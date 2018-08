Kerstin Bechly

Frankfurt (Oder) (MOZ) In 14 Info-Seminaren machen die Europäische Sportakademie und der Landessportbund Brandenburg gemeinsam mit den Stadt- und Kreissportbunden Vereinsvorstände mit der Datenschutzgrundverordnung der EU vertraut. Zum Auftakt in Frankfurt hatte Referent Frank Nelles auch zahlreiche Fragen der rund 40 Ehrenamtlichen bis aus Märkisch-Oderland zu beantworten. Aus der Fülle der Informationen haben wir einige ausgewählt.

Welche für Vereine wichtige Daten berührt die DSGVO?

Das reicht von der Mitgliederverwaltung mit Daten zu Namen, Geburtstag, Geschlecht, Adresse und Kontakt, der Beitragsverwaltung mit entsprechenden Bankdaten über gegebenenfalls Lohnabrechungen bis hin zu Fotos, Webseiten und Newslettern. Mit der neuen Verordnung ist der Begriff der Identifizierbarkeit einer Person auf Vor- und Nachname reduziert worden. Daraus ergibt sich eine höhere Verantwortung der Vereine mit allen Daten. Im Übrigen sind sie schon lange zum Beispiel durch das Brief- und Postgeheimnis, das Telemediengesetz und das Gesetz zum unlauteren Wettbewerb (Newsletter) verpflichtet, den Datenschutz umzusetzen. Die Einhaltung des Datenschutzes sollte in der Satzung verankert sein.

Unter welchen Voraussetzungen dürfen Vereine Daten von Mitgliedern erheben?

Laut DSGVO und dem vorher geltenden Bundesdatenschutzgesetz (BDSG) dürfen generell keine personengebundenen Daten erhoben werden, es sei denn, es steht ein Zweck, ein berechtigtes Interesse oder eine Rechtsvorschrift dahinter. Einige Zwecke können über die Satzung mit definiert werden. Alle Zwecke müssen in einem Verzeichnis der Verarbeitungstätigkeiten definiert sein. So ist zu überlegen, ob das Geschlecht erfasst werden muss, gerade bei Kindern. Sie unterliegen der Schutzklasse 4 (hochsensible Daten) und damit den höchsten Sicherheitsmaßnahmen (Reaktion der Zuhörer: Das Geschlecht sei bei manchen Namen nicht zu erkennen, es ist aber wichtig für Wettkampfmeldungen. Und der Landessportbund fordert dies für seine Statistik.).

Was schließt die Verarbeitung von Daten ein?

Es geht um das Erheben, Erfassen, Organisieren, Ordnen und Speichern. Vereine müssen künftig ein Verarbeitungsverzeichnis führen und sich damit eine Übersicht über die verschiedenen Prozesse von der Aufnahme des Mitgliedes bis zu dessen Ausscheiden zu verschaffen.

Wie gehe ich damit um, wenn ein Mitglied um Auskunft zur Verwendung bestimmter Daten bittet?

Das Recht auf Auskunft wird derzeit am häufigsten wahrgenommen. Reagiert der Verein nicht innerhalb von vier Wochen, ist dies sanktionsfähig. Am einfachsten ist es, die Datensammlung in einer Liste zu erfassen und dem Auskunftsuchenden zur Verfügung zu stellen. Kopien von allem zu erstellen, ist extrem aufwändig. Aber dem Mitglied muss eine Einsichtnahme ermöglicht werden.

Wie sind die Daten aufzubewahren?

Kleine Vereine bis zu etwa 30 Mitglieder sollten tatsächlich überlegen, ob die analoge Verwaltung in Papierform für sie praktikabler ist.

Die Anforderungen an die Technik umfassen insgesamt 14 Punkte, es geht u. a. um Kontrolle, Zugang, Weitergabe und Trennung von Daten. Sie müssen vor dem Zugriff Dritter, „böser Menschen“ und der Zerstörung geschützt werden. Neben der Verwendung von Passwörtern müssen Festplatten, USB-Sticks und andere mobile Datenträger verschlüsselt werden, u.a. möglich über Bitblocker. Teilen sich mehrere Vorstandsmitglieder einen Laptop, muss der Verein Richtlinien für die Nutzer erstellen.

Rechner oder Laptops – auch private, die für den Verein genutzt werden – sind doppelt zu verschließen: nicht nur über die Zimmertür, sondern zusätzlich auch in einem Schrank. Das gilt vor allem bei längerer Abwesenheit.

Im Einzelnen sollte bei der Arbeit mit Excel nicht mehr mit Tabellenblättern gearbeitet werden, sondern nur noch mit neuen Tabellen. Mitgliedsnamen sollten dann durch Nummern pseudonymisiert werden.

Wenn ein Mitglied aus dem Verein austritt, reicht es, alle seine Daten zu löschen?

Das Löschen muss protokolliert und das Protokoll aufbewahrt werden. Letzteres ist eigentlich auch nicht mehr erlaubt. Das Beste ist, man trägt statt des Namens die Mitgliedsnummer ein und hängt das Löschverlangen der Person mit an.

Werden Vereinsdaten auf einem privaten Rechner verwaltet, was gang und gäbe ist, kann der Verein von diesem Ehrenamtlern die Löschung fordern. Aufgrund des Persönlichkeitsrechtes hat er nicht die Möglichkeit, dies zu kontrollieren.

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Wenn ein Verein mehr als neun fest angestellte Personen hat. Bei hochsensiblen Daten, wie Daten der Gesundheit, von Kindern oder Forschungsdaten, empfiehlt sich die Bestellung eines Datenschutzbeauftragten. Wer Umgang mit Vereinsdaten hat, darf nicht zum Datenschutzbeauftragten ernannt werden. (keb)

In Folge 2 werden Themen wie Webseiten, Newsletter, Fotorechte und Datenpanne behandelt.