Blog

Ist mein Verein fit für die Datenschutzgrundverordnung?

Der Countdown läuft: Am 25.05.2018 tritt die neue EU-weite Datenschutzgrundverordnung (DS-GVO) in Kraft. Sie ersetzt die bisher geltende Bundesgesetzgebung und sorgt für einheitliche Datenschutzregeln in der EU. Sie gilt nicht nur für Unternehmen, Behörden und große Organisationen, sondern auch für Vereine, seien es Sport- oder Karnevalsvereine, Bürgerinitiativen etc. Überall, wo personenbezogene Daten, wie Adress-, Kontakt- oder Geburtsdaten, aber auch Email- und IP-Adressen, also Daten, die eine Identifizierung einer Person ermöglichen, erhoben und verarbeitet werden, gilt die Datenschutzgrundverordnung.

Was bedeutet die DS-GVO für meinen Verein?

Viele Regelungen entsprechen den bisherigen. Aber einige Änderungen und Verschärfungen gibt es doch. Die betreffen in erster Linie die formelle Einwilligung der Betroffenen zur Erhebung, Verarbeitung und Weitergabe ihrer Daten; das „Recht auf Löschung“ und nicht zuletzt neue Anforderungen an die Art und Weise der Niederschrift und Dokumentation der erhobenen Daten.

Erste Schritte mit der DS-GVO

Ausgangspunkt sollte zunächst eine Bestandsaufnahme sein. Welche Daten liegen vor? Zunächst denkt man natürlich an Mitgliederdaten. Aber es kann überraschen, was sich sonst noch so an Daten ansammelt: z. B. Fahrgemeinschaften, Turnier-Anmeldedaten, WhatsApp-Gruppen, Verteiler fürs Grillfest. Dann muss man sich fragen: Dürfen wir diese Daten überhaupt haben und was dürfen wir mit ihnen machen? Welche Routinen der Datenverarbeitung haben wir und sind sie jetzt noch rechtskonform? Vermutlich müssen Formulare wie Mitgliedsanträge, die Satzung und die Website angepasst werden. Als Orientierung helfen die folgenden Grundsätze der DS-GVO weiter:

Grundsätze der DS-GVO

Erlaubnisvorbehalt: Daten dürfen nur dann erhoben werden, wenn die betroffene Person in die Datenerhebung eingewilligt hat oder eine sonstige Rechtsgrundlage dies erlaubt.
Zweckbindung: Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben und verarbeitet werden. Aus der Zweckbindung folgt der Grundsatz der Datenminimierung: Die Verarbeitung der Daten muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden. Vergessen und Löschen der Daten: Daten, die nicht mehr für ihren ursprünglichen Zweck benötigt werden, müssen gelöscht werden („Recht auf Vergessen“). Daten müssen immer gelöscht werden, wenn die betroffene Person dies wünscht.

Was bedeutet eigentlich Datenverarbeitung?

Mit Verarbeiten meint der Gesetzgeber das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten. Unter die Nutzung fällt zum Beispiel die Datenweitergabe innerhalb des Vereins im Vorstand oder wenn der Verein die Daten extern verwalten lässt. Generell gilt, dass jeder Funktionsträger im Verein nur entsprechend seiner Aufgaben auf die erforderlichen Mitgliederdaten Zugriff haben darf.

Keine Daten ohne Einwilligung!

Bei jeder Erhebung von Daten muss die Einwilligung der betroffenen Person eingeholt werden. Die Einwilligungserklärung muss eine "unmissverständlich abgegebene Willensbekundung“, bzw. „eine eindeutig bestätigende Handlung“ (Art. 4 Abs. 11 DSGVO) sein und „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 7 Abs. 2 DSGVO) formuliert sein. Prüfen Sie, ob die Ihnen bereits vorliegenden Einwilligungserklärungen noch den neuen Anforderungen entsprechen. Ein Musterformular zur Einwilligung gibt es hier.

Keine Daten ohne Aufklärung: Informationspflichten des Vereins

Der Verein muss die Betroffenen über ihre Rechte sowie über Art, Umfang und Zweck der Datenerhebung informieren. Art. 13 DSGVO gibt hierzu eine genaue Liste vor. Der bisher auf Formularen übliche Hinweis, dass die Daten „unter Beachtung des Datenschutzrechts“ verarbeitet werden, reicht so nicht mehr aus. Sofern diese Informationen den Personen, von denen bereits Daten erhoben wurden, noch nicht zur Verfügung gestellt wurden, muss der Verein dies vor dem 25.5.2018 nachholen. Eine Übersicht über die Informationspflichten gibt es hier.

Dokumentieren, Dokumentieren, Dokumentieren…

Mit der Datenschutz-Grundverordnung muss auch ein Verein nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Es muss eine Dokumentation und Übersicht über alle eingesetzten Verfahren der Verarbeitung personenbezogener Daten enthalten. Hier gibt es ein Musterblatt.

Brauch ich einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter wirkt im Verein auf die Einhaltung der Vorschriften hin. Als Faustregel gilt: Wenn 10 oder mehr Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestimmt und der Aufsichtsbehörde gemeldet werden. Es ist aber in jedem Fall ein Datenschutzbeauftragter zu benennen, wenn Angaben beispielsweise zur Gesundheit oder politischen Meinung oder zur Bewertung der Person erfasst werden. Der Datenschutzbeauftragte darf nicht dem Vorstand angehören und muss entsprechend qualifiziert sein.

Daten auf dem PC

Der PC muss mit einem Passwort geschützt sein. Wer die Daten zuhause auf dem Familien-PC verwaltet, sollte sich dort ein eigenes Konto zulegen und mit einem Passwort schützen. Vorsicht bei Cloud-Diensten! Die Daten müssen auf Servern in der EU bleiben. Für das cloudbasierte "Office 365" von Microsoft gibt es eine EU-Version.

Verarbeitung durch Drittanbieter

Wenn der Verein zum Beispiel seine Mitgliederverwaltung über das Internet, also über Fremdserver, abwickelt, liegt eine Verarbeitung durch einen Drittanbieter vor. Eine Datenverarbeitung durch Drittanbieter muss immer auf Grundlage eines Vertrages mit dem Drittanbieter erfolgen, der sicherstellt, „dass geeignete technische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt“ (Art. 28 Abs. 1 DSGVO). Häufig werden solche Auftragsverarbeitungsverträge von den Webseitenhostern direkt angeboten. Ein Kurzpapier der Landesdatenschutzbeauftragten gibt es hier.

Veröffentlichung im Internet

Jede Veröffentlichung von personenbezogenen Daten im Internet durch einen Verein ist grundsätzlich erstmal unzulässig – es sei denn, der Betroffene hat sich ausdrücklich damit einverstanden erklärt. Das gilt auch für Fotos und Videos!

Hindernislauf bei Fotos und Videos

In Zeiten von Blogs und Facebook spielt die Veröffentlichung von Bildmaterial auch für Vereine eine immer größere Rolle. Gleichzeitig kommt es hier immer wieder zu Verstößen und Beschwerden bei den Aufsichtsbehörden. Bei der Nutzung und Veröffentlichung von Fotos und Videos sind letztlich zwei Rechte zu beachten: das Lizenz- bzw. Urheberrecht und das Persönlichkeitsrecht der abgebildeten Personen. Hat man lizenzrechtlich alles im Griff, weil man etwa eigene Fotos auf Veranstaltungen schießt und verwendet, ist man leider noch nicht auf der sicheren Seite. Denn Abbildungen von Personen, sind, genau, Daten, die eine Identifizierung einer Person erlauben. Und damit gilt auch für Fotos und Videos die DS-GVO: Ohne die schriftliche Erlaubnis der abgebildeten Personen dürfen weder Fotos noch Videos auf der eigenen Website oder bei Facebook veröffentlichet werden. Das ist allerdings kaum praktikabel. Wenn bei eigenen Veranstaltungen Fotos gemacht werden, so müsste zuvor immer eine schriftliche Einwilligung der abgelichteten Personen eingeholt werden. Das funktioniert in der Praxis in den seltensten Fällen. Niemand hat Lust, erst ein Formular zu unterschreiben und sich dann fotografieren zu lassen. Die allermeisten Gäste winken dann wahrscheinlich resigniert ab. Und auch die nachträgliche Einholung eines Einverständnisses, ist aufwändig und belastet unter Umständen die Beziehung des Vereins zu den abgelichteten Personen. Eine rechtssichere und praktikable Lösung gibt es hier leider noch nicht!

Wir haben Fehler gemacht – was nun?

Kein Grund zur Panik: Die DS-GVO droht zwar mit drastischen Sanktionen, aber das gilt für Konzerne, nicht für kleine Vereine. Die für die Aufsicht zuständige Landes-Datenschutzbeauftragte (LDI) wird wahrscheinlich erst mal das Gespräch mit dem Verein suchen und ihn belehren. Wer sich aufrichtig um Datenschutz bemüht, das Wichtigste unternommen und dokumentiert hat, sollte sich keine Sorge.

Faustregeln

• Erheben sie nur Daten, die sie wirklich brauchen.
• Verwenden Sie personenbezogene Daten nur für vereinsinterne Zwecke gemäß der Vereinssatzung.
• Geben Sie die Daten nicht an Dritte weiter – es sei denn, Sie haben die schriftliche Einwilligung der betroffenen Person.
• Beschränken Sie den internen Zugriff auf personenbezogene Daten auf die Personen, die diese Daten verarbeiten müssen.
• Halten Sie die IT aktuell und orientieren Sie sich an den üblichen Sicherheitsstandards (Firewall, Virenscanner, passwortgeschützter Zugang, evtl. Festplattenverschlüsselung).

Kein Grund zur Panik

Wir Vereinsmeier haben schon vieles überlebt. Und wir werden auch die neue Datenschutzgrundverordnung überleben. Es bleibt zwar abzuwarten, wie sich die Rechtspraxis einspielt. Aber Grund zu Panik gibt es nicht!

*Disclaimer: Obwohl ich mich bemüht habe, alle Informationen sachgerecht zu recherchieren, ist dieser Beitrag keine Rechtsberatung, sondern ein allgemeines Informationsangebot. Ich bin nicht befugt, eine Rechtsberatung anzubieten und besitze auch keine zur Rechtsberatung befähigende juristische Ausbildung. Ihre Eva Lux, MdL.