Bamberg
Datenschutz-Grundverordnung

"Der Vorstand muss die Weichen stellen"

Wer braucht einen Datenschutz-Beauftragten, wie kann man sensible Daten schützen? Experten aus Stadt und Landkreis Bamberg geben wertvolle Tipps.
Artikel drucken Artikel einbetten
Vereine, die Daten ihrer Mitglieder erheben, müssen diese darüber informieren. privat
Vereine, die Daten ihrer Mitglieder erheben, müssen diese darüber informieren. privat
Das Interesse an Informationen zur neuen Datenschutz-Grundverordnung ist derzeit enorm. Die Verunsicherung auch. Das weiß die Ehrenamtsbeauftragte des Landkreises Bamberg, Friederike Straub, aus vielen Gesprächen mit Vereinsvertretern. Für Foren und Vorträge zum Thema melden sich schnell 100 und mehr Teilnehmer. "Alles, was mir der gesunde Menschenverstand sagt, sollte auch auf den Bereich Datenschutz übertragen werden können", sagt Straub.


Hinweis mit der Einladung

"Alle haben Angst, dass sie was falsch machen. Dabei wurde schon sehr viel entschärft für die Vereine", sagt die Ehrenamtsbeauftragte. "Wir wollen Vereinen die Angst nehmen." In jedem Fall sollte ein Verein seine Mitglieder über die neue Verordnung informieren - sofern das nicht schon geschehen ist. Statt alle Mitglieder anzuschreiben und um Zustimmung zur Verarbeitung ihrer Daten zu bitten, könne man auch alle, die dagegen sind, aufrufen, sich entsprechend zu äußern. "Das könnte man zum Beispiel mit der Einladung zur nächsten Mitgliederversammlung verbinden, wenn man ohnehin alle anschreibt", sagt die Ehrenamtsbeauftragte.
Um Datenschutz wird es auch am 29. Juni in der Bamberger MTV-Gaststätte beim "Ehrenamtsgespräch" mit der bayerischen Ehrenamtsbeauftragten Gudrun Brendel-Fischer gehen. Und am 25. Juli wird Bernd Bauer-Banzhaf im Kulturboden Hallstadt zum Thema sprechen. "Es wird viel Blödsinn verbreitet", sagt der Datenschutz-Experte (unter anderem Datenschutzbeauftragter der Stadt Bamberg). Er empfiehlt Vereinen, die das noch nicht getan haben, sich zeitnah mit der neuen Verordnung zu beschäftigen. "Der Vorstand muss die Weichen stellen, damit in die Gremien gehen und Beschlüsse fassen, die konkret auf die Belange des Vereins passen."
Das Vereinsrecht bietet elegantere und einfachere Möglichkeiten, als alle Mitglieder anzuschreiben und um Zustimmung zu bitten. "Wenn der Verein seine Datenschutz-Regularien über einen Vorstandsbeschluss zum Beispiel festlegt, wo wird fotografiert, was kann bei Facebook reingestellt werden, muss man nicht jeden einzelnen fragen." Eine solche "Datenschutz-Ordnung" für den Verein könnte dann bei der nächsten Mitgliederversammlung bestätigt werden. Wer dagegen ist, kann um Mehrheiten für seine Position ringen - oder aus dem Verein austreten. Bauer-Banzhaf zerstreut auch Befürchtungen vor sogenannten "Abmahn-Anwälten".


Austausch mit Verbänden

Diese stützten ihre Forderungen auf das Gesetz gegen den unlauteren Wettbewerb, es gehe dabei also um die Wirtschaft, nicht um Vereine. Auch die Aufsichtsbehörde, das Landesamt für Datenschutz, gehe durchaus mit Augenmaß vor: "Es wird niemand mit Bußgeldern überzogen, der nicht zuvor schon auf sein Fehlverhalten hingewiesen wurde", sagt Bauer-Banzhaf. Der hohe Bußgeldrahmen von bis zu 20 Millionen Euro beziehe sich auf die großen Konzerne wie Facebook oder Google.
Insgesamt sei es aber durchaus wichtig, dass sensible Daten, etwa Gesundheitsdaten von Mitgliedern, gut geschützt seien. "Hier sind Sicherungsmaßnahmen nach dem Stand der Technik zu treffen - im zumutbaren Bereich. Es gibt da auch sehr gute Free- oder Shareware."
Bauer-Banzhaf kennt Bestrebungen von Vereinen, einen gemeinsamen Datenschutzbeauftragten, der zum Beispiel mehrere Musikvereine aus verschiedenen Orten oder die unterschiedlichen Vereine einer Gemeinde ehrenamtlich betreut. "Ich halte Vereine für eine wichtige Institution in unserer Gesellschaft", sagt der Datenschutz-Experte. Es sei ihm wichtig, Ehrenamtliche zu unterstützten.
"Viele Vereine tauschen Daten mit den jeweiligen Verbänden aus, wenn es etwa um Fördermittel oder Ligenorganisation geht, darüber sollten die Mitglieder aber in aller Regel schon informiert sein", erklärt Friederike Straub.
Sie ist überzeugt: "Die meisten Vereine gehen echt verantwortungsvoll mit Daten um." Straub stehe Vereinen für Fragen zur Verfügung, aber auch große Verbänden wie der Bayerischen Musikbund und der Bayerischen Feuerwehrverband könnten ihren Vereinen helfen.

Ein Beispiel vom Landesamt für einen 200-Mitglieder-Sportverein Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat für kleine Unternehmen und Vereine die wesentlichen Anforderungen der Datenschutz-Grundverordnung zusammengestellt. Hier ein Auszug aus einem Musterbeispiel des Landesamtes (ohne Anspruch auf Allgemeingültigkeit): Ein kleiner Sportverein hat 200 Mitglieder, einen ersten Vorsitzenden, einen Kassier sowie einen Schriftführer sowie fünf Personen, die nach der sogenannten. Übungsleiterpauschale bezahlt werden. Die Mitgliederverwaltung erfolgt durch den Schriftführer selbst. Die Verwaltung der Mitgliedsbeiträge erfolgt dagegen durch den Kassier. Der Verein betreibt zudem eine kleine Webseite, die bei einem Dienstleister gehostet ist, mit Mitgliederfotos. Wesentliche Verarbeitungstätigkeiten von Daten sind zum Beispiel Lohnabrechnung (über einen externen Dienstleister), Mitgliederverwaltung, Betrieb der Webseite des Sportvereins (über Hosting-Paket eines externen Dienstleisters), Veröffentlichung von Mitgliederfotos auf der eigenen Webseite

Muss dieser Verein einen Datenschutzbeauftragten benennen?
Nein, da weniger als zehn Personen im regelmäßigen Umgang mit personenbezogenen Daten. "Ständig beschäftigt" ist, wer zum Beispiel permanent Mitgliederverwaltung macht. "Nicht ständig beschäftigt" ist dagegen beispielsweise, wer als Übungsleiter nur mit den Namen seiner Mannschaft umgeht.

Ist ein Verzeichnis von Verarbeitungstätigkeiten erforderlich?
Ja, wegen der regelmäßigen Verarbeitung personenbezogener Daten. Vereine, die regelmäßige Mitgliederverwaltung und Beitragsabrechnung machen, müssen ein - vom Umfang her sehr überschaubares - Verzeichnis ihrer Verarbeitungstätigkeiten führen.

Ist eine Verpflichtung von Beschäftigten zum Datenschutz durchzuführen?
Ja, bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der Datenschutz-Grundverordnung erfolgt.

Bestehen irgendwelche Informationspflichten?
Ja, insbesondere in der Vereinssatzung sowie auf der Webseite in der Datenschutzerklärung. Jeder Verantwortliche hat den betroffenen Personen schon bei
der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Ein Verein muss beispielsweise
Informationen auf der Homepage und in der Satzung leicht zugänglich bereithalten.

Gibt es eine Anforderung zur Datenlöschung?
Ja, aber erst nach Ablauf gesetzlicher Aufbewahrungspflichten.

Müssen die Daten besonders gesichert werden?
Nein, etablierte Standardmaßnahmen (aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte)sind ausreichend, um die Daten effektiv zu schützen.

Ist ein Vertrag zur Auftragsverarbeitung notwendig?
Ja, sowohl mit dem Hosting- Anbieter als auch mit dem externen Lohnabrechner

Müssen bestimmte Datenschutzverletzungen gemeldet werden?
Ja, aber nur bei relevanten Risiken. Eine einfache Online-Meldung beim BayLDA ist möglich.

Quelle: BayLDA

?
Muster für ein Anschreiben

"Im Rahmen Ihrer Anmeldung/Beitritt werden folgende personenbezogenen Daten erhoben und verarbeitet: Familienname, Vorname, Anschrift, Geldadresse (für die Einzugsermächtigung), Kontaktdaten (Telefon, Fax, E-Mail-Adresse), zu buchende Kurse, Abteilungsmitgliedschaft.
Die genannten Daten werden zu Zwecken der Anmeldung und für die in diesem Zusammenhang anfallende Korrespondenz mit Ihnen verwendet ebenso werden die Daten an den Bayerischen Landes-Sportverband e.V. (BLSV) für Versicherungsleistungen gemeldet."
was sagen sie zu diesem Thema?
jetzt anmelden jetzt registrieren