Die neuen gesetzlichen Regelungen der Datenschutz-Grundverordnung (DSGVO) treffen auch Vereine. Denn auch sie hantieren mit personenbezogenen Daten, ganz gleich ob es der Mitgliedsantrag des Vereins, das Anmeldeformular für Wettkämpfe oder das Patenschaftsformular für Tiere im Tierheim ist. „Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten“, rät Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group (www.psw-group.de).

Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group. Bild: PSW Group

Welche personenbezogenen Daten ein Verein erhalten darf, regelt die Vereinssatzung. Allerdings sind Vereine in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind. „Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden“, erklärt der Experte.

Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf der Website und auf sozialen Netzwerken. Auch dort dürfen personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem muss der Verein diese Einwilligung entsprechend dokumentieren. „Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen“, so Christian Heutger. Ohne Einwilligung zulässig sind ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen.

Auch darf der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen. „Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes „berechtigtes Interesse“ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden“, erklärt Heutger und räumt ein: „Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs haben laut DSGVO ein Recht auf Vergessen.“

Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, wird es kompliziert. Denn dort spiele auch das Kunsturhebergesetz eine Rolle: Fotos und Videos dürfen erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden. „Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden“, so Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er zudem, die Einwilligung der Eltern einzuholen.

Einwilligungserklärungen können Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings muss diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein. Vorangekreuzte Checkboxen sind nicht zulässig.

Die DSGVO verlange zudem  nicht nur, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden. Die Datenverarbeitung muss zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Die Datenschutzgrundverordnung verpflichtet Vereine außerdem dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten.

Datensicherheit muss mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Dies betrifft die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Website-Verschlüsselung), jedoch auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). „Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen sind“, so Heutger. Er rät: „Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.“

Auch Vereine nutzen Drittanbieter: Entweder lagern die Daten in der Cloud, liegen auf Servern eines Anbieters oder werden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen.

Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssen sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssen sie deshalb „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchführen.

Vereine unterliegen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssen unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. „Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutzmeldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt“, rät Heutger.

Vereine, die mindestens zehn Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssen einen Datenschutzbeauftragten benennen. „Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter  sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen“, so Heutger.

Weitere Informationen gibt es unter www.psw-group.de/blog/die-datenschutz-grundverordnung-fuer-vereine/4950.

Dr. Jörg Schröper ist Chefredakteur der LANline.