Seit dem 25.5.18 ist die Datenschutzgrundverordnung – kurz DSGVO – in Kraft. Kaum eine EU-Verordnung sorgte jemals für so viel Trubel. Aus Angst vor den rechtlichen Folgen haben einzelne Blogger kurzfristig ihre Blogs eingestellt. In einigen Unternehmen fiel der Online-Newsletter der DSGVO zum Opfer. Andere Unternehmen strichen vorsichtshalber gleich das ganze Kontaktformular auf ihren Websites. Doch wo bleiben in der ganzen Hektik die rund 620.000 Vereine in Deutschland? Viele machen erst einmal gar nichts und warten ab. Doch das ist die ganz falsche Strategie. AStW befragte die Rechtsanwältin Heike Mareck, externe Datenschutzbeauftragte aus Dortmund, zu den Problemen, vor denen viele Vereins-Mandate stehen.
Frage: Frau Mareck, trifft die DSGVO auch die Vereine? Und wenn, in welcher Form?
Antwort: Grundsätzlich unterscheidet die DSGVO nicht zwischen Unternehmen, Freiberuflern, Handwerkern und Vereinen. Das heißt im Klartext, Vereine sind ganz genauso betroffen wie alle anderen – und zwar auch dann, wenn sie die Mitglieder und deren Daten nicht in einem PC verwalten, sondern nur händisch in einem Karteikasten. Mit Daten sind in diesem Zusammenhang übrigens Adressen, Geburtsdaten, Telefonnummern etc. gemeint.
Frage: Also müssen Vereine auch einen Datenschutzbeauftragten bestellen?
Antwort: Auch das ist klar geregelt. Vereine benötigen einen Datenschutzbeauftragten, wenn mindestens 10 Personen ständig mit der automatisierten Datenverarbeitung zu tun haben. Dabei ist die Zahl der Köpfe maßgeblich, nicht die Zahl der Stellen. Hierzu ein Beispiel: Wenn in einem Verein die ehrenamtlich tätigen Abteilungsleiter die Daten ihrer Abteilungsmitglieder automatisiert verwalten, dann zählen die Abteilungsleiter ebenfalls mit.
Frage: Was ist, wenn die Zahl 10 nicht erreicht wird und ein Datenschutzbeauftragter gesetzlich nicht erforderlich ist?
Antwort: In diesem Fall ist zu überlegen, ob nicht doch freiwillig ein Datenschutzbeauftragter benannt wird. Denn der Datenschutz muss in jedem Fall beachtet werden, egal, ob man verpflichtet ist, jemanden zu benennen oder nicht. Die einfachste Lösung ist sicherlich, ein Vereinsmitglied zu benennen. Aber Achtung, es ist stets darauf zu achten, dass es nicht zu einem Interessenkonflikt kommt. Beispiel: Ein Sportverein ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Auf keinen Fall kann nun derjenige Datenschutzbeauftragter werden, der die EDV betreut. Der EDV-Betreuer ist ausgeschlossen, weil er ja schlecht das kontrollieren kann, was er selbst als EDV-Verantwortlicher macht. Ebenfalls ausgeschossen sind der Vorstand und der Geschäftsführer. In Anbetracht der Tatsache, dass einiges Wissen über den Datenschutz vorausgesetzt werden muss, ist vielleicht dann bei dem einen oder anderen Verein doch ein externer Datenschutzbeauftragter zu empfehlen.
Frage: Fast jeder Verein hat eine Website. Sind da jetzt Anpassungen erforderlich? Und wenn ja, welche?
Antwort: Zunächst sollte die Datenschutzerklärung auf der Website den neuen Anforderungen der DSGVO angepasst werden. Das hat absolute Priorität, weil es die größte „sichtbare“ Schwachstelle ist. Die Datenschutzerklärung ist nicht ganz einfach. Ein Beispiel hilft sicherlich. Die Datenschutzerklärung des LandesSportBundes Niedersachsen e. V. finden Sie als Orientierungshilfe unter dem short-link www.iww.de/s1795.
Frage: Was sollte man den Vereinen empfehlen?
Antwort: Jeder Verein speichert personenbezogene Daten, mindestens und hauptsächlich die seiner Mitglieder. Als Erstes sollte einmal ein Check vorgenommen werden: Welche Daten werden überhaupt gespeichert? Welche Daten sind wirklich notwendig, worauf könnte gegebenenfalls verzichtet werden? Hierzu sollte auch der Aufnahmebogen einmal kritisch unter die Lupe genommen werden. Nun sollte genau dokumentiert werden, welche Daten erhoben und wie sie genutzt werden.
Frage: Was gilt bei Bildern von Vereinen, benötigt man dort zukünftig Einwilligungen der fotografierten Personen?
Antwort: Fotos sind derzeit ein empfindliches Thema im Zusammenhang mit der DSGVO. Da sind sich die Juristen einig. Auf der sicheren Seite ist man als Verein, wenn man mit schriftlichen Einwilligungen arbeitet. Bei Minderjährigen ist generell die Einwilligung (aller) Sorgeberechtigten erforderlich. Ein sehr gutes Muster zur Einwilligung in die Datenverarbeitung einschließlich der Veröffentlichung von Personenbildern im Zusammenhang mit dem Eintritt in den Verein ist unter www.iww.de/s1794 zu finden.
Frage: Was ist denn, wenn ein ausgeschiedenes Mitglied Auskunft verlangt?
Antwort: Nach Art. 15 DSGVO hat der Betroffene das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet wurden. Wie ein Verein zu dem Auskunftsverlangen Stellung nehmen kann, hat der Landessportbund Niedersachsen erarbeitet. Ein kostenloses Musterschreiben können Sie unter dem bereits erwähnten short-link downloaden: www.iww.de/s1795 .
Frage: Was passiert, wenn doch mal Mitgliederdaten verloren gehen?
Antwort: Dann hat man genau 72 Stunden Zeit, um diese sogenannte „Datenpanne“ der Aufsichtsbehörde und gegebenenfalls den Betroffenen zu melden. Das ist jetzt neu mit der DSGVO. Ein Beispiel dazu: Der für die Beitragsverwaltung zuständige Mitarbeiter lässt das Notebook, das die Mitgliederdaten enthält, im Auto liegen. Das Auto wird aufgebrochen, das unverschlüsselte Notebook ist weg. Ab Kenntnisnahme von dem Abhandenkommen läuft die Frist – und die kann ganz schön kurz sein.
Frage: Mit welchen Sanktionen muss ein Verein rechnen?
Antwort: Die Bußgelder gehen bis zu 2 % des Jahresumsatzes eines Unternehmens oder bis zu 10 Mio. EUR hoch, je nachdem, welcher Betrag der höhere ist. In schweren Fällen können sie bis zu 4 % oder bis zu 20 Mio. EUR betragen. Bei den Vereinen gilt dabei das gleiche wie bei den Unternehmen.
Frage: Wer ist in den Vereinen für den Datenschutz eigentlich verantwortlich?
Antwort: Ganz klar, der Vorstand haftet für Schadenersatzansprüche bei unzulässiger oder unrichtiger Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten. Das ist hart, weil ja die Vorsitzenden von Vereinen genauso wie die Vereinsmitglieder ehrenamtlich Engagierte sind. Daher ist es umso wichtiger, dass jemand im Verein für den Datenschutz verantwortlich ist.
Frage: Irgendwie weiß man gar nicht, wo man anfangen soll. Was raten Sie?
Antwort: Zuerst sollten zügig die Maßnahmen vorgenommen werden, die „abmahngefährdet“ sein könnten. Also: Website auf Datenschutzerklärung überprüfen und aktualisieren, das Impressum gleich mit ansehen. Und dann rigoros eine Bestandsanalyse im Verein machen: Wo fallen personenbezogene Daten an, wer erfasst sie, welche Daten werden nach außen gegeben und wer macht das. Um den Überblick zu dokumentieren, hilft das „Verzeichnis der Verarbeitungstätigkeiten“. Das ist kein Hexenwerk. Unter www.iww.de/s1796 findet man zum Beispiel ein Muster für Vereine. Zudem sollte jetzt schnell jemand bestimmt werden, der den Hut im Bereich Datenschutz aufhat. Außerdem sind alle Mitarbeiterinnen und Mitarbeiter im Verein, die mit personenbezogenen Daten zu tun haben, auf ihre Vertraulichkeit ausdrücklich hinzuweisen – am besten schriftlich.
Frage: Man hört jetzt viel von den sogenannten „TOMs“. Was hat das mit den Vereinen zu tun?
Antwort: „TOM“ steht für technische und organisatorische Maßnahmen. Im Grunde geht es darum, zu erfahren, wie der Verein seine „personenbezogenen Daten“ haptisch schützt und sichert. Also zum Beispiel: Ist der Raum, wo die Daten liegen, abgeschlossen; wie werden die Mitgliederakten auf Papier vernichtet; wann findet überhaupt Aktenvernichtung statt? Wichtig ist aber auch die Frage, wie der Verein seine Daten im IT-Bereich sichert – zum Beispiel: Gibt es automatische Updates im Betriebssystem; finden Back-ups regelmäßig statt; gibt es auf dem Rechner einen Virenscanner oder eine Sicherheitssoftware?
Frage: Noch eine Frage. Haben Sie einen besonderen Tipp für Vereine?
Antwort: Ja, den gibt es. Wenn Vereine mit anderen Betrieben oder Unternehmen zusammenarbeiten, wie Agenturen oder Druckereien, sollten sie nicht vergessen, einen sogenannten „Auftragsverarbeitungsvertrag“ abzuschließen.
Frage: Vielen Dank für das Gespräch.
Interview mit Rechtsanwältin Heike Mareck, Rechtsanwältin und zertifizierte Datenschutzbeauftragte
Praxistipp | Den Verein datenschutzkonform fit zu machen, sollte in einer kleinen Gruppe erfolgen – bestehend aus Vorstandsmitglied, Pressewart, demjenigen, der die Website betreut und jemand aus der Mitgliederverwaltung. Die Gruppe kann dann einen „Datenschutzbeauftragten“ oder einen „Verantwortlichen“ bestimmen. Die Benennung sollte stets schriftlich erfolgen.
Formulierungsvorschlag /
Der Verein … , vertreten durch … , benennt hiermit aufgrund des Vorstandsbeschlusses, der am … gefasst wurde, mit sofortiger Wirkung Herrn/Frau … zum/zur Datenschutzbeauftragte(n) des Vereins. Herr/Frau … ist als Datenschutzbeauftragte(r) ehrenamtlich tätig und nimmt in dieser Funktion die in Art. 39 Abs. 1 DSGVO ausdrücklich benannten Aufgaben wahr. Zudem führt er/sie in jedem Halbjahr eine Datenschutz-Schulung von mindestens 2 Stunden für die Mitglieder des Vereins durch.
Ort, Datum, Unterschrift beider Seiten
Weiterführende Hinweise
* Württembergische Landessportbund e.V.: kostenlose Checklisten, Muster und Arbeitshilfen für größere und kleinere Vereine unter https://www.wlsb.de/vereinsmanagement/datenschutz
* Landessportbund NRW: „Erste Hilfe-Koffer“ unter http://www.vibss.de/vereinsmanagement/recht/datenschutz/
* Beispiel für „Verzeichnis der Verarbeitungstätigkeiten“ für Vereine unter https://www.lda.bayern.de/de/kleine-unternehmen.html
* Beispiel einer Datenschutzerklärung für eine Vereins-Website unter https://www.lsb-niedersachsen.de/lsb-mitgliederservice/lsb-mitgliederservice-downloads/
Muster für einen Auftragsverarbeitungsvertrag, zum Beispiel: https://www.datenschutz-mv.de/datenschutz/DS-GVO/Hilfsmittel-zur-Umsetzung/