Alles was gebraucht werde, um die Mitgliedschaft ausüben oder kommunizieren zu können, benötige keine Einwilligung des Betroffenen, sagt Gross zur Verarbeitung von persönlichen Daten. Schon zu dieser grundsätzlichen Frage geisterten viele falsche Informationen durch die Reihen der Vereine. Problematischer seien die Dokumentationspflicht und die Belehrung jedes neuen Mitgliedes. Was Neuzugängen an Erklärungen an die Hand gegeben werden muss, "das liest kein Mensch"!
Trotzdem macht Gross den Vereinen Mut, sich ins Thema einzuarbeiten. Mit einem Aussitzen werde es in diesem Fall nicht getan sein. Es sei nicht damit zu rechnen, dass die DSGVO wieder gekippt wird. Und letztlich gelte: "Man kann alles hinbekommen, man muss nur mal damit anfangen!"
Es gibt größere Probleme
;
Hält die Anwältin das neue Gesetz trotz der Bürokratie zumindest für einen Fortschritt bei der Datensicherheit? Nur bedingt. "Unser eigentliches Problem ist doch, dass wir für Facebook, Amazon & Co. unsere Daten freiwillig hergeben. Diese Jungs wissen alles über uns. Das ist ein viel größeres Problem als das, was kleine Vereine oder Geschäfte machen."
Neue Verordnung beschert den Vereinen eins: viel zusätzlichen Aufwand
Sabine Gross half schon mehrfach Vereinen auf ihrem Weg durch den Dschungel der DSGVO. In Vorträgen zeigte sie ihnen auf, was auf sie zukommt. Die Anwältin nennt auch uns wichtige Punkte.
Geltung der DSGVO: Sobald ein Verein personenbezogene Daten verarbeitet, gilt die Verordnung für ihn. "Es kommt nicht darauf an, ob man eine große Datenbank besitzt, sondern nur darauf, dass man Daten sammelt", stellt Gross fest. Solche typischen Angaben sind: Name, Adresse, Geburtsdatum, Telefonnumer, E-Mail-Adresse, Bankverbindung, Mitgliedsnummer oder Funktionen im Verein.
Datenschutzbeauftragter: Da in der Regel weniger als zehn Personen in einem kleinen Verein ständig mit der Datenverarbeitung befasst sind, braucht es üblicherweise keinen Beauftragten. Schwieriger ist die Situation für Gruppierungen, die ständig sensible Daten sammeln. "Da gilt die Zehn-Personen-Vorgabe nicht, so wie ich das Gesetz derzeit lese", sagt die Anwältin. Das könnte unter Umständen zu einem Problem für Selbsthilfegruppen werden.
Datenschutzregelungen: Vereine sind verpflichtet, Grundzüge ihrer Arbeit mit den Daten schriftlich festzulegen. Das kann zum Beispiel über die Satzung oder ein Regelwerk erfolgen.
Informationspflichten: Bei der Aufnahme neuer Mitglieder gilt, jedes muss über den Datenschutz informiert werden. Und der Verein sollte nachweisen können, dieser Pflicht nachgekommen zu sein.
Die Informationen sind recht umfangreich: Kontakt des Verantwortlichen und seines Vertreters, Zwecke der Verarbeitung, Rechtsgrundlage, Empfänger der Daten (zum Beispiel Dachverband, Internet), Drittlandtransfer (zum Beispiel Mitgliederverwaltung in einer Cloud) und (das Fehlen von) Garantien zur Datensicherheit, Speicherdauer, Betroffenenrechte, Widerrufsrecht der Einwilligung, Beschwerderecht bei einer Aufsichtsbehörde.
Datenverarbeitung: Nicht immer braucht ein Verein eine Einwilligung in die Datenverarbeitung. Sie ist nicht nötig, wenn es um die Verfolgung des Vereinsziels, die Mitgliederverwaltung oder - betreuung geht.
Verzeichnis: Braucht ein Verein ein Verzeichnis von Verarbeitungstätigkeiten? Ja, weil regelmäßig personenbezogene Daten verarbeitet werden. Hierbei werden ähnlich umfangreiche Angaben erwartet wie bei den Informationspflichten genannt. "Das ist richtig schlimm", zeigt Sabine Gross Verständnis für den Ärger in den Vereinen. "Aber sie kommen nicht darum herum."
Datenschutz-Verpflichtung: Ohne eine solche Verpflichtung geht es nicht, damit der Vorstand die Einhaltung der DSGVO-Grundsätze durch die mit den Daten Beschäftigten belegen kann. Dahinter stecken allerdings Vorgaben, welche die Arbeit für die Betroffenen nicht erleichtern. "Bei der Datenverarbeitung daheim am Computer dürften Ehepartner und Kinder nicht auf den Monitor schauen, und der Nutzer bräuchte eine separate Festplatte - wer macht denn dann noch was?", fragt sich Gross, ob die Vorgaben zurzeit nicht etwas zu hoch gehängt sind. Doch noch sei die fehlende Rechtsprechung zur jungen Verordnung ein Problem bei der Einschätzung mancher Punkte.
Auskünfte: Wenn ein Mitglied Auskunft über Nutzung seiner Daten will, muss der Verein ihm diese spätestens innerhalb eines Monats liefern. Auch hier sind die Vorgaben sehr detailliert. Damit droht bei Nachfragen ein hoher Arbeitsaufwand. mrm
