Datenschutz im Verein

Wir stellen immer wieder fest, dass aufgrund der immer noch vorherrschenden Unklarheiten eine Umsetzung oft lieber verschoben wird, ehe man etwas falsch macht. Auch heute noch erstellen daher viele Vereine Formulare und Informationen für Vereinsmitglieder und Interessierte mehr nach bestem Wissen und Gewissen. In der Mitgliederverwaltung wird versucht, Daten und Mitgliederlisten halbwegs ordentlich zu speichern, anstatt sich mit dem Thema einmal gezielt auseinanderzusetzen.

Dabei hat sich durch die DSGVO für Vereine gar nicht sehr viel geändert. Das Datenschutzrecht, mit der Datenschutzgrundverordnung (früher Bundesdatenschutzgesetz (BDSG)), war bereits vorher schon recht eindeutig geregelt. Was sich aber geändert hat, sind definitiv die Sanktionen. Erinnern wir uns dazu an die Nachrichten aus dem Mai 2018, als die Vorstände mehrerer Vereine lieber gesammelt zurückgetreten sind, als sich diesem „unkalkulierbaren“ Risiko auszusetzen.

Der erste Schritt ist, dass man sich entsprechende Kompetenz ins Haus holt, um das Thema strukturiert anzugehen. Das muss nicht immer gleich ein offizieller Datenschutzbeauftragter sein, denn auch für Vereine gelten die Regeln zu den Bestellpflichten. Also ist ein Datenschutzbeauftragter im Normalfall erst bei mind. 20 Beschäftigten (bei regelmäßiger personenbezogener Datenverarbeitung/Verarbeitung von schutzwürdigen Daten) zu bestellen.

In vielen Vereinen finden sich im Bereich der Ehrenamtlichen oder der Verwaltung nahestehende Mitglieder als Know-how-Träger, die bei den ersten Schritten helfen können. Natürlich unterstützen auch wir als unabhängige Berater zahlreiche Vereine mit unserer Expertise. Die Verantwortlichen sind gerade zum Start für einen konkreten Umsetzungsplan mit kalkulierbaren Kosten dankbar. Sollten Sie also für Ihren Verein Unterstützung benötigen, kontaktieren Sie uns gerne.

Mit einer solchen Unterstützung sollte man ein realistisches und priorisiertes Arbeitsprogramm entwickeln, um die wichtigsten Stolpersteine rasch aus dem Weg zu schaffen

• die Website muss abgesichert werden
• die wichtigsten Standardverträge und -formulare (Stichwort: Aufnahmeantrag zur Mitgliedschaft, Beschäftigungsvertrag für Ehrenamtliche, Einwilligungserklärung, Einwilligungen bei Kindern) müssen DSGVO-konform ausgestaltet werden
• alle (!) Mitarbeiter und Ehrenamtliche müssen auf Vertraulichkeit verpflichtet werden
• die internen Prozesse und Dokumentationen sollten geprüft werden
• die Sicherheit der technischen Infrastruktur auf den Stand der Technik bringen

Bei den meisten Verträgen stellen wir zwei Kernprobleme fest: Sie vermengen Elemente, die man getrennt handhaben sollte und sie geben keinerlei Aufschluss darüber, was mit den personenbezogenen Daten eigentlich passiert. Die Mitgliederdaten dürfen ausschließlich zu den rechtmäßigen Vereinszwecken verwendet werden. Die Mitgliederverwaltung ist eine äußerst schutzwürdige Angelegenheit.

Ursache für diese Probleme ist, dass viele Vereine den Aufwand scheuen, ihre wichtigsten Verträge mit einer gewissen Regelmäßigkeit überprüfen zu lassen und lieber (gern veraltete) Muster vom Verein nebenan verwenden, in denen aber nicht selten ziemliche Risiken schlummern. Leider sind auch die beliebten Muster des zuständigen Verbands nicht immer optimal gestaltet. Es ist also Vorsicht geboten!

BESSER:

Beim Datenschutz im Verein trennt beispielsweise ein datenschutzseitig sauberes Vertragsverhältnis den eigentlichen Regelungsinhalt – also beispielsweise die Mitgliederdaten, die Mitgliedschaftskonditionen, buchbare Leistungsbausteine oder Rechte und Pflichten ehrenamtlicher Mitarbeiter – von zusätzlichen optionalen Vereinbarungen und einer Einwilligungserklärung. So sind nicht für jedes Vereinsmitglied die Nutzungsbedingungen spezieller Bereiche (Beispiel Fitnessbereich) und dafür nötige Zusatzangaben (Beispiel gesundheitliche Einschränkungen) nötig, man sollte sie also eher als mögliche Anlage konzipieren.

Darüber hinaus gibt es manche personenbezogenen Daten, die nur mit expliziter Einwilligung eingeholt und verarbeitet werden dürfen, wie etwa Profilbilder von Trainern für die Vereinswebsite oder die Infotafel im Eingangsbereich. Solche Einwilligungen sind freiwillig und dürfen deswegen nicht im Trainervertrag als Klausel eingearbeitet sein. So etwas nennt man „Kopplung“, und die ist für Einwilligungen streng verboten. Es muss also möglich sein das Vertragsverhältnis abzuschließen, ohne die Einwilligung abzugeben. Daher sollte sie immer als klar erkenntliche Anlage gestaltet sein.

Ein weiteres wichtiges Thema für Verträge, aber auch Formulare, sind die Informationspflichten. Beim Datenschutz im Verein sollen diese den Betroffenen, der seine Daten bereitstellt, transparent darüber aufklären, was denn konkret mit seinen Daten bei der Verarbeitung passiert. Diese Informationspflichten fehlen ganz einfach in den meisten Fällen oder sind unvollständig.

Ein sehr beliebtes Tool für eine schnelle und unkomplizierte Kommunikation ist WhatsApp: Natürlich ist dieses Tool weit verbreitet und sehr praktisch. Da die Aufsichtsbehörden mehrheitlich aber klar der Ansicht sind, dass es derzeit nicht datenschutzkonform zu betreiben ist, lassen Sie als Verein besser die Finger davon.

Allerdings: Wenn sich eine Sportmannschaft untereinander bzgl. den nächsten Trainingsterminen damit koordinieren will, bitteschön, dann ist das als Privatangelegenheit der Spieler einzustufen. Die Rechtsgrundlage besagt aber, dass eine offizielle Vereinskommunikation – etwa das Aufsetzen eines WhatsApp-Trainingsgruppen-Chats durch den Übungsleiter –jedoch tabu ist.

Weit besser ist da die Nutzung eines E-Mail-Verteilers mit einer Vereins-Mailadresse des Trainers. Für solche Fälle können Sie die privaten E-Mail-Adressen der Mannschaft zweckgebunden ganz offiziell abfragen und verarbeiten.

Nehmen wir wieder das Beispiel Mitgliedsantrag. Zunächst muss darüber informiert werden, wer denn für die Datenverarbeitung verantwortlich ist, wer im Fall des Falles also der Ansprechpartner ist und die Mitgliederliste verarbeitet. Offiziell ist das beim Verein üblicherweise der Vorstand und die Geschäftsführung. Ist ein Datenschutzbeauftragter benannt, muss dieser ebenfalls als solcher aufgeführt werden.

Dann muss der Verein darstellen, für welche konkreten Zwecke und auf welcher rechtlichen Grundlage er denn die abgefragten Daten verarbeiten wird. Hier darf man nicht zu schwammig sein. Welche Datenkategorien verarbeitet werden, woher diese stammen, an wen sie ggf. außerhalb des Vereins weitergegeben werden und vor allem wann sie wieder gelöscht werden. All das muss in der Informationspflicht nachvollziehbar aufgeführt werden.

Zu guter Letzt müssen die allgemeinen Betroffenenrechte der Mitglieder benannt werden, insbesondere das Widerspruchsrecht zur weiteren Verarbeitung. Bitte hier die Folgen für das Mitglied bei einem Widerspruch nicht verschweigen – aber auch das Recht eine Aufsichtsbehörde zu informieren.

Das klingt jetzt furchtbar kompliziert, ist es aber eigentlich nicht.

Denn: Eine solche Auskunft muss nicht personalisiert sein, und sie kann durchaus auf einer DIN A4-Seite Platz haben. Im Normalfall handelt es sich also um eine einfache Standard-Anlage zum Antrag.

Fakt ist, ein Verein lebt von seinen Bildern, ob Mannschaftsfotos oder Bilder vom letzten Sportfest oder von der letzten Mitgliederversammlung. Zu der Verwendung von Bildern ist in den letzten Monaten leider viel Unsinn erzählt worden, und viele übertriebene Reaktionen sind auf eine übervorsichtige Einschätzung der Lage zurückzuführen.

Richtig ist, dass das Recht am eigenen Bild ein hohes Gut ist, das nicht ohne Weiteres ausgehebelt werden kann – und auch nicht soll. Das bedeutet jedoch nicht, dass ich als Verein für jede Abbildung die ich mache und auch veröffentlichen will, eine explizite, schriftliche Einwilligung von jedem eingeholt haben muss, der auf dem Bild zu sehen ist. Ebenso ist es aber auch ein Mythos, dass es irgendeine feste Anzahl abgebildeter Personen gibt, ab der man bedenkenlos Bilder veröffentlichen kann. Hier muss differenziert werden.

Einhellige Meinung auch der Aufsichtsbehörden beim Datenschutz im Verein ist, dass die Dokumentation des Vereinslebens möglich sein muss. Dazu gehören nun mal Bilder von typischen Veranstaltungen wie Turnieren, oder auch Mannschaftsbilder. Solange diese Standardbilder keine nachteilige Darstellung einzelner Personen beinhalten, können Sie in den Vereinsmedien natürlich veröffentlicht werden.

Es sollte aber bei der Organisation dieser Veranstaltungen auf eine vernünftige Information der Teilnehmer geachtet werden: Machen Sie Aushänge am Turnierplatz, auf denen die Teilnehmer klar darüber informiert werden, dass Bilder durch den Verein gemacht werden und diese in Teilen auch veröffentlicht werden. Wer das nicht akzeptiert, kann die Veranstaltung verlassen. Bei Mannschaftsbildern sollte man vor der Aufnahme auf die geplante Veröffentlichung hinweisen – es wird sich niemand auf das Bild stellen und in die Kamera lächeln, der nachher nirgends zu sehen sein will.

Etwas komplizierter ist die Sache bei Kindern und Jugendlichen. Hier empfiehlt es sich, dass ein Verein zur Sicherheit im Vorfeld immer eine entsprechende Einwilligung von den Erziehungsberechtigten einholt – am besten bereits beim Vereins-Beitritt. Vor Veröffentlichung sollte die jeweilige Vereinsredaktion im Idealfall Bilder mit Kindern gegen diese Einwilligungen abprüfen. Wenn man unsicher ist, dann das entsprechende Bild einfach weglassen.

Noch ein Tipp: Wenn es vermeidbar ist, lassen Sie doch bitte die Namen der Kinder außen vor – dann ist der Rückschluss für Außenstehende auf Informationen zu einzelnen abgebildeten Kindern deutlich schwerer.

Augenmaß ist hier also gefordert.

Vereine sind oft finanziell nicht gut ausgestattet, deshalb steht oft wenig zur Verfügung für hochwertige Büroausstattung, Computer, Netzwerkausrüstungen, Mailserver etc. Oft wird dann auf die Mitnutzung von privaten Geräten und Infrastrukturen ehrenamtlicher Helfer gesetzt. Viele fragen sich: Ist gut gedacht hier auch gut gemacht?

Das ist in der Tat ein zweischneidiges Schwert: Natürlich soll der Datenschutz im Verein nicht dazu führen, dass er seinen eigentlichen Vereinszweck nicht mehr ausreichend verfolgen kann, weil die technischen Auflagen an die Datensicherheit zu hoch sind. Andererseits kann wirtschaftliche Begrenztheit kein Freibrief für laxen Datenschutz sein. Hier ist Kreativität und Organisation gefragt:

Anstatt Geldspenden für die Vereinskasse kann sich der ein oder andere Aufruf auch ganz gezielt an die Bereitstellung angemessener IT-Ausstattungen wenden. Sind diese Geräte dann sauber gelöscht worden, können Sie als vereinseigene Infrastruktur eingesetzt werden, für die die Vereinsregelungen gelten und sonst nichts. Bei der Teil-Nutzung privater Hardware oder Software für den Verein – eine sogenannte „Bring Your Own Device (BYOD)“-Situation – besteht immer das Risiko, dass personenbezogene Mitgliederdaten in die falschen Hände geraten oder unwillentlich gelöscht werden. Auch ist die Datenverarbeitung des Vereins von dezentral verarbeiteten personenbezogenen Daten schwieriger als bei eigenen Geräten.

Wenn es gar nicht anders geht, kann sich der Verein zumindest formal durch eine sogenannte BYOD-Vereinbarung mit den relevanten Mitarbeitern absichern – hier wird der Umgang mit schutzwürdigen Vereinsdaten auf Privatgeräten klar geregelt und das Haftungsrisiko des Vereins im Innenverhältnis begrenzt.