EU-DSGVO - es tut dem Verein nicht weh

19.07.2018

 

Zunächst die gute Nachricht: Der 25. Mai ist vorbei, die Datenschutzgrundverordnung (DSGVO) ist in Kraft und wir leben alle noch. Auch wir beschäftigen uns wie viele andere Institutionen als Landesverband und  BDR immer noch mit dem Thema. Aber sollen oder können wir unsere Mitgliedsvereine beraten? Eine triefgreifende Rechtsberatung können und dürfen wir nicht leisten. Dazu fehlt uns die Legitimation, das individuelle vereins-interne Wissen und in einigen Situationen auch die Kompetenz. Wir müssen daher bei schwierigen Einzelfällen auf andere Instanzen verweisen.

So bietet zum Beispiel  der LSV in diesen Tagen (wieder) eine Informationsveranstaltung ihres Datenschutzbeauftragten an. Auch der ULD steht als Landesinstitution zur Verfügung. Allerdings haben beide nach meiner bescheidenen Meinung andere Kaliber als unsere Vereine im Fokus. Interessant war eine Mail unseres Sportversicherers ARAG ("Sonder-Newsletter: Einwilligungs- und Datenschutzerklärung nach DSGVO") vom 17.5.18 mit einigen guten Musterformularen.

Daher stelle ich einige Fragen in den Raum, bei deren Beantwortung Euch vielleicht Anregungen gegeben werden, schon mal einen Blick auf Eure Daten zu werfen und ggf. aktiv zu werden.

  • Ihr seid eine Sparte in einem Großverein? Hier muss der Gesamtverein tätig werden und die Regeln des Umgangs mit den personenbezogenen Daten festlegen.
  • Ihr seid ein eigenständiger Verein und verwaltet Euch selbst?

·         Schreibt auf (insb. für Eure Mitglieder) wie und wo Ihr die Mitgliedsdaten speichert und verarbeitet.

·         Solltet Ihr eine (moderne) Mitgliederverwaltung in der Cloud benutzen, schließt mit dem Dienstleister eine Vertrag zur Auftragsdatenverarbeitung und schaut Euch genau an, wo die Daten hingehen.

·         Schreibt auf, wem Ihr die Daten weitergebt. Zum Beispiel an unsere Geschäftsstelle, die sie nur dort verwaltet und nicht weitergibt. Es sei denn, Ihr beauftragt die Private Tretradversicherung, dann gehen Name und Adresse auch an die Versicherung (zur Zeit ARAG). Bei den RTF Wertungskarten verbleiben die Daten im Verband.
Beantragt Ihr Sportfördermittel? Will der KSV oder die Stadt Belege (Lizenzen, Behindertenausweise) haben? Was machen die mit den Daten? Wie lange heben sie sie auf - nachfragen!

·         Weist Eure Mitglieder darauf hin, dass sie eventuell eigene datenschutzrelevante Vereinbarungen mit dem BDR oder Veranstaltern schließen, z.B. bei Lizenzvergaben oder Eventanmeldungen. Damit hat aber der Verein nichts zu tun.

·         Schreibt Ihr einen Newsletter (nicht Werbung) an die Mitglieder, dann braucht Ihr deren schriftliche Einwilligung - glaubt so mancher Datenschützer. Nach meiner Meinung ist es schon fragwürdig, wenn ein Mitglied zwar Mitglied in einem Verein sein will (und die Rechte eines Eigentümers hat), aber nicht wissen will, was im Verein passiert, denn wer hat ein Schwarzes Brett zum Aushang oder schreibt noch Briefe? Auch bei der Verwendung von Bildern auf der Homepage ist eine Einwilligung nach der Verordnung vorgeschrieben.

·         Wie sicher sind die Vereinsdaten? Zugang passwortgeschützt? Datensicherung in der Cloud bei Apfel Computer, Amazone Versender oder Kleinstweich in den USA? Dort gelten die Europäischen Verordnungen nicht, also gelten sie als unsicher.

·         Habt Ihr eine Homepage, stellt eine Datenschutzerklärung ein. Bitte nicht alle Informationen, die Ihr oben beantwortet einstellen.

·         Veranstaltet Ihr eine RTF? Benutzt Ihr Scan&Bike? Auch die dort erhobenen Daten (egal ob Papier oder PC) sind personenbezogene Daten, die geschützt und gelöscht werden müssen. Hier stehen wir im Zwiespalt mit der Polizei.

·         Oberstes Prinzip bei allem soll die Transparenz sein. Was würdet Ihr wissen wollen, wo Eure Daten gelagert sind und ev. verbreitet werden.

  • Im Umgang mit Dienstleistern (z.B. für Anmeldung, Zeitnahme, Abrechnung etc.) gelten eventuell verschärfte Regeln (Auftragsdatenverarbeitung). Da hier immer von einem Datenaustausch mit Dritten auszugehen ist, hat das EU-DSGVO eigene Regeln vorgesehen. Hier bitte mit sehr viel Sorgfalt agieren.
  • Seit vorsichtig mit Daten von Kindern und Jugendlichen, ohne Einwilligung der Eltern rechtlich mehr als bedenklich.
  • Eine große datenschutzrechtliche Herausforderung sind Gesundheitsdaten. Auch Ergebnisse von Leistungsdiagnostiken sind Gesundheitsdaten. Daher eher auf die Speicherung der Daten in jeglicher Form verzichten - egal ob auf Papier oder elektronisch. Diese Daten sollten Eigentum der Sportler bleiben und diese nur unmittelbar mit dem Trainer besprechen.
  • Übrigens die EU-DSGVO gilt nur für Firmen und Organisationen (Vereine, Verbände, Parteien, Behörden). Wer als Privatmensch tätig ist, ist außen vor.

Lasst Euch auf keinen Fall von windigen Geschäftemachern ins Bockshorn jagen, die etwas von Strafen in Höhe von Millionen € erzählen, wenn man gegen die EU-DSGVO verstößt - es sind nicht mehr als 4% des Umsatzes einer Organisation. Der Umsatz eines Vereines berechnet sich nur die Erlösen von Veranstaltungen,  Verkäufen von Ausstattung (Trikots etc.) und ähnlichem - nicht die Mitgliedsbeiträge und Spenden. Schaut in Eure Bücher, das hält sich in Grenzen (wir sind ja kein Fußballverein).

Auch werden sich das Abmahn(un)wesen erst mal auf lukrativere Ziele stürzen als auf Vereine, bei denen wenig zu holen ist. Außerdem ist die Rechtslage für Abmahnungen noch sehr dünn.


Autor: Wilfried Weitz