1
EU Datenschutzgrundverordnung (EU DSG VO) und ihre
Auswirkungen auf Vereine – ein Überblick
Am 25. Mai 2018 tritt die EU DSG VO in Kraft. Es gibt keine Übergangsfristen,
d.h. die Anforderungen dieser Verordnung müssen am 25. Mai 2018 erfüllt sein.
Auch Vereine sind hiervon betroffen. Neben dem DTK als Hauptverein auch dessen
Landesverbände und alle Ortsgruppen.
Jeder Verein verarbeitet Mitgliederdaten. Oft sind das sehr persönliche Daten wie
etwa Alter und Familienstand, aber auch Mailadressen oder sonstige Kontaktdaten.
Selbstverständlich dürfen diese Daten nur von den Personen angesehen werden, die
sie für ihr Vereinsamt benötigen. Nicht einmal Mitgliedern dürfen diese Daten
zugänglich gemacht werden, mögliche Ausnahme: Minderheitenbegehren.
Schon bis jetzt war das Bundesdatenschutzgesetz zu beachten. Die Einhaltung
bestimmter Regeln im Umgang mit personenbezogenen Daten ist daher nicht neu.
Schon jetzt gilt: Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn
es gesetzlich geboten ist, es zur Erfüllung des Vereinszwecks erforderlich ist oder
wenn der Betroffene einwilligt.
Zur Erfüllung des Vereinszwecks dürfen nur die personenbezogenen
Daten verarbeitetwerden, die zwingend erforderlich sind und es dürfen auch nur die Personen Zugriff
auf diese Daten haben, die sie zur Ausführung ihres Amtes benötigen.
An die Einwilligung der Betroffenen werden nun höhere Anforderungen gestellt.
Die Einwilligung setzt voraus, dass die betroffene Person mindestens 16 Jahre alt ist
und umfassend darüber informiert wurde, welche Daten zu welchen Zwecken
verarbeitet werden.
In Einwilligungserklärungen sollten daher insbesondere die Verarbeitungszwecke
sorgfältig und umfassend angegeben werden. Nur „zur Erfüllung des Vereinszwecks“
reicht nicht aus. Dies gilt vor allem, wenn personenbezogene Daten auf Webseiten,
in Vereinsbroschüren etc. veröffentlicht werden und letztere sogar noch in die
Öffentlichkeit gelangen, weil sie als Werbemittel für den Verein genutzt werden.
Die Verordnung gilt für alle Dateisysteme. Es ist daher völlig egal, ob Vereine ihre
Mitgliederdaten elektronisch oder z.B. auf Karteikarten/Listen führen.
Panik ist nicht angebracht, aber es besteht akuter Handlungsbedarf zur Umsetzung
der Anforderungen der EU DSG VO.
Bei Nichteinhaltung dieser Anforderungen drohen nämlich empfindliche Bußgelder.
Was ist zu tun?
Verschaffen Sie sich einen Überblick, auf welchen Wegen Daten zu Ihnen kommen,
welche Daten verarbeitet werden, was passiert nach Erhalt mit diesen Daten, wer hat
2
Zugriff auf diese Daten und vor allem auch, was überhaupt an Daten / Altdaten ist an
welchen Orten vorhanden? Wo liegen noch alte Unterlagen? Was bewahren
Obleute, Prüfungsleiter und andere Mitglieder für den Verein auf. Brauchen diese
Personen tatsächlich diese Daten? Das ist Aufgabe des Vorsitzenden bzw. des
Vorstands.
Alle diese Angaben werden sodann in dem von der EU DSG VO geforderte
„Verzeichnis der Verarbeitungstätigkeiten“
zusammengefasst.In dieses Verzeichnis gehören auch alle technisch-organisatorischen Maßnahmen
(TOMs), die gewährleisten, dass die im Verein befindlichen Daten sicher sind, also
vor dem Zugriff Unberechtigter geschützt sind, nicht verloren gehen,
wiederherstellbar sind etc.
Muss ein Datenschutzbeauftragter bestellt werden?
Ja, wenn mindestens zehn Personen irgendwie automatisiert Daten verarbeiten (also
mit PC, Laptop, Smartphone usw.), besteht die Pflicht, einen
Datenschutzbeauftragten zu benennen. Je nach Vorstandsgröße inklusive Obleuten
trifft dies häufig sogar schon auf eher kleine Vereine zu.
Wichtig !!! Auch wer keinen Datenschutzbeauftragten benennen muss, muss sich
trotzdem um den Datenschutz kümmern, braucht also einen Ansprechpartner für den
Bereich Datenschutz, der sowohl im Impressum als auch in der
Datenschutzerklärung zu benennen ist.
Was ist laut EU DSG VO mit Verarbeitung von Daten gemeint?
Verarbeitung ist das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen
oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung,
Verbreiten, Abgleichen, Verknüpfen, Beschränken, Löschen oder Vernichten von
personenbezogenen Daten.
Unter die Nutzung fällt zum Beispiel die Datenweitergabe innerhalb des Vereins im
Vorstand oder bei externer Verwaltung der Vereinsdaten. In letzterem Fall ist ein sog.
Auftragsverarbeitervertrag zu schließen. Generell gilt, dass jeder Funktionsträger im
Verein nur entsprechend seiner Aufgaben auf die erforderlichen Mitgliederdaten
Zugriff haben darf.
Was bedeuten Informations- und Auskunftsrecht laut EU DSG VO?
Die EU DSG VO stärkt die Betroffenenrechte. Betroffene können Auskunft darüber
verlangen, welche Daten zu welchen Zwecken gespeichert werden. Diese Auskunft
muss kurzfristig möglich sein. Sie können zudem verlangen, dass die Daten nach
Beendigung der Mitgliedschaft gelöscht werden, soweit keine gesetzlichen
Regelungen entgegenstehen. Dies muss dokumentiert werden.
3
Was passiert bei einer Verletzung personenbezogener Daten?
Der Schutz personenbezogener Daten kann auf vielfältige Weise verletzt werden.
Zum Beispiel durch den Verlust einer Mitgliederliste, erfolgreiche Hacking-Angriffe,
Verschicken von Mitteilungen über einen offenen E-Mail-Verteiler oder der Verlust
eines Laptops oder Smartphones mit Mitgliederdaten.
In solchen Fällen ist unverzüglich (lt Verordnung innerhalb von 72 Stunden) die
zuständige Datenschutzaufsichtsbehörde (das ist die im jeweiligen Bundesland
zuständige Behörde für den Datenschutz) zu informieren. Mit der Behörde kann dann
geklärt werden, ob und in welchem Umfang die Vereinsmitglieder zu informieren
sind.
Webseiten – Risiko !!!
Am dringlichsten ist die Überprüfung der Webseiten, da Abmahnanwälte und
Abmahnvereine schon in den Startlöchern stehen und prüfen, ob die Webseiten EU
konform sind.
Ist dies nicht der Fall, weil es keine Datenschutzerklärung auf der Webseite gibt oder
diese unvollständig ist, drohen kostenintensive Abmahnungen.
Neben dem Impressum muss zwingend eine Datenschutzerklärung vorhanden sein.
Der Nutzer hat Anspruch auf klare und leicht verständliche Informationen darüber,
wer seine Daten zu welchem Zweck wie und wo verarbeitet.
Die Datenschutzerklärung muss individuell gestaltet werden, je nachdem ob und wie
personenbezogene Daten erhoben werden. Auch auf den Einsatz externer Dienste,
wie zum Beispiel Facebook und Google, muss hingewiesen werden, sofern diese
durch den Aufruf der Website personenbezogene Daten erheben. Dies ist der Fall
bei Google-Analytics, google-maps, google-Schriften u.a. Bitte klären Sie das mit
Ihrem IT-Dienstleister.
Falls die Umsetzung der EU DSG VO bis zum 24. Mai 2018, 23.59 Uhr nicht möglich
sein sollte (dazu gehören auch die Einwilligungserklärungen der Personen, deren
Daten auf der Website veröffentlicht sind), ist angeraten, Teile der Webseite mit
personenbezogenen Daten oder sogar die komplette Webseite offline zu stellen.
Verantwortliche Stelle für die Umsetzung der EU DSG VO ist der
Vereinsvorstand.
Datenschutzerklärung
Zugriffsdaten werden nahezu bei jedem Webseitenbesuch erhoben.
4
Welche das sind, erfragen Sie am besten bei Ihrer IT-Abteilung oder Ihrem ITDienstleister,
der Ihren Webserver hostet. Anschließend passen Sie ggf. die
Informationen zu den die erhobenen Daten im Text an.
Für jeden Tracker, jedes Plug-In oder Tool, das in irgendeiner Weise mit
personenbezogenen Daten in Verbindung steht, ist eine entsprechende
Datenschutzerklärung zu formulieren!
Die Datenschutzerklärung muss über einen Link zu erreichen sein und sollte schon
über den ersten Screen – also den Webseitenbereich, der beim Laden zuerst zu
sehen ist – erkennbar und erreichbar sein.
Setzen Sie Cookies ein? Analyse-Tools (Google-Analytics) ? Plug-Ins? Tracker?
Google-Map? Zu jedem einzelnen Tool muss eine entsprechende
Datenschutzerklärung formuliert werden. Zudem müssen ggf. noch besondere
Hinweise vor der Nutzung des Tools durch den Webseitenbesucher installiert
werden.
In der Datenschutzerklärung ist ferner der Verantwortliche für den Datenschutz mit
Kontaktdaten anzugeben.
Der Hinweis auf die Aufsichtsbehörde sollte ebenfalls nicht fehlen.
Die Datenschutzerklärung darf nicht Teil des Impressums sein. Es muss zwingend
ein eigener Link gesetzt werden.
Kontaktformular
Bei Kontaktmöglichkeiten auf der Webseite ist diese zwingend mit einem
Sicherheitszertifikat zu versehen (SSL-Verschlüsselung).
Der Benutzer muss an dieser Stelle in verständlicher Form über Art, Zweck und
Umfang der Erhebung und Nutzung der personenbezogenen Daten informiert
werden, weil er nur so weiß, worin er einwilligt. Zugleich muss er über das
Widerrufsrecht für die erteilte Einwilligung aufgeklärt werden, das er jederzeit
ausüben kann. Es muss ein Hinweis auf die Datenschutzerklärung erfolgen, so dass
der Benutzer mit einem Klick diese Erklärung zur Kenntnis nehmen kann.
Das Kontaktformular ist so zu überarbeiten, dass der Benutzer nach der Information
über die Eingabe der Daten und dem Hinweis auf die Datenschutzerklärung aktiv in
einer Checkbox die Kenntnisnahme und seine Einwilligung bestätigen muss.
Idealerweise wird diese Einwilligung zu späteren Beweiszwecken archiviert. Wird
keine Einwilligung erteilt, darf der Benutzer das Kontaktformular nicht absenden
können.
Die Verbindung des Kontaktformulars mit z.B. einer Newsletterbestellung ist
unzulässig.
Es gilt der Grundsatz der Datensparsamkeit. Für die Beantwortung einer
Kontaktanfrage reicht der Name und eine gültige E-Mail-Adresse aus. Diese Felder
sollten als Pflichtfelder gekennzeichnet sein.
5
Werden mehr Informationen von Benutzern verlangt (Anschrift, Telefonnummer etc),
muss dies gekennzeichnet sein, z.B. mit einem Asterisk (*) und einer Begründung für
die Abfrage versehen werden.
Der Benutzer kann so selbst entscheiden, ob er weitere Daten als die Pflichtangaben
angeben möchte.
Sie als Verwender des Kontaktformulars müssen im Streitfall rechtssicher begründen
können, warum z.B. die Telefonnummer ein Pflichtfeld sein soll. Bei Unsicherheiten
holen Sie sich bitte qualifizierten Rechtsrat zu seiner Pflichtfeldabfrage ein oder
beschränken Sie das Kontaktformular auf Abfragen zu Namen und E-Mail-Adresse.
Achtung:
In Artikel 7 EU DSG VO ist nun ein einheitliches Mindestalter für dieEinwilligung festgelegt auf 16 Jahre. Einwilligungen von Minderjährigen unter 16
Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende
Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit
einverstanden sind.
Webseiten-Betreiber müssen also das Alter eines Nutzers verifizieren, um
rechtssicher festzustellen, ob die jeweiligen Nutzer oder deren Eltern zur
Genehmigung der Datenverarbeitung berechtigt sind.
Unklar ist bis heute, wie dies im Einzelnen gestaltet werden soll.
Cookies
Sofern Cookies auf der Webseite verwendet werden, ist ein Hinweis unbedingt
erforderlich.
Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3,
Drupal) nutzen standardmäßig Cookies ein, um den Nutzer über den Auftritt zu
„identifizieren“.
Daher ist der pauschale Einsatz eines Cookie-Banners zu empfehlen. Dieser sollte
deutlich beim ersten Aufruf der Webseite zu sehen sein.
Social Media auf der Website
Bei dem Einsatz von Social Media (z. B. Facebook Timeline, Twitter Feed,
LikeButtons) ist sicherzustellen, dass keine Daten des Webseitenbesuchers ohne
dessen Zustimmung erhoben werden.
Auf die Verwendung von Social Media Angeboten und die Art des verwendeten
Social Plugins (z. B. Like Button, Share Button, Custom Audiences etc.) ist in der
Datenschutzerklärung ein entsprechender Passus zu formulieren. Gleichzeitig muss
auf die Widerrufmöglichkeiten hingewiesen werden.
Gegebenenfalls ist sogar die „aktive“ Einwilligung des Besuchers notwendig.
Sind solche Tools nicht zwingend erforderlich, ist angeraten, deren Nutzung
unverzüglich einzustellen.
6
Veröffentlichungen im Internet und von Fotos
Jede Veröffentlichung von personenbezogenen Daten im Internet durch einen Verein
ist grundsätzlich erstmal unzulässig – es sei denn, der Betroffene hat sich
ausdrücklich damit einverstanden erklärt.
Soweit irgend möglich, sollten daher Informationen zu Vereinsveranstaltungen wie
Prüfungen, Zuchtschauen, Ausstellungen etc. nur in anonymisierter Form erfolgen,
d.h. ohne Benennung der beteiligten Personen, es sei denn, Ihnen liegt deren
Einverständniserklärung schriftlich vor.
Videos und Fotos dürfen nicht ohne ausdrückliche Erlaubnis des Betroffenen
veröffentlicht werden, da ansonsten ein Eingriff in dessen Persönlichkeitsrecht
vorliegt.
Grundregeln für den Umgang mit personenbezogenen Daten im
Verein
Verwenden Sie personenbezogene Daten nur für vereinsinterne Zweckegemäß der Vereinssatzung.
Geben Sie die Daten nicht an Dritte weiter – es sei denn, Sie haben dieschriftliche Einwilligung der betroffenen Person.
Beschränken Sie den internen Zugriff auf personenbezogene Daten.
Halten Sie die IT aktuell und orientieren Sie sich an den üblichenSicherheitsstandards (Firewall, Virenscanner, passwortgeschützter Zugang,
evtl. Festplattenverschlüsselung).
Geben Sie keine Paßwörter weiter!!!
Führen Sie regelmäßig Datensicherungen durch und prüfen Sie, ob dieBackups reproduzierbar sind.
Verwahren Sie Datensicherungen getrennt, für Unberechtigte unzugänglichund feuersicher auf.
Verwahren Sie personenbezogene Daten nicht an öffentlich zugänglichenStellen, z.B. im Vereinsheim, auf.
Weitere Anforderungen
Bei Dienstleistern in Sachen Datenverarbeitung sollten Sie auf deutsche oder EUweite
Anbieter setzen und auf einen konkreten Hinweis zur Einhaltung der DSGVO
im Vertrag achten.
Whats-App, Messenger oder Dropbox sind beispielsweise US-amerikanische Firmen.
Werden Mitgliederdaten hierüber ausgetauscht, gilt das als grundsätzlich nicht
erlaubte "Übermittlung an Drittstaaten", sofern keine explizite Einwilligung der
betroffenen Person vorliegt.
Eine solide Alternative für Whats-App ist z.B. Threema.
7
Herzstück von Threema sind die Sicherheits-Features, die laut Hersteller für
abhörsichere Kommunikation sorgen. Auch das unerwünschte nach außen dringen
der eigenen Kontaktdaten – oder derer von Chat-Partnern – soll effektiv verhindert
werden. Die Verschlüsselung findet dabei komplett asynchron auf dem eigenen
Gerät statt. Das gilt auch für Gruppen-Chats, die ebenfalls durch die Ende-zu-Ende-
Verschlüsselung gesichert werden. Darüber hinaus sind nicht nur Textnachrichten
gesichert – auch alle anderen Medien, die sich mit Threema versenden lassen,
werden verschlüsselt – etwa Bilder, Videos, Sprachnachrichten oder Kontakte selbst.
Sorgen Sie dafür, dass Sie von Ihren Auftragsverarbeitern (Hoster, Cloud-Dienste,
externe Dienstleister) Bestätigungen zur Einhaltung der EU DSG VO vorliegen
haben.
Holen Sie von allen, die Vereinsdaten verarbeiten, Verschwiegenheitserklärungen
ein und informieren Sie sie über die geltende Rechtslage.
Bitte stellen Sie sich bei der Verarbeitung von Daten immer die folgenden
Fragen
:
Datensparsamkeit: Ist die Vorhaltung von Daten und deren Verarbeitungtatsächlich notwendig?
Datenrichtigkeit: Ist gewährleistet, dass Mitgliederdaten stets auf demneuesten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden?
Rechtmäßigkeit: Ist die Datenverarbeitung gem. Art.6 Abs.1 DSGVO rechtlichzulässig? Dient die Datenverarbeitung der Erfüllung des Vereinszwecks? Gibt
es Einwilligungen der Betroffenen? Lässt sich die Datenverarbeitung durch
eigene „berechtigte Interessen“ oder durch „berechtigte Interessen“ der
Mitglieder legitimieren?
Löschfristen: Werden Daten gelöscht, sobald sie nicht mehr benötigt werden?Gibt es eine Löschroutine, die eine rechtzeitige Löschung gewährleistet?
Zugriffsrechte: Haben Vorstandsmitglieder ausschließlich Zugriff auf Daten,die sie für ihre jeweiligen Aufgaben benötigen?
Zugangskontrolle: Sind die Rechner im Verein ausreichend gegen denZugang durch Unbefugte geschützt?
Schutz gegen Hacker und Malware: Gibt es eine Firewall? Sind aktuelleVirenscanner installiert?
Abschließender Hinweis:
Diese Ausführungen sollen einen Überblick über die Neuerungen der EU DSG VO
geben. Sie ersetzen keine qualifizierte, individuelle Beratung durch Rechtsanwälte
oder Datenschutzbeauftragte.
Brigitte Vosen
Rechtsanwältin, Mediatorin und zert. Datenschutzbeauftragte