Datenschutz: Was Vereine wissen sollten

Datenschutz in Krefeld: Was Vereine wissen sollten

Der Fischelner Bürgerverein hatte zu einem Themenabend gemeinsam mit der VHS geladen: „Datenschutzgrundverordnung für Vereine“. Das Interesse war gewaltig.

Die Verunsicherung von Vereins-Verantwortlichen zum Thema Datenschutzgrundverordnung (DSGVO) ist weiterhin groß. So groß, dass einige Krefelder Vereine ihre Webseiten vorerst aus dem Netz genommen haben, weil Unklarheit herrscht, ob zum Beispiel das Veröffentlichen von Fotos und anderen personenbezogenen Informationen erlaubt ist.

Ausverkauft war jetzt ein auf Initiative des Bürgervereins Fischeln von der Krefelder Volkshochschule organisierter Abend zum Thema „Datenschutzgrundverordnung für Vereine“. Abram Wagenaar, IT-Berater bei der Krefelder Beratungs- und Prüfungsgesellschaft (BPG) legte in einem rund zweistündigen Vortrag die Grundlagen der Verordnung dar. Der Datenschutz-Experte machte deutlich, dass für jeden Verein sofort Handlungsbedarf besteht. Wir klären die wichtigsten Fragen.

Worum müssen Vereine sich als erstes kümmern?

Als erste Maßnahme ist unabdingbar, auf der Vereinswebseite eine Datenschutzerklärung einzufügen. Und zwar deshalb, weil die Webseite öffentlich ist und so leicht zum Einfallstor für Abmahn-Anwälte werden kann. In der Datenschutzerklärung muss in einfacher Sprache über Art und Umfang der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, also Daten, die einer Person zugeordnet werden können, informiert werden. Das heißt, der Text muss auf die jeweilige Homepage, und das, was dort geschieht, zugeschnitten sein. Dennoch ist es möglich, sich an bereits veröffentlichten Datenschutzerklärungen, etwa auf der Homepage des Bürgervereins Fischeln, zu orientieren und diese auf den eigenen Bedarf textlich anzupassen.

Was sind die grundsätzlichen Fragen, die Vereine sich in Sachen Datenschutz stellen müssen?

Die zwei wichtigsten Fragen, die im Auge behalten werden müssen, sind: „Ist das, was mit personenbezogenen Daten gemacht wird, erlaubt?“ und „Hat der Verein die Personen, deren Daten erfasst sind, darüber umfassend informiert?“

Muss ein Datenschutzbeauftragter benannt werden?

Wagenaar empfiehlt jedem Verein, ob rechtlich verpflichtet, oder nicht, einen Datenschutzbeauftragten zu benennen, einfach deshalb, um im Verein einen Verantwortlichen zu etablieren, der für Datenschutzthemen ansprechbar ist und den Überblick behält. Die rechtliche Verpflichtung greift unter anderem, wenn regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der Datenschutzbeauftragte sollte nicht Mitglied des Vorstands sein.

Welche vereinsinternen Prozesse müssen angeschoben werden, um der DSGVO zu genügen?

Vereine sollten jetzt in einen internen Prozess einsteigen, in dessen Verlauf der Umgang mit personenbezogenen Daten analysiert, strukturiert und dokumentiert wird und ein so genanntes Verarbeitungsverzeichnis erstellen. „Man kann keinen Datenschutz organisieren, wenn man gar nicht weiß, welche Daten eigentlich gesammelt werden“, macht Wagenaar deutlich.

Was ist ein Verarbeitungsverzeichnis?

Vereine müssen ein Verarbeitungsverzeichnis erstellen und der Behörde vorlegen können, das, etwa in Tabellenform, Informationen darüber enthält, welche unterschiedlichen Datenverarbeitungstätigkeiten in dem Verein stattfinden und wie diese organisiert sind. Gute Beispiele dazu gibt es auf der Webseite des Bayrischen Landesamtes für Datenschutzaufsicht (www.lda.bayern.de).

Welche Daten dürfen Vereine überhaupt sammeln?

Erlaubt sind generell Datensammlungen- und Verarbeitungen, die die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder erforderlich sind, also etwa Name, Geburtsdatum, Adresse. Generell gilt, so wenig Daten wie möglich zu erheben, also nur, was für die Vereinszwecke wirklich gebraucht wird, Stichwort: Datenminimierung.

Für welche Datenverarbeitungen müssen Vereine sich eine gesonderte Erlaubnis holen?

Eine zusätzliche Erlaubnis muss - auch für Alt-Mitglieder- eingeholt und unbedingt schriftlich dokumentiert werden, wenn Mitgliederdaten zu weiteren Zwecken genutzt werden, die über die Verfolgung der Vereinsziele und Betreuung der Mitglieder hinausgehen, zum Beispiel dem Newsletterversand oder der Veröffentlichung von Fotos auf der Webseite oder das bekannt machen von runden Geburtstagen in Vereinspublikationen. Besondere Vorsicht ist geboten, wenn Kinder betroffen sind, hier gelten verschärfte Regeln.

Worüber müssen Vereine ihre Mitglieder jetzt informieren?

Die Mitglieder sind zum Zeitpunkt der Datenerhebung darüber in Kenntnis zu setzen, für welche Zwecke ihre Daten gesammelt, gespeichert und genutzt werden und an wen und für welchen Zweck Daten weitergeben werden, z.B. an einen Dachverband oder eine Versicherung. Für Bestandsmitglieder kann diese Information mit dem nächsten Rundschreiben nachgeholt werden, Neu-Mitglieder sollten auf dem Beitrittsformular informiert werden.

Darf ein Verein Fotos auf der Webseite veröffentlichen?

Als „große rechtliche Grauzone“ bezeichnet Wagenaar das Thema Fotos auf Webseiten. „Streng nach der DSGVO müsste von allen abgebildeten Personen eine Einwilligungserklärung vorliegen“, sagt er und kritisiert, dass das Gesetz nicht auf die Praxis zugeschnitten sei. Er erwartet, dass seitens der Datenschutzbehörde beizeiten Interpretationen der Verordnung vorgelegt werden, die sich etablieren. Derzeit wisse man aber nicht, wie die Behörde regieren werde. Er glaubt aber nicht, dass veröffentlichte Fotos Abmahnanwälte auf den Plan rufen werden, weil der Aufwand zu groß sei. Dennoch sollten Vereine sehr vorsichtig agieren und sich im Zweifel Einwilligungserklärungen unterschreiben lassen.

Wie viel Zeit haben Vereine, um auf Nachfrage Auskunft über gespeicherte Daten geben?

Vereine müssen in der Lage sein, Mitgliedern auf Nachfrage innerhalb eines Monats Auskunft über die jeweiligen gespeicherten personenbezogenen Daten zu geben.

Wie müssen gespeicherte Daten gesichert werden?

Die Vereinsverantwortlichen müssen dafür sorgen, dass die Daten nach aktuellem Stand der Technik angemessen geschützt sind, etwa mit einem Kennwort, Verschlüsselung oder verschlossen in einem Aktenschrank.

Was müssen Vereine tun, wenn es eine Datenpanne gegeben hat, zum Beispiel ein USB-Stick mit dem Mitgliederverzeichnis verloren wurde?

Datenpannen müssen innerhalb von 72 Stunden an die Landesbeauftragte für Datenschutz (LDI) gemeldet werden, wenn ein Risiko für Rechte und Freiheiten natürlicher Personen entstehen. Der Datenschutzbeauftragte des Vereins sollte sich zuerst einen Überblick über die genaue Lage verschaffen und entscheiden, ob ein solches Risiko vorliegt. Der Vorgang sollte dokumentiert werden, damit der Verein gegenüber der Behörde einen Nachweis hat, was wieso entschieden wurde.

Was bedeutet die Löschpflicht?

Es gilt eine Daten-Löschpflicht, sobald keine Grundlage für die Verarbeitung mehr vorliegt, etwa wenn eine Mitgliedschaft gekündigt wird. Für diesen Vorgang muss ein (Lösch-) Konzept etabliert werden, gesetzliche Aufbewahrungspflichten berücksichtigt werden.

Insgesamt, sagt Wagenaar, sei das Gesetz so allgemein formuliert, dass es wenig vorgefertigte Informationen und Antworten gebe. Er empfiehlt Vereinen, einen Prozess zum Datenschutz in die Wege zu leiten und zu dokumentieren, mit dem gegenüber der Behörde nachgewiesen werden kann, dass der Verein es ernst meint mit dem Datenschutz – und sich gegebenenfalls Beratung zu suchen.