Mit der europäischen Datenschutzgrundverordnung (EU-DSGVO) müssen Vereine ihre Datenverarbeitung neu aufstellen. Die Verordnung bringt zahlreiche neue Aufgaben mit sich.
Die EU-DSGVO gilt seit Mai 2018 für alle Organisationen in der Europäischen Union. Nicht zuletzt durch zahlreiche Medienberichte rund um die Einführung rückte das Thema Datenschutz in den Fokus einer breiten Öffentlichkeit. Neben Unternehmen müssen sich nun auch kleine Vereine die folgenden Fragen stellen: Sind wir auch von der EU-DSGVO betroffen? Und muss innerhalb unseres Vereins alles datenschutzkonform sein? Die klare Antwort für beide Fragen lautet: Ja!
Sobald Organisationen aus der Europäischen Union personenbezogene Daten verarbeiten, müssen sie datenschutzkonform handeln und die neuen Regeln befolgen. Aber wie funktioniert die aufwendige Umsetzung im Verein? „Viele Vereine sind mit der Umsetzung der EU-DSGVO überfordert. Häufig sind dort ehrenamtliche Mitglieder aktiv, die neben ihrer Vereinstätigkeit auch berufstätig sind. Somit fehlen dort die Ressourcen, um sich mit diesem Thema intensiv auseinanderzusetzen“, erklärt Vanessa Holzberger, Datenschutzbeauftragte bei TÜV Hessen und ehrenamtliche Datenschutzbeauftragte beim TSG Bad König 1863 e.V.. Aber nichtsdestotrotz können die Anforderungen realisiert werden – man muss nur den ersten Schritt wagen.
Ehrenamtliche Datenschutzbeauftragte
Mit der EU-DSGVO wurden nicht nur die Dokumentations- und die Informationspflichten erweitert, sondern auch der organisatorische Aufwand hat zugenommen. Zu den neuen Aufgaben zählt das Verzeichnis von Verarbeitungstätigkeiten und die Datenschutzfolgenabschätzung. In vielen Vereinen stellt sich zudem die Frage, ob man einen Datenschutzbeauftragten braucht. „Schaut man sich Vereine näher an, wird schnell klar, dass oft mehr als zehn Personen ständig personenbezogene Daten verarbeiten.“, sagt Vanessa Holzberger. „Damit erfüllen sie die Voraussetzung gemäß dem Anpassungsgesetz zur DSGVO und benötigen deshalb einen Datenschutzbeauftragten“.
In Deutschland wird die EU-DSGVO ergänzt vom neuen Bundesdatenschutzgesetz (Datenschutz Anpassungs- und Umsetzungsgesetz). Demnach sind Organisationen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, sobald mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ob es sich dabei um einen internen oder externen Datenschutzbeauftragten handelt, kann jeder Verein selbst bestimmen. Wichtig ist, dass sich der Datenschutzbeauftragte gut mit der jeweiligen Materie auskennt und immer auf dem aktuellen Stand ist, um schnell auf Änderungen und Weiterentwicklungen reagieren zu können. Nur so kann er den Verein dabei unterstützen, die Vorschriften des Datenschutzes auch einzuhalten.
Besonderer Schutz bei Kindern
Eine weitere Besonderheit für den Datenschutz in Vereinen, sind die personenbezogenen Daten von Kindern. Ihre Daten genießen innerhalb der EU-DSGVO besonderen Schutz und werden von den Eltern beziehungsweise Erziehungsberechtigen verwaltet. Deshalb müssen Vereine mit diesen Informationen besonders sensibel umgehen und ihnen viel Aufmerksamkeit schenken. Sind Vereinsmitglieder unter 16 Jahre alt, dürfen ihre Daten nur noch verarbeitet werden, wenn eine Einwilligung der Eltern vorliegt. Das ist ein großes administratives Problem – nicht nur bei Eintrittserklärungen von Kindern, sondern vor allem bei der Aufnahme und Veröffentlichung von Fotos. Denn nur wenn auch eine Einwilligung vorliegt, dürfen Kinder fotografiert und die Bilder veröffentlicht werden.
Eine echte Herausforderung. „Im Verein selbst ist es meist nicht so schwer, die Einwilligungen zu erhalten“, sagt Vanessa Holzberger, „Meistens kennt man die Eltern und kann das Einverständnis direkt einholen.“ Damit können Vereine bis zum Widerruf Aufnahmen machen und gegebenenfalls auch veröffentlichen. Bei Wettbewerben ändert sich die Lage. „Sobald Meisterschaften oder Turniere außerhalb der Vereine ausgerichtet werden, muss der Ausrichter sicherstellen, dass Einwilligungen der Eltern in die Aufnahme und Veröffentlichung von Bildern vorliegen“, sagt Vanessa Holzberger. Das bedeutet einen hohen Aufwand für viele Vereine, der nur schwer zu bewältigen ist.
Vielfältige Aufgaben
In Vereinen warten noch weitere Herausforderungen auf die Datenschützer. Schon bei den normalsten Vorgängen spielt der Datenschutz eine Rolle, wie der Versand von Einladungen zu Mitgliederversammlungen. Hierfür müssen Einwilligungen vorliegen, wenn die Mailadressen innerhalb eines Verteilers angezeigt werden sollen. Auch die eigene Website, die sichere Speicherung der Mitgliederdaten und vieles mehr muss unter DSGVO-Gesichtspunkten nochmal genauer betrachtet werden. Den Kopf in den Sand zu stecken ist dabei keine Option, dafür das Thema viel zu wichtig. Getreu dem Motto „Eine Reise beginnt immer mit dem ersten Schritt“ sollten Vereine erstmal eine Bestandsaufnahme machen und sich ihre Online-Auftritte genau anschauen. So wird schnell klar, wann und vom wem welche Daten überhaupt verarbeitet werden. Dann können die nächsten Schritte eingeleitet werden. Vanessa Holzberger weiß Rat: „Ich würde empfehlen, nach Hilfe von Experten zu suchen, die den Verein bei der konformen Umsetzung der DSGVO tatkräftig unterstützen können.“