DSGVO Umsetzung in Vereinen

Was gibt es bei der DSGVO für Vereine zu beachten?

Wir stellen immer wieder fest, dass aufgrund der immer noch vorherrschenden Unklarheiten eine Umsetzung oft lieber verschoben wird ehe man etwas falsch macht. Auch heute noch erstellen daher viele Vereine Formulare und Informationen für Mitglieder und Interessierte mehr nach bestem Wissen und Gewissen und versuchen Daten halbwegs ordentlich zu speichern anstatt sich mit dem Thema einmal gezielt auseinanderzusetzen.

Dabei hat sich durch die DSGVO für Vereine gar nicht sehr viel geändert. Das Datenschutzrecht war bereits vorher schon recht eindeutig geregelt. Was sich aber geändert hat sind definitiv die Sanktionen. Erinnern wir uns dazu an die Nachrichten aus dem Mai 2018, als die Vorstände mehrerer Vereine lieber gesammelt zurückgetreten sind als sich diesem „unkalkulierbaren“ Risiko auszusetzen.

Was gibt es denn heute bei Vereinen zu beachten, wenn man die DSGVO ordentlich umsetzen will?

Der erste Schritt ist, dass man sich entsprechende Kompetenz ins Haus holt, um das Thema strukturiert anzugehen. Das muss nicht immer gleich ein offizieller Datenschutzbeauftragter sein, denn auch für Vereine gelten die Regeln zu den Bestellpflichten, also ist ein Datenschutzbeauftragter im Normalfall erst bei mind. 20 Beschäftigten (die regelmäßig personenbezogene Daten verarbeiten) zu bestellen.

In vielen Vereinen finden sich im Bereich der Ehrenamtlichen oder der der Verwaltung nahestehender Mitglieder durchaus Know-how-Träger, die bei den ersten Schritten helfen können. Natürlich unterstützen auch wir als unabhängige Berater zahlreiche Vereine mit unserer Expertise. Die Verantwortlichen sind gerade zum Start für einen konkreten Umsetzungplan mit kalkulierbaren Kosten dankbar. Sollten Sie also für Ihren Verein Unterstützung benötigen kontaktieren Sie uns gerne.

Mit einer solchen Unterstützung sollte man ein realistisches und priorisiertes Arbeitsprogramm entwickeln, um die wichtigsten Stolpersteine rasch aus dem Weg zu schaffen:

• Die Website muss abgesichert werden,
• die wichtigsten Standardverträge und -formulare (Stichwort: Aufnahmeantrag zur Mitgliedschaft, Beschäftigungsvertrag für Ehrenamtliche, Einwilligungen bei Kindern) müssen DSGVO-konform ausgestaltet werden,
• alle (!) Mitarbeiter und Ehrenamtliche müssen auf Vertraulichkeit verpflichtet werden.
• Danach sollte man dann die internen Prozesse und Dokumentationen angehen und
• die Sicherheit der technischen Infrastruktur auf den Stand der Technik bringen.

DSGVO-konforme Ausgestaltung von Verträgen und Formularen: Was genau muss man als Verein beachten?

Bei den meisten Verträgen stellen wir zwei Kern-Probleme fest: Sie vermengen Elemente, die man getrennt handhaben sollte und sie geben keinerlei Aufschluss darüber, was mit den personenbezogenen Daten eigentlich passiert.

Ursache hierfür ist, dass viele Vereine den Aufwand scheuen, ihre wichtigsten Verträge mit einer gewissen Regelmäßigkeit überprüfen zu lassen und lieber (gern veraltete) Muster vom Verein nebenan verwenden, in denen aber nicht selten ziemliche Risiken schlummern. Leider sind auch die beliebten Muster vom zuständigen Verband nicht immer optimal gestaltet, es ist also Vorsicht geboten!

BESSER:

Ein datenschutzseitig sauberer Vertrag trennt beispielsweise den eigentlichen Regelungsinhalt – also beispielsweise die Mitgliedschaftskonditionen, buchbare Leistungsbausteine oder Rechte und Pflichten Ehrenamtlicher Mitarbeiter – von zusätzlichen optionalen Vereinbarungen und Einwilligungen. So sind nicht für jedes Mitglied die Nutzungsbedingungen spezieller Bereiche (Beispiel Fitnessbereich) und dafür nötige Zusatzangaben (Beispiel gesundheitliche Einschränkungen) nötig, man sollte sie also eher als mögliche Anlage konzipieren.

Darüber hinaus gibt es manche personenbezogene Daten, die nur mit expliziter Einwilligung verarbeitet werden dürfen, wie etwa Profil-Bilder von Trainern für die Vereinswebsite oder die Infotafel im Eingangsbereich. Solche Einwilligungen sind freiwillig und dürfen deswegen nicht im Trainervertrag als Klausel eingearbeitet sein. So etwas nennt man „Kopplung“, und die ist für Einwilligungen streng verboten. Es muss also möglich sein den Vertrag abzuschließen ohne die Einwilligung abzugeben. Daher sollte sie immer als klar erkenntliche Anlage gestaltet sein.

Ein weiteres wichtiges Thema für Verträge aber auch Formulare sind die Informationspflichten, die den Betroffenen, der seine Daten bereitstellt, transparent darüber aufklären sollen, was denn konkret mit seinen Daten bei der Verarbeitung passiert. Diese Informationspflichten fehlen ganz einfach in den meisten Fällen oder sind unvollständig.

Was gehört zu den Informationspflichten eines Vereins?

Nehmen wir wieder das Beispiel Mitgliedsantrag. Zunächst muss darüber informiert werden, wer denn für die Datenverarbeitung verantwortlich ist, wer im Fall des Falles also der Ansprechpartner ist. Offiziell ist das beim Verein üblicherweise der Vorstand und die Geschäftsführung. Ist ein Datenschutzbeauftragter benannt, muss dieser ebenfalls als solcher aufgeführt werden.

Dann muss der Verein darstellen, für welche konkreten Zwecke und auf welcher rechtlichen Grundlage er denn die abgefragten Daten verarbeiten wird. Hier darf man nicht zu schwammig sein. Welche Datenkategorien verarbeitet werden, woher diese stammen, an wen sie ggf. ausserhalb des Vereins weitergegeben werden und vor allem wann sie wieder gelöscht werden, all das muss in der Informationspflicht nachvollziehbar aufgeführt werden.

Zu guter Letzt müssen die allgemeinen Betroffenenrechte der Mitglieder benannt werden, insbesondere das Widerspruchsrecht zur weiteren Verarbeitung – bitte hier die Folgen für das Mitglied bei einem Widerspruch nicht verschweigen –  aber auch das Recht eine Aufsichtsbehörde zu informieren.

Das klingt jetzt furchtbar kompliziert, ist es aber eigentlich nicht.

Denn: Eine solche Auskunft muss nicht personalisiert sein, und sie kann durchaus auf einer DIN A4-Seite Platz haben. Im Normalfall handelt es sich also um eine einfache Standard-Anlage zum Antrag.

Bilder in Vereinen: Kann ein Verein angesichts der zahlreichen Diskussionen um Persönlichkeitsrechte und Fotografierverbote überhaupt noch Bilder verarbeiten?

Fakt ist, ein Verein lebt von seinen Bildern, ob Mannschaftsfotos oder Bilder vom letzten Sportfest oder von der letzten Mitgliederversammlung. Zu der Verwendung von Bildern ist in den letzten Monaten leider viel Unsinn erzählt worden, und viele übertriebene Reaktionen sind auf eine übervorsichtige Einschätzung der Lage zurückzuführen.

Richtig ist, dass das Recht am eigenen Bild ein hohes Gut ist, das nicht ohne Weiteres ausgehebelt werden kann – und auch nicht soll. Das bedeutet jedoch nicht, dass ich als Verein für jede Abbildung die ich mache und auch veröffentlichen will eine explizite, schriftliche Einwilligung von jedem benötige, der auf dem Bild zu sehen ist. Ebenso ist es aber auch ein Mythos, dass es irgendeine feste Anzahl abgebildeter Personen gibt, ab der man bedenkenlos Bilder veröffentlichen kann. Hier muss man einfach differenzieren.

Einhellige Meinung auch der Aufsichtsbehörden ist, dass die Dokumentation des Vereinslebens möglich sein muss. Dazu gehören nun mal Bilder von typischen Veranstaltungen wie Turnieren, oder auch Mannschaftsbilder. Solange diese Standardbilder keine nachteilige Darstellung einzelner Personen beinhalten, können Sie in den Vereinsmedien natürlich veröffentlicht werden.

Es sollte aber bei der Organisation dieser Veranstaltungen auf eine vernünftige Information der Teilnehmer geachtet werden: Machen Sie Aushänge am Turnierplatz, auf denen die Teilnehmer klar darüber informiert werden, dass Bilder durch den Verein gemacht werden und diese in Teilen auch veröffentlicht werden. Wer das nicht akzeptiert, kann die Veranstaltung verlassen. Bei Mannschaftsbildern sollte man vor der Aufnahme auf die geplante Veröffentlichung hinweisen – es wird sich niemand auf das Bild stellen und in die Kamera lächeln, der nachher nirgends zu sehen sein will.

Etwas komplizierter ist die Sache bei Kindern und Jugendlichen. Hier empfiehlt es sich, dass ein Verein zur Sicherheit im Vorfeld immer eine entsprechende Einwilligung von den Erziehungsberechtigten einholt – am besten bereits beim Vereins-Beitritt. Vor Veröffentlichung sollte die jeweilige Vereinsredaktion im Idealfall Bilder mit Kindern gegen diese Einwilligungen abprüfen. Wenn man unsicher ist, dann das entsprechende Bild einfach weglassen.

Noch ein Tipp: Wenn es vermeidbar ist, lassen Sie doch bitte die Namen der Kinder aussen vor – dann ist der Rückschluss für Aussenstehende auf Informationen zu einzelnen abgebildeten Kindern deutlich schwerer.

Augenmaß ist hier also gefordert.

Technische Ausstattung der Vereine vs. Datensicherheit

Vereine sind oft finanziell nicht gut ausgestattet, da ist dann meist wenig drin für hochwertige Büroausstattung, Computer, Netzwerkausrüstungen, Mailserver etc. Oft setzt man dann auf die Mitnutzung von privaten Geräten und Infrastrukturen ehrenamtlicher Helfer. Viele Fragen sich: Ist gut gedacht hier auch gut gemacht?

Das ist in der Tat ein zweischneidiges Schwert: Natürlich soll der Datenschutz nicht dazu führen, dass ein Verein seinen eigentlichen Vereinszweck nicht mehr ausreichend verfolgen kann, weil die technischen Auflagen an die Datensicherheit zu hoch sind. Andererseits kann wirtschaftliche Begrenztheit kein Freibrief für laxen Datenschutz sein. Hier ist Kreativität und Organisation gefragt:

Anstatt Geldspenden für die Vereinskasse kann sich der ein oder andere Aufruf auch ganz gezielt an die Bereitstellung angemessener IT-Ausstattungen wenden. Sind diese Geräte dann sauber gelöscht worden, können Sie als vereinseigene Infrastruktur eingesetzt werden, für die die Vereinsregelungen gelten und sonst nichts. Bei der Teil-Nutzung privater Hardware oder Software für den Verein – eine sogenannte „Bring Your Own Device (BYOD)“-Situation – besteht immer das Risiko, dass personenbezogene Daten in die falschen Hände geraten oder unwillentlich gelöscht werden. Auch ist der Durchgriff des Vereins auf dezentral verarbeitete personenbezogene Daten schwieriger als bei eigenen Geräten.

Wenn es gar nicht anders geht, kann sich der Verein zumindest formal durch eine sogenannte BYOD-Vereinbarung mit den relevanten Mitarbeitern absichern – hier wird der Umgang mit Vereinsdaten auf Privatgeräten klar geregelt und das Haftungsrisiko des Vereins im Innenverhältnis begrenzt.

Kommunikation mit den Mitgliedern: Ist WhatsApp erlaubt?

Ein sehr beliebtes Tool für eine schnelle und unkomplizierte Kommunikation ist WhatsApp: Natürlich ist dieses Tool weit verbreitet, und sehr praktisch ist es auch. Da die Aufsichtsbehörden mehrheitlich aber klar der Ansicht sind, dass es derzeit nicht datenschutzkonform zu betreiben ist, lassen Sie als Verein besser die Finger davon.

Allerdings: Wenn sich eine Sportmannschaft untereinander bzgl. den nächsten Trainingsterminen damit koordinieren will, bitteschön, dann ist das als Privatangelegenheit der Spieler einzustufen. Eine offizielle Vereinskommunikation – etwa das Aufsetzen eines WhatsApp-Trainingsgruppen-Chats durch den Übungsleiter – ist jedoch tabu.

Weit besser ist da die Nutzung eines E-Mail-Verteilers mit einer Vereins-Mailadresse des Trainers. Für solche Fälle können Sie die privaten E-Mail-Adressen der Mannschaft zweckgebunden ganz offiziell abfragen und verarbeiten.