Neue EU-Datenschutzgrundverordnung tritt am 25.5.2018 in Kraft

Ein erster Überblick, was die Vereine dazu beachten müssen.

In jedem Verein werden unterschiedlichste, persönliche Daten auf vielfältige Weise erhoben, genutzt und weitergegeben. Dies erfolgt teilweise aufgrund der satzungsgemäßen Verpflichtungen eines Vereins, so zum Beispiel die Abfrage und Speicherung von Mitglieder- und Kontodaten, teilweise auch, um die Vereinsarbeit zu erleichtern oder aber zur Mitgliederbindung. Weitere Beispiele aus der Praxis: Weitergaben von Daten der Sportler (Name, Alter, etc.) an einen übergeordneten Verband oder in einer Pressemitteilung an Dritte oder bei Gesundheitssportangeboten die Abfrage sensibler Gesundheitsdaten der Teilnehmer.

All dies verlangt von den Vereinen und Verantwortlichen bereits von sich aus einen verantwortungsvollen und sensiblen Umgang mit diesen Daten, zum Schutz der Mitglieder und des Vereins. Seit vielen Jahren bestehen hierzu entsprechende Datenschutzregeln. Im kommenden Jahr 2018 tritt nun eine europaweite Neuregelung, die EU-Datenschutzgrundverordnung (EU-DSGVO), in Kraft, mit dem Ziel einer weitgehenden Vereinheitlichung der zurzeit noch national unterschiedlichen Gesetzgebungen zum Datenschutzrecht. Dementsprechend wird das Bundesdatenschutzgesetz (BDSG) zum 25.5.2018 in vielen Punkten angepasst. Für die Vereine gelten somit ab dem 25.5.2018 sowohl die Regularien der EU-DSGVO sowie des neuen BDSG. Einhergehend mit dem Wirksamwerden werden auch die möglichen Bußgelder deutlich erhöht, weshalb Vereinen dringend anzuraten ist, das Thema Datenschutz genauer zu betrachten und die Regeln zu befolgen.

Die Regeln der EU-DSGVO kommen bereits bei der „ganz oder teilweisen automatisierten Verarbeitung personenbezogener Daten sowie bei nichtautomatisierter Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ zur Anwendung (Art. 2 DSGVO). Nach Art. 4 DSGVO gelten als „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürlich Person beziehen. 

Die gesamte Verordnung finden Sie übersichtlich abrufbar zum Beispiel unter: <link https: dsgvo-gesetz.de _blank external-link einen externen link in einem neuen>dsgvo-gesetz.de

Einige wichtige Punkte - die teilweise nicht neu sind - möchten wir an dieser Stelle kurz und als erste Einführung darstellen:

Grundsätze für Verarbeitung personenbezogener Daten
Art. 5 der DSGVO beschreibt überschaubar und einfach formuliert die Grundsätze der Verarbeitung personenbezogener Daten, die auch von Vereinen bei jedem Umgang mit persönlichen Daten zu beachten sind. Beispiel: Grundsatz der Zweckbindung und Datenminimierung, d.h. es dürfen die Daten nur verarbeitet  werden „für festgelegte, eindeutige und legitime Zweck“ und die Verarbeitung muss „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ (Art. 5 DSGVO).

Technische und organisatorische Maßnahmen
Nach Art. 24 Abs. 1 DSGVO müssen auch Vereine dafür Sorge tragen und überprüfen, ob die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, Datensicherheit zu gewährleisten. Bei allen Datenverarbeitungsvorgängen muss demnach überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen worden sind (Datensicherung, Verschlüsselung, etc.).

Informationspflichten
Ihr Verein ist verpflichtet die Personen, deren Daten Sie verarbeiten, umfangreich zu informieren. Art. 13 DSGVO gibt hierzu eine genaue Liste der Informationen vor, die „der betroffenen Person zum Zeitpunkt der Erhebung“ mitzuteilen sind. Im Vergleich zu den bisherigen Vorschriften laut Telemedien- und Bundesdatenschutzgesetzt, sind einige neue Anforderungen hinzugekommen, die es genau zu beachten gilt. Sofern diese Informationen den Personen, von denen bereits Daten erhoben wurden, noch nicht zur Verfügung gestellt wurden, muss dies aktiv durch den Verein vor dem 25.5.2018 erfolgen.

Einwilligungserklärungen
Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen der Personen vor, deren personenbezogene Daten Sie verarbeiten. Insbesondere wird bei der Einwilligung betont, dass dies eine „unmissverständlich abgegebene Willensbekundung“, bzw. „eine eindeutig bestätigende Handlung“ sein muss. Ein bereits angekreuztes Kästchen beispielsweise ist nicht zulässig. Ein besonderes Augenmerk muss zukünftig auch auf der Formulierung der Einwilligung liegen, da diese „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 7 Abs. 2 DSGVO) erfolgen muss. Dies bedeutet zudem, dass Sie auch kritisch prüfen müssen, ob die Ihnen bereits vorliegenden Einwilligungserklärungen noch den neuen Anforderungen entsprechen. 

Auftragsverarbeitung
Sobald Ihr Verein eine natürlichen oder juristischen Person , etc. beauftragt, die vom Verein erhobenen personenbezogenen Daten zu verarbeiten, muss der Verein sicherstellen, „dass geeignete technische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt“ (Art. 28 Abs. 1 DSGVO). Dies „erfolgt auf der Grundlage eines Vertrags“ (Art. 28 Abs. 3 DSGVO) mit dem Auftragsverarbeiter. Beispiele können sein: eine Mitgliederverwaltung im Internet, bei der die Daten auf den Servern des Anbieters liegen oder die gehostete Webseite, über die Daten erfasst bzw. versendet werden. 

Verfahrensverzeichnis
Neu für viele Vereine ist – und dies ist ein Punkt der (zunächst) einmaligen Arbeitsaufwand bedeutet – die Verpflichtung nach Art 30. Abs. 1 Satz 1 DSGVO „ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“ zu führen. Zwar gilt dies nach Art. 30 Abs. 5 DSGVO nicht für Einrichtungen „die weniger als 250 Mitarbeiter beschäftigen“,. Jedoch dürfte die darauffolgende Ausnahme „die Verarbeitung erfolgt nicht nur gelegentlich“, auf viele Vereine zutreffen. Umsetzungstipp: Bei der Erstellung können sich Vereine bereits an den zur Information der betroffenen Person zusammengestellten Informationspflichten orientieren und dies als Basis nutzen. 

Datenschutz-Folgeabschätzung
Ebenfalls muss der Verein nun prüfen, ob besonders risikobehaftete Datenverarbeitungsvorgänge  (z.B. zahlreiche Gesundheitsdaten der Mitglieder gespeichert in der Cloud) im Verein gegeben sind oder eingeführt werden. Hierzu muss nach Art. 35 Abs. 1 DSGVO „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchgeführt zu werden. Art. 35 Abs. 7 DSGVO beschreibt dabei die Mindestinhalte dieser Datenschutz-Folgeabschätzung.

Meldepflicht
Nach Art. 33 Abs. 1 DSGVO besteht nun auch für Vereine die Pflicht, eine „Verletzung des Schutzes personenbezogener Daten ... unverzüglich und möglichst binnen 72 Stunden, nachdem ... die Verletzung bekannt wurde, der ... zuständigen Aufsichtsbehörde“ zu melden. Dies bedeutet, dass jeder Verein im Vorfeld einen Prozess, ein Muster für die Meldung und die zuständige Person bestimmen sollte. Mindestinhalte der Meldung sind in Art 33 Abs. 3 DSGVO geregelt.

Datenschutzbeauftragte/r
Wenn mindestens 10 Personen im Verein ständig mit der Verarbeitung von Daten betraut sind, muss ein Datenschutzbeauftragter benannt werden (Art. 38 Abs. BDSG neu). Diese Regelung galt bereits bisher, jedoch wurden die zukünftigen Aufgaben des Datenschutzbeauftragten verschärft. Aufgaben des Datenschutzbeauftragten sind u.a. „Beratung des Verantwortlichen“, die „Überwachung der Einhaltung der Verordnung“ sowie „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ und die „Zusammenarbeit mit der Aufsichtsbehörde“.

Ein besonderes Augenmerk sollte zukünftig auch auf die Dokumentation jeder Maßnahme beim Umgang mit Daten bzw. in der Umsetzung der EU-DSGVO gelegt werden, da nach Art. 5 Abs. 2 EU-DSGVO der Verein in Zukunft, sollte es zu Datenschutzverstößen kommen, nachweisen können muss, dass er die datenschutzrechtlichen Regelungen eingehalten hat.

Ein erster Blick auf Umfang und Ausgestaltung der Vorschriften, wirft bei Vereinen und Verbänden viele Fragen auf: „Welche Vorgaben betreffen uns als Verein?“, „Wo fange ich an?“ oder „Was kann und was muss ich machen?“. 

Deshalb erarbeitet der Landessportverband für das Saarland aktuell Informationen für seine Mitgliedsvereine, in denen dargestellt wird was bisher schon galt, was durch die neue Verordnung an Neuerungen entstanden sind, was auf die Vereine zukommt und wie sie dies möglichst praxisnah umsetzen können. Aufgrund der von Verein zu Verein extrem unterschiedlichen Datenverarbeitungs- und Datenverwendungsvorgänge ist es jedoch nicht möglich, eine allgemeingültige Musterlösung zur Verfügung zu stellen. Auf jeden Fall wird in der Regel für die Vereinsverantwortlichen ein großer Arbeitsaufwand am Anfang stehen, um alle erforderlichen Dokumente zu erstellen und die dafür notwendigen Fakten im Verein zu klären.

Einen ersten Einblick in die Details der neuen EU-Datenschutzgrundverordnung können sich Verantwortliche in den Vereinen auch unter folgenden Internetlinks verschaffen:

<link http: www.lsbh-vereinsberater.de recht-steuern-und-versicherungen recht datenschutz datenschutz-grundverordnung _blank external-link einen externen link in einem neuen>www.lsbh-vereinsberater.de/recht-steuern-und-versicherungen/recht/datenschutz/datenschutz-grundverordnung/

<link https: www.bitkom.org presse anhaenge-an-pis _blank external-link einen externen link in einem neuen>www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf

Der erste Schritt einer Umsetzung des gesamten Themas wird für die Vereine sein, zeitnah alle Datenverarbeitungsvorgänge im Verein zusammen zu tragen und aufzulisten. Erfassen Sie dabei bereits, wie die Datenverarbeitungsprozesse ablaufen, welche Daten erhoben werden, wo diese gespeichert werden und wer diesbezüglich die Verantwortung trägt und involviert ist. Darauf aufbauend können anschließend alle weiteren Maßnahmen, Dokumente und Aufgaben entwickelt werden.

Aktuelle Informationen und Materialien werden wir stets zeitnah <link _self internal-link einen internen link in einem neuen>auf unserer Seite „aktuelle Themen“ für Sie bereitstellen.