München – Die DatenschutzGrundverordnung (DSGVO) der EU soll einen Meilenstein in Sachen Datenschutz setzen und den Umgang mit personenbezogenen Daten europaweit regeln. Für Vereine, die neben Unternehmen und öffentlichen Stellen von ihr betroffen sind, bedeutet sie aber zunächst Mehrarbeit. Wir beantworten die wichtigsten Fragen.
-Sind alle Vereine von der DSGVO betroffen?
Jeder Verein oder Verband, der die Daten seiner Mitglieder verarbeitet und speichert, ist von den neuen Regeln betroffen, das gilt auch für nicht-eingetragene Vereine. Betroffen sind alle Bereiche von der Stammdatenpflege, über Wettkampflisten bis zur Website eines Vereins. Unter personenbezogenen Daten versteht man Angaben zur Person wie Name, Adresse oder Geburtsdatum, aber auch Informationen wie E-Mail-Adresse, Telefonnummer, Wettkampfergebnisse, Fotos oder die Bankverbindung eines Mitglieds.
-Was ist die Datenschutz-Grundverordnung?
Im Frühjahr 2016 hat das europäische Parlament eine für alle EU-Staaten geltende Verordnung zum Schutz personenbezogener Daten beschlossen. Den Mitgliedsstaaten steht frei, durch sogenannte Öffnungsklauseln nationale Ausnahmen zu definieren. Die bisherigen datenschutzrechtlichen Prinzipien bleiben bestehen, können nun aber strenger umgesetzt und Verstöße besser sanktioniert werden.
-Wie realistisch ist es, dass Vereine bestraft werden, wenn sie die Regeln nicht pünktlich umsetzen?
Das ist noch unklar. Verantwortlich für die Umsetzung ist der Vereinsvorstand, der dafür sorgen muss, dass die Persönlichkeitsrechte seiner Mitglieder gewahrt werden. Werden Verstöße an die Datenschutzbehörden gemeldet, müssen die reagieren. Bislang waren Geldbußen von 50 000 bis 300 000 Euro möglich. Jetzt könnten Verstöße mit erheblichen Folgen mit bis zu 20 Millionen Euro geahndet werden. Das ist allerdings Theorie. Der Datenschutzexperte des Bayerischen Landessportverbandes, Ralf Lauser, sagt: „Niemand muss persönlich haften, sofern Daten nicht verkauft wurden. Problematisch wird es, wenn Vertrauliches mit Absicht missbraucht wird.“
-Was ist das Verarbeitungsverzeichnis?
Vereine, die regelmäßig Daten ihrer Mitglieder per EDV verarbeiten, müssen ab heute laut DSGVO ein Verzeichnis führen, in dem sie dokumentieren, welche Daten sie zu welchem Zweck sammeln und an wen diese Daten übermittelt werden.
-Was hat es mit der Informationspflicht auf sich?
Vereinsmitglieder haben ein Recht auf Auskunft. Die Informationspflichten werden mit der Verordnung umfangreicher: Die Mitglieder müssen über ihre Rechte informiert werden sowie über Art, Zweck und Umfang der Datenerhebung. Außerdem müssen Vereine darauf hinweisen, dass jedes Mitglied seine Zustimmung zurückziehen kann – und ein Recht auf Löschung hat.
-Braucht jeder Verein einen Datenschutzbeauftragten?
Haben in einem Verein mehr als zehn Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten zu tun, muss der Verein einen Datenschutzbeauftragten benennen. Vorstandsmitglieder können die Aufgabe nicht übernehmen, denn der Datenschutzbeauftragte muss unabhängig und weisungsfrei sein. kb