Newsletter
Datenbank
Facebook

Hinweise zur Datenschutzgrundverordnung

Praktische Hinweise für Verantwortliche in den Sportvereinen

Seit dem 25. Mai ist die neue Datenschutzgrundverordnung (DSGVO) und das kirchliche Datenschutzgesetz (KDG) in Kraft getreten. Wir wollen euch hier sehr kompakt so viele Infos wie nötig zur Verfügung stellen. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit.

Im Grundsatz geht es bei den neuen gesetzlichen Regelungen darum, personenbezogene Daten besonders zu schützen. Personenbezogene Daten sind z.B. Name, Alter, Adresse, Bankdaten etc. Als personenbezogene Daten gelten aber auch Fotos, die ihr deshalb unter keinen Umständen mehr ohne Erlaubnis machen dürft. Es gilt der Grundsatz der Datensparsamkeit, d.h. personenbezogene Daten dürfen nur der-/demjenigen zugänglich gemacht werden, die/der sie braucht. Das gilt auch für einzelne Personengruppen: Das Küchenteam muss um Allergien wissen, nicht aber um Geburtsdaten. Die/der Kassenwart/-wärtin muss um Bankdaten wissen, nicht aber die Teamer_innen. Datenschutz bedeutet, dass Einsicht in personenbezogene Daten immer nur der-/demjenigen gewährt wird, der diese Daten unmittelbar benötigt. Für zeitliche Abläufe bedeutet das: Was nicht mehr benötigt wird, muss gelöscht/vernichtet werden.

Ein juristischer Graben digitaler Art besteht zwischen Servern, die in EU-Ländern stehen und solchen, die das nicht tun. Das hört sich weit weg an, ist aber ganz schnell ganz nah, wenn ihr mit Tools oder Anbietern (zusammen) arbeitet, deren Server nicht in der EU stehen.

Websites

An manchen Stellen ist offensichtlich, dass ihr über eure Website Daten abfragt: Im Kontakt- oder Anmeldeformular beispielsweise. Sie sollten verschlüsselt übertragen werden (ssl). Eine solche Verschlüsselung könnt ihr über euren Hostingdienst „einkaufen“ und solltet das bis Mitte Mai unbedingt tun.

An anderen Stellen ist die Nutzung von Daten weniger offensichtlich, etwa, wenn ihr Google Adsense oder Analytics nutzt. Eure Nutzer/innen geben damit Daten preis, wissen das aber unter Umständen nicht. Damit sie es wissen, solltet ihr auf der Startseite einen Hinweis auf Cookies setzen. Wie das konkret geht ist systemabhängig: Wordpress bietet etwa eigene Plugins an, die ihr installieren könnt. Der Text kann folgendermaßen lauten: “Wir verwenden Cookies, um unsere Webseite für dich optimal zu gestalten und verbessern zu können. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu. Hier findest du unsere Datenschutzerklärung [Link].“

Eure Website muss nicht nur ein Impressum, sondern auch einen Datenschutzhinweis enthalten, der alle Datennutzungen benennt. Es reicht nicht, einen Datenschutzhinweis in das bestehende Impressum einzubauen!  

 

Der Datenschutzhinweis muss also eine eigene Seite sein, die über die Navigation im Menü angesteuert wird. Hier hinterlegt ihr bitte Hinweise auf Nutzung oder Zurverfügungstellung folgender Dienste:

  • Einbindung fremder Inhalte wie Videos von YouTube, Kartenmaterial von Google-Maps,
  • RSS-Feeds oder Grafiken
  • Kontaktformulare
  • Newsletter
  • Cookies
  • Nutzung von Google-Analytics
  • Twitter- und/oder Facebook-Schaltflächen
  • Google-AdSense-Werbung

Auftragsdatenverarbeitungs-Vereinbarung…

…hört sich schlimmer an, als es ist. Eine solche Vereinbarung müsst ihr mit allen Anbietern schließen, die mit euren Daten arbeiten. Das sind etwa externe Versandanbieter für Newsletter, Anbieter von Mailinglisten, Google Analytics o.ä. Fragt dort an, wo die Server stehen, auf denen die Daten gespeichert werden. Es macht juristisch einen großen Unterschied, ob sie in oder außerhalb der EU stehen.

Anmeldungen, Bildrechtsabfragen etc.

Alle Daten, die ihr im Zuge einer Anmeldung zu einer Veranstaltung erfasst, sind in der Regel personenbezogenen Daten. Klärt in euren zuständigen Gremien, wie ihr Sorge dafür tragen könnt, dass die Daten nur denjenigen Verantwortlichen zugänglich sind, die sie unbedingt brauchen.

Einverständniserklärungen für die Nutzung von Fotos solltet ihr unbedingt archivieren (und zwar dauerhaft für Jahrzehnte!). Das kann in Printform erfolgen, ist aber digital sicher leichter zu handhaben. Das gilt insbesondere dann, wenn ihr Bilder für Soziale Netzwerke verwenden möchtet. Und: Wer nicht einwilligt, darf auch nicht auf einem Bild sein!

Tools und Soziale Netzwerke

Bitte nutzt keine Dropbox mehr. Wir verstehen, dass die Nutzung überaus praktisch ist. Sie ist aber eben keinesfalls datensicher. Das gilt besonders für den Fall, dass ihr dort Bilder hochladet. Alternativ empfehlen wir euch owncloud o.ä. Für Ortsgruppen kann es möglicherweise auch sinnvoll sein, Cloudlösungen der Pfarrei zu nutzen (z.B. über Telekom). Bitte vergesst nicht, eure bestehenden Daten in einer Dropbox zu löschen, bevor ihr auf eine andere Cloudlösung wechselt. 

Soziale Netzwerke sind ein Alptraum in Sachen Datensicherheit. Wir werden euch dennoch nicht empfehlen, sie nicht mehr zu nutzen. Sie sind Teil unserer digitalen Gesellschaft und ohne Instagram, Snapchat und WhatsApp ist Jugendarbeit auch nicht mehr denkbar. Wir wollen euch aber dafür sensibilisieren, wie ihr selbst mit Daten in den Netzwerken umgeht. Zu Bildrechten haben wir oben bereits etwas gesagt. Tauscht in Sozialen Netzwerken Infos aus, aber keine Adresslisten, Passwörter, Protokolle o.ä. Wenn ihr anlassbezogene WhatsApp-Gruppen einrichtet, dann klärt eure Nutzer_innen auf, was mit ihren Daten (insbesondere ihrer Telefonnummer) geschieht. Postet nur, was ihr selbst auch dann für unverfänglich haltet, wenn ihr euch vorstellt, es in 30 Jahren nochmals anzusehen. 

 

Text: BDKJ Speyer

Häufig gestellte Fragen - FAQ – Datenschutz im Sportverein

1. Für wen und was gilt die DSGVO?

Sie gilt für die behördliche und geschäftsmäßige Verarbeitung personen-bezogener Daten in der EU. “Geschäftsmäßig“ bedeutet nicht nur mit Gewinnerzielungsabsicht, sondern auch bei Vereinen, Kirchen und anderen gemeinnützigen und nicht profitorientierten Einrichtungen.

 

2. Drohen allen kleinen Vereinen jetzt Bußgelder in Millionenhöhe?

Die DSGVO sieht in der Tat hohe mögliche Bußgelder vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des Weltjahresumsatzes. Die Betonung ist aber hier auf „mögliche Bußgelder“. Artikel 83(2) gibt eine Liste von Kriterien für die Bußgelder, woraus klar wird, dass z.B. Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten, die hohen Strafen befürchten müssen – nicht aber der kleine Verein, der aus Unkenntnis gehandelt hat. Gegen den wird es in aller Regel bei einem Erstverstoß keine Strafe geben, sondern eine Ermahnung mit Hinweisen, wie das Problem abgestellt werden kann.

 

3. Ab wann benötigt ein Verein einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist dann zu bestimmen, wenn in der Regel mindestens zehn Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, also mit Hilfe von Computern die Daten der Vereinsmitglieder erheben, verarbeiten oder nutzen. Hierbei spielt es keine Rolle, ob es sich dabei um Angestellte, Trainer, Voll- oder Teilzeitbeschäftigte, Übungsleitende oder ehrenamtliche Mitarbeitende von externen Dienstleistern handelt.

 

4. Welche Regelungen muss der Verein in die Satzung hinsichtlich des Datenschutzes aufnehmen?

Grundsätzlich sind keine besonderen Regelungen zum Datenschutz in der Vereinssatzung oder in einer den Datenschutz regelnden Vereinsordnung notwendig. Grund dafür ist, dass das Einhalten der datenschutzrechtlichen Bestimmungen schon aufgrund des Gesetzes erfolgen muss. Einer gesonderten Anordnung dazu bedarf es in der Satzung nicht. Soweit bei der Datenerhebung den betroffenen Personen bestimmte Informationen mitzuteilen sind (Art. 13 DSGVO), genügt ein Text in der Satzung oder einer Vereinsordnung ebenfalls nicht. Denn nach dem ausdrücklichen Wortlaut der DSGVO müssen diese Informationen zum Zeitpunkt der Datenerhebung der betroffenen Person mitgeteilt werden. Dass die Person die Informationen woanders oder später einsehen kann, genügt nicht. Letztlich kann auch über die Satzung oder eine Vereinsordnung keine wirksame Einwilligung in die Verarbeitung personenbezogener Daten erteilt werden. Denn die DSGVO verlangt, dass die betroffene Person bezüglich der Einwilligung eine unmissverständlich abgegebene Willensbekundung getätigt hat. Der Beitritt zum Verein alleine reicht aber keinesfalls für eine solche unmissverständliche Willensbekundung zur Einwilligung in die Verarbeitung personenbezogener Daten aus.

 

5. Haftet der (ehrenamtliche) Datenschutzbeauftragte persönlich?

Gemäß Art. 39 Abs. 1 lit. b DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Verein verantwortlich. Er hat nicht nur eine allein beratende und unterstützende Funktion. Vielmehr wird er ab dem 25.05.2018 in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen durch den Verein verantwortlich sein. Damit geht jedoch die Gefahr einer höheren Haftung des Datenschutzbeauftragten einher. Denn verletzt er diese Überwachungspflicht schuldhaft oder berät er falsch, kann er in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Soweit der Datenschutzbeauftragte Mitglied des Vereins ist und für den Verein ehrenamtlich tätig ist, bzw. vom Verein nicht mehr als 720,00 € jährlich erhält, kann er jedoch in den Genuss des Schutzes durch § 31b BGB kommen, so dass er dem Verein nur im Fall grober Fahrlässigkeit haftet.

 

6. Darf der Verein persönliche Daten seiner Mitglieder auf der Website des Vereins veröffentlichen?

Eine Veröffentlichung von personenbezogenen Daten der Mitglieder ist dem Verein nur erlaubt, wenn eine der in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen für die konkrete Veröffentlichung greift. In der Regel deckt die Mitgliedschaft im Verein rechtlich nicht auch die Veröffentlichung von personenbezogenen Daten der Mitglieder auf der Internetseite ab. Denn die Veröffentlichung mag zwar im Interesse des Vereins sein, aber für die Erfüllung der Mitgliedschaft oder aber der Erfüllung der Vereinszwecke nicht erforderlich. Bei einer Teilnahme an Wettkämpfen durch Mitglieder eines Sportvereins kann dies aber auch anders zu bewerten sein. Denn die Teilnahme an Wettbewerben gehört Sportvereinen zur Erfüllung des Vereinszwecks. Deshalb sind die Verarbeitungen personenbezogener Daten erlaubt, soweit das für die Durchführung des Wettkampfes erforderlich ist. Deshalb kann im Einzelfall die Veröffentlichung von Teilnehmerlisten oder auch die Veröffentlichung von Ergebnislisten von der Wettkampfteilnahme bereits abgedeckt sein. In der Regel besteht hier jedoch kein Interesse an der Veröffentlichung von Ergebnissen, welche sportlich nicht relevant sind. In der Regel wird die Veröffentlichung personenbezogener Daten auf der Internetseite des Vereins nur mit ausdrücklicher Einwilligung der betroffenen Personen möglich sein. Diese Einwilligung kann aber jederzeit widerrufen werden und der Verein muss auch beweisen können, dass ihm die Einwilligung wirksam erteilt worden ist (Art. 7 Abs. 1 DSGVO).

Achtung: Keine Daten von Kindern erheben. Kinder können nicht wirksam einwilligen.

 

7. Reicht ein allgemeiner Beschluss der Mitgliederversammlung zum Umgang mit persönlichen Daten der Mitglieder als Einwilligung?

Nein. Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Art. 6 Abs. 1 DSGVO aufgezählten Rechtsgrundlagen gegeben ist. Ein einseitiges Anordnen des Duldens einer bestimmten Verarbeitung kennt Art. 6 Abs. 1 DSGVO nur für den Fall, dass ein Gesetz dies vorsieht. Also reicht ein Beschluss der Mitgliederversammlung als Berechtigung für eine bestimmte Datenverarbeitung nicht aus.

 

8. Dürfen nur Vorstandsmitglieder Zugriff auf die Mitgliederdaten haben?

Nein. Der nach § 26 BGB vertretungsberechtigte Vorstand des Vereins ist verpflichtet, dafür Sorge zu tragen, dass im Verein die datenschutzrechtlichen Bestimmungen eingehalten werden. Das bedeutet aber nicht, dass nur er im Verein personenbezogene Daten verarbeiten dürfte. Vielmehr kann er auch organisieren, dass andere Personen ebenfalls auf die personenbezogenen Daten der Mitglieder zugreifen können. Er muss dann jedoch darauf achten, dass der Zugriff nur durch Personen erfolgt, die im Rahmen der nach Art. 6 Abs. 1 DSGVO erlaubten Verarbeitung durch den Verein tätig werden. Außerdem dürfen diese Personen nur insoweit Zugriff haben, als das für ihre jeweilige konkrete Tätigkeit im Verein erforderlich ist. So dürfen zum Beispiel die Übungsleitenden eines Vereins Zugriff auf die Namen und gegebenenfalls Telefonnummer der Mitglieder des Vereins haben, die an seinen Übungsstunden teilnehmen. Die Mitarbeitenden der Geschäftsstelle, die neben dem Schriftverkehr mit den Mitgliedern auch die Beitragsrechnungen erstellt und verschickt, darf Zugriff auf die Namen und Anschriften der Mitglieder haben. Jedenfalls muss jeder Mitarbeitende des Vereins, egal ob haupt-, neben- oder ehrenamtlich tätig, vom vertretungsberechtigten Vorstand bezüglich der Einhaltung der datenschutzrechtlichen Bestimmungen belehrt werden.

 

9. Was ist bei der Übermittlung von Daten an Verbände zu beachten?

Da Vereine rechtlich selbständig sind, ist jede Weitergabe von Mitglieder-Daten des Vereins an übergeordnete Verbände eine Datenübermittlung. Solche Datenübermittlungen sind nur zweckbezogen (Zweckbestimmung im Rahmen

eines Vertragsverhältnisses zwischen Verband und Verein z.B. Verbandssatzung) zulässig. Da in den Satzungen festgelegt ist, dass der Verband für die Vereine im Voraus festgelegte Aufgaben wahrnimmt, ist diese Übermittlung zulässig. Allerdings muss die verantwortliche Stelle die Betroffenen darüber informieren, wobei der Zweck der Übermittlung in dieser Information transparent gemacht werden muss. Legitime Zwecke sind beispielsweise:

  • Durchführung eines geregelten Wettkampfbetriebes,
  • Einwerbung von Fördergeldern bei Behörden,
  • Abschluss von Gruppenversicherungen oder
  • Durchführung von Datensicherungen.

 

10. Welche Datensicherheitsmaßnahmen muss der Verein ergreifen?

Die Daten müssen so gespeichert werden, dass Unbefugte auf die Daten nicht zugreifen können. (Also z.B. nicht auf einem von mehreren Personen genutzten Familien-PC.) Die Personen, die im Verein auf diese Daten zugreifen können brauchen ein Login, wobei jede Person ihr eigenes Login haben sollte. Dabei sollte sichergestellt werden, dass nicht jede Person Zugriff auf alle Daten hat. Vielmehr sollte jede Person nur auf die Daten zugreifen können, die sie zur Wahrnehmung ihrer Aufgaben innerhalb des Vereines tatsächlich benötigt. Jedermann, der Zugriff auf Mitgliederdaten hat ist auf das Datengeheimnis zu verpflichten. Diese Verpflichtung ist schriftlich zu dokumentieren. Jeder Verein ist verpflichtet regelmäßig die gespeicherten Daten auf einem externen Datensicherungs-Medium zu sichern. (Erhobene personenbezogene Daten dürfen nicht verloren gehen!)