Recht, Steuern und Versicherungen

Recht, Steuern und Versicherungen

Recht

Neues Datenschutzrecht

Am 25.05.2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in den Staaten der Europäischen Union (EU) in Kraft. Die deutschen Datenschutzgesetze (z.B. Bundesdatenschutzgesetz, BDSG) bleiben zwar zum Teil neben der DS-GVO bestehen, verlieren aber stark an Bedeutung, weil sie lediglich noch solche Punkte regeln dürfen, in denen die DS-GVO dem nationalen Gesetzgeber ergänzende Regelungen erlaubt. Da die DS-GVO sich weitgehend an das bisher geltende deutsche Datenschutzrecht anlehnt, sind hierzulande die Abweichungen von der bisherigen Rechtslage zwar zahlenmäßig begrenzt, haben es aber durchaus in sich.
 
1. Schon bisher galten die Regelungen des Datenschutzrechts auch für Vereine. Daran wird sich selbstverständlich nichts ändern. Auch wenn sich der Wortlaut teilweise ändert, bleibt es dabei, dass Vereine weiterhin solche Daten ihrer Mitglieder verarbeiten und verwenden dürfen,

die zur Erfüllung des Vereinszwecks (Förderung des Sports) unbedingt erforderlich sind oder zumindest in einem unmittelbaren Zusammenhang mit diesem stehen, ohne die ein geregeltes Funktionieren des Vereins also nicht möglich ist.

Besonders wichtig ist auch nach wie vor die Frage, ob der Verein einen Datenschutzbeauftragten bestellen muss (Artikel 37 DS-GVO, § 38 BDSG). Dies ist - wie bisher - der Fall, soweit Vereine

in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Aber Vorsicht! Die „Beschäftigung“ ist weit auszulegen. Auch Personen, die lediglich Informationen aus der Mitgliederdatei erhalten und selbst überhaupt nicht am PC tätig sind, können damit gemeint sein (z.B. Übungsleiter).

Die Vereine, die den Datenschutz schon in der Vergangenheit beachtet haben, haben damit eine gute Grundlage für das neue Recht gesetzt. Vereinsvorstände oder Datenschutzbeauftragte sollten nun die Zeit nutzen, um sich bis zum Inkrafttreten der DS-GVO eingehend mit den Neuregelungen vertraut zu machen.
 
Zwei wichtige Punkte sollen im Folgenden vorgestellt werden.

2. Von jedem Verein, der personenbezogene Daten (z.B. seiner Mitglieder oder Förderer) automatisiert verarbeitet, wird die Erstellung eines Verzeichnisses der im jeweiligen Verein durchgeführten Datenverarbeitung („Verzeichnis der Verarbeitungstätigkeiten“, § 30 DS-GVO) verlangt. Dort muss schriftlich oder elektronisch insbesondere Folgendes dargelegt werden:

  • der Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung (z.B. Mitgliederverwaltung, Sportbetrieb, Öffentlichkeitsarbeit)
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Welche Gruppen von Personen - z.B. Vereinsmitglieder - sind betroffen und welche Arten von Daten werden verwendet?);
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (an wen werden Daten weitergegeben? z.B. Fachverbände);
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten gemäß Artikel 32 Absatz 1 DS-GVO (Sicherheit der Datenverarbeitung).

Diese Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die Verarbeitung erfolgt nicht nur gelegentlich. Letzteres tun jedoch Vereine in aller Regel: Sie verarbeiten regelmäßig (also nicht nur gelegentlich) Daten (z.B. im Rahmen der Mitgliederversammlung), so dass sie auch dann das Verzeichnis der Verarbeitungstätigkeiten anlegen müssen, wenn sie (natürlich) weniger als 250 Mitarbeiter beschäftigen. Beim Verstoß gegen die Informationspflichten droht eine Geldbuße.

Es ist somit unbedingt zu empfehlen, rechtzeitig ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Dieses dient dem Verein als Grundlage für eine strukturierte Datenschutzverarbeitung. Außerdem muss das Verzeichnis der Aufsichtsbehörde auf deren Verlangen hin vorgelegt werden.

3. Eine weitere bedeutsame Neuregelung betrifft die Informationspflichten, die die datenverarbeitende Stelle (z.B. ein Verein) gegenüber der Person hat, deren Daten erhoben und verarbeitet werden (Betroffener). Diese Pflichten werden erheblich verschärft. Unterschieden wird danach, ob die Daten direkt bei dem Betroffenen oder bei anderen Personen oder Stellen (Dritte) erhoben werden. Vereine werden die Daten ihrer Mitglieder meist direkt bei diesen erfragen und erheben (z.B. im Aufnahmeantrag). In diesem Fall müssen dem Betroffenen zugleich mit der Datenerhebung insbesondere folgende Informationen gegeben werden (Artikel 13 DS-GVO):

  • Vereinsname und Kontaktdaten des Verantwortlichen im Verein und seines Stellvertreters;
  • Kontaktdaten des Datenschutzbeauftragten, wenn vorhanden;
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
  • Rechtsgrundlage für die Verarbeitung;
  • Empfänger oder mögliche Empfänger, an welche die Daten (möglicherweise) weitergegeben werden;
  • Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer;
  • Rechte des Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit;
  • Recht, eine etwaig gegebene Einwilligung jederzeit zu widerrufen, wobei dann die bis zum Widerruf erfolgte Verarbeitung allerdings rechtmäßig bleibt;
  • Beschwerderecht bei einer Aufsichtsbehörde;
  • ggf., ob der Verein gesetzlich oder vertraglich verpflichtet ist, personenbezogene Daten Dritten (z.B. Fachverbänden) bereitzustellen, und welche möglichen Folgen eine Nichtbereitstellung hat.

Die Informationspflichten bestehen nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt, also konkret Bescheid weiß. Da dies von Person zu Person unterschiedlich ist, empfiehlt es sich ein Info-Blatt mit allen notwendigen Informationen zu erstellen und vorzuhalten bzw. zu verteilen. Oder man übernimmt die Informationen in die Satzung.

Art. 12 DS-GVO verlangt, dass die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache unentgeltlich mitgeteilt werden. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, z. B. per E-Mail und/oder auf der Homepage, soweit damit alle Anforderungen erfüllt sind. Insbesondere auf die leichte Zugänglichkeit muss bei elektronischer Darstellung geachtet werden. Beim Verstoß gegen die Informationspflichten droht eine Geldbuße.

4. Der Datenschutz schützt nicht die Daten, sondern die Menschen, insbesondere die Vereinsmitglieder und deren Persönlichkeitsrechte. Also ist dieses Thema nicht dazu geeignet, auf den Vorstand abgeschoben zu werden. Vielmehr ist der Vorstand auf die Unterstützung aus dem Kreis der Mitglieder angewiesen, was besonders bei der Bestellung eines Datenschutzbeauftragten offensichtlich wird, denn dieser darf nicht zugleich Vorstandsmitglied sein.

5. Wo können sich Vereinsvorstände, Datenschutzbeauftragte und interessierte Mitglieder informieren? Zum einen bietet etwa die Bildungsakademie des Landessportbundes Hessen e.V. Schulungen an (www.sport-erlebnisse.de - Kategorie Management/Ehrenamt, Suchbegriff: Datenschutz).

Eine gute Broschüre zum Thema sowie weitere Informationen finden Sie auf der Internetseite der Bundesbeauftragten für den Datenschutz unter www.bfdi.bund.de (Rubrik: Infothek, Infomaterial, Broschüren, Info 6 Datenschutz-Grundverordnung oder Rubrik: Informationen zur Datenschutz-Grundverordnung).

Quelle: Dr. Frank Weller, Vorsitzender des Landesausschusses Recht, Steuern und Versicherung (LA-RSV); Stand Februar 2018