Interview zur DS-GVO: Datenschutz ist Chefsache – auch bei Vereinen

Am 25.5.2018 tritt die DS-GVO EU-weit in Kraft. Dass sich viele Unternehmen auf teils gravierende Neuregelungen durch die Datenschutzgrundverordnung einstellen müssen, ist hinlänglich bekannt.

Dass Gleiches auch für Vereine gilt, scheint aber noch nicht bei allen Vorständen angekommen zu sein, so die Einschätzung von Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, und Dr. Eugen Ehmann, Regierungsvizepräsident von Mittelfranken.

Doch auch für Vereine gilt: Datenschutz ist Chefsache! Wer jetzt nicht handelt, dem können empfindliche Geldbußen drohen.

beck-shop.de: Die Verunsicherung ist groß. Ist wirklich jeder Verein von den Regelungen der Datenschutzgrundverordnung betroffen?

Eindeutig ja. Jeder Verein geht mit Daten von Mitgliedern um. Oft sind das sogar sehr persönliche Daten wie etwa Alter und Familienstand, aber auch Mailadressen. Natürlich behält ein Verein die Daten normalerweise für sich. Aber auch dann sind intern Regeln zu beachten.

beck-shop.de: Was ist mit Vereinen, die ihre Mitgliederdaten noch nicht elektronisch führen, sondern etwa noch auf Karteikarten? Sind die auch von der DS-GVO betroffen?

Auch Daten auf Karteikarten und in Listen auf Papier sind betroffen. In früheren gesetzlichen Regelungen gab es da noch einige Ausnahmen. Sie existieren künftig nicht mehr.

beck-shop.de: Womit sollten Vereine Ihrer Meinung nach anfangen, um den Anforderungen gerecht zu werden?

Der notwendige allererste Schritt ist ein Überblick dazu, was überhaupt an Daten vorhanden ist. Das ist eine Aufgabe des Vorsitzenden bzw. des Vorstands. Dabei sollte man sich auch fragen: Wo liegen noch alte Unterlagen? Was bewahren Trainer und andere Mitglieder für den Verein auf, weil sie die Daten brauchen? All das gehört in ein übersichtliches Verzeichnis. Die DS-GVO nennt es „Verzeichnis der Verarbeitungstätigkeiten“.

beck-shop.de: Ab wann besteht die Pflicht, einen Datenschutzbeauftragten zu benennen?

Die wichtigste Faustregel heißt: Wenn mindestens zehn Personen irgendwie automatisiert Daten verarbeiten (also mit PC, Laptop, Smartphone usw.), besteht die Pflicht, einen Datenschutzbeauftragten zu benennen. Diese Schwelle erreichen häufig sogar schon eher kleine Vereine. Wichtig dabei: Auch wer laut Gesetz keinen Datenschutzbeauftragten benennen muss, muss sich trotzdem um den Datenschutz kümmern.

beck-shop.de: Durch die DS-GVO sollen insbesondere die Betroffenenrechte gestärkt werden. Wie sehen diese aus? Und was bedeutet dies konkret für Vereine?

Bildquelle: TBIT – pixabay

Betroffenenrechte bei Vereinen sind insbesondere das Recht auf Auskunft und das Recht auf Löschung. Vereine müssen in der Lage sein, bei entsprechenden Anfragen kurzfristig Auskunft über gespeicherte Daten zu geben. Ferner müssen sie begründen können, warum Daten noch gespeichert werden.

beck-shop.de: Wie sollen Vereine Ihrer Ansicht nach reagieren, wenn es trotz aller Sicherheitsvorkehrungen dennoch zu einer Verletzung personenbezogener Daten kommt?

Der Schutz personenbezogener Daten kann auf vielfältige Weise verletzt werden. Beispiele sind der Verlust einer Mitgliederliste, erfolgreiche Hacking-Angriffe, Verschicken von Mitteilungen über einen offenen E-Mail-Verteiler oder der Verlust eines Laptops oder Smartphones mit Mitgliederdaten. In solchen Fällen ist unverzüglich die zuständige Datenschutzaufsichtsbehörde zu informieren. Mit der Behörde kann dann geklärt werden, ob und in welchem Umfang die Mitglieder zu informieren sind.

beck-shop.de: Welche Folgen können Verstöße gegen die DS-GVO haben? Mit welchen Strafen ist zu rechnen?

Grundsätzlich ist in Zukunft fast jeder Verstoß gegen die DS-GVO mit einem Bußgeld bedroht. Natürlich dürfte der Bußgeldrahmen von bis zu 20 Millionen Euro bei kleineren Vereinen nie ausgeschöpft werden. Gleichwohl kann auch ein eher geringes Bußgeld durchaus weh tun.

beck-shop.de: Besonders heikel ist der Umgang mit Fotos im Internet – vor allem wenn darauf Kinder zu sehen sind. Wie können sich Vereine hier absichern?

Auch „völlig harmlose“ Fotos sind etwas sehr Persönliches. Deshalb unterliegen sie einem besonderen Schutz. Die Grundregel heißt: Fotos einer Person darf man nur veröffentlichen, wenn die abgebildete Person damit ausdrücklich einverstanden ist. Es gibt Ausnahmen, aber die werden oft überschätzt. Dass Fotos von Kindern besonders heikel sind, dürfte jedem klar sein.

Wichtig ist es deshalb, im Verein darüber zu sprechen, um welche Fotos es geht und was damit geschehen soll – ein Mannschaftsfoto an der Wand des Vereinsheims ist bei Ärger rasch entfernt, dasselbe Foto im Internet nicht! In vielen Fällen geht es nicht ohne schriftliche Einwilligung. Bei Mannschaften ist dabei auch eine Unterschriftenliste unter einem passenden Text denkbar.

beck-shop.de: Herr Kranig, Herr Dr. Ehmann, wir danken Ihnen für das Gespräch.

Eine erste DS-GVO-Hilfestellung für Vereine, aber auch für Unternehmen und Freiberufler, bietet diese Broschüre:

Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine
2017, 63 S., C.H.BECK, ISBN 978-3-406-71662-1,
Preis 5,50 € inkl. MwSt.

Autorin: Anja Gans

Redaktionsteam von beck-shop.de BLOG