Die Datenschutz-Grundverordnung, kurz DSGVO, betrifft selbstverständlich auch Vereine. Sie bezieht sich nicht nur auf deren Webseiten, sondern vor allem auch auf den Umgang mit Mitgliederdaten. Vereine sollten auf jeden Fall ihre Datenschutz-Maßnahmen überprüfen und gegebenenfalls anpassen. Hier ein paar Tipps.
Direkt zum Thema springen:
Grundsätzlich ist jede Webseite von der Verordnung betroffen. Aber gerade Vereine veröffentlichen auf ihren Seiten auch Daten, die dem besonderen Schutz der DSGVO unterliegen. Doch bereits die Speicherung der Mitgliederdaten hält einige Gefahren bereit, die im Ernstfall zu empfindlichen Bußgeldern führen können.
DSGVO-Grundlagen – Vereine betreffend
Grundsätzlich ist die Verarbeitung personenbezogener Daten nur nach Einwilligung der Betroffenen zulässig – aber es gibt Ausnahmen. Diese Ausnahmen treten beispielsweise ein, wenn:
- Die Datenverarbeitung zur Wahrung berechtigter Interessen der Vereinsziele stattfindet, oder
- zur Erfüllung rechtlicher Verpflichtungen nötig ist, beziehungsweise
- für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist.
Das sind durchaus Ausnahmen, die für viele Vereine zutreffen. So können innerhalb von Verbänden beispielsweise die Speicherung, Veröffentlichung und Sammlung von Qualifikations- und Wettkampfdaten verpflichtend sein.
In der DSGVO steht auch, dass bereits erfolgte frühere Einwilligungen nicht erneut erhoben werden müssen und fortbestehen, wenn sie nicht generell den Regelungen der Verordnung widersprechen. Falls also beispielsweise im Mitgliedsantrag oder in den Vereinsstatuten steht, dass bestimmte Daten gespeichert und eventuell veröffentlich werden, dann ist keine gesonderte Einwilligung einzuholen.
Ganz wichtig: Die Datenschutz-Grundverordnung bezieht sich nicht nur auf die digitale Speicherung von Vereinsdaten! Wenn ein Verein Mitgliederlisten und Ergebnisse auf Papier und in Ordnern pflegt, handelt es sich ebenso um schutzwürdige persönliche Daten und es gelten die gleichen Grundsätze.
Checkliste DSGVO in Vereinen
Wir haben ein paar grundlegende Regeln zusammengestellt, die auf jeden Fall beachtet werden müssen. Wer tiefergehende Informationen benötigt, wird auf der Webseite https://dsgvo-gesetz.de/ fündig und sollte vielleicht auch mal die FAQs des BMI lesen.
Fotografien
Für Fotografien ändert sich durch die DSGVO in Deutschland eigentlich nichts. Es gelten weiter die Regelungen des „Kunsturhebergesetzes“ und die besagen unter anderem, dass Aufnahmen von Sportveranstaltungen oder anderen Wettkämpfen weiter angefertigt werden dürfen. Solange es sich um „öffentliche Vorgänge“ handelt, ist eine Einwilligung der dargestellten Personen nicht nötig. Das betrifft zum Beispiel auch die Veröffentlichung in sozialen Medien. Denn auch Facebook ist von der DSGVO betroffen.
Vorsicht: Das kann anders sein, wenn die Veranstaltung privat und nicht für die Öffentlichkeit zugänglich ist. Hier sollte im Zweifelsfall die (schriftliche) Einwilligung der abgebildeten Personen eingeholt werden.
Daten im Internet
Dem Leichtsinn, mit der manche Vereine Mitgliederdaten online stellen, wird durch die DSGVO ein Riegel vorgeschoben. Es gibt nach wie vor Daten, die der Verein auf der Webseite online stellen darf. Erlaubt sind zum Beispiel Namen und mit der Vereinsarbeit zusammenhängende E-Mail-Adressen von Vereinsfunktionären. Private E-Mail- oder Postadressen dürfen nur nach einer Einwilligung der Person veröffentlich werden.
Handelt es sich um öffentliche Wettkämpfe, so dürfen Ergebnis- und Ranglisten ebenfalls ohne Nachfrage veröffentlich werden. Aber auch hier gilt der oberste Grundsatz der DSGVO:
Personenbezogene Daten dürfen nur in dem Maße erfasst werden, das unbedingt zur Ausführung der vereinbarten Ziele nötig ist.
Dokumentation
Sobald ein Verein Daten erfasst, speichert und verarbeitet, entstehen daraus Dokumentationspflichten. Der Verein muss auf Anfrage eines Mitglieds eine komplette Übersicht darüber geben können, welche Daten bislang gespeichert beziehungsweise wie sie verwendet wurden.
Übrigens: Wenn der Verein schutzpflichtige Daten auf einem angemieteten Server speichert, so wird der Provider dadurch zu einem „datenverarbeitenden Betrieb“. In diesem Fall muss der Verein seinen Anbieter um einen gesonderten „Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 Datenschutz-Grundverordnung“ bitten. Die meisten Provider sollten darauf vorbereitet sein.
Datenschutz und Datenschutzbeauftragte
Der Schutz der Mitgliederdaten muss sichergestellt werden. Das betrifft einerseits alle Geräte, auf denen sie gespeichert werden und andererseits auch Webseiten und -Server. Nun ist ein guter Zeitpunkt, im Verein das „Amt“ des Datenschutzbeauftragten zu schaffen, der diese Maßnahmen dokumentiert, überwacht und gegebenenfalls notwendige Schritte ergreift.
DSGVO-Tipps für Vereine
Alle Arten der Datenerfassung und -Speicherung müssen sowieso dokumentiert werden. Spätestens jetzt muss sich der Verein darüber klar werden, welche Daten wirklich gebraucht und im Verein verarbeitet werden.
Sobald man daraus eine Liste machen kann, sollte jedes Mitglied gebeten werden, dieser Datenverarbeitung zuzustimmen. Der Verein sollte dabei auch Aufklärungsarbeit leisten und den Mitgliedern mitteilen, für welche Art der Erfassung und Verarbeitung eigentlich sowieso keine Zustimmung nötig wäre und nur sicherheitshalber erfolgt. Das betrifft beispielsweise Wettkampffotos oder die Veröffentlichung von Rang- oder Mitgliederlisten.
Der Verein sollte aber vorher auch schon beschließen, was mit Mitgliedern geschieht, die dieser Datenerfassung widersprechen. Sollte eine Durchführung der Vereinsarbeit ohne diese Daten nicht möglich sein, so müssen diese Mitglieder unter Umständen ausgeschlossen werden.
Wichtig: Die größte Gefahr droht Vereinen hinsichtlich der DSGVO nicht von Abmahnanwälten oder konkurrierenden Vereinen, sondern von den Mitgliedern selbst!
Ein außenstehender Besucher weiß nicht, ob für die Veröffentlichung von Fotos, E-Mail-Adressen oder Telefonnummern Einwilligungen vorliegen. Daher kann er auch keine „Anzeige auf Verdacht“ machen. Die Betroffenen selbst sind hier der Schlüssel. Also sollte sich der Verein als allererstes die schriftliche Einwilligung der Datenveröffentlichung, -Verarbeitung und -Speicherung geben lassen, dann ist die größte Gefahr gebannt.
Merke: Man darf alles, was die Betroffenen genehmigt haben…
