Datenschutz

Datenschutz

geht auch Vereine etwas an


Ab dem 25. Mai 2018 gelten in allen EU-Staaten die Regelungen der Datenschutz-Grundverordnung (DS-GVO). Viele darin getroffene Regelungen sind an die bisherigen deutschen Datenschutzgesetze angelehnt. Einige Abweichungen haben es aber in sich! Doch auch unabhängig von diesen Neuerungen ist das Thema Datenschutz für viele hessische Sportvereine noch immer ein Buch mit sieben Siegeln. Rechtsanwalt Dr. Frank Weller, Vorsitzender des Landesausschusses Recht, Steuern und Versicherung des Landessportbundes Hessen, erklärt deshalb, worauf zu achten ist.

Dr. Weller, wohl alle Vereine speichern und verarbeiten Daten ihrer Mitglieder. Dürfen sie das auch in Zukunft?
Ja! Zumindest die Daten, die nötig sind, um ein geregeltes Funktionieren des Vereines entsprechend dem Satzungszweck (Förderung des Sports) zu gewährleisten. Das sind zum Beispiel Name, Geburtsdatum, Geschlecht, gewisse Kontakt- und Bankdaten der Mitglieder, aber etwa auch Qualifikationen der Übungsleiter. Ähnliches gilt für die Weitergabe von Daten: Um den Vereinszweck zu erfüllen, muss ich meinem Dachverband Übungsleiterdaten zur Verfügung stellen. Sonst gibt es keine Förderung. Auch um einen Spielerpass zu beantragen ist es nötig – und damit erlaubt – gewisse Mitgliederdaten an den Verband weiterzugeben. Auch im Rahmen der Öffentlichkeitsarbeit dürfen bestimmte Daten veröffentlicht werden, z.B. auf der Homepage. Ich glaube also nicht, dass der Verein durch das Datenschutzrecht in seiner Tätigkeit eingeschränkt wird. Gegebenenfalls werden nun aber einige Vereine darauf aufmerksam, dass sie ihrem Umgang mit Daten überdenken müssen: Es darf einfach nicht sein, dass Daten ohne Passwortschutz auf dem Rechner des Vorsitzenden liegen, der auch dessen Familie zugänglich ist. Auch in Sachen Datenlöschung – etwa nach Austritt eines Mitgliedes – gibt es häufig noch Nachholbedarf.

Laut der neuen Grundverordnung müssen Vereine einen Datenschutzbeauftragten (DSB) bestellen, wenn mindestens zehn Personen ständig mit der ,,automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Was bedeutet das?
Dass schon rein rechtlich sehr viele hessische Vereine einen DSB bestellen müssen. Denn nicht nur Vorstandsmitglieder hantieren mit Daten, häufig auch Übungsleiter, etwa wenn sie regelmäßig ausgefüllte Anmeldeformulare entgegennehmen oder anhand von gedruckten Listen abgleichen, ob alle Teilnehmer ihres Angebots auch Mitglieder sind. Prinzipiell ist es aber für alle Vereine sinnvoll, einen DSB zu benennen. Ansonsten ist laut Gesetz nämlich der Vorstand zuständig.

Gibt es Kriterien, die ein DSB erfüllen muss?
Zu allererst darf der DSB eines Vereins nicht gleichzeitig Vorstandsmitglied sein. Ansonsten muss die Person laut Gesetz Fachwissen im Datenschutzrecht und der Datenschutzpraxis haben. Eine verpflichtende Ausbildung gibt es nicht, wir raten jedoch zumindest zu einer Fortbildung. Zudem würde ich ein gewisses Technikverständnis voraussetzen, um entsprechende Schutzmaßnahmen zur Datensicherheit auch umsetzen zu können. Das Gesetz verlangt zudem ein ,,Verzeichnis der Verarbeitungstätigkeit“.

Das klingt kompliziert ...
... ist aber unumgänglich – und häufig auch für den Verein selbst aufschlussreich! Zusammengefasst kann man sagen, dass darin festgehalten ist, welche Daten gespeichert werden, wozu dies geschieht, wer für die Datensicherheit verantwortlich zeichnet, ob und wenn ja zu welchem Zweck Daten weitergegeben werden und wie diese Daten geschützt werden. Zudem sollten Fristen für die Löschung der Daten benannt werden. Im Zusammenhang mit der Informationspflicht, die im neuen Gesetz verschärft wird, sollte ein Verein solche Informationen auch auf einem Info-Blatt zusammenstellen, das er z.B. auf seiner Webseite veröffentlicht und bei Bedarf schriftlich zur Verfügung stellt. Hier legt der Gesetzgeber Wert darauf, dass der Verein als datensammelnde Stelle einem Betroffenen, z.B. Mitglied, diese Informationen auch verständlich vermittelt.

Die Fragen stellte Isabell Boger