Stichtag ist der 25. Mai: An diesem Tag tritt die neue Datenschutz-Grundverordnung der Europäischen Union (DSGVO) in Kraft, die auch für Vereine weitreichende Folgen hat. Daten müssen künftig noch besser geschützt, viele Schritte dokumentiert und transparent dargelegt werden. Da Vereine personenbezogene Daten ihrer Mitglieder speichern, also Adressen, Telefonnummern und vor allem Kontodaten, muss nachgewiesen werden, wie diese Daten gespeichert sind und geschützt werden.
Haben mehr als zehn Personen Zugang zu diesen Daten, ist es sogar notwendig, einen Datenschutzbeauftragen zu bestimmen. Grundsätzlich ist der Vorstand eines Vereins für den Datenschutz verantwortlich und auch haftbar. Der Bedarf an Information und Aufklärung ist groß. Eine Infoveranstaltung, die die Stadt im Rahmen der Ehrenamtsakademie zu diesem Thema angeboten hat, war so stark frequentiert, dass es jetzt einen zweiten Termin gibt, wie die Pressesprecherin der Stadt, Oxana Brunner, erklärte.
Beim Turnverein ist man gut vorbereitet auf die Umstellung, wie der Vorsitzende Manfred Herzner auf Anfrage des SÜDKURIER mitteilt. "95 Prozent der Vorgaben sind bei uns eh schon erfüllt worden." Jetzt gelte es, noch verschiedene kleinere Dinge umzusetzen. So soll zum Beispiel die Satzung bei der Mitgliederversammlung im nächsten Jahr um einen Passus zum Datenschutz ergänzt werden. Darin wird festgelegt, dass jedes Mitglied der Speicherung, Bearbeitung, Verarbeitung und Übermittlung seiner personenbezogenen Daten im Rahmen der Erfüllung der Aufgaben und Zwecke des Vereins zustimmt. Bis diese Satzung in Kraft tritt, muss diese Genehmigung bei jedem Neu-Mitglied individuell eingeholt werden. "Nicht geklärt ist, was mit älteren Mitgliedern geschieht", erläutert Herzner, der immer schon sehr sensibel mit den Daten umgegangen ist, die dem Verein anvertraut werden. "Wenn beispielsweise aus einer Gruppe die Frage kommt, wann der Übungsleiter Geburtstag hat, um ihm mit einem Geschenk überraschen zu können, habe ich mich immer rückversichert, dass ich dieses Datum weitergeben darf", erklärt Herzner. Dafür sei er manchmal ausgelacht worden: "Aber das muss einfach sein."
Datenschutzbeauftragter einbezogen
Auch bei der gemeinnützigen Musikakademie hat man sich frühzeitig um das Thema gekümmert, wie Geschäftsführer Gerhard Wolf erklärt. Mit der Datenschutz-Grundverordnung werden erstmals EU-weit einheitliche Standards zum Umgang mit personenbezogenen Daten geschaffen. "Mit dem Thema Datenschutz befassen wir uns schon seit Langem, haben uns auch rechtzeitig auf den Weg gemacht, um den neuen Herausforderungen gerecht zu werden", berichtet Wolf auf Anfrage.
Um alles korrekt umzusetzen, sei es für die Akademie erforderlich gewesen, einen externen Datenschutzbeauftragten mit einzubeziehen. Da die Verwaltung der Musikakademie extrem schlank aufgestellt ist, so Wolf, sei man froh, zusammen mit einer anderen Musikschuleinrichtung, die einen ähnlichen betrieblichen Ablauf hat, einen kompetenten Fachmann für die Vorgaben gefunden zu haben. "Wir liegen durch das frühe Handeln gut im Zeitplan." Außerdem leiste hier der Verband deutscher Musikschulen Hilfestellung.
Bei der Stadtharmonie hat man engen Kontakt mit dem Verband, der den Mitgliedsvereinen hier einiges abnimmt. Grundsätzlich ärgert sich Vorsitzender Henry Greif über immer neue Vorgaben und Regeln, auch wenn er von der Wichtigkeit des Datenschutzes überzeugt ist: "Aber man kann den Vereinen nicht ständig Mehrarbeit aufbürden, irgendwann bleibt keine Zeit mehr für den eigentlichen Vereinszweck."
Das gilt es künftig zu beachten
Für die Vereine gelten vor allem beim Umgang mit personenbezogenen Daten strenge Regeln. Nachfolgend eine kleine Auswahl der Vorgaben, die die Datenschutz-Grundverordnung vorgibt.
- Minimierung: Grundsätzlich gilt die Zweckbindung und Datenminimierung, es dürfen die Daten nur verarbeitet werden für festgelegte, eindeutige und legitime Zweck und die Verarbeitung muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
- Technische und organisatorische Maßnahmen: Die Vereine müssen Sorge tragen und überprüfen, ob die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, Datensicherheit zu gewährleisten. Bei allen Datenverarbeitungsvorgängen muss demnach überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen worden sind (Datensicherung, Verschlüsselung).
- Informationspflichten: Der Verein ist verpflichtet, die Personen, deren Daten verarbeitet werden, umfangreich zu informieren. In der Datenschutz-Grundverordnung gibt es eine genaue Liste der Informationen, die der betroffenen Person zum Zeitpunkt der Erhebung mitzuteilen sind. Im Vergleich zu den bisherigen Vorschriften laut Telemedien- und Bundesdatenschutzgesetz, sind einige neue Anforderungen hinzugekommen, die es genau zu beachten gilt.
- Einwilligungserklärungen: Die DSGVO gibt detaillierte Regelungen zu Einwilligungserklärungen der Personen vor, deren personenbezogenen Daten verarbeitet werden. Insbesondere wird bei der Einwilligung betont, dass dies eine "unmissverständlich abgegebene Willensbekundung" sein muss. Ein bereits angekreuztes Kästchen beispielsweise ist nicht zulässig.
- Informationstermin: Am 25. Juli bietet die Stadt erneut einen Vortrag zur neuen Datenschutz-Grundverordnung für Vereine an. Anmeldung über die Volkshochschule (07721/823344). Referent ist Ulrich Junginger.
