Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Die DSGVO schützt deshalb die Menschen bei der automatisierten Verarbeitung ihrer personenbezogenen Daten und auch bei der nichtautomatisierten Verarbeitung personenbezogener Daten, wenn die Daten in einem Dateisystem gespeichert sind oder werden sollen. „Verarbeitung“ ist dabei zum Beispiel das Erheben, Erfassen, Ordnen, Abfragen, die Organisation, Speicherung, Anpassung, Veränderung oder Verwendung. Damit findet die DSGVO grundsätzlich nicht nur auf die großen Unternehmen, sondern auch auf kleine und jeden Verein Anwendung. Denn jeder Verein verarbeitet zumindest die Daten seiner Mitglieder. Dabei hat er künftig eine ganze Reihe von Dingen zu beachten. Manche Punkte waren bisher schon nach dem Bundesdatenschutzgesetz zu berücksichtigen, andere sind tatsächlich neu.

Das bisherige Datenschutzrecht der EU war so gestaltet, dass es zu seiner Geltung erst von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden musste. Das wurde in den vergangen Jahren von den Mitgliedsstaaten sehr unterschiedlich gemacht. Die nun erlassene DSGVO gilt ab dem 25. Mai 2018 unmittelbar in allen Mitgliedsstaaten. Zwei wichtige Aspekte sind auch, dass aufgrund der Erfahrungen der letzten Jahre der Schutz der Menschen bezüglich ihrer Daten verbessert und Sanktionen gegen außerhalb der EU sitzende Datenverarbeiter ermöglicht wurden.

Jeder Verein muss bis zum 25. Mai 2018 prüfen, inwieweit die DSGVO Maßnahmen im Verein verlangt. Dafür ist es erforderlich, dass die Vereine eine Bestandsaufnahme machen, wann sie wo und wie welche personenbezogenen Daten erheben und wie sie diese verarbeiten. Im zweiten Schritt muss überprüft werden, ob für jede dieser Maßnahmen eine Rechtsgrundlage gegeben ist. Sofern die Rechtsgrundlage die Einwilligung ist, muss sichergestellt werden, dass diese den neuen gesetzlichen Erfordernissen entspricht. Da zukünftig bei einer Datenerhebung durch den Verein die betroffene Person eine ganze Reihe von Informationen vom Verein erhalten muss, müssen diese erarbeitet und in die Vereinsarbeit integriert werden. Also zum Beispiel in das Aufnahmeformular. Wichtig ist auch zu prüfen, ob der Verein einen Datenschutzbeauftragten zwingend braucht. Es wäre dann eine entsprechend qualifizierte Person zu suchen und zu benennen. Es gibt noch weitere Punkte, welche einen Verein treffen können, das würde hier aber zu weit führen. Wichtig ist, dass die meiste Arbeit nur am Anfang steht, um die ganzen Dinge zu erarbeiten und organisieren. Danach lässt die Arbeitsbelastung deutlich nach.

Ich gehe nicht davon aus, dass die Datenschutzbehörden von sich aus in nächster Zeit Vereine oder Verbände systematisch prüfen werden. Das wird wohl schon aus Gründen mangelnder Mitarbeiterkapazitäten nicht passieren, weil andere Datenverarbeiter in der Liste weiter oben stehen dürften. Aber ein großes Risiko bleibt bei jedem Verein: Beschwert sich irgendwer bei der Datenschutzbehörde über den Verein, dann wird die Behörde aller Voraussicht nach auch die Beschwerde prüfen.

Der Verein sollte für sich ernsthaft und objektiv klären, welche Daten er wirklich braucht und welche er nur gerne hätte. So hat in einer Veranstaltung ein Sportvereinsvertreter zum Beispiel angegeben, dass er bei seinen Mitgliedern auch deren Beruf erfragt. Das kann für den Verein zwar nützlich sein. Die Kenntnis vom Beruf eines jeden Mitglieds ist aber im Sportverein nicht notwendig, wenn vielleicht in der einen oder anderen Situation auch hilfreich. Außerdem sollten die Daten innerhalb des Vereins nur insoweit und an die Personen weitergegeben werden, welche für die Arbeit der Person für den Verein notwendig sind. So braucht zum Beispiel ein Beisitzer im Verein, der nur für die Pressearbeit zuständig ist, keinen generellen Zugriff auf alle Mitgliederdaten. Bei der Speicherung der Daten muss sichergestellt werden, dass nur die Personen Zugriff nehmen können, die dazu auch berechtigt sind und dass die Daten auch vor Verlust geschützt sind. Es muss eine Sicherungskopie vorhanden sein.

Soweit es Daten betrifft, die der Verein zwingend für die Durchführung der Mitgliedschaft benötigt, hat das Mitglied nur die Wahl zwischen Akzeptieren oder nicht mehr Mitglied sein. Solche Daten sind in der Regel bei allen Vereinen mindestens der vollständige Name und die Anschrift. Ist ein Mitglied mit der Art der Verarbeitung seiner Daten nicht einverstanden, kann es sich beim Verein, aber auch bei der Datenschutzbehörde beschweren. Dann wird geprüft, ob die Art der Verarbeitung dem Datenschutzrecht genügt, auch ob die im Verein vorhandenen Maßnahmen zur Datensicherheit angemessen und ausreichend sind.

Der Sportbund Pfalz wird am 9. März im Rahmen seines Symposiums Recht und Steuern durch mich als Referenten die wichtigsten Eckpunkte an Vereinsvertreter vermitteln. Auch der Landessportverband für das Saarland (LSVS) und die Ehrenamtsbörsen aller Landkreise im Saarland haben mit mir entsprechende Informationsveranstaltungen durchgeführt oder werden das tun. Der LSVS bietet sogar fünfstündige Seminare zu diesem Thema an, in denen auch Details angesprochen werden können und Fragen wie Videoüberwachung und Arbeitnehmerdatenschutz. Informationen dazu findet man auf der LSVS-Internetseite.

Ich halte die Umsetzung der DSGVO in den Vereinen und Verbänden für leistbar. Es ist zwar mit Fleißarbeit verbunden, aber kein Hexenwerk. Natürlich wird es Vereinsvorstände geben, die mit der Umsetzung – aus den unterschiedlichsten Gründen – nicht zu Recht kommen werden. Diese sollten sich aber Hilfe holen und mit dieser die notwendigen Maßnahmen einleiten. Denn nichts machen ist auf jeden Fall falsch, sowohl für den Vorstand, als auch für den Verein.