Die EU-DSGVO

 

1.   Die EU-Datenschutzgrundverordnung im SV

 

Nicht nur in Unternehmen, sondern auch in Vereinen werden unterschiedlichste persönliche Daten auf vielfältige Weise erhoben, genutzt und eventuell auch weitergegeben. Diese Datenerhebung erfolgt teilweise aufgrund der satzungsgemäßen Verpflichtungen eines Vereins wie zum Beispiel die Datenerfassung bei einem neuen Vereinsmitglied aber auch vielleicht zur Erleichterung der Vereinsarbeit. Heutzutage werden diese Daten meist in elektronischer Form gespeichert und bearbeitet.

 

Seit vielen Jahren bestehen hierzu entsprechende Datenschutzregeln. Am 25. Mai 2018 tritt nun eine europaweite Neuregelung, die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die eine weitgehende Vereinheitlichung der zurzeit noch national unterschiedlichen Gesetzgebungen zum Datenschutzrecht zum Ziel hat. Die neue EU-DSGVO gilt schon seit 25. Mai 2016. Es wurde aber eine Übergangsfrist bis zum 25. Mai dieses Jahres gewährt. Für die Vereine gelten daher ab dem 25.5.2018 sowohl die Regularien der EU-DSGVO sowie des neuen Bundesdatenschutzgesetzes. Einhergehend mit dem Wirksamwerden werden auch die möglichen Bußgelder deutlich erhöht, weshalb Vereinen dringend anzuraten ist, das Thema Datenschutz genauer zu betrachten und die Regeln zu befolgen.

 

2.   Was sind personengebundene Daten

 

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Damit sind nicht nur die zur Identifizierung einer Person erforderlichen Daten wie z.B. der Name und das Geburtsdatum gemeint, sondern auch Angaben wie Familienstand, Anschrift, Beruf, Telefonnummer und E-Mail-Adresse.

 

Aber auch Prüfungsergebnisse, Daten im Schaukatalog einer Zuchtschau und Turnierdaten eines Agilitytunieres sind personenbezogene Daten, die schützenswert sind. Sogar die Tätowiernummer oder die Chipnummer ihres Hundes sind ein personenbezogenes Datum, da über diese Nummer Rückschlüsse auf den Züchter oder Eigentümer des Hundes gezogen werden können.

 

3.   Welche Daten dürfen erhoben werden

Grundsätzlich dürfen nur die Daten einer Person erhoben werden, die für die satzungsgemäße Verwaltung der Daten erforderlich sind. Eine Verwendung dieser Daten ist nur dann zulässig, wenn die EU-DSGVO, das neue BDSG, eine andere Rechtsvorschrift oder die persönliche Einwilligung der betroffenen Person dies erlauben.

Innerhalb einer Ortsgruppe sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung des Vereins bestimmt. Für den Umgang mit den Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten und nutzen darf. Diese dürfen grundsätzlich nur zu dem Zweck verwendet werden, zu dem sie der Verein erhoben hat und den er entsprechend seiner Satzung verfolgt.

 

In vielen Vereinen ist es üblich, Informationen über ihre Mitglieder an einem „Schwarzen Brett“ oder in Vereinsblättern bekannt zu machen. Das führt dazu, dass auch vereinsfremde Personen von persönlichen Angelegenheiten der Vereinsmitglieder Kenntnis erhalten können. Auch wenn derartige Veröffentlichungen für die Erreichung der Ziele des Vereins üblich und geboten sind – etwa Ergebnisse eines Agilitytunieres oder Zuchtschauergebnisse - müssen diese Mitteilungen unterbleiben, wenn ihnen schutzwürdige Belange der Betroffenen entgegenstehen. Deswegen sollte jedes Vereinsmitglied, aber auch Ortsgruppenfremde Personen vor Veröffentlichung rechtzeitig informiert werden, was wann wo auf welchem Wege der Öffentlichkeit bekannt gemacht wird, damit dieser Veröffentlichung widersprochen werden kann. Das gilt grundsätzlich, allerdings mit viel engeren Grenzen, auch für die Verbreitung von Mitteilungen im Internet.

 

Die Mitgliederdaten einer Ortsgruppe sind nicht automatisch auch Daten des Hauptvereins, obwohl die Ortsgruppe eine Unterorganisation des Hauptverbandes ist. Vielmehr ist der Hauptverein datenschutzrechtlich wie eine „fremde“ Stelle zu behandeln. Personenbezogene Daten der Vereinsmitglieder dürfen dem Hauptverein nur zur Verfügung gestellt werden, wenn dieser eine Aufgabe erfüllt, die letztlich auch im berechtigten Interesse des übermittelnden Vereines liegt.

 

In jedem Verein muss es für die Verwaltung der Mitgliederdaten ein sogenanntes Datenlöschkonzept geben. In dieser ist festzulegen, wann welche Daten der Mitglieder zu löschen sind. Dabei gilt die Faustregel, dass eine Löschung erst geboten, aber dann auch tatsächlich vorzunehmen ist, wenn nach dem Austritt eines Mitgliedes nicht mehr mit Rückfragen wegen der erloschenen Mitgliedschaft gerechnet werden muss.

 

4.   Wichtige Punkte der EU-DSGVO für die Ortsgruppen

 

Folgende Punkte sind für die Orts- und Landesgruppen wichtig und sollten beachtet werden:

A.      Grundsätze für Verarbeitung personenbezogener Daten

Art. 5 der DSGVO beschreibt überschaubar und einfach formuliert die Grundsätze der Verarbeitung personenbezogener Daten, die auch von Vereinen bei jedem Umgang mit persönlichen Daten zu beachten sind.

 

Beispiel: Der Grundsatz der Zweckbindung und Datenminimierung, bedeutet, dass nur die Daten verarbeitet werden dürfen, die „für festgelegte, eindeutige und legitime Zweck“ bestimmt sind. Die Verarbeitung muss „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ (Art. 5 DSGVO).

 

B.     Technische und organisatorische Maßnahmen

Nach Art. 24 Abs. 1 der DSGVO müssen auch Vereine dafür Sorge tragen und überprüfen, ob die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, Datensicherheit zu gewährleisten. Bei allen Datenverarbeitungsvorgängen muss demnach überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen worden sind.

 

C.      Informationspflichten

Auch die Ortsgruppen im SV sind verpflichtet, die Personen, deren Daten Sie verarbeiten schon vor der Verarbeitung der Daten umfangreich zu informieren. Art. 13 der DSGVO gibt hierzu eine genaue Liste der Informationen vor, die „der betroffenen Person zum Zeitpunkt der Erhebung“ mitzuteilen sind. Im Vergleich zu den bisherigen Vorschriften laut Telemedien- und Bundesdatenschutzgesetz sind einige neue Anforderungen hinzugekommen, die es genau zu beachten gilt. Sofern diese Informationen den Personen, von denen bereits Daten erhoben wurden, noch nicht zur Verfügung gestellt wurden, muss dies aktiv durch den Verein vor dem 25.5.2018 erfolgen.

 

D.     Einwilligungserklärungen

Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen der Personen vor, deren personenbezogene Daten von einer Ortsgruppe verarbeitet werden. Insbesondere wird bei der Einwilligung betont, dass dies eine „unmissverständlich abgegebene Willensbekundung“, bzw. „eine eindeutig bestätigende Handlung“ sein muss. Ein bereits angekreuztes Kästchen beispielsweise ist nicht zulässig. Ein besonderes Augenmerk muss zukünftig auch auf der Formulierung der Einwilligung liegen, da diese „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 7 Abs. 2 DSGVO) erfolgen muss. Dies bedeutet zudem, dass die Verantwortlichen der Ortsgruppe auch kritisch prüfen müssen, ob die eventuell bereits vorliegenden Einwilligungserklärungen noch den neuen Anforderungen entsprechen. 

 

E.      Verfahrensverzeichnis

Neu für viele Vereine ist die Verpflichtung nach Art 30. Abs. 1 Satz 1 DSGVO „ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“ zu führen. Zwar gilt dies nach Art. 30 Abs. 5 der DSGVO nicht für Einrichtungen „die weniger als 250 Mitarbeiter beschäftigen“. Jedoch dürfte die darauffolgende Ausnahme „die Verarbeitung erfolgt nicht nur gelegentlich“ auch auf unsere Ortsgruppen zutreffen, da alleine schon ein Mitgliederverzeichnis als „Verzeichnis einer ständigen Verarbeitung“ angesehen wird. 

 

F.      Meldepflicht

Nach Art. 33 Abs. 1 DSGVO besteht nun auch für Vereine die Pflicht, eine „Verletzung des Schutzes personenbezogener Daten ... unverzüglich und möglichst binnen 72 Stunden, nachdem ... die Verletzung bekannt wurde, der ... zuständigen Aufsichtsbehörde“ zu melden. Dies bedeutet, dass jede Ortsgruppe im Vorfeld einen Prozess, ein Muster für die Meldung an die Behörde und die zuständig verantwortliche Person bestimmen sollte. Mindestinhalte der Meldung sind in Art 33 Abs. 3 DSGVO geregelt.

 

G.     Datenschutzbeauftragte/r 

Wenn mindestens 10 Personen im Verein ständig mit der Verarbeitung von Daten betraut sind, muss ein Datenschutzbeauftragter benannt werden (Art. 38 Abs. BDSG neu). Diese Regelung galt bereits bisher, jedoch wurden die zukünftigen Aufgaben des Datenschutzbeauftragten verschärft. Aufgaben des Datenschutzbeauftragten sind u.a. „Beratung des Verantwortlichen“, die „Überwachung der Einhaltung der Verordnung“ sowie „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ und die „Zusammenarbeit mit der Aufsichtsbehörde“. Da es aber wahrscheinlich innerhalb des SV keine Ortsgruppen geben wird, in denen ständig mehr als 10 Vereinsmitglieder mit der Bearbeitung personengebundener Daten beschäftigt sind, wird diese Regelung nur auf die Hauptgeschäftsstelle des SV zutreffen.

 

Ein besonderes Augenmerk sollte zukünftig auch auf die Dokumentation jeder Maßnahme beim Umgang mit Daten bzw. in der Umsetzung der EU-DSGVO gelegt werden, da nach Art. 5 Abs. 2 EU-DSGVO der Verein in Zukunft, sollte es zu Datenschutzverstößen kommen, nachweisen können muss, dass er die datenschutzrechtlichen Regelungen eingehalten hat.

 

5.   Was ist zu für die Ortsgruppen nun zu tun?

 

Die Ortsgruppen sollten sich schnellstmöglich mit der Umsetzung der Anforderungen befassen. Folgende  Punkte sollten dabei beachtet werden:

  • Anpassung der Mitgliedsanträge, Erstellung eines Infoblattes mit Hinweis auf die Verwendung der Daten des Mitgliedes. (Mit der Unterschrift bestätigt das neue Mitglied den Erhalt der Information)
  • Erstellung eines Infoschreibens für die Bestandsmitglieder und Erstellung eines Formblattes, in dem das Mitglied den Erhalt bestätigt
  • Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO
  • Überarbeitung von Einwilligungserklärungen gemäß den Vorgaben der DSGVO (z.B. für die Veröffentlichung von Bildern des Mitgliedes)
  • Prüfung und Sicherstellung der TOMs (= technischen und organisatorischen Maßnahmen)
  • Erstellung eines Sicherheitskonzeptes
  • Sicherstellung der Betroffenenrechte

Schieben Sie die notwendigen Arbeiten nicht auf die lange Bank. Bis zum 25. Mai 2018 ist es nicht mehr lange hin. Und es ist damit zu rechnen, dass nach diesem Termin seitens der Behörden Prüfungen in nicht unerheblichem Maße anstehen werden.

 

Rüdiger Welker

Schriftwart LG-Saarland

Zertifizierter Datenschutzbeauftragter TÜV-Rheinland

 

Download
SV Merkblatt.pdf
Adobe Acrobat Dokument 50.2 KB
Download
SV Einwilligung.pdf
Adobe Acrobat Dokument 102.3 KB