Erhöhte Datenschutzanforderungen für Vereine

Rechtsanwalt Jens Bernsdorf referierte vor 130 Zuhörern in Altenplos

Rechtsanwalt Jens Bernsdorf mit Sabina Habla

Rechtsanwalt Jens Bernsdorf mit Sabina Habla

Am 25. Mai 2018 tritt die neue Datenschutzgrundsatzverordnung (DSGVO) in Kraft. Die EU-Verordnung gilt eigentlich für Unternehmen – zum Leidwesen der Vereine fallen diese nach EU-Recht aber unter den Unternehmensbegriff. Rechtsanwalt Bernsdorf zeigte den zahlreichen Vereinsverantwortlichen im Gasthof Moreth Wege auf, wie sie mit den erhöhten Datenschutzverordnungen umgehen können. Eingeladen hatte Sabine Habla aus Mistelbach unter dem Dach der CSU-nahen Hanns-Seidel-Stiftung. Die Idee zu dem Vortrag in Altenplos kam von der CSU-Ortsvorsitzenden Karin Vogel-Knopf aus Martinsreuth. Frau Habla dankte ihr für die Anregung. Der bayerische Landessportverband (BLSV) trat als Co-Veranstalter auf.

Die wichtigsten Maßnahmen für Vereine

Aus dem rund zweistündigen Vortrag mit Diskussion können hier nur einige Ausschnitte wieder gegeben werden. Ausführliche Informationen mit Musterschreiben bietet die Internetseite des bayerischen Landesamts für Datenschutzaufsicht. Vereine sollten zum Stichtag 25.5.2018 auf jeden Fall eine Datenschutzerklärung nach den Vorgaben der DSGVO deutlich erkennbar auf ihre Webseite stellen. Rechtsanwalt Dr. Schwenke stellt im Internet einen sogenannten Datenschutz-Generator zur Verfügung. Nach und nach sollten Vereine von ihren Mitgliedern eine Einwilligungserklärung anfordern, falls die Einwilligung nicht schon vorliegt. Ein Musterschreiben stellt Jens Bernsdorf für die Teilnehmer des Vortrages bereit. Der Rechtsanwalt rät zur “Datensparsamkeit”. Vereine sollten nur so viele Daten von den Mitgliedern anfordern, wie zum Vereinszweck benötigt werden. Wer in der Vergangenheit zu viele Daten erfasst, sollte diese abspecken. Mitglieder, die aus dem Verein ausgetreten sind, haben ein Recht auf “vergessen”, das heißt, die Daten müssen schnellstmöglich gelöscht werden. Die Daten der Mitglieder sollen sicher aufbewahrt sein, z.B. Excel-Dateien auf dem Computer mit einem Passwort versehen werden. Regelmäßige Datensicherung gehört ebenfalls zu den Schutzmaßnahmen.

Vereine müssen ein Verzeichnis führen

Ein wichtiger Baustein der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten (VdV). Hierin sind alle Personen zu listen, welche im Verein mit der Verarbeitung von Daten betraut sind. Beispiel: Der Verantwortliche für die Mitgliederverwaltung und/oder Beitragsverwaltung mit Name, Telefonnummer und Emailadresse. Zu vermerken ist auch der Verantwortliche für den Unterhalt der Webseite und, wenn die Aufgaben getrennt sind, der Verantwortliche für die Veröffentlichung von Bildern in der Presse oder im Internet. Bei großen Vereinen muss auch der Verantwortliche für die Lohnabrechnung benannt werden. Im Formular ist u.a. die Art der verarbeiteten Daten zu beschreiben, die Löschvermerke und die Technisch-Organisatorischen Maßnahmen (TOM). Das Verzeichnis kann formlos, z.B. mit Hilfe einer Exceltabelle erstellt werden. Das bayerische Landesamts für Datenschutzaufsicht bietet hierfür eine Mustervorlage für das VdV an.

Ein Datenschutzbeauftragter ist zu benennen und zu melden

Für große Aufregung sorgte bei den Teilnehmern in Altenplos die Funktion des Datenschutzbeauftragten (DSB). Dieser trägt nach außen hin die Verantwortung für den ordnungsgemäßen Umgang mit den verarbeiteten Daten. Der DSB muss an die Aufsichtsbehörde gemeldet werden. Vorstandsmitglieder oder Webmaster dürfen nicht gleichzeitig Datenschutzbeauftragter sein. Dies erschwert die Aufgabe für Vereine beträchtlich, eine interne Lösung zu finden. Zur Bestellung des DSB kann ebenfalls ein Musterformular verwendet werden. Rechtsanwalt Bernsdorf hatte für die Zuhörer jedoch eine gute Nachricht parat. Der Datenschutzbeauftragte wird nur benötigt, wenn im Verein mehr als neun Personen mit der Bearbeitung von personenbezogenen Daten beschäftigt sind. Für große Vereine stellt die neue Vorschrift aber einer Herausforderung dar. Norbert Hübsch aus Heinersreuth führt einen großen oberfränkischen Verein. Er befürchtet, eine externe Person beauftragen zu müssen, was wiederum mit Kosten verbunden ist.

Das Gesetz nicht auf die leichte Schulter nehmen

Jens Bernsdorf verbreitet bei seinem Vortrag keine Panik. Einige Aufgaben kann der Verein auch nach dem Stichtag 25. Mai noch nachholen. Er ermahnt aber die Anwesenden, die neue Datenschutzverordnung ernst zu nehmen. Der Rechtsanwalt rechnet zwar nicht damit, dass die Aufsichtsbehörden kurzfristig tätig werden, sieht aber eine Gefahr bei den abmahnberechtigten Institutionen. “Für eine kostenpflichtige Abmahnung können schon mal Beträge im unteren dreistelligen Bereich anfallen”, so der Referent. Eine Gefahr könnte auch von Mitgliedern drohen, die den Verein im Streit verlassen. So wäre eine Anzeige bei der Datenaufsichtsbehörde denkbar, wenn das scheidende Mitglied mit der Art des Umgangs seiner Daten nicht einverstanden ist.

Zusammenfassende Checkliste des Bayerischen Landesamts für Datenaufsicht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.