10. Juli 2018 Infos des Ehrenamtsbüros der Stadt Aachen zur DSGVO für Vereine
Das Büro für Ehrenamt und bürgerschaftliches Engagement der Stadt Aachen hat Informationen zum Umgang mit der neuen Datenschutz-Grundverordnung für Vereine zusammengestellt.
Seit dem 25.05.2018 gilt die neue EU Datenschutzgrundverordnung (DS-GVO) und sie stellt auch viele gemeinnützige Vereine und Organisationen vor neue Herausforderungen.
Um etwas Licht ins Dunkel zu bringen, hat der Datenschutzbeauftragte der Stadt Aachen (Arthur Stärk) in einer ersten Fortbildungsveranstaltung für Aachener Vereine am 26.6.2018 über die neue DS-GVO informiert und dazu eine entsprechende Präsentation erarbeitet.
Weitere Folgetermine werden entsprechend noch bekannt gegeben.
Hier die Zusammenfassung einiger Eckpunkte der neuen EU-Datenschutzgrundverordnung durch das Ehrenamtsbüro:
Ziel der DSGVO
Das Ziel der Neuerungen ist die Schaffung eines einheitlichen Datenschutzrechtes in der Europäischen Union (EU). Nach Art.1 DS-GVO sollen die Grundrechte und Grundfreiheiten von natürlichen Personen und deren personenbezogene Daten bei der Verarbeitung geschützt werden.
Was sind personenbezogene Daten
Unter personenbezogenen Daten versteht man alle Informationen, die eine Identifizierung einer Person ermöglichen (z.B. Name, Anschrift, Foto, Kontodaten, private E-Mailadresse, etc.).
Infolge dessen muss die Frage gestellt werden:
„Wer darf Was von Wem und Wie verarbeiten?“
Verarbeitet werden dürfen personenbezogene Daten nur dann, wenn es hierzu eine Erlaubnis gibt. Dies kann eine persönliche Einwilligung sein, oder ein Vertrag oder eine Rechtsnorm. Darüber hinaus müssen die Daten für die gewünschte Verarbeitung erforderlich sein. Dies kann z.B. durch den Vereinszweck bestimmt werden (Namen, Adressen, Kontaktdaten, Bankdaten zur Vereinnahmung von Beiträgen, Fotos, Videos, sonstige Daten zur Befähigung/Leistung etc.).
Hierbei ist eine Zweckbindung unerlässlich. Es muss festgelegt sein, zu welchem Zweck des Vereins die Daten verarbeitet werden dürfen (z.B. Bankdaten nur für Abbuchung Beiträge, etc.).
Viele Daten über die Vereinsmitglieder zu besitzen bedeutet folglich also nicht, dass jeder im Verein sie auch alle verwenden darf. Dies muss im Verein festgelegt und zwingend geprüft werden!
Dokumentation
Verschriftlichen kann man dies in der Satzung/Geschäftsordnung des Vereins (Ziele des Vereins, Verwaltung und Betreuung der Mitglieder, Kommunikation der Mitglieder untereinander, Übermittlung von Daten der Mitglieder an Dritte, Aussagen zur Nutzung von Daten).
Wichtig ist, dass man alle Vereinsmitglieder entsprechend informiert über die Erhebung der persönlichen Daten.
Wer ist verantwortlich?
Der geschäftsführende Vorstand im Verein ist der Verantwortliche im Sinne der neuen DS-GVO (Art.4 Zif.7). Er ist verpflichtet, dafür Sorge zu tragen, dass alle Rechte und Pflichten aus der DS-GVO erfüllt werden und er hat auch die Aufgabe, ein Verzeichnis darüber zu erstellen, über Art und Umfang der Datenverarbeitung im Verein.
Zu beachten ist der sorgsame Umgang besonders bei der internen Verwendung der Daten im Verein: z.B. Mitgliederlisten auf einem öffentlich zugänglichen schwarzen Brett oder online auf der Homepage, bei Mannschaftsaufstellungen, Teilnehmer- & Siegerlisten.
Auch eine Veröffentlichung in Tageszeitungen u.U. auch mit Foto ist im Vorfeld abzuklären.
Soziale Netzwerke
Ein beliebtes Kommunikationsmedium heutzutage ist Facebook, WhatsApp (insbesondere Gruppenchats) & Co. .Diese Messenger und Kommunikationsdienste zur offiziellen Kommunikation im Verein zu nutzen ist kritisch zu sehen, da die AGB’s dieser Anbieter es nicht zulassen, datenschutzrechtliche Anforderungen umzusetzen. So werden z.B. alle Mobilfunknummern, die sich im Adressbuch eines Smartphones oder eines Tablets befinden, ausgelesen und an die Betreiber übermittelt, ohne dass hierzu Einverständnis des einzelnen Rufnummerninhabers vorliegt. Dies ist mit den Datenschutzverpflichtungen z.B. eines Vereins nicht vereinbar. Facebook und WhatsApp sollten somit nur auf privater Ebene genutzt werden.
E-Mails
Besonders zu beachten ist auch das Versenden von personenbezogenen Daten per E-Mail. Eine E-Mail hat die Vertraulichkeit einer „Postkarte“. Alle, die diese in die Hand bekommen, können lesen, was darauf geschrieben steht. Gleiches gilt grundsätzlich auch für E-Mail-Anhänge, also z.B. Mitgliederlisten. Solange bei der Versendung von E-Mails keine Verschlüsselung zum Einsatz kommt, sollten hierin nur die wirklich notwendigen personenbezogenen Daten enthalten sein. Am besten nutzt man daher die altbewährte Variante in Papierform bei der Weitergabe von Teilnehmerlisten etc..
Daten von Kindern
Ein ebenfalls sehr sensibler Bereich in Vereinen sind die Daten von Kindern: Die DSGVO ordnet dem Schutz der Daten von Kindern einen besonderen Stellenwert zu. Grundsätzlich sollte bei Kindern bis zum vollendeten 16.Lebensjahr immer das Einverständnis der Eltern eingeholt werden. In einzelnen Fällen dürfen Kinder über 12 Jahre auch schon mal selbst entscheiden. Allerdings ist darauf zu achten, dass diese Kinder die Tragweite ihres Handelns zu der gewünschten Einwilligung selber einschätzen können müssen (vergleichbar der beschränkten Geschäftsfähigkeit nach § 106 BGB). Bei allen relevanten Entscheidungen, gerade wenn weitreichende Folgen z.B. im Bereich Gesundheit betroffen sein könnten, sollte auf jeden Fall die Einwilligung der Sorgeberechtigten eingeholt werden.
Abschließend sollte man also folgende Vereinbarungen im Verein treffen:
- Welche Daten werden zu welchem Zweck erhoben?
- Werden Daten an Dritte weitergegeben?
- Welcher Personenkreis hat Zugang zu welchen Daten?
- Wie geht man mit Daten ausgeschiedener Mitglieder um? (Löschverpflichtung nach Art.17 DS-GVO)