Die neue Datenschutz-Grundverordnung gilt nicht nur für Unternehmen, sondern auch für Vereine. Wer persönliche Daten erfasst oder auch nur Rundmails zu Weihnachten verschickt, muss die DSGVO bis 25.5. umsetzen.
Die DSGVO regelt die Verarbeitung personenbezogener Daten. Dazu zählen zum Beispiel Anschriften, Geburtsdaten, Mailadressen oder IP-Adressen. Ob diese Informationen elektronisch gespeichert oder auf Papier geschrieben werden, macht keinen Unterschied. Gerade für kleine Vereine ist es nicht leicht, sich in die Materie einzuarbeiten. Im Internet gibt es zum Teil widersprüchliche Informationen. Natürlich können wir mit diesem Artikel keine Rechtsberatung ersetzen. Wir möchten jedoch die wichtigsten Problemfelder kurz ansprechen.
Verbietet die DSGVO das Speichern von Daten ganz?
Nein. Jeder Verein darf grundsätzlich Daten von Mitgliedern und anderen Personen erfassen, Lieferanten zum Beispiel. Voraussetzung: Die Angaben werden zur Erfüllung eines Vertrages benötigt. Etwa für eine Mitgliedschaft oder die Teilnahme an einem Seminar. Aber Achtung: Der Zweck muss der betroffenen Person klar vermittelt werden. Und der Verein darf die Daten nicht für andere Zwecke verwenden. So wäre es beispielsweise nicht erlaubt, dem Teilnehmer eines Stockkampf-Seminars ohne dessen Einwilligung Werbe-Emails für Sportnahrung zu schicken.
Wie ist es mit Fotos?
Viele Vereine veröffentlichen Fotos auf der Website oder in sozialen Netzen wie Facebook. Dabei ändert sich im Grunde nicht viel. Denn bereits jetzt muss jeder im Bild abgebildete Mensch um Erlaubnis gefragt werden. Neu hinzu kommt ein „Recht-auf-Vergessen-werden“: Betroffene können später verlangen, dass ihre Bilder aus dem Netz entfernt werden. Der Website-Betreiber oder Admin muss dann dafür Sorge tragen, dass keine Kopien erhalten bleiben. Das kann technisch knifflig sein, wenn man verschiedene Plattformen nutzt.
Ach, du meine Güte. Wo fange ich an?
Die Datenschutz-Erklärung der Vereins-Homepage muss auf jeden Fall überarbeitet werden. Die Erklärung muss ausdrücklich auf die Rechte der Betroffenen und die Abläufe der Datenverarbeitung eingehen. Achtung: Wer nach dem 25.5. noch eine veraltete Datenschutzerklärung verwendet, gibt dadurch im Grunde zu erkennen, dass er die DSGVO verschlafen hat. Ein windiger Abmahnanwalt könnte genau danach suchen.
Ab 25. Mai kann jede betroffene Person Auskunft darüber verlangen, welche Daten von ihr gespeichert wurden. Außerdem kann die Person verlangen, dass diese Daten sofort gelöscht werden. Auf solche Anfragen muss der Verein vorbereitet sein. Das ist nur dann möglich, wenn die DSGVO intern wirklich umgesetzt wurde.
Die interne Umsetzung
Der Verein muss eine eigene Datenschutzordnung entwickeln. Dazu muss zuerst eine Bestandsaufnahme gemacht werden: Wann werden welche Daten erfasst? Warum und von wem? Wo und wie werden sie gespeichert? Sind die Daten ausreichend geschützt? Werden Daten an externe Dienstleister weitergegeben (z.B. Cloud-Services)? Wann und vom wem werden die Daten wieder gelöscht?
Für all diese Punkte muss es in Zukunft klare Regelungen und praktische Abläufe geben. In der Datenschutzordnung muss erkennbar sein, wie der Verein im Alltag für Datenschutz sorgt.
Die Aufsichtsbehörde, also der Datenschutzbeauftragte des Bundeslandes, kann sich diese Verordnung und andere interne Papiere jederzeit vorlegen lassen. Das ist ein wichtiger Punkt: Im Zweifelsfall sucht nicht die Behörde nach Missständen, sondern der Verein muss seinerseits nachweisen, dass er alles richtig macht. Wer das nicht kann, riskiert hohe Bußgelder und sogar die Stilllegung der Datenverarbeitung.
Brauchen wir jetzt einen internen Datenschutz-Beauftragten?
Nicht unbedingt. In kleinen Vereinen kann der Vorstand diese Aufgaben übernehmen. Einen gesonderten Datenschutzbeauftragten müssen nur größere Vereine bestimmen. Voraussetzung ist, dass mindestens zehn Mitarbeiter regelmäßig mit personenbezogenen Daten umgehen. In dem Fall darf der Vorstand nicht selbst für den Datenschutz verantwortlich sein. Denn das würde als Interessenkonflikt gelten.
Wenn Ihr Verein noch keine Maßnahmen zur Umsetzung der DSGVO getroffen hat, dann wird es jetzt allerhöchste Zeit für eine Bestandsaufnahme. Wer bereits die internen Abläufe überprüft und angepasst hat, kann mit der Implementierung beginnen. Ein guter Start ist die neue Datenschutz-Verordnung auf der Website.
Foto: Allen Allen | Flickr | CC 2.0