„Datenschutz geht auch Vereine etwas an“
  24.05.2018 •     Verbandsnews


Ab Freitag, 25. Mai 2018, gelten in allen EU-Staaten die Regelungen der Datenschutz-Grundverordnung (DS-GVO). Viele darin getroffene Regelungen sind an die bisherigen deutschen Datenschutzgesetze angelehnt. Einige Abweichungen haben es aber in sich. Der Landessportbund Hessen (lsb h) rät seinen Vereinen deshalb dringend, sich mit der Thematik auseinanderzusetzen und zu prüfen, ob alle Vorgaben erfüllt werden. Rechtsanwalt Frank Weller, Vorsitzender des lsb h-Landesausschusses Recht, Steuern und Versicherung, erläutert im Interview, worauf zu achten ist.

Wohl alle Vereine speichern und verarbeiten personenbezogene Daten ihrer Mitglieder. Dürfen sie das auch in Zukunft?

Ja. Zumindest die Daten, die nötig sind, um ein geregeltes Funktionieren des Vereines entsprechend dem Satzungszweck (Förderung des Sports) zu gewährleisten. Das sind zum Beispiel Name, Geburtsdatum, Geschlecht, Kontakt- und Bankdaten der Mitglieder, aber etwa auch die Qualifikationen der Übungsleiter. Ähnliches gilt für die Weitergabe von Daten: Um den Vereinszweck erfüllen zu können, müssen den zuständigen Dachverbänden Übungsleiterdaten zur Verfügung gestellt werden. Andernfalls erhält der Verein keine Förderung. Auch um einen Spielerpass zu beantragen, ist es nötig – und damit erlaubt – gewisse Mitgliederdaten an den Verband weiterzugeben. Auch im Rahmen der Öffentlichkeitsarbeit dürfen bestimmte Daten veröffentlicht werden, beispielsweise auf der Homepage. Ich glaube also nicht, dass Vereine durch das neue Datenschutzrecht in ihrer Tätigkeit eingeschränkt werden. Gegebenenfalls werden aber einige Vereine darauf aufmerksam, dass sie beim Umgang mit personenbezogenen Daten noch sensibler werden müssen, etwa was die Löschung von Daten nach dem Austritt eines Mitglieds angeht. Auch in technischen Bereichen sehe ich Nachholbedarf, zum Beispiel beim Passwortschutz von Computern, mit denen Vereinsverantwortliche zu Hause arbeiten. 

Laut der DS-GVO müssen Vereine einen Datenschutzbeauftragten bestellen, wenn mindestens zehn Personen ständig mit der „automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Was bedeutet das?

Dass schon rein rechtlich sehr viele hessische Vereine einen Datenschutzbeauftragten bestellen müssen. Denn nicht nur Vorstandsmitglieder hantieren mit Daten, häufig auch Übungsleiter, etwa wenn sie regelmäßig ausgefüllte Anmeldeformulare entgegennehmen oder anhand von gedruckten Listen abgleichen, ob alle Teilnehmer ihres Angebots auch Mitglieder sind. Prinzipiell ist es aber für alle Vereine sinnvoll, einen Datenschutzbeauftragten zu benennen. Ansonsten ist laut Gesetz nämlich der Vorstand zuständig, der häufig schon eine Fülle an Aufgaben zu erfüllen hat. Datenschutz ist auf jeden Fall zu wichtig, um das Thema nachrangig zu behandeln.

Gibt es Kriterien, die ein Datenschutzbeauftragter erfüllen muss?

Zu allererst darf der Datenschutzbeauftragte eines Vereins nicht gleichzeitig Vorstandsmitglied sein. Ansonsten muss die Person laut Gesetz Fachwissen im Datenschutzrecht und der Datenschutzpraxis haben. Eine verpflichtende Ausbildung gibt es nicht, wir raten jedoch zumindest zu einer Fortbildung, wie sie etwa unsere Bildungsakademie anbietet. Zudem würde ich ein gewisses Technikverständnis voraussetzen, um entsprechende Schutzmaßnahmen zur Datensicherheit auch umsetzen zu können. Das Gesetz verlangt zudem ein „Verzeichnis von Verarbeitungstätigkeiten“.

Das klingt kompliziert ...

... ist aber unumgänglich - und häufig auch für den Verein selbst aufschlussreich. Schließlich hilft es, sich vor Augen zu führen, wer überhaupt mit welchen personenbezogenen Daten arbeitet. Zusammengefasst kann man sagen, dass in einem „Verzeichnis von Verarbeitungstätigkeiten“ festgehalten ist, welche personenbezogenen Daten gespeichert werden, wozu dies geschieht, wer für die Datensicherheit verantwortlich zeichnet, ob und wenn ja zu welchem Zweck die entsprechenden Daten weitergegeben werden und wie diese Daten geschützt werden. Zudem sollten Fristen für die Löschung der Daten benannt werden. Im Zusammenhang mit den Informationspflichten, die im neuen Gesetz verschärft wurden, sollte ein Verein solche Informationen auch auf einem - so fordert es das Gesetz - gut verständlichen Info-Blatt zusammenstellen, das er zum Beispiel auf seiner Webseite veröffentlicht. Auch mit der Aufnahme in die Satzung kann der Verein seinen Informationspflichten gegenüber den Mitgliedern weitestgehend nachkommen.