die Einwilligung des gesetzlichen
Vertreters (z.B. Eltern) bei einem Angebot von Diensten der Informationsgesellschaft
einzuholen
Sicherstellung, dass bei Widerruf der Einwilligung die Daten nicht mehr
weiterverarbeitet werden Beispiele für Einwilligungen:
digitales Mitgliedermagazin
Veröffentlichung von Fotos auf der Web-Seite
Verwendung elektronischer Programme zur
Trainingsunterstützung/Trainingskontrolle
Verwendung elektronische Programme zur vereinsinternen Kommunikation
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 5: Information
Art. 12 bis 14: Um eine faire und transparente Verarbeitung personenbezogener Daten
sicherzustellen, muss der Verantwortliche den betroffenen Personen alle
Informationen zur Verfügung stellen, die Art, Zweck und Umfang der
Verarbeitungstätigkeit beschreiben. Dabei wird unterschieden, ob die Daten direkt
beim Betroffenen erhoben werden oder auf anderem Wege zum Verantwortlichen
gelangten. Der Informationspflicht muss nicht nachgekommen werden, wenn der
Betroffene bereits über alle Informationen die Verarbeitung seiner Daten betreffend
verfügt.
Eine derartige Information muss enthalten:
Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines
Vertreters und des Datenschutzbeauftragten
Die Zwecke, für die die personenbezogene Daten verarbeitet werden
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [13]

Die Rechtsgrundlage, auf der die Verarbeitungstätigkeit beruht
Sofern die Verarbeitungstätigkeit auf dem Interesse des Verantwortlichen
beruht, die Darstellung dieses Interesses
Gegebenenfalls die Empfänger der Daten
Gegebenenfalls die Auskunft über die Übermittlung der Daten in ein Drittland
und die Darstellung der Rechtsgrundlage hierfür
Die Speicherdauer der Daten bzw. die Kriterien für die Festlegung der Dauer
Einen Hinweis auf die Rechte des Betroffenen auf Auskunft, Berichtigung,
Löschung, Widerspruch und Datenübertragung
Einen Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
Bei Bestehen einer automatisierten Entscheidungsfindung, eine Beschreibung
der Logik sowie der Tragweite und die angestrebte Auswirkung für den Betroffenen
Gegebenenfalls Beschreibung aller sonstigen Zwecke, für die die
personenbezogenen Daten zusätzlich zum eigentlichen Zweck verarbeitet werden
sollen
Aufgrund der Fülle an Informationen empfiehlt es sich die Datenschutzinformationen
an den Datengruppen zu orientieren. (Beispiele):
Datenschutzinformationen für Mitglieder
Datenschutzinformationen für Mitarbeiter
Datenschutzinformationen für Spieler/Trainer
Datenschutzinformationen für Sponsoren, marketingtechnische
personenbezogene Daten
Datenschutzinformationen für die Web-Seite: hier ist die Gestaltung der Seite
sowie zusätzliche Funktionen wie Kommentarfunktion oder Web-Shop zu
berücksichtigen (Verwendung IP-Adresse, Datenanalyse)
Notizen:
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [14]

Schritt 6: Auftragsverarbeiter
Auftragsverarbeiter ist jemand, der personenbezogene Daten im Auftrag eines
Verantwortlichen verarbeitet (z.B. Cloud-Diensteanbieter, Hosting-Anbieter, Software-
Provider, ausgelagerte Lohnverrechnung, Dienstleister innerhalb eines Konzerns usw.).
Bei der Auswahl und Beauftragung des Auftragsverarbeiters sind bestimmte
Rahmenbedingungen sicherzustellen und schriftlich zu vereinbaren.
Analyse der Auftragsverarbeiter
Erstellung AV-Vertrag (kann bei den meisten Programmanbietern angefordert
werden, ansonsten eigene Entwürfe)
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 7: Datenschutz-Grundsätze
Für sämtliche Verarbeitungstätigkeiten ist die Einhaltung der Datenschutz-Grundsätze
zu gewährleisten.
Tätigkeiten
Sicherstellung und Dokumentation der Einhaltung der Datenschutz-Grundsätze
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz o
Überprüfen der Rechtsgrundlage (z.B. Vertrag mit Kunden, Einwilligungserklärung,
Einhaltung von Gesetzen)
Kontrollfrage Rechtmäßigkeit: Wurde überprüft, ob diese personenbezogenen
Daten verarbeitet werden dürfen?
Kontrollfrage Transparenz: Kann der betroffenen Person klar und verständlich
erklärt werden, wie und welche personenbezogenen Daten verarbeitet werden?
Datenminimierung und Zweckbindung
Kontrollfrage Zweckbindung: Wozu werden diese personenbezogenen Daten
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [15]

verwendet?
Kontrollfrage Datenminimierung: Werden tatsächlich alle diese
personenbezogenen Daten benötigt oder kann der gleiche Zweck auch mit weniger bzw.
ohne personenbezogene Daten erreicht werden?
Speicherbegrenzung
Überprüfung bestehender gesetzlicher bzw. vertraglicher
Aufbewahrungspflichten (z.B. Systeme so konfigurieren, dass nicht mehr benötigte
Daten automatisch gelöscht werden)
Kontrollfrage: Wie lange werden diese personenbezogenen Daten benötigt?
Richtigkeit, Integrität, Vertraulichkeit und Verfügbarkeit
Schutz der Daten vor Verlust bzw. Vernichtung (z.B. Backup), Veränderung (z.B.
Checksummen) und unbefugter Zugriff bzw. Offenlegung (z.B. Berechtigungskonzept)
Sicherstellen, dass benötigte Daten zur Verfügung stehen (z.B. durch
redundante Systeme in zwei Serverräumen)
Kontrollfrage: Wie wurde sichergestellt, dass diese personenbezogenen Daten
sachlich richtig, verfügbar und ausreichend geschützt sind?
Rechenschaftspflicht
Dokumentation der Einhaltung der Datenschutz-Grundsätze o Kontrollfrage: Wie
wird die Einhaltung der Datenschutz-Grundsätze dokumentiert?
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 8: digitaler Datenschutz
Data Protection by Design (Datenschutz durch Technikgestaltung) und Data Protection
by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen) sind zwei
Anforderungen, um Datenschutzgrundsätze (z.B. Datenminimierung) zu
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [16]

implementieren – sowohl für technische (z.B. Software) als auch organisatorische (z.B.
Organisationsprozesse) Aspekte. Data Protection by Design bedeutet, Datenschutz-
Risiken schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen, und
den Datenschutz von Vornherein in die Gesamtkonzeption einzubeziehen. Data
Protection by Default bedeutet, dass Produkte oder Dienstleistungen standardmäßig
datenschutzfreundlich konfiguriert sind. Im Sinne der Rechenschaftspflicht müssen die
Überlegungen und Entscheidungen dokumentiert werden.
Als Maßnahmen können beispielsweise gesetzt werden:
Menge der personenbezogenen Daten minimieren
Personenbezogene Daten so früh wie möglich pseudonymisieren oder
verschlüsseln
Transparenz in Bezug auf die Funktionen und die Verarbeitung
personenbezogene Daten herstellen
Personenbezogene Daten so früh wie möglich löschen oder anonymisieren
Zugriffsmöglichkeiten auf personenbezogene Daten minimieren
Vorhandene Konfigurationsmöglichkeiten auf die datenschutzfreundlichsten
Werte voreinstellen
Dokumentation der Bewertung der Risiken für die Betroffenen
Dokumentation der gesetzten Datensicherheitsmaßnahmen /TOMs)
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 9: Datenschutz für analoge Daten
Bei analogen Daten sollen Dokumente nach Zweck und Anwendungsbereich sortiert
werden. Es sollte bei jedem Datensatz protokolliert werden, dass die
Einverständniserklärung der betroffenen Personen zur Datenerfassung vorliegt. Ein
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [17]

Verein kann den Aufsichtsbehörden damit nachweisen, dass es die gesetzlichen
Vorgaben einhält.
Personenbezogene Daten, insbesondere sensible Daten, sollen in abschließbare
Aktenschränke und Rollcontainer, in bestimmten Fällen auch Büro-Tresore abgelegt
werden. Dokumente so zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.
(Aktenvernichter, die mit unterschiedlichen Zerkleinerungsstufen sämtliche
Informationen vernichten).
Die Datenschutzmaßnahmen gelten auch für personenbezogene Daten, die außerhalb
der Vereinsräumlichkeiten bearbeitet oder aufbewahrt werden.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 10: Maßnahmenplan bei Datenschutzverletzungen (Data Breaches)
definiert
Datenschutzkonformer Prozessablauf für die Behandlung von Data Breaches
Vollständige und rechtzeitige Informationen an Aufsichtsbehörde und ggf.
Betroffene sicherstellen
Erlangt der Verantwortliche Kenntnis davon, dass die Vertraulichkeit, Integrität oder
Verfügbarkeit personenbezogener Daten verletzt wurde, gelten Informationspflichten
an die Datenschutzbehörde und den Betroffenen.
Beispiel: Laptop (ohne Festplattenverschlüsselung) mit Vereinsmitgliederdaten wird im
Zug vergessen. Es liegt eine Verletzung der Vertraulichkeit vor. Die DSB ist grundsätzlich
zu informieren, die Betroffenen nur, wenn aufgrund der konkreten Daten ein hohes
Risiko besteht.
Beispiel: Erpressersoftware verschlüsselt alle Vereinsmitgliederdaten, Backups
vorhanden; Da Backups vorhanden sind und jederzeit wiederhergestellt werden
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [18]

können, sind die Daten weder verloren noch vernichtet. Eine Informationspflicht
besteht nicht.
Beispiel: Die Spielerpässe werden im versperrten Vereinsbüro der Gegenmannschaft
vergessen. Die Daten sind weder verloren noch vernichtet und sind nicht allgemein
zugänglich. Eine Informationspflicht besteht nicht.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 11: Datenschutz-Policy für den Verein festlegen:
und Vorgaben
Festhalten und Nachweis der im Rahmen der DSGVO etablierten Regelungen
Verknüpfung der Richtlinien mit Verfahrensverzeichnis und Datenschutz-
Folgenabschätzung Tätigkeiten
Recherche und Aktualisierung bereits bestehender Vorgaben (auch der gelebten
Praxis)
Einbindung der erforderlichen Personen / Gremien mit notwendigem
Spezialwissen
Festlegung der Form, Anwendbarkeit und Kundmachung / Verfügbarkeit der
Datenschutz-Policy
Planung und Organisation der Erstellung der Datenschutz-Policy
Abgleich mit verfügbaren Mustern, Verhaltensregeln bzw.
verbindlichen internen Datenschutzvorschriften
Notizen:
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [19]

Schritt 12: Verfahrensverzeichnis, Verarbeitungsverzeichnis
Das Verfahrensverzeichnis ist ein Verzeichnis aller Verarbeitungstätigkeiten. Die Pflicht
zur Führung eines Verfahrensverzeichnisses trifft den Verantwortlichen, wie auch – mit
geringerem Umfang – den Auftragsverarbeiter.
Die Führung des Verfahrensverzeichnisses hat schriftlich zu erfolgen, wobei ein
elektronisches Format benutzt werden kann.
Das Verfahrensverzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu
stellen. Anhand des Verfahrensverzeichnisses ist es für die Aufsichtsbehörde möglich,
die durchgeführten Verarbeitungstätigkeiten zu kontrollieren.
Der Inhalt: Details der Verarbeitungstätigkeiten:
Name und Kontaktdaten des Verantwortlichen bzw. des DSB
Zweck der Verarbeitungstätigkeit
Kategorien betroffener Personen (z.B. Mitglieder, Spieler, Trainer
marketingtechnische Daten usw.) und Kategorien personenbezogener Daten (z.B.,
Adressdaten usw.)
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten
offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung,
Finanzamt, Steuerberater, TFV, ÖFB, Spielgemeinschaft usw.)
Sofern möglich: Vorgesehene Fristen für die Löschung der verschiedenen
Datenkategorien
Sofern möglich: Allgemeine Beschreibung der
Datensicherheitsmaßnahmen/TOMs (hier eignen sich auch gut Verweise auf interne
Sicherheitsrichtlinien)
Sinnvoll: Angabe der Rechtsgrundlage (z.B. Einwilligungserklärung) für den
Zweck der Verarbeitungstätigkeit
Empfehlung: Bei der Erstellung des Verfahrensverzeichnisses sollten aus
Gründen der Praktikabilität und Übersichtlichkeit auch weiterführende Informationen
berücksichtigt werden (z.B. Datenschutz- Folgenabschätzung, Rechte der betroffenen
Person, Informationssicherheit usw.)
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [20]

Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 13: Datenschutzfolgeabschätzung
Wenn aus Sicht der betroffenen Personen voraussichtlich ein hohes Risiko besteht, ist
eine Datenschutz- Folgenabschätzung durchzuführen. Für bestimmte
Verarbeitungstätigkeiten wird die Aufsichtsbehörde eine Liste führen, für die in jedem
Fall eine Datenschutz-Folgenabschätzung notwendig sein wird. Daneben kann es auch
eine Liste mit Ausnahmen geben.
Im Entwurf der Verordnung der Datenschutzbehörde über die Ausnahmen von der
Datenschutz- Folgeabschätzung (DSFA-AV) wird die Mitgliederverwaltung als
Ausnahme definiert:
„DSFA-A03 Mitgliederverwaltung, Zweck der Datenverarbeitung:
Führung von Mitgliederverzeichnissen, Evidenz der Mitglieds- und Förderungsbeiträge,
Verkehr mit Mitgliedern oder Förderern von Körperschaften des öffentlichen und
privaten Rechts, insbesondere Vereinen, und Personengemeinschaften sowie
Betreuung von Mitgliedern und Förderern.“
Bei anderen Zwecken der Verarbeitungen personenbezogener Daten durch den Verein
kann eine Datenschutzfolgeabschätzung erforderlich sein. Dafür sind folgende Schritte
nötig:
Prüfung, ob überhaupt die Voraussetzungen für die Durchführung einer
verpflichtenden Datenschutz- Folgenabschätzung vorliegen (nicht abschließender
Katalog des Art. 35 Abs. 3)
Wird bei der beabsichtigten Verarbeitungstätigkeit neue Technologie
verwendet oder besteht aufgrund der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten
der betroffenen natürlichen Personen?
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [21]

Wird eine systematische und umfassende Bewertung persönlicher Aspekte
natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für
Entscheidungen herangezogen werden soll, die für natürliche Personen
Rechtswirkungen entfalten könnte (z.B. zur Frage der Kreditvergabe)
Prüfung, ob sonstige Kriterien für die Durchführung einer verpflichtenden
Datenschutz- Folgenabschätzung vorliegen (z.B. Kriterienkatalog der Art. 29 Gruppe WP
248)
Bewertungsphase
Risikoidentifikation
Risikobewertung je Verarbeitungstätigkeit durchführen
Eintrittswahrscheinlichkeit
Auswirkung / Schaden
Risikobehandlung
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Schritt 14: Schulungsmaßnahmen
Schulung aller Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf
die DSGVO und andere anwendbare Datenschutzvorschriften,
wichtige Bestimmungen in der Organisation (z.B. Datenschutz-Policy) sowie
die Konsequenzen bei Nichtbeachtung
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [22]

Schritt 15: Aktualisierung
Das Verfahrensverzeichnis ist nach der erstmaligen Erstellung auf Basis einer
umfassenden Datenerhebung laufend zu aktualisieren.
Sicherstellung, dass das Verfahrensverzeichnis stets aktuell ist
Sicherstellung, dass neue Verarbeitungstätigkeiten im Verfahrensverzeichnis
aufgenommen werden
Festlegung eines Zeitplans zur regelmäßigen Überprüfung des
Verfahrensverzeichnisses
Organisatorische Sicherstellung, dass die für das Verfahrensverzeichnis
Verantwortlichen rechtzeitig bei Änderungen informiert werden über
weitere / andere Datenarten
weitere / andere Betroffene
Zweckänderung bzw. -erweiterung
Hinzutreten von Empfängern
veränderte Speicher- bzw. Löschfristen
Dokumentation der Anpassung der TOMs oder geeigneter Garantien
Anpassungder zugrundeliegenden Dokumente (z.B.
Einwilligungserklärung,
Verträge, Betriebsvereinbarungen usw.)
Überprüfung der Aktualität der Datenschutz-Folgenabschätzung (ggf.
Aktualisierung einer vorhanden Datenschutz-Folgenabschätzung oder Durchführung
einer Datenschutz- Folgenabschätzung)
Neue Verarbeitungstätigkeiten in das Verfahrensverzeichnis aufnehmen bzw.
nicht mehr vorhandene Verarbeitungstätigkeiten aus dem Verfahrensverzeichnis
entfernen
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [23]

Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Und was sollen Sie am Ende davon haben?
Umfassende Informationen über die Datenverarbeitung im Verein
Zielgerichtetes Datenschutzmanagement
Sicherheit über die Rechtmäßigkeit der Verarbeitung
Informationssicherheit für Betroffene (Eigentümer der Daten)
Aktuelles Verarbeitungsverzeichnis
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [24]

Thema Fussballverein in Tirol:
Die Rechtmäßigkeit der Datenverarbeitung von Spielern und Trainern im Rahmen des
Spielbetriebes: Die Spieler:
Um wettkampfmäßigen Fußballsport in Österreich ausüben zu können, hat sich jeder
Spieler mit seiner Anmeldung den Statuten, Bestimmungen, Reglemente, Richtlinien,
Beschlüsse und Anordnungen der FIFA, der UEFA, des ÖFB und der Verbände sowie die
vom Internationalen Football Association Board erlassenen Spielregeln zu unterwerfen.
Jeder Spieler schließt mit der Anmeldung einen zivilrechtlichen Vertrag.
Die von ihm erhobenen personenbezogenen Daten sind nach den internationalen und
nationalen Regulativen zwingend notwendig, um den wettkampfmäßigen Fußballsport
als Spieler ausüben zu können.
Die erhobenen Daten dienen der Mitgliederverwaltung sowie der Führung des
organisierten Spielbetriebes und der damit zusammenhängenden Öffentlichkeitsund
Medienarbeit.
Der Vor- bzw. Nachname und Wohnort sowie E-Mail-Adresse sind erforderlich
um den konkreten Spieler als Mitglieder sowie für den organisierten Spielbetrieb
erfassen und mit ihm in Kontakt treten zu können.
Der Geburtsort und die Staatsangehörigkeit sind erforderlich, um den
Verpflichtungen der FIFA im Hinblick auf die Abwicklung des internationalen
Freigabeverfahrens erfüllen zu können.
Das Geburtsdatum des Spielers erfüllt zum einen den Zweck, bei
Namensgleichheiten die Identität der Spieler feststellen zu können und zum anderen
die Spieler – insbesondere im Jugendfußball – den entsprechenden Altersklassen
zuordnen zu können.
Die Zuordnung zu den Mannschaften erfordert auch die Bekanntgabe des
Geschlechts (Frauen- und Herrenfußball).
Die Vergabe einer Spielernummer an jeden Spieler soll sicherstellen, dass ein
Spieler nicht mehrfach im System angelegt wird und nur für einen Verein spielen kann.
Vor- und Nachname der Erziehungsberechtigten ist bei Minderjährigen
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [25]

erforderlich, um feststellen zu können, wer als Erziehungsberechtigter des
minderjährigen Spielers die notwendigen Einwilligungserklärungen für diesen abgibt.
Das vorzulegende Passfoto eines Spielers wird im Spielerpass integriert und
ermöglicht dem Schiedsrichter bei jedem Spiel, den Abgleich mit dem Spieler am Feld,
um seine Spielberechtigung überprüfen zu können.
Der Reisepass dient dem Nachweis der vom Spieler bei der Anmeldung
bekanntgegebenen personenbezogenen Daten. Bei Minderjährigen ist zudem –
aufgrund der Vorgaben der FIFA – noch ein Meldezettel und allenfalls eine
Schulbesuchsbestätigung vorzulegen, um aufgrund des besonderen Schutzes für
Minderjährige prüfen zu können, dass die minderjährigen Spieler in Österreich über
eine Meldeadresse verfügen und nicht aus dem Ausland zum Verein fahren und in
Österreich über eine schulische Betreuung verfügen.
Die gemeinsam Verantwortlichen sind in Ausübung ihrer gesetzlichen
Sorgfaltspflichten und zur Wahrung der berechtigten Interessen der Kinder dazu
berechtigt.
Im Nicht-Amateur-Bereich werden auch die Arbeitserlaubnis und der Spielervertrag
erhoben.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [26]

Die Trainer:
Um als Trainer oder Mannschaftsbetreuer (im Folgenden gemeinsam „Trainer“) im
wettkampfmäßigen Fußballsport in Österreich tätig sein zu können, hat sich jeder
Trainer mit seiner Registrierung den Statuten, Bestimmungen, Reglemente, Richtlinien,
Beschlüsse und Anordnungen der FIFA, der UEFA, des ÖFB und der Verbände sowie die
vom Internationalen Football Association Board erlassenen Spielregeln zu unterwerfen.
Jeder Trainer schließt mit der Registrierung einen zivilrechtlichen Vertrag ab. Die von
ihm erhobenen personenbezogenen Daten sind nach den internationalen und
nationalen Regulativen zwingend notwendig, um als Trainer im wettkampfmäßigen
Fußballsport in Österreich und international tätig sein zu können.
Die erhobenen Daten dienen der Mitgliederverwaltung, der Führung des
organisierten Spielbetriebes und der damit zusammenhängenden Öffentlichkeitsund
Medienarbeit.
Der Vor- bzw. Nachname, der Wohnort sowie die E-Mail-Adresse sind
erforderlich um den konkreten Trainer als Mitglied sowie für den Spielbetrieb erfassen
und mit ihm in Kontakt treten zu können. Sein Geburtsdatum, um ihn bei
Namensgleichheiten identifizieren zu können.
Den akademischen Grad sowie die Sozialversicherungsnummer sind für die
Erfassung aller staatlichen Trainerausbildungen in Österreich bei der
Bundessportakademie notwendig. Die Bundessportakademie zeichnet in Österreich für
die staatlichen Traineraus- und –fortbildungen verantwortlich und fordert all diese
Daten an. Andernfalls kann die Aus- und Fortbildung vom Trainer nicht absolviert
werden.
Die Bekanntgabe der Staatsangehörigkeit ist erforderlich, um mit den
ausländischen Ausbildungsstätten bzw. Nationalverbänden in Kontakt über die Ausund
Weiterbildung des jeweiligen Trainers, der im Ausland Kurse absolviert hat, treten
zu können.
Die Vorlage des ärztlichen Attests soll einen Nachweis für die für das Traineramt
notwendige körperliche Fitness erbringen.
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [27]

Die Strafregisterbescheinigung stellt sicher, dass in Österreich keine Person ein
Traineramt ausübt, die eine Vorstrafe aufweist, zumal die gemeinsam Verantwortlichen
gesetzliche Sorgfaltspflichten im Bereich „Kinder- und Jugendfürsorge“ treffen.
Der Nachweis über die Sprachkenntnis zeigt auf, ob der Trainer der deutschen
Sprache mächtig und damit in der Lage ist, sich mit den Spielern auf und abseits des
Platzes zu verständigen.
notwendig.
Das Passfoto des Trainers ist für die Ausstellung des Trainerausweises
Von Trainern ohne Trainerausbildung, die Mannschaften – insbesondere im
Nachwuchsbereich – trainieren, für die eine Trainerausbildung nach den Regulativen
der FIFA/UEFA und des ÖFB nicht notwendig sind, sind für die Zweckerfüllung lediglich
Vor- und Nachnahme, Wohnort und – wie bei allen Trainern – Mailadresse sowie
allenfalls Handynummer bekannt zu geben.
Für die Zweckerfüllung im Bereich Spielbetrieb sind Mailadresse und/oder
Handynummer des Trainers erforderlich, zumal dieser – wie auch ein Funktionär – im
ständigen Austausch mit den Verantwortlichen der gegnerischen Mannschaften sein
muss, um Ort und Zeit eines Spiels festzulegen, die Dressenfarben abzustimmen, die
Besetzung der Schiedsrichter (im Nachwuchsbereich) vorzunehmen usw. Zusätzlich
wird festgehalten, dass die Administration der Traineraus- und Fortbildung beim ÖFB
online erfolgt und sämtliche administrativen Tätigkeiten (Anmeldung zu Kursen,
Information zu Kursen,…) elektronisch passieren und dafür eine E-Mail Adresse
zwingend notwendig ist.
Vor- und Nachname der Erziehungsberechtigten ist bei Minderjährigen
erforderlich, feststellen zu können, wer als Erziehungsberechtigter des minderjährigen
Trainers die notwendigen Einwilligungserklärungen für diesen abgibt.
Die Daten werden vom
Tiroler Fussballverband (TFV), Stadionstraße 1a, 6020 Innsbruck, www.tfv.at,
Datenschutzinformation: http://www.tfv.at/Infos/Datenschutzrichtlinien,
dem Österreichischen Fussballverband (ÖFB, Meiereistraße 7, 1020 Wien,
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [28]

office@oefb.at, +43/1/727 18-0, www.oefb.at, Datenschutzinformation:
https://www.oefb.at/Der-OeFB/Datenschutz
sowie von fussballösterreich.at (FOESV Fußballösterreich Spielbetriebs und
Vermarktungs GmbH, Sommerhaidenweg 100A, A-1190 Wien, FN 368735 h, UID:
ATU66731058,
Datenschutzinformation:
https://www.fussballoesterreich.at/foes/Impressum/DSGVO-Informationen.html im
Auftrag des TFV verarbeitet.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [29]

Begriffsbestimmungen/Abkürzungen
„Personenbezogene Daten“ sind nicht nur die zur unmittelbaren Identifizierung einer
natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburtsdatum,
sondern darüber hinaus alle Informationen, die sich auf eine in sonstiger Weise
identifizierte oder identifizierbare natürliche Personen beziehen (Art. 4 Nr. 1 DSGVO),
wie beispielsweise Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E- Mail-
Adresse, Anschrift, Eigentums- oder Besitzverhältnisse, persönliche Interessen,
Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen,
Platzierung bei einem Wettbewerb und dergleichen.
Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen. Nicht
von der DSGVO geschützt werden Angaben über Verstorbene, wie etwa in einem
Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf
einer Liste der Verstorbenen (Erwägungsgrund 27 DSGVO).
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
Dem Verein (Verband) sind seine unselbständigen Untergliederungen wie Abteilungen,
Ortsvereine oder Ortsgruppen sowie seine Funktionsträger, Auftragnehmer, und seine
Mitarbeiter, soweit diese im Rahmen der Aufgabenerfüllung für den Verein tätig
werden, zuzurechnen.
Die Vereinsmitglieder einerseits sowie die Dachverbände andererseits, in denen der
Verein selbst Mitglied ist, sind dagegen als außerhalb des Vereins stehende Stellen und
damit als Dritte anzusehen.
„Auftragsverarbeiter“ ist die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet (Art. 4 Nr. 8 DSGVO). Eine Auftragsverarbeitung spielt beispielsweise bei der
Verlagerung der Mitgliederverwaltung in eine Cloud eine wichtige Rolle, auch bei der
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [30]

EDV-Wartung und der Aktenvernichtung.
„Profiling“ (Art. 4 Nr. 4 DSGVO) jede Art der automatisierten Verarbeitung
personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten
verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche
Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung,
wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit,
Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren
oder vorherzusagen;
Insgesamt enthält der Art. 4 der DSGVO 26 Begriffsbestimmungen.
Rechtsgrundlage der Verarbeitung
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommen
insbesondere Art. 6 1) b) und
f) DSGVO in Betracht.
Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern
und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung
und sie ergänzende Regelungen (z.B. eine Vereinsordnung) vorgegeben wird. Eine
Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten
genutzt werden können.
Erhebt ein Verein personenbezogene Daten von einer betroffenen Person (z. B.
Vereinsmitglied, Teilnehmer an einem Wettbewerb, usw.), so sind die Zwecke, für
welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (Art. 5
1). b) DSGVO).
Die Vereinsatzung darf in Bezug auf die Verarbeitung personenbezogener Daten nicht
einfach durch Mehrheitsbeschluss geändert werden. Erfordert der neue Vereinszweck
eine weitergehende Verarbeitung personenbezogener Daten, darf die Satzung nur
insoweit geändert werden, wie der neue
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [31]

Verarbeitungszweck mit dem ursprünglichen in einem Zusammenhang steht (vgl. Art. 6
4) a) DSGVO, Erwägungsgrund 50). Aus dem Vertragsverhältnis folgt, dass der Verein bei
der Erhebung, Verarbeitung und Nutzung von Daten die Datenschutzgrundrechte seiner
Mitglieder angemessen berücksichtigen muss.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Facebook – Gewinnspiele
Facebook Gewinnspiele sind sehr beliebt. Aber auch die Durchführung von
Gewinnspielen unterliegt entsprechenden Regeln.
Aus den Facebook-Richtlinien:
Erlaubt ist: den erstellten Gewinnspiel-Beitrag zu kommentieren, mit „gefällt
mir“ zu markieren oder einen Kommentar bzw. ein Posting auf der Seite verfassen (mit
oder ohne Foto) oder eine Nachricht an die Seite zu schicken.
Nicht erlaubt ist: „markiere dich selbst und/oder einen Freund/eine Freundin“,
„teile diesen Beitrag“, „ändere dein Profilbild/Titelbild (auf ein vorgegebenes Bild)“ –
um am Gewinnspiel teilzunehmen.
Man darf bei einem Gewinnspielposting auf Facebook dazuschreiben, dass man
sich freut, wenn UserInnen den Beitrag teilen. Voraussetzung für eine Teilnahme am
Gewinnspiel darf das aber keinesfalls sein.
Teilnahmebedingungen
Gewinnspiele brauchen immer Teilnahmebedingungen. Diese kann man als
Artikel auf der eigenen Webseite erstellen und im Gewinnspielposting verlinken. Oder
als „Notiz“ aus der eigenen Facebook-Seite. In den Teilnahmebedingungen soll geregelt
sein:
o
wer darf am Gewinnspiel teilnehmen?
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [32]

o
o
o
o
o
o
o
Wer ist Veranstalter?
Von wann bis wann läuft das Gewinnspiel?
Was gibt es zu gewinnen?
Wie findet die Gewinnübergabe statt?
Was passiert, wenn sich ein Gewinner/eine Gewinnerin nicht meldet?
Datenschutzbestimmungen
Freistellung von Facebook (z.B.: „Das Gewinnspiel wird durch XY
durchgeführt und steht in keinerlei Beziehung zu Facebook. Facebook steht nicht als
Ansprechpartner bezüglich dieses Gewinnspiels zur Verfügung. Sämtliche Fragen sind
ausschließlich an XY zu übermitteln.“)
Keine Teilnahmebedingungen zu haben ist ein absolutes No-Go.
Notizen:
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [33]

Trotz DSGVO: Datenverarbeitung oft ohne Einwilligung erlaubt
Jedes Mal, wenn ein Mythos um die Datenschutzgrundverordnung aufgeklärt wird,
tauchen die nächsten auf. Jüngst darunter: Ein lokaler Fußballverein dürfe ein Spiel
nicht filmen. – Ein Wegweiser durch die Rechtfertigungsgründe.
(Presse, 11.12.2018)
Die Mythen, was die Datenschutzgrundverordnung (DSGVO) alles verbiete, erinnern an
die griechische Hydra: Klärt man einen Mythos auf, erscheinen mindestens zwei neue
im Netz. Nach dem jüngsten dürfe der Trainer eines lokalen Fußballvereins Spiele der
Kampfmannschaft nicht mit der Videokamera aufzeichnen, da dies gegen die DSGVO
verstoße. Es fehle an der Einwilligung aller Spieler und aller Zuschauer.
Die DSGVO ist freilich nicht das Schreckgespenst, wie sie oft dargestellt wird, da sie in
weiten Teilen Regelungen, wie wir sie bereits seit 2000 kennen, unverändert lässt. Und
die Grundsätze gehen sogar bereits auf 1978 zurück.
Der Datenschutz ist als Verbotsnorm mit Erlaubnisvorbehalt konstruiert: Jede
Verarbeitung personenbezogener Daten ist verboten, außer es liegt ein
Erlaubnistatbestand vor (Art 6 DSGVO, bei Daten besonderer Kategorien Art 9, bei
Daten über strafrechtliche Verurteilungen und Straftaten Art 10).
Entgegen weit verbreiteter Meinungen kennt Art 6 DSGVO neben einer Einwilligung des
Betroffenen noch fünf weitere Tatbestände, die eine Datenverarbeitung erlauben:
Erfüllung eines Vertrags; Erfüllung einer rechtlichen Verpflichtung; Schutz
lebenswichtiger Interessen einer Person; Wahrnehmung einer Aufgabe, die im
öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt; die Wahrung
der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die
Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person, die den
Schutz personenbezogener Daten erfordern, überwiegen.
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [34]

Die oft fälschlich als notwendig erachtete Einwilligung des Betroffenen ist von den sechs
Erlaubnistatbeständen immer die schwächste Rechtsgrundlage, da sie jederzeit
widerrufbar ist und eine Verarbeitung danach verboten wäre. Holt etwa der ORF von
sämtlichen Spielern, Ordnern, Funktionären und Zusehern im Stadion vor Übertragung
eines Länderspiels zur PrimeTime deren Einwilligung ein?
Nein! Denn die Einwilligung ist jedenfalls die falsche Rechtsgrundlage für diese
Verarbeitung. Auch die Übertragung eines Länderspiels, das die österreichische
Fußballnationalmannschaft knapp gewinnt, es aber wie so oft dann doch nicht für eine
Qualifikation reicht, wird durch das berechtigte Interesse des „Verantwortlichen bzw.
von Dritten“, nämlich der breiten Öffentlichkeit, gedeckt sein.
Für unseren örtlichen Fußballverein sieht das Prüfschema so aus:
Ausnahmen für Medien und Haushalt
Handelt der Fußballverein als Medieninhaber oder Herausgeber (etwa bei einer
Videoübertragung oder bei Aufnahmen für sein Internetportal oder die Printmedien)?
Dann fällt er unter das viel diskutierte Medienprivileg nach § 9 DSG und sind die
entsprechenden Bestimmungen der DSGVO nicht anzuwenden. Erfolgt die Aufnahme
ausschließlich aus persönlichen oder familiären Gründen, ist die DSGVO wegen der
sogenannten Haushaltsausnahme (Art 2 Abs 2 lit c) gleichfalls nicht anzuwenden.
Liegt dies alles nicht vor, lautet die nächste Frage: Welches rechtmäßige, hinreichend
klar formulierte, gegenwärtige Interesse besteht an der Aufzeichnung? Dieses Interesse
kann in der Spielanalyse zur Verbesserung der Spielerleistungen ebenso liegen wie in
der Beweissicherung bei Fehlentscheidungen des Schiedsrichters. Damit ist dem
Erforderlichkeitsprinzip der DSGVO Genüge getan.
Bloß ein geringfügiger Eingriff
Abzuwägen ist dieses Interesse im nächsten Schritt mit den Grundrechten Betroffener
(etwa der „zwangsläufig“ mitgefilmten Zuschauer, der Spieler, der Ordner) und den
Folgen für diese. Fraglich ist schon, ob sich überhaupt Folgen ergeben. Nachdem die
Videoaufnahmen lediglich zur „Beweissicherung“ gegenüber dem Verband bzw. zur
Analyse des Spiels innerhalb des Vereins und in der Folge zur Verbesserung des
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [35]

Trainings verwendet werden und in diesem Zuge das „öffentliche Fußballspiel“
aufgezeichnet wird, ist der Eingriff in das Grundrecht auf Geheimhaltung der Daten
relativ gering. Die Videoaufzeichnung greift zudem nicht mehr in die Grundrechte der
Betroffenen ein, als dies durch die bloße Beobachtung durch andere Personen im
Stadion ohnedies, wenn auch nicht per se datenschutzrechtlich relevant, bereits
geschieht.
Widerspruch gilt nicht absolut
Bleibt noch das Widerspruchsrecht des Betroffenen nach Art 21 DSGVO. Erhebt also ein
Zuseher oder Spieler der gegnerischen Mannschaft tatsächlich Widerspruch gegen das
Filmen, müssen als letzter Schritt schutzwürdige Gründe für die Verarbeitung
nachgewiesen werden, die die Interessen, Rechte und Freiheiten der betroffenen
Person überwiegen. Verbesserung der Trainingsmethoden oder Beweissicherung sind
solche schutzwürdigen Gründe.
Und das „Golden goal“ könnte vom österreichischen Datenschutzgesetz kommen. Sein
§ 12 erklärt ausdrücklich Bildaufnahmen für zulässig, die ein „privates
Dokumentationsinteresse verfolgen, das nicht auf die identifizierende Erfassung
unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur
mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.“
Die Autoren (Quelle, PRESSE, 11.12.201)
Ing. Mag.iur. Michael Furtlehner ist im Datenschutzmanagement einer großen
Regionalbank tätig, Dr. Karl Krückl, MA LL.M Verteidiger in Strafsachen, emeritierter
Rechtsanwalt und Of Counsel der Bruckmüller RechtsanwaltsgmbH in Linz.
Von Michael Furtlehner ist der Praxisleitfaden „Das ‚berechtigte Interesse‘ iSd Art 6 Abs
1 lit f DSGVO“ ISBN 9783746775005 erschienen.
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [36]

Abschließende Bemerkungen
Die rechtliche Materie des Datenschutzes entwickelt sich laufenden weiter. Einige in
Diskussion stehenden Fragen werden im Laufe der Zeit gerichtlich entschieden werden,
bei anderen wird der Gesetzgeber nähere Definitionen und zusätzliche Gesetze erlassen.
Somit ist dieses Arbeitsheft eine Momentaufnahme und soll auch dazu dienen, sich
laufend den aktuellen rechtlichen Rahmenbedingungen anzupassen.
Sämtliche Inhalte wurden mit größtmöglicher Sorgfalt zusammengestellt, erfolgen jedoch ohne Gewähr. Sie stellen keine
Beratungsleistung welcher Art auch immer dar und können eine entsprechende Beratung nicht ersetzen. Insbesondere
deswegen wird keine Haftung hinsichtlich Richtigkeit, Vollständigkeit und Aktualität der Informationen (einschließlich des
Verweises auf andere Quellen) übernommen.
georg herrmann
georg herrmann
general-eccher-straße 39
a-6020 innsbruck
tel.: +43 663 03032077
mail: georg.herrmann@icloud.com
DSGVO, Fragestellung für Vereine, Georg Herrmann, zertifizierter Datenschutzbeauftragter, 2018, Seite [37]