Noch noch kurze Übergangszeit: DSGVO auch für Vereine relevant

Eine Einwilligungserklärung zur Verarbeitung personenbezogener Daten als Dreh- und Angelpunkt

[datensicherheit.de, 10.04.2018] Die neuen gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO) betreffen auch Vereine, denn auch sie gehen mit personenbezogenen Daten um – z.B. im Kontext von Mitgliedsanträgen, Anmeldeformularen für Wettkämpfe etc. „Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten“, so Christian Heutger, der Geschäftsführer der PSW GROUP.

Im Regelfall ausdrückliche Einwilligung des Mitglieds nötig

Vereine seien in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.
„Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden“, erklärt Heutger.
Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf einer Website und in Sozialen Netzwerken. Auch dort dürften personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem müsse der Verein diese Einwilligung entsprechend dokumentieren.

Ausnahmen bei „berechtigtem Interesse“

Heutger: „Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen“. Ohne Einwilligung zulässig seien ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen. Auch dürfe der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen: „Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes ,berechtigtes Interesse‘ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden“, stellt Heutger klar.
Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs hätten laut DSGVO ein Recht auf Vergessenwerden.

Einwilligungserklärungen müssen leicht verständlich und zugänglich sein

Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, werde es kompliziert. Denn hierbei spiele auch das Kunsturhebergesetz eine Rolle – Fotos und Videos dürften erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden.
„Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden“, sagt Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er, die Einwilligung der Eltern einzuholen.
Einwilligungserklärungen könnten Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings müsse diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein; vorangekreuzte Checkboxen seien nicht zulässig.

PSW-Tipps für Vereine:

1. Datensparsamkeit
   Die DSGVO verlange nicht nur, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden – deren Verarbeitung müsse zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
2. Informationspflichten
   Die DSGVO verpflichte Vereine dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten.
3. Technische und organisatorische Maßnahmen
   Datensicherheit müsse mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Das betreffe die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Website-Verschlüsselung), aber auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). „Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen wurden“, betont Heutger und rät: „Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.“
4. Auftragsdatenverarbeitung
   Auch Vereine nutzten Drittanbieter: Entweder lagerten die Daten in der Cloud, lägen auf Servern eines Anbieters oder würden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen.
5. Datenschutz-Folgeabschätzung
   Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssten sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssten sie deshalb „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchführen.
6. Meldepflichten
   Auch Vereine unterlägen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssten unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Heutger: „Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt.“
7. Datenschutzbeauftragter
   Vereine, die mindestens zehn Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssten einen Datenschutzbeauftragten benennen. „Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen“, erläutert Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 22. 03.2018
Die Datenschutz-Grundverordnung für Vereine

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018