Datenschutzerklärung muss auch bei Vereinen auf die Website

Seit 25. Mai gelten neue Regeln im Hinblick auf die Rahmenbedingungen im Umgang mit personenbezogenen Daten. Konkrete Hinweise zur Umsetzung der Datenschutzgrundverordnung (DSGVO) in Vereinen versprach ein Vortrag von Christoph Boser, zu dem Richard Kammerer, Sprecher der Vereine von Biberach und Prinzbach, eingeladen hatte.

Richard Kammerer war leider verhindert, und so begrüßte Franz Mäntele die zahlreich erschienenen Vereinsvertreter im Bürgersaal des Rathauses zu der Informationsveranstaltung. Sie hatte zum Ziel, die Fragen bei den Verantwortlichen in den Vereinen zu klären.

Es war gelungen mit Christoph Boser, Datenschutz-Sachverständiger und IT-Forensiker, einen hochqualifizierten Referenten zu gewinnen. Der führte gleichermaßen strukturiert wie zielgerichtet durch den Abend und die wichtigsten Punkte der DSGVO. So war etwa zu erfahren, dass ein Datenschutzbeauftragter nur bestellt werden muss, wenn in der Regel mehr als zehn Personen im Verein ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Das können zum Beispiel die Bearbeitung von Mitgliederlisten sein oder von Angaben zur Bankverbindung. Beim Betrieb von Internetpräsenzen fallen regelmäßig personenbezogene Daten an. Zu deren Erhebung und Nutzung müssen ab 25. Mai entsprechende Angaben in einer Datenschutzerklärung auf der Website verfügbar sein. Doch damit sind die Anforderungen noch nicht erfüllt: Auch Vereine müssen ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Vereinseigene »Verarbeiter«, Beschäftigte und Trainer sollten auf das Datengeheimnis verpflichtet werden. Da jetzt auch umfangreiche Informations- und Auskunftspflicht gegenüber der Mitglieder eines Vereins bestehen, empfiehlt der Fachmann eine Satzungsüberarbeitung in diesem Punkt in Betracht zu ziehen. Er rät, an die Formulare für die Neu­anmeldungen ab sofort ein Beiblatt zu heften, auf dem die entsprechenden Auskünfte hinsichtlich der Datenverarbeitung zu finden sind. Für den Altbestand gilt eine Auskunftspflicht bei Auskunftsbegehren. Für die Beantwortung hat der Verein acht Tage Zeit. Prozesse aufzubauen, die die Datenverwendung protokollieren, sollte – sofern noch nicht geschehen – bei jedem Verein weit oben auf der Agenda stehen, denn die Nachweispflicht liegt beim Verein.

Bezüglich der Datensicherheit sind etablierte Standardmaßnahmen ausreichend. Die Verschlüsselung von Festplatten von Laptops, auf denen Vereinsdaten gespeichert sind, gehört dazu, ebenso ein Standard-Antiviren-Programm. Mit Unternehmen und Organisationen, die Daten im Auftrag des Vereins verarbeiten, etwa Cloud-Mitgliederverwaltungsdiensten, Datenbankserver-Anbietern und Verbänden, sollten die Vereine Auftragsverarbeitungs­verträge (AV) abschließen. Weitere Punkte beschäftigten sich mit dem Umgang bei Datenschutzverletzungen, der datenschutzkonformen Ausgestaltung von Videoüberwachung und der Datenschutzfolgenabschätzung.

Zum Schluss ging es dann noch um ein Thema, das auch in der Vergangenheit immer wieder für Verunsicherung gesorgt hatte: das Recht am eigenen Bild. Gruppen mit mehr als fünf abgebildeten Personen seien unproblematisch, war zu erfahren. Für bestehende Bilder gelte im Prinzip Bestandsschutz. Wichtig sei zu wissen, dass die Einwilligungen zur Veröffentlichung von den Abgebildeten jederzeit widerrufen werden können. Für Porträtbilder empfahl der Experte, schriftliche Einwilligung einzuholen. Die braucht man übrigens auch für die Veröffentlichung von Geburtstags- oder Jubilarslisten, etwa in Vereinsheften. Hier riet Christoph Boser zu einer Satzungsregelung, die den entsprechenden Umgang bestimmt.

Mit einer Menge Informationen und einem dicken Paket zu bearbeitender Aufgaben in der Tasche ging es für die Teilnehmer wieder nach Hause. Nicht ohne das Angebot von Christoph Boser, dass man sich wieder treffen werde, wenn neuer Klärungsbedarf bestünde.

Schwarzwälder Post – Ihre Druckerei im Mittleren Schwarzwald