Bereits im Jahr 2016 hatte sich die Europäische Union (EU) für die neue Datenschutz-Grundverordnung entschieden. Diese sollte die längst überholte Datenschutzrichtlinie von 1995 ersetzen, als das Internet noch in den Kinderschuhen steckte. Die Mitgliedsländer der EU hatten zwei Jahre Zeit, sich auf allen Ebenen auf die Umsetzung der neuen DSGVO vorzubereiten. Seit dem 25. Mai ist die DSGVO nun offiziell in Kraft getreten und bildet den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union. Ob Unternehmen, Behörden oder Vereine, eigentlich sollte bis zu diesem Datum jeder, der mit persönlichen Daten von Kunden oder Mitgliedern arbeitet, seine Vorgänge an die neue Rechtslage angepasst haben.

Die Vereinsschulung in Tholey zeigte schnell, dass in den Reihen der Vereinsvertreter noch viel Unsicherheit herrscht und die Angst vor Sanktionen bei Datenschutzverstößen groß ist. „Als die neue Verordnung nun da war, herrschte in unserem Verein schon viel Unsicherheit darüber, was in Zukunft überhaupt noch geht, was man überhaupt noch bedenkenlos veröffentlichen darf“, berichtete Anne Backes vom Historischen Verein zur Erforschung des Schaumberger Landes.

Was darf ich überhaupt noch mit meinen Mitgliedsdaten anfangen? Brauche ich einen Datenschutzbeauftragten? Welche Fotos darf ich auf der Vereinshomepage veröffentlichen? Welche Regelungen muss der Verein in die Satzung hinsichtlich des Datenschutzes aufnehmen, oder genügt eine Regelung in einer nebenstehenden Datenschutzordnung? Fragen über Fragen, auf die Referent Martin Backes verständlich und im Dialog mit den Teilnehmern einging.

„In jedem Verein werden persönliche Mitgliederdaten erhoben, verarbeitet oder genutzt. Der Verein darf aber mit diesen Daten nicht machen, was er will“, so Referent Martin Backes. „Man muss versuchen, sich im Verein möglichst gut abzusichern. Man sollte sich vergewissern, welche Daten seiner Mitglieder man wofür unbedingt benötigt und welche nicht. Auf keinen Fall sollte der Verein seine Mitgliederlisten auf der Website veröffentlichen.“ Wichtig sei die Informationspflicht der Vereine. Auf der Website, in der Satzung oder im Mitgliederantrag sollte der Verein darauf hinweisen, wofür personenbezogene Daten verwendet würden.

„Wir haben uns in unserem Verein schon intensiv mit der neuen Verordnung auseinandergesetzt. Unser Schatzmeister hat sich kundig gemacht“, erzählte Astrid Schmitt-Jochum vom St. Wendeler Kreisverband des Kinderschutzbundes Deutschland. Referent Martin Backes wies auf die Auskunftspflicht gegenüber Betroffenen hin: „Das ist ein ganz wichtiges Thema. Ein Mitglied kann Auskunft verlangen unter anderem über die Verarbeitungszwecke seiner personenbezogenen Daten. Das sollte der Verein in einem sogenannten Verarbeitungsverzeichnis festhalten. In einer Tabelle wird eingetragen, wie genau die Daten der Mitglieder verwendet werden. Das muss nicht für jedes Mitglied angelegt werden.“ Die Kontrollfrage „wer arbeite mit meinen Mitgliedsdaten?“ könne Aufschluss darüber geben, ob der Verein einen Vertrag zur Datenschutz-Auftragsdatenverarbeitung brauche. Sobald Dritte wie zum Beispiel Webhosting-Dienste im Auftrag des Vereins Mitgliedsdaten verarbeiten, sei solch ein Vertrag notwendig.

Astrid Schmitt-Jochum vom Kinderschutzbund hatte noch eine ganz konkrete Frage: „Wir veranstalten im September ein Kinderfest in St. Wendel. Hier wollen wir einen Luftballonwettbewerb durchführen. Die Kinder haben bisher immer Karten mit ihren Namen und Adresse ausgefüllt und diese dann mit dem Luftballon fliegen lassen. Dürfen wir das jetzt überhaupt noch so machen?“ Fachmann Martin Backes sah in diesem Prozedere ein gewisses Risiko und empfahl: „Alternativ könnte man die teilnehmenden Kinder in einer Liste registrieren und ihnen eine Nummer zuweisen. Diese würde dann auf den Karten eingetragen. Man könnte noch den Vornamen und das Alter des Kindes nennen, ohne das Kind weiter zu identifizieren. Der Finder des Luftballons wird dann auf der Karte gebeten, diese an die Vereinsadresse zu senden. Der Verein übernimmt es dann, die Kinder zu informieren.“

Ein anderer Vereinsvertreter wollte wissen, ob es reiche, auf der Mitgliederversammlung über die Verarbeitungszwecke von personenbezogenen Daten hinzuweisen. „Das reicht nicht aus, denn in der Regel sind nicht alle Mitglieder anwesend. Der Informationspflicht kann man in der allgemein zugänglichen Satzung oder im Mitgliedsantrag nachkommen“, so Backes.

Der Datenschutzfachmann sieht bei den Vereinen nach wie vor großen Informationsbedarf: „Die Androhung von hohen Bußgeldern hat viele Vereine aufgeschreckt. Daher herrscht ein großes Interesse an unseren Datenschutzschulungen. Die Vereine wollen das nötige Wissen erwerben, um zukünftig rechtmäßig mit ihren Mitgliedsdaten zu arbeiten.“ Astrid Schmitt-Jochum berichtete, dass in ihrem Verein mit zunehmender Information die Angst vor der neuen DSGVO schwinde. Das Konzept ihres für September geplanten Luftballonwettbewerbs wird sie mit ihren Vorstandskollegen jetzt noch einmal überarbeiten, damit die Luftballons datenschutzkonform aufsteigen können.