Datenschutzgrundverordnung ab 25.5.18: „Jeder Verein muss sich damit beschäftigen“
Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) in Deutschland und allen anderen Mitgliedsstaaten der Europäischen Union zu geltendem Recht. Die DSGVO verdrängt zu diesem Zeitpunkt die bisher geltenden datenschutzrechtlichen Regelungen. Vereine – genauso wie Unternehmen – müssen sich deshalb frühzeitig darauf einstellen, wenn sie personenbezogene Daten ihrer Mitglieder verarbeiten. Sprich, sobald ein Sportverein die Daten seiner Mitglieder speichert, muss er diesen gegenüber nachweisen, wo ihre Daten zu welchem Zweck gespeichert werden, wer in welcher Form auf diese Zugriff hat und welche Medien und Institutionen bei ihrer Speicherung einbezogen sind. Bereits in der letzten Ausgabe hatte unser sportheilbronn-Jurist Harald Krusenotto in der Rubrik „Sportrecht“ darauf hingewiesen, dass hier etwas Gewaltiges auf die Vereine zukommt. Gemeinsam mit dem Vorsitzenden des Stadtverbands für Sport, Markus Otten, hat sich die sportheilbronn-Redaktion mit Harald Krusenotto getroffen, um eine Patentlösung für die Heilbronner Vereine herauszuarbeiten – um dann festzustellen, dass es diese Patentlösung nicht gibt.
Foto: Marcel Tschamke
Autor: Ralf Scherlinzky
„Nach Artikel 32 der DSGVO sind bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierbei müssen die Maßnahmen einen Schutz gegen jegliche Arten (datenschutz-)rechtswidriger Verarbeitung von personenbezogenen Daten bieten“ – so schreibt der Landesbeauftragte für den Datenschutz in der Broschüre „Datenschutz im Verein nach der DGVO“ des Landes Baden-Württemberg. Was bedeutet dies in der Praxis?
„Jeder EU-Bürger hat einen gesetzlichen Anspruch darauf, zu wissen, was mit seinen personenbezogenen Daten passiert“, erklärt Harald Krusenotto. „Deshalb muss der Verein seinen Mitgliedern genau aufzeigen, wo diese gespeichert werden. Auf den ersten Blick ist die Antwort darauf naheliegend: Die Daten werden auf einem Rechner in der Geschäftsstelle gespeichert. Jetzt nehmen wir aber an, ein neues Mitglied schickt seinen Mitgliedsantrag per Mail an den Vorsitzenden. Dieser hat seine Vereins-Mailadresse auf Handy, Tablet, privatem Laptop und am Geschäftsstellen-PC eingerichtet, so dass der Antrag mit Geburtstag, Familienstand und Bankverbindung des Neu-Mitglieds auf vier Geräten abgerufen werden kann. Da der Vorsitzende sich nicht selbst um die Mitgliederverwaltung kümmert, leitet er die Mail an den Mitarbeiter weiter, der dafür zuständig ist. Auf wievielen Geräten ruft dieser die Mail ab, bis sie in der Software für die Mitgliederverwaltung landet? Werden die Daten dann lokal auf dem Rechner der Geschäftsstelle gespeichert oder liegen sie in der Cloud, damit der Mitarbeiter auch von zuhause und vom Handy darauf zugreifen kann? Ist er der Einzige, der auf die Mitgliederdaten zugreifen darf oder haben weitere Mitarbeiter des Vereins Zugriff auf die Mitgliederverwaltung? Werden Daten an die übergeordneten Sportverbände weitergegeben, zum Beispiel für die Herstellung von Spielerpässen? Was machen diese Verbände mit den Daten?“
Der Verein hat hier ab dem 25.5. eine Nachweispflicht, wenn eines seiner Mitglieder nachfragt, was der Verein mit seinen Daten macht.
„Darüber hinaus“, ergänzt Harald Krusenotto, „muss der Verein ein lückenloses Verarbeiterverzeichnis aufstellen. Das geht los beim Verwalter des Mitgliederverzeichnisses über den Steuerberater und das Bankinstitut, das die Beiträge einzieht, den Dienstleister, der für den Verein die Firewall eingerichtet hat bis hin zum Provider, über den die Mails verschickt werden – inklusive der Information, in welchem Land dessen Server stehen.“
Der Stadtverbands-Vorsitzende Markus Otten stellt anhand dieser Informationen zu Recht fest, dass die DSGVO ein gravierender Einschnitt für jeden Verein ist und den normalen „Vereinsmenschen“ überfordert: „Das sind alles Ehrenamtliche, die ihre Vereine neben dem Beruf führen. Wie sollen sie das alles so abbilden, dass sie nicht, ohne es zu wissen, in die Bußgeldfalle rennen?“
Da jeder Verein anders aufgestellt ist, gibt es keine Pauschallösung für alle Vereine, ein paar grundsätzliche Dinge kann Harald Krusenotto aber doch empfehlen: „Wenn der Verein seine Mitglieder eine Dateneinwilligungserklärung unterschreiben lässt, in der er aufschlüsselt, was mit den Daten passiert, ist er schon mal weitgehend auf der sicheren Seite. Doch dafür muss sich der Verein erst einmal Gedanken machen, wozu er welche Daten überhaupt benötigt und wie sie konkret von wem verarbeitet werden. Dem Mitglied muss klar sein, in was es einwilligt.“
Als Vorsitzender des TSB TC Horkheim e.V. hat der Anwalt ein entsprechendes Formular aufgesetzt. „Leider ist es nicht damit getan, irgendwo ein paar Kreuzchen zu setzen. Da jeder Verein anders aufgestellt ist, wird es womöglich kaum ohne Hilfe eines Juristen und eines IT’lers gehen, um die Vorgaben der Verordnung, insbesondere auch an die Datensicherheit, umzusetzen.“
Ursprünglich war es unser Ansatz gewesen, im Rahmen unserer Gesprächsrunde einen Leitfaden mit Lösungsansätzen für die Sportvereine herauszuarbeiten. Doch die Komplexität des Themas hat uns schnell wieder davon abrücken lassen, weshalb wir beschlossen haben, den Sportvereinen gemeinsam mit Harald Krusenotto eine offene Infoveranstaltung zur DSGVO anzubieten. Sie findet statt am Montag, 30. April 2018 um 19 Uhr in der Gaststätte „Zum Reegen“, Riedweg 52 in Heilbronn-Frankenbach.
Vereinen, die an der Veranstaltung teilnehmen wollen, empfehlen wir, schon im Vorfeld eine Bestandsaufnahme zu machen. Was wird zu welchen Zwecken gespeichert? Wo wird es überall gespeichert? Wer verarbeitet die Daten und an wen werden sie weitergegeben?
Wir werden auch bei der Infoveranstaltung kein Patentrezept für jeden Verein liefern, aber zumindest eine Richtung vorgeben können.