Vereine und die Datenschutzgrundverordnung

Erstmal keine Panik!

In den letzten Wochen machten etliche Horrormeldungen und Panikmache bezüglich der DSGVO die Runde. Doch die ist in der Form gar nicht angebracht. Das schon viel länger geltende Bundesdatenschutzgesetz war die Blaupause für die EU-Verordnung. Deshalb hat sich eigentlich gar nicht soviel geändert, nur die Notwendigkeit sich daran zu halten hat sich erhöht.

Die Panik wurde von eineigen "Beratern" die gerne ihre teure Dienstleistung anbieten möchten wohlwollend aufgenommen und verstärkt. Die Änderungen kommen auch nicht überraschend, der Termin ist schon lange bekannt.

Hier eine kurze Zusammenstellung was sich für Vereine mit dem 25.Mai 2018 bezüglich des Datenschutzes wirklich geändert hat, weiter unten sind einige weiterführende Links aufgeführt:

In den nächsten Tagen folgen noch einige Informationen, Links und Beispiele:

Was ist im Wesentlichen durch die DSGVO neu und von Vereinen zu beachten (hiermit sind kleine, ortsübliche Vereine gemeint):

 

1. Alle Fotos auf denen Personen erkennbar sind fallen unter die DSGVO. Hier hat es der deutsche Gesetzgeber leider unterlassen eine Ausnahme in die nationale Umsetzung der EU-Verordnung aufzunehmen. Dies wäre nach der EU-Verordnung ausdrücklich erlaubt. So gilt ab 25. Mai die bisherige Regelung nach dem Kunsturhebergesetz leider nicht mehr. (Ausnahmen gibt es in DE nur für beruflich tätige Pressefotografen) 

Deshalb muss zur dauerhaften Speicherung und natürlich zur Veröffentlichung von allen Personen die Einwilligung vorliegen. Ansonsten sind diese Fotos umgehend wieder zu löschen. Deshalb benötigt man jetzt auch die Einwilligung von allen auf dem Foto erkennbaren Personen. Fotos bei denen auch Personen im Publikum zu erkennen sind somit auch nicht mehr so einfach möglich. Eine Einwilligung kann unter Umständen über die Hausordnung oder die AGB (bei Eintrittskarten) zu einer Veranstaltung eingeholt werden. Hier muss man mal abwarten wie sich die Rechtssprechung dazu bildet. Momentan würde ich den Vereinen keine solche Fotos zu verwenden.

 

2. Bußgelder können von den Datenschutzbehörden ab 25. Mai auch über Vereine (bzw. alle Daten verarbeitenden Organisationen und  privaten Personen) verhängt werden. Das die personell stark unterbesetzten Datenschützer sich nun auf die Vereine stürzen ist allerdings kaum zu befürchten. Also "don't panic". 

 

3. Es besteht nun auch eine Informationspflicht auch für Vereine

Eine Datenschutzerklärung  bzw. eine Informationspflicht gab es auch schon nach dem alten Datenschutzrecht. Die DSGVO macht nun deutlich, dass dies auch für Vereine notwendig ist. Der Inhalt und die Form ist geregelt. (Klare verständliche Sprache, Infos über Art- und Umfang, Weitergabe und Speicherfristen. Auskunftsrecht)   

Also: Welche Daten werden gespeichert bzw. verarbeitet, was wird davon an wen weitergegeben, wie lange werden die Daten gespeichert und wo kann ich Auskunft darüber erlangen. Dies sollte in Zukunft auf den Mitgliedsanträgen bzw. Anmeldung enthalten sein.

Eine Datenschutzerklärung sollte auf den Internetseiten der Vereine enthalten sein. Der Inhalt dieser ist natürlich von der Art des Internetangebots und den angeboteten Funktionen abhängig. bei reinen Infoseiten ist nur ein Hinweis auf die Serverlogs notwendig. Beim Einsatz von Analysetools wie Google-Analytics ist natürlich eine spezielle Information notwendig. Aber das war auch in der Vergangenheit schon so.     

 

4. Datenschutz by Design

Waren bisher nur vorsätzliche Verstöße zu ahnden, können nun auch Haftung und Bußgelder für technische, organisatorische und fachliche Fehler verhängt werden. Jeder der personenbezogene Daten speichert und verarbeitet hat einen angemessenen Aufwand zu treiben um die Daten vor unberechtigter Einsicht, böswilliger Veränderung usw. zu schützen. Für einen kleinen Verein ist sicher ein geringerer Aufwand angemessen als für große Organisationen. Doch ein Mindestmaß an organisatorischem und technischem Aufwand ist immer notwendig. Eine Beispiel für eine vereinsinterne Datenschutzrichtlinie finden Sie weiter unten.   

 

5. Betroffene einer Datenschutzpanne können auf Schadensersatz und Schmerzensgeld klagen

Neu ist auch, dass Betroffene Schadensersatz bzw. Schmerzensgeld einklagen wenn durch eine Verstoß gegen den Datenschutz ein Schaden bzw. ein Leid entstanden ist. Dazu muss der Schaden bzw. ein Leid entstanden und nachweisbar sein und die Daten speichernde Organisation einen Fehler gemacht haben. Diese Klagemöglichkeit bestand bisher auch schon, es war für die Betroffenen jedoch schwierig durchsetzbar und die deutsche Gerichtsbarkeit sehr zurückhaltend. Da die Klagemöglichkeit jetzt per Gesetz verankert ist, wird die Zurückhaltung wohl schwinden. Aber auch hier gilt weiterhin "keine Panik", die Hürden für erfolgreiche Klagen liegen immer noch sehr hoch. Allerdings gilt die Entwarnung nur dann wenn der Verein keine gravierenden Fehler gemacht hat oder weiterhin macht.

Vereine sollten deshalb dringend darauf achten, dass PC's, Speichermedien, etc. mit personenbezogenen Daten dem aktuellen Stand der Technik gesichert sind.  (Betriebssystem, Anwendungssoftware, Anti-Virus-Software auf dem neuesten Stand, mobile Datenträger nur verschlüsselt nutzen, personenbezogene Daten nicht in unverschlüsselten e-mails, keine unsicheren Cloud-Dienste nutzen.)

 

6. Es besteht eine Auskunftspflicht

Wenn über jemand Daten gespeichert sind, kann dieser über ihn gespeicherte Daten Auskunft anfordern und muss diese dann auch erhalten. Wo und wie diese Auskunft erhalten kann ist Teil der schon erwähnten Informationspflicht.  

 

7. Nutzung von Speicherplatz und Cloud-Diensten mit Servern außerhalb der EU

Auch dieser Punkt ist nicht neu, bekommt jetzt nur auch für Vereine mehr Brisanz. Bei der Nutzung solcher Dienste ist sehr viel zu beachten, Vereine sollten deshalb ausschließlich Anbieter und Server innerhalb der EU verwenden. US-Unternehmen mit Servern in der EU sind nach Meinung etlicher Datenschutzexperten ebenfalls als unsicher einzustufen.      

 

8. Auftragsdatenverarbeitung

Findet eine Auftragsdatenverarbeitung statt, /zum Beispiel eine externe Mitgiederverwaltung, ist sicherzustellen, dass die Einhaltung des Datenschutzes durch den Auftragnehmer vertraglich sichergestellt ist. Da dies bei kleinen Vereinen eher selten.

 

9. Dokumentationspflicht

Bisher konnte man bei einer Überprüfung durch die Datenschutzbehörden fehlende Dokumentation nachreichen bzw. ergänzen. Das ist jetzt nicht mehr der Fall, fehlende oder unvollständige Dokumentation ist schon eine Ordnungswidrigkeit. Wie bereits erwänt wird nicht morgen die Datenschützer bei einem kleinen Verein auf der Matte stehen, aber diese Dokumentation ist auch für den Verein selbts hiflreich und eigentlich auch notwendig um die Daten seiner Mitglieder zu schützen. Deshalb sollte man die Erstellung einer solchen Dokumentation nicht mehr auf die lange Bank schieben. Eine einfache Tabelle ist wohl meistens ausreichend.    

 

Beispiel für eine "Interne Richtlinien über den Umgang mit personenbezogenen Daten"

  • Alle Daten werden nur auf Rechnern und Datenträgern gespeichert die nach dem aktuellen technischen Stand abgesichert sind. Dazu gehören folgende Punkte

  • ein aktuell gehaltenes Betriebssystem bei dem alle Sicherheitsupdates zeitnah installiert werden
  • eine aktuelle Antiviren-Software
  • die verwendete Anwendungssoftware befindet sich ebenfalls auf dem neuesten Stand    
  • Clouddienste und Server außerhalb der EU werden nicht für personenbezogene Daten genutzt

  • Mobile Geräte (Laptop, Smartphone) sind entsprechend abzusichern, das bei Verlust oder Diebstahl niemand die Daten einsehen kann. 

  • Personenbezogene Daten werden nicht per unverschlüsselter mail versendet

  • Mobile Datenträger (USB-Sticks, USB-Platten und Speicherkarten) werden für personenbezogene nur kurzzeitig im kontrollierten Umfeld zwecks Datentransfer genutzt und danach die Daten darauf sofort wieder gelöscht. Für eine längerfristige Speicherung muss der Datenträger verschlüsselt werden.

  • Zugriff auf die Daten bekommen nur Personen die dies für die Vereinsarbeit benötigen. Der Zugriff soll auch nur auf die benötigten Daten ermöglicht werden.

  • Alle Personen die Zugriff auf die Daten haben werden über die Datenschutzverordnung belehrt und müssen sich zur Einhaltung der Richtlinie verpflichten 

Weiterführende Links

1. ULD mit guten, leicht verständlichen Informationen: https://www.datenschutzzentrum.de/dsgvo/#vorlagen

2. Broschüre Datenschutz im Verein im PDF Format: https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-1-Vereine.pdf