Am 25. Mai 2018 war es soweit: Die EU-Datenschutzgrundverordnung (DSGVO) trat in Kraft. Inzwischen bereits ein Reizwort für viele, die damit in Unternehmen oder auch im Ehrenamt konfrontiert sind, sorgt sie doch immer noch für Unsicherheit. Deshalb bietet das Landratsamt am 12.07.2018 eine weitere Informationsveranstaltung zur EU Datenschutzgrundverordnung für Vereine an.
Mitte Juni versuchte Hans-Jürgen Schwarz, seines Zeichens Präsident und Datenschutzbeauftragter des Bundesverbandes der Vereine und des Ehrenamtes e.V. (bvve), etwas Licht in das Dunkel zu bringen. Die Freiwilligenagentur altmühlfranken hatte zu einer Informationsveranstaltung zur DSGVO für Vereine und Ehrenamt in den kunststoffcampus bayern geladen. Mit über 160 Teilnehmern war der Vortragsraum restlos gefüllt. Aufgrund der großen Nachfrage wird es am 12.07.2018 nochmals eine Informationsveranstaltung für Vereine und Ehrenamt geben.
Hans-Jürgen Schwarz versuchte so anschaulich wie möglich auf die wichtigsten Stichworte einzugehen. Zunächst stellte er klar, dass neben Unternehmen auch Vereine keine personenbezogenen Daten erheben und verarbeiten dürften, es sei denn es liegt eine Erlaubnis der betroffenen Person vor. Bei diesem „Verbotsprinzip“ liegt die Beweispflicht im Falle eines Rechtsstreites beim Verein, daher empfiehlt es sich, sich von allen Personen, mit denen man zu tun hat eine schriftliche Einwilligungserklärung geben zu lassen.
Neu sind auch ausgeweitete Dokumentationspflichten. So muss in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten festgehalten werden, welche Daten wo und durch wen verarbeitet werden. Ein Verein, der mit einem Dachverband zusammenarbeitet, dem er z.B. im Sportbereich Meldungen erstattet, muss mit diesem in der Regel einen Vertrag zur Auftragsdatenverarbeitung abschließen und seine Mitglieder gleichzeitig darauf hinweisen (z.B. in der Einwilligungserklärung), dass die Daten weitergegeben werden. Die Verantwortung für die Einhaltung der Bestimmungen trägt im Verein der Vorstand. Sofern ein externer Datenschutzbeauftragter bestellt ist, geht die Haftung auf diesen über.
Insbesondere zur Funktion und Notwendigkeit der Bestellung eines Datenschutzbeauftragten gab es auch viele Fragen aus dem Publikum. Gemäß DSGVO muss jeder Verein, bei dem sich mehr als neun Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigen, einen Datenschutzbeauftragten benennen. Dazu gibt es mittlerweile jedoch Entwarnung seitens der Bayerischen Staatsregierung, die einen sogenannten „Bayerischen Weg“ einschlagen will. Dies funktioniert durch die mögliche nationale Auslegung der europäischen Gesetzgebung. Der „Bayerische Weg“ sagt z.B. aus, dass Übungsleiter in Vereinen nicht „ständig“ mit der Verarbeitung von Daten zu tun hätten, sondern nur gelegentlich. Dadurch würden diese nicht zu den neun Personen dazugezählt werden müssen. Ständig bedeutet in diesem Zusammenhang, dass die Kerntätigkeit der Person die Weiterverarbeitung von Daten sein müsse. Selbst bei einem größeren Sportverein wäre hier nicht mit mehr als neun Personen zu rechnen.
Das Bayerische Landesamt für Datenschutzaufsicht, das in Bayern für die Einhaltung der DSGVO zuständig ist, setzt in Absprache mit der Bayerischen Staatsregierung im Vollzug der Verordnung auf Hinweis und Beratung statt Sanktionen. Insbesondere bei einem Erstverstoß gegen einzelne Vorgaben wird es keine Sanktionen geben. Auch die Angst vor den Abmahnwellen kann den Vereinen genommen werden, denn abmahnen kann – wenn überhaupt – nur ein Verbraucherschutzverband oder ein „Wettbewerber“. Ob dabei ein anderer Verein als Wettbewerber gesehen werden kann, ist sehr umstritten. Die Bayerische Staatsregierung wird sich vehement dafür einsetzen, Abmahnwellen zu verhindern und hat bereits einen entsprechenden Gesetzesentwurf eingebracht. Dies würde zunächst eine deutliche Erleichterung für viele größere Sportvereine bedeuten. Nähere Informationen zum „Bayerischen Weg“ findet man online unter https://www.lda.bayern.de/de/kleine-unternehmen.html.
Ein weiteres wichtiges Thema im Bereich der DSGVO ist die Homepage eines Vereines. Wichtig sind hier verschlüsselte Verfahren (z.B. https…) sowie ein einwandfreies Impressum. Zusätzlich muss die vereinsspezifische Datenschutzerklärung veröffentlicht sein. Für das Abonnement eines Newsletters muss eine eigene Einwilligung erfolgen, im besten Fall online mittels eines Double-opt-in-Verfahrens (1. Einwilligung: Häkchen setzen, 2. Einwilligung: Bestätigung durch Nutzer per Email-Link). Einfach einzuhalten sind dagegen die Empfehlungen im Email-Verkehr. Wichtigste Voraussetzung: den Verteiler der Adressaten immer in BCC setzen, d.h. unsichtbar für alle außer den Absender. Empfehlenswert ist, dass der Verein sich „vereinsspezifische“ Email-Adressen einrichtet, aus denen hervorgeht, dass es sich um einen Verein handelt. Am besten ist dies ohne Namen von Vereinsmitgliedern voranzustellen, z.B. mit zentralen info@-Adressen. Auch eine Signatur bei der „Unterschrift“ ist vorgeschrieben.
Wichtig ist ebenfalls, bei Veröffentlichungen allgemein die Persönlichkeitsrechte von Personen zu wahren, v.a. in Bezug auf Fotos, auf denen jemand erkennbar ist, als auch in Bezug auf Listen, auf denen Namen stehen. Nur mit einer entsprechenden Einwilligungserklärung sind solche Veröffentlichungen rechtens.
Bei einer notwendige Satzungsänderung zur Aufnahme aller relevanten Datenschutzrichtlinien reicht es, wenn dort festgehalten wird, dass der Vorstand entsprechende Regelungen in einem gesonderten Regelwerk niederlegt. Einmal in einer Mitgliederversammlung beschlossen, erleichtert das für die Zukunft Änderungen, die dann durch den Vorstand selbst und nicht immer mittels Mitgliederversammlungen vorgenommen werden können.
Trotz der Aufklärung zu den verschiedenen relevanten Punkten waren viele Teilnehmer der Veranstaltung im Anschluss entweder ratlos oder verärgert. Viele ehrenamtlich Tätige in Vorstandspositionen fühlen sich mit den neuen Aufgaben im Datenschutzbereich überfordert.
Damit dies nicht so bleibt, plant die Freiwilligenagentur altmühlfranken eine Schulungsreihe, die u.a. Tagesseminare zu spezifischen Teilen der DSGVO enthalten soll.
Entsprechende Termine werden über die Presse bekanntgegeben und per Mail an die Personen, die dafür eine Einwilligungserklärung erteilt haben, verschickt.
Anmeldungen für die Informationsveranstaltung am 12.07. (um 19:00 Uhr am kunststoffcampus bayern) – maximal 2 Personen pro Verein – werden noch entgegengenommen.
Anmeldungen unter Nennung des Namens, des Vereins/der Initiative, der Personenanzahl sowie einer Telefonnummer oder Email-Adresse können wie folgt übermittelt werden:
per Mail: info@altmuehlfranken.de
per Fax: 09141 902-195
per Telefon: 09141 902-192.