Datenschutz fordert Vereinsvorstände heraus

Welchem Grundsatz müssen die Vereine folgen?

Der Umgang mit schutzwürdigen persönlichen Daten bedarf einer rechtlich eindeutigen Zulässigkeit - entweder durch das vom Mitglied erklärte Einverständnis oder einer gesetzlichen Regelung. Junginger empfiehlt: Nur so viele Daten erheben, wie unumgänglich nötig sind. Wenn es um die "reine Mitgliederverwaltung" geht, darf der Verein die Daten ohne individuelle Einwilligung verarbeiten, da sie zur ordnungsgemäßen Erfüllung der Vereinsarbeit erforderlich sind. Aber Vorsicht: Werden die persönlichen Daten zu anderen satzungsgemäßen Vereinszwecken verwendet, bedarf es der Einwilligung des Mitglieds.

Welche besonderen Pflichten hat der Verein zu erfüllen?

Zur Wahrung des Datengeheimnisses muss jede Person, die mit der Verarbeitung persönlicher Daten befasst ist, eine Verpflichtungserklärung unterschreiben. Wenn im Verein mindestens zehn Personen laufend mit der Verarbeitung personenbezogener Daten beschäftigt sind oder der Verein bei Angeboten mit sensiblen Daten arbeitet (zum Beispiel Gesundheitsangaben beim Reha-Sport), muss ein Datenschutzbeauftragter ernannt werden. Mehrere Vereine können sich dabei einen solchen Experten "teilen". Er muss dem Landesdatenschutzbeauftragten als Aufsichtsbehörde gemeldet werden. Der Beauftragte darf aber keine andere Funktion im Verein ausüben. Geht der Verein mit besonders schützenswerten Daten um (etwa Gesundheit), muss außerdem eine Datenschutz-Folgeabschätzung vorgenommen werden.

Wie sollte der Vorstand praktisch vorgehen?

Der Vorstand sollte ein "Verzeichnis der Verarbeitungstätigkeiten" erstellen und laufend aktualisieren. Bereits in den Aufnahmeantrag sollte eine datenschutzrechtliche Einwilligung aufgenommen werden. Bestandsmitglieder muss der Vorstand aber nicht extra anschreiben. Die Datenschutzregelung kann in die Satzung aufgenommen werden oder aber der Verein entscheidet sich für eine eigene Datenschutzordnung. Der Vorstand müsste prüfen, ob die Sicherheitsvorkehrungen ausreichen (Zugangskontrolle, Passwortschutz). Für den Fall einer Datenpanne ist ein Ablaufplan notwendig. Der Vorfall muss spätestens bis 72 Stunden danach an die Aufsichtsbehörde und die Betroffenen gemeldet werden.

Was ist bei Bildern und Fotos zu beachten?

Das Recht am eigenen Bild gehört zum Persönlichkeitsrecht. Regelungen dazu kann man in der Datenschutzordnung aufnehmen. Die Einwilligung setzt aber genaue Informationen über Zweck und Ort voraus (etwa Vereinshomepage, Mitgliederzeitschrift). Ausnahmen gelten für Personen der Zeitgeschichte. Im Zweifel empfiehlt Junginger die Einholung der Zustimmung in jedem Einzelfall.

Was hat es mit dem Impressum auf der Homepage des Vereins auf sich?

Die "Anbieterkennzeichnung" (Impressum) auf der Homepage ist Pflicht. Hinterlegt werden müssen Namensangabe, Postanschrift, mindestens zwei Angaben über rasche Erreichbarkeit (E-Mail-Adresse, Telefonnummer) sowie die Registernummer. Vorgeschrieben ist auf der Internet-Seite auch eine Datenschutzerklärung. Junginger rät hier zur Sorgfalt, weil interessierte Kreise gezielt Ziele für Abmahnungen suchen.

Was passiert, wenn der Verein gegen die Datenschutzgrundverordnung verstößt?

Da das Thema noch ganz frisch ist, liegen noch keine Erfahrungswerte vor. Das Gesetz sieht Bußgelder vor. Junginger geht davon aus, dass die Aufsichtsbehörde gegebenenfalls zunächst einen deutlichen Hinweis ausspricht. Wichtig sei, dass in der jetzigen Anfangsphase die Vereine erste Schritte gehen und ein Signal setzen.

www.bsb-freiburg.de/Service/Datenschutz/