Ein bürokratisches Schreckgespenst aus Brüssel verängstigt derzeit Ehrenamtliche in der Vereinsarbeit – die Datenschutz-Grundverordnung. Die neue Richtlinie der Europäischen Union tritt am 25. Mai in Kraft und soll vor allem personenbezogene Daten besser schützen. Sie gilt für Großkonzerne und kleine Handwerksbetriebe gleichermaßen. Und auch ehrenamtliche Vereine müssen künftig vorsichtiger mit Daten umgehen.
„Sicherlich gibt es auch den ein oder anderen Verein, der sich bei dieser Gelegenheit zum ersten Mal überhaupt etwas näher mit den datenschutzrechtlichen Anforderungen befasst“, sagt Alexander Filip. Einen Grund zur Besorgnis oder gar zur Panik sieht der Sprecher des Bayerischen Landesamts für Datenschutzaufsicht jedoch nicht.
Suche nach Datenschutzbeauftragten
Der Schachverein Würzburg hat sich bereits über die Änderungen informiert. „In der Satzung wollen wir künftig offenlegen, welche Daten von Mitgliedern erfasst werden“, sagt Vorsitzende Werner Lang. Er nimmt Anstoß daran, dass auch kleine Vereine mit zusätzlicher Bürokratie belastet werden, während globale Konzerne eigene Rechtsabteilungen für den Datenschutz unterhielten. Der Schachverein hat derzeit 76 Mitglieder. Da nur drei Mitglieder des Vorstands personenbezogene Daten verarbeiten würden, müsse immerhin kein Datenschutzbeauftragter gewählt werden, so der Vorsitzende.
Laut Auskunft des Bayerischen Landesamts für Datenschutzaufsicht ist nur dann ein Datenschutzbeauftragter zu bestimmen, wenn mindestens zehn Personen regelmäßig personenbezogene Daten verarbeiten. Das beschert Raimund Schäfer derzeit viel zusätzliche Arbeit. Er ist Geschäftsführer der Turngemeinde Würzburg und muss die neuen Regelungen umsetzen. Da der Verein in zwölf Abteilungen gegliedert ist, haben dementsprechend viele Abteilungsleiter auch Zugriff auf Daten. „Die Suche nach einem Datenschutzbeauftragten gestaltet sich schwierig. Es ist ein Ehrenamt, das nicht gerade mit vielen Emotionen verbunden ist“, sagt Schäfer. Dennoch gibt er sich zuversichtlich bis zum 25. Mai jemanden außerhalb des Vorstands zu finden, der den Posten übernimmt.
Hoher bürokratischer Aufwand
In einer anderen Angelegenheit ist der Geschäftsführer hingegen weniger optimistisch. Bisher wurden Geburtstage der Mitglieder in einer vereinseigenen Zeitschrift veröffentlicht. „Diesen bürokratischen Aufwand werden wir künftig nicht mehr leisten können“, so Schäfer. Denn dafür muss von jedem Mitglied vorher eine Genehmigung eingeholt werden.
Fotos von Veranstaltungen, wie zum Beispiel von Sportwettkämpfen oder Vereinsfesten dürfen hingegen auch ohne Einwilligung der betroffenen Personen veröffentlicht werden. „Anders ist es bei Minderjährigen, da diese besonders schutzwürdig sind. Sind Minderjährige betroffen, ist daher eine Veröffentlichung nur mit Einwilligung zulässig“, klärt Filip auf.
Immer wenn personenbezogene Daten verarbeitet werden, müssen Vereine die Tätigkeit künftig dokumentieren. Soll beispielsweise das Foto einer Siegerehrung auf der Webseite des Sportvereins veröffentlicht werden, muss ein Verzeichnis angelegt werden. Aus diesem muss unter anderem hervorgehen, wer das Bild an welchem Datum hochgeladen hat, welchem Zweck die Veröffentlichung dient und wann es voraussichtlich gelöscht wird. Aber auch bei Lohnabrechnungen, der Beitragsverwaltung und dem Ein- oder Austritt von Mitgliedern müssen die sogenannten „Verarbeitungstätigkeiten“ dokumentiert werden, so das Landesamt.
Schutz vor Hackern und Viren
Um die personenbezogenen Daten zu schützen, sind auch technische Maßnahmen erforderlich. Beispielsweise muss gewährleistet sein, dass nur berechtigte Personen auf die Daten zugreifen können und die Computer mit Passwörtern geschützt sind. Zudem müssen Betriebssysteme und Virenscanner ständig aktualisiert werden. Laut Auskunft des Bayerischen Landesamts für Datenschutzaufsicht sind solche Vorkehrungen bereits im geltenden Datenschutzrecht vorgesehen und werden durch die europäische Verordnung lediglich bekräftigt.
Auch die Turngemeinde Würzburg hat vorgesorgt, um die Informationen über rund 2200 Mitglieder zu schützen. So liegen die Datensätze der Mitglieder beispielsweise auf einem separaten Rechner ohne Anschluss an das Internet. „Außerdem bekommt jeder Funktionär nur diejenigen Daten zur Verfügung gestellt, die er für seine Zuständigkeit benötigt“, teilt Schäfer mit. Auch auf einen Cloud-Speicher, also die Verwahrung von Daten im Internet, verzichte der Verein grundsätzlich.
Wenn ein Verein externe Dienstleister zur Verarbeitung personenbezogener Daten heranzieht, wird es heikel. Das gilt nicht nur für Cloud-Speicher, sondern für die gesamte IT-Infrastruktur. Können Nutzer der Vereinswebseite zum Beispiel ihre Daten in ein Kontaktformular eingeben und werden diese Informationen zwischenzeitlich auf dem Server eines externen Anbieters gespeichert, muss der Verein einen Vertrag mit diesem abschließen. „In aller Regel kommen Anbieter auf die Auftraggeber diesbezüglich von selbst zu. Aber die Pflicht zu einem solchen Vertrag haben beide Parteien“, erklärt der IT-Fachanwalt John Krüger.
Datenschutzerklärung aktualisieren
Handlungsbedarf sieht der Anwalt aus Würzburg vor allem bei Webseiten. „Die Internetauftritte von Vereinen sind nach außen hin für jeden sichtbar. Hier sollte die Datenschutzerklärung auf den neusten Stand gebracht werden“, rät Krüger. Daraus müsse für den Nutzer ersichtlich werden, wer zu welchem Zweck personengebundene Daten über ihn verarbeitet und wann die Informationen wieder gelöscht werden. Dies gelte auch für Auftritte in Sozialen Medien. Muster für Datenschutzerklärungen gibt es beispielweise auf der Webseite der Deutschen Gesellschaft für Datenschutz.
Die Datenschutzverordnung sieht Sanktionen in Höhe von bis zu 20 Millionen Euro bei Verstoßen vor. Laut Angaben des Fachanwalts sind solche Strafen nur für Großkonzerne bei mutwilliger Missachtung vorstellbar. „Für Vereine sind vierstellige Forderungen aber durchaus denkbar“, so Krüger. Wie die Gesetze genau ausgelegt werden, zeichne sich jedoch erst in den kommenden zwei bis drei Jahren ab.
