Datenschutz-Kolumne: Einführung Datenschutz

Um was dreht es sich hier? Hand aufs Herz, hast Du Dir mal Gedanken darüber gemacht, welche personenbezogenen Daten an welchen Stellen und bei welchen Personen bei Euch im Verein verarbeitet werden? Sagen Dir die Abkürzungen VVT, TOM’s und AVV etwas? Weißt Du, was in den Artikeln 12 und 15 der DSGVO steht und bist Du auf eine Wahrnehmung der Betroffenenrechte nach Artikel 17 vorbereitet?

Die Vereinsmeier Datenschutz-Kolumne im März 2021: Moin, Moin, ich bin Ka-Jo Schäfer und ich werde zukünftig an dieser Stelle Eure Fragen zur Datenschutz-Grundverordnung DSGVO und manchmal auch, weil es ganz eng miteinander zu tun hat, zur Datensicherheit beantworten.

Ein bisschen über mich und was ich so mache. Ich bin 64 Jahre alt und im Emsland geboren. Großgeworden bin ich in Düsseldorf und Neuss, studiert habe ich in Frankfurt und Köln und heute lebe ich mit meiner Frau Gabi in Weilburg an der Lahn. Das liegt, für diejenigen, die es genau wissen wollen, auf halber Strecke zwischen Limburg und Wetzlar.

Datenschutz-Kolumne: Ka-Jo Schäfer

Vereine, Organisationen und das Ehrenamt kenne ich von der Pike auf. Schon als Teenager war ich Gruppenleiter in der katholischen Jugend, Regionalleiter, im Jugendrotkreuz und dann im Deutschen Roten Kreuz im Rettungsdienst. Ich war und bin in Geschichtsvereinen, Städtepartnerschaftsvereinen, Bürgerinitiativen und Wandervereinen. Ich war Kassenwart, Pressesprecher, Vorstand und habe mich politisch in zwei Parteien engagiert.

Als 2018 die Datenschutz-Grundverordnung in Kraft gesetzt wurde, stellten wir in unserem bundesweit organisierten Wanderverein fest, dass wir darauf überhaupt nicht vorbereitet waren. Besonders eine Frage machte uns zu schaffen: Sind wir verpflichtet, einen Datenschutzbeauftragten einzusetzen, oder nicht? Ich kann die Antwort vorwegnehmen. Ja, wir sind dazu verpflichtet. Ich habe also eine Fortbildung zum Datenschutzbeauftragten (bvve) gemacht, bin als Vorstand zurückgetreten und seitdem ehrenamtlicher Datenschutzbeauftragter eines Wandervereins. Es kam der eine oder andere Verein dazu, manche Vorstände brauchten eine Beratung, andere jemanden, der die Datenschutzdokumentation erstellt und heute bin ich für zur Zeit neun Vereine in Deutschland als externer Datenschutzbeauftragter tätig.

Datenschutz-Grundverordnung DSGVO für Vereine und Ehrenamt

Nach dieser, zugegebener weise recht umfangreichen persönlichen Vorstellung, sollten wir einmal einen Blick auf die DSGVO werfen und die Frage beantworten: „Habe ich als Vereinsvorstand überhaupt mit der DSGVO zu tun?“ Und wieder kann ich eine Frage ganz klar mit „Ja“ beantworten, denn die DSGVO unterscheidet nicht zwischen Unternehmen, öffentlichen Stellen oder Vereinen. Sie unterscheidet nicht nach nicht-öffentlichen und öffentlichen Stellen. Damit sind alle Bestimmungen der Datenschutz-Grundverordnung uneingeschränkt auch für Vereine bindend.

Dass dies eine große Belastung für alle Vereine, nicht nur den gemeinnützigen, darstellt, wissen auch die Datenschutzbehörden in den Bundesländern. Die Bayern, die Baden-Württemberger, aber auch viele andere Landesbeauftragte für den Datenschutz und die Informationsfreiheit haben deshalb Handreichungen für den Umgang mit der DSGVO im Verein herausgegeben.

Was aber unterm Strich nicht unbedingt dabei hilft, den Schutz von personenbezogenen Daten im Verein zu etablieren. „Was soll das? Haben wir nicht genug damit zu tun, den Verein aufrecht zu erhalten? Tun wir nicht so schon genug? Besonders jetzt im Corona-Lockdown!“ Diese und viele andere Einwände höre ich tagtäglich in der Praxis von Vorständen, die sowieso schon genug mit den vielen (steuer-)rechtlichen Fallstricken rund um den Verein und die Gemeinnützigkeit zu tun haben. Vor gar nicht allzu langer Zeit habe ich im Vereinsmeier-Podcast den Satz gehört: „Als Vereinsvorstand musst du mindestens Steuerberater, Rechtsanwalt und Unternehmenschef in einer Person sein!“ Wie wahr!

Vereinsmeier-PodcastVereinsmeier Podcast:

Hier geht es zum Vereinsmeier Podcast!

Du findest die Folgen auch bei Podigee. Bei iTunes gibt es den Vereinsmeier-Podcast über diesen Link. Aber auch auf YouTube, Deezer, Amazon Music und Spotify kannst Du den Podcast abonnieren. 

Also jetzt den passenden Link klicken und jede Folge frei Haus bekommen!

Doch Datenschutz ist europäisches Grundrecht. Du, ich, wir alle werden durch die DSGVO geschützt. Der Umgang mit unseren Daten ist erheblich eingeschränkt worden. Das wird auch überwacht und kontrolliert. Täglich hören und sehen wir von neuen Datenschutzverstößen. Sei es bei Google, bei Microsoft, aber auch bei 1&1 oder bei der Deutschen Wohnen. Alle dann auch gleich mit mehr oder weniger hohen Bußgeldern belegt. Auch Vereine bzw. Verbände sind zwischenzeitlich zu ansehnlichen Bußgeldern verdonnert worden. Der niederländische Tennisverband zum Beispiel.

Das zwingt diese Unternehmen, alle Unternehmen, alle Vereine und Verbände dazu, vorsichtiger mit unseren personenbezogenen Daten umzugehen. Das zwingt auch uns in den Vereinen, vorsichtiger mit den personenbezogenen Daten unserer Vereinsmitglieder umzugehen.

Auch deshalb macht diese „lästige“ DSGVO auch für Vereine Sinn. Wir ärgern uns doch alle über die Flut von Werbemails. Spamming und Pishing – die großen Probleme im Email-Verkehr – machen auch vor Vereinen nicht halt. Darum ist eine Verordnung, die auch Vereine betrifft, so wichtig. Wir sollten uns daran halten. Nicht nur, weil Bußgelder drohen, sondern weil Datenschutz einfach Sinn macht. Denn schließlich können wir uns bei der Polizei nach dem Überfahren einer roten Ampel nachts um zwei auch nicht damit herausreden, dass die Straßenverkehrsordnung nur Arbeit macht und eigentlich doch völlig unsinnig ist, oder? Siehst Du, genauso ist es mit der DSGVO.

Verarbeitet also ein Verein oder Verband personenbezogene Daten und speichert sie dann in einem Dateisystem, dann findet die DSGVO in diesem Verein Anwendung. Und wenn Du jetzt sagst: „Ha, ich habe gar kein Dateisystem auf meinem Computer!“ dann kann ich darauf nur antworten, dass auf diese Idee schon andere Vereine gekommen sind. Und für einen von denen, einen Wanderverein im Schwarzwald, haben wir eine Anfrage an den Landesdatenschutzbeauftragten in Baden-Württemberg gestellt. Und bekamen prompt nach nur vier Wochen die Antwort, dass auch eine Karteikarte in einem Karteikasten oder ein Datenblatt in einem Aktenordner ein Datensystem darstellt. Bleibt der Schuhkarton, aber das ist, da sind wir uns sicher einig, eher etwas für einen Stammtisch mit überschaubaren acht Mitgliedern.

Somit hätten wir den Punkt schonmal geklärt. Ja, die DSGVO gilt auch für Vereine. Der Vollständigkeit halber sei noch erwähnt, dass es völlig unerheblich ist, ob der Verein ins Vereinsregister eingetragen ist, und damit eine eigene Rechtspersönlichkeit ist, oder nicht. Daten fallen in jedem Fall an, und egal ob sie automatisiert oder nicht-automatisiert verarbeitet werden, Ihr fallt immer unter die Geltung der DSGVO, wenn Ihr personenbezogene Daten verarbeitet.

Wer ist verantwortlich für den Datenschutz im Verein?

Verantwortlich für den Schutz aller personenbezogenen Daten ist der Verein. Und da der Verein als juristische Person durch den Vorstand vertreten wird, ist der Vorstand immer dann der Gelackmeierte, wenn etwas schiefgeht. Zumindest bis zur nächsten Jahreshauptversammlung und der dann (hoffentlich) erfolgenden Entlastung.

Wenn wir davon ausgehen, dass Unwissenheit nicht vor Strafe schützt, dann ist der Vorstand auch für jede kleine Datenpanne verantwortlich, die Übungsleiter*innen im Email-Verkehr mit ihrer Gruppe oder Abteilung passiert. Zum Beispiel, wenn der Email-Verteiler für jeden sichtbar im Adress- oder cc-Feld eingesetzt wird. Ja, das ist schon eine Datenpanne und ist verboten. Der Vorstand ist auch verantwortlich für den Einsatz von nicht datenschutz-konformen Kommunikationsmitteln. Dazu gehört zum Beispiel der allseits beliebte Messenger aus dem Hause Zuckerberg. Ach was, wir sind hier unter uns und können ruhig Namen nennen. WhatsApp heißt der Messenger, den Du auch auf Deinem Smartphone hast, oder? Und der macht datenschutzmäßig gewaltige Probleme.

Datenschutz: Mit freundlicher Genehmigung des GDD e.V.

Kleiner Exkurs zum Thema Messenger: Weißt Du, welchen Allgemeinen Geschäftsbedingungen nach der Installation Du zugestimmt hast? Zum Beispiel hast Du zugestimmt, dass WhatsApp Dein Adressbuch ständig abgleichen darf. Dabei werden nicht nur Deine anderen WhatsApp-Kontakte in die USA geschickt, es wird auch jeder einzelne andere Name mit der riesig großen WhatsApp-Datenbank abgeglichen. Haben Deine Freunde, Deine Familie, Deine Kollegen und wer auch immer im Adressbuch steht, dem zugestimmt? Wollen sie das überhaupt?

Was sind personenbezogene Daten?

Kommen wir zu dem Thema, was ein personenbezogenes Datum überhaupt ist. Wir können dazu mal in die Wikipedia schauen, die beschreibt es sehr gut und leicht verständlich. Ein paar Sätze habe ich weggelassen, weil sie nicht wirklich hilfreich sind (Quelle Wikipedia: Personenbezogene Daten):

„Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. […]

Beispiele für personenbezogene Daten:

– Augenfarbe: Klaus Mustermann hat blaue Augen
– PKW: Erika Mustermann besitzt einen VW Golf
– Geburtsort: Der erste Kanzler der Bundesrepublik Deutschland war gebürtiger Kölner

Im ersten Beispiel wird die Angabe hat blaue Augen der Person Klaus Mustermann zugeordnet. Die Angabe hat blaue Augen wird dadurch zu einer personenbezogenen Information. (Im Regelfall wird die Gesamtinformation Klaus Mustermann hat blaue Augen. als personenbezogene Angabe angesehen.)

Im zweiten Beispiel ist besitzt einen VW Golf die personenbezogene Information. Personenbezogene Daten müssen also nicht zwangsläufig ein körperliches Merkmal der Person sein. Es genügt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt.

Im dritten Beispiel ist die Person, auf die sich die Angabe gebürtiger Kölner bezieht, zwar nicht namentlich genannt. Sie ist jedoch bestimmbar, da allgemein bekannt ist, dass Konrad Adenauer der erste Kanzler der Bundesrepublik Deutschland war.

Auch Daten, über die sich ein Personenbezug herstellen lässt, sind als personenbezogene Daten anzusehen (Beispiel: Kfz-Kennzeichen, Kontonummer, Rentenversicherungsnummer, Matrikelnummer, Antworten in Prüfungsarbeiten), selbst wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist allein, dass es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen.“

Geht ganz schön weit, oder? Mit welchen Daten geht Ihr in Eurem Verein normalerweise um? Welche Daten braucht Ihr im Verein?

– Vorname
– Name
– Geschlecht (m/w/d)
– Geburtsdatum
– Straße, Hausnummer, Postleitzahl, Ort
– Telefonnummer (Festnetz/Mobil)
– Email-Adresse
– Bank, Kontonummer
– Mitglieds-Nr. / Eintrittsdatum
– Sportliche Leistungen
– Platzierung bei Wettbewerben

Was denn noch? Es geht noch weiter. Der Datensammelwut im Verein sind oft keine Grenzen gesetzt.

– Religion
– Hochzeitstag
– Familienstand
– Auszeichnungen
– Namen und Geburtsdaten der Kinder/Enkelkinder
– Schwere Operationen
– Persönliche Notizen
– Parteizugehörigkeit
– Beruf
– Eigentumsverhältnisse
– Mitgliedschaft in anderen Vereinen und/oder Organisationen

Das gilt jetzt für alle Informationen, für personenbezogene Daten in jedweder Form, also in Schrift, Bild und Ton.

Alles das und noch viel, viel mehr sind personenbezogene Daten, die durch die DSGVO besonders geschützt werden müssen. Manche müssen sogar ganz speziell geschützt werden. Das sind die Daten von Kindern und Jugendlichen, aber auch die Daten, die eigentlich niemanden etwas angehen. Die Religion gehört dazu, Gesundheitsdaten, Mitgliedschaften in politischen Parteien.

Personenbezogene Daten werden also, ich schreibe es nochmal, durch die DSGVO geschützt. Das gilt, solange das Vereinsmitglied lebt. Verstorbene fallen nicht unter die DSGVO. Wenn Ihr also einen Nachruf im Vereinsblatt oder in der Lokalzeitung veröffentlicht, wenn Ihr eine Liste der Verstorbenen führt oder das Totengedenken in der Jahreshauptversammlung durchführt, dann unterliegt dies nicht der DSGVO. Nachzulesen im Erwägungsgrund 27 der DSGVO.

Ein Zwischenruf: Die DSGVO hat 11 Kapitel mit insgesamt 99 Artikeln. Darin sind alle Vorschriften des europäischen Datenschutzes enthalten. Doch wie das bei Verordnungen und Gesetzen immer so ist, brauchen die noch eine nähere Erläuterung oder Erklärung. Und das findet sich in 173 Erwägungsgründen, die zur Auslegung der Artikel herangezogen werden können. Sonst wäre es ja auch viel zu einfach, oder?

Lass uns für heute zu einem Ende kommen. In unserer ersten Kolumne drehte es sich um die Themen

– Datenschutz geht uns alle an
– Die DSGVO gilt auch für Vereine und Verbände
– Der Vorstand ist für den Vereinsdatenschutz verantwortlich
– Es gibt viel mehr personenbezogene Daten als gemeinhin bekannt

Ich habe auch noch eine Aufgabe für Euch bis zum nächsten Beitrag: Nehmt Euch bitte die Zeit und schreibt einmal alle personenbezogenen Daten auf, die im Verein gesammelt werden. Dann markiert bitte die Daten, die wirklich notwendig sind. Damit habt Ihr dann schon den allerersten Schritt zur Datenschutzdokumentation gemacht.

Es bleibt zu sagen: Schützt Eure Daten, fangt bei Euch selbst an!

Herzlichst, Euer Ka-Jo Schäfer

Ka-Jo Schäfer ist als zertifizierter interner und externer Datenschutzbeauftragter (bvve) für Vereine in ganz Deutschland tätig. Außerdem engagiert er sich im Bundesverband für Vereine und Ehrenamt e.V. in der Region Mittelhessen für die Unterstützung von Vereinen und Verbänden. Der bvve setzt sich für das Ehrenamt in ganz Deutschland ein. Die Schwerpunkte sind Nachfolge, DSGVO, das digitale Vereinsheim und schlanke Satzung 4.0. Ka-Jos Vereinsmeier-Datenschutz Kolumne erscheint monatlich. Fragen an Ka-Jo Schäfer zum Thema Datenschutz im Verein und Ehrenamt könnt Ihr über die Kommentarfunktion stellen (bei allgemeinem Interesse) oder ihn direkt kontaktieren unter kajo.schaefer(at)datenschutz-im-ehrenamt(punkt)de. Seine Threema-ID lautet TMRAYY3F.

Ka-Jo war übrigens auch schon im Vereinsmeier-Podcast zu Gast. Die 60ste Folge mit Ka-Jo Schäfer findest Du hier.

Etwas zu schmökern als Buch gibt es hier, wenn Du grundsätzlich mehr zu vereinsrechtlichen Themen und Datenschutz erfahren möchtest:

Nutzen Sie zur Kommunikation im Verein WhatsApp? Gibt es einen Aushang mit Mitgliedernamen im Vereinsheim? Veröffentlichen Sie Fotos von Veranstaltungen, Trainings oder Wettkämpfen? Diese und andere Fragestellungen werden im Buch „Datenschutz im Verein: Leitfaden für den sicheren Umgang mit der DSGVO (Haufe Fachbuch)“ auf Herz und Nieren geprüft, damit Sie auch in Zeiten der DSGVO auf der sicheren Seite sind. Die Autorin bringt hier ihre jahrelange Erfahrung als selbstständige Unternehmerin und Beraterin ein und zeigt, wo die Fallstricke liegen. So wissen Sie, worauf Sie bei der Vielzahl der Regelungen ganz besonders achten müssen und wie Sie kostspielige Fehler vermeiden.

Ob Mitgliederverwaltung oder Spendenlisten – Vereine arbeiten heute mit einer wachsenden Fülle personenbezogener Daten. Am Thema Datenschutz und den Anforderungen der neuen Datenschutzregelungen durch die Datenschutz-Grundverordnung (DSGVO) kommt kein Vereinsvorstand mehr vorbei. Für einen rechtssicheren Umgang mit Daten im Vereinsalltag beantwortet Ihnen das Praxisbuch „Datenschutz für Vereine: Leitfaden für die Vereinspraxis“ von Frank Weller alle relevanten Fragen. In der umfassend aktualisierten 2. Auflage erfahren Sie u.a. welche Inhalte nach DSGVO und BDSG (neu) für Vereine wichtig sind, welchen Informationspflichten Vereine nachkommen müssen, wann Ihr Verein einen Datenschutzbeauftragten bestellen muss und wie Sie den Datenschutz auch in Ausnahmesituationen sicherstellen, bspw. bei virtuellen Sitzungen. Praxistipps, Beispiele und Mustertexte unterstützen Sie bei der Umsetzung.

Stolperfalle VereinDer Verein ist im Nonprofit-Sektor nach wie vor die beliebteste Rechtsform. Dies hat viele Gründe: Basisdemokratisch, einfach und bekannt dürften die am häufigsten genannten Gründe sein. Andererseits ist die Handhabung der Rechtsform Verein aber an verschiedenen Stellen für die Verantwortlichen fehleranfällig und schwierig. Dies umso mehr, wenn zu der Rechtsform Verein noch die Gemeinnützigkeit kommt. Guter Rat ist dann häufig teuer. Jörg Ammon zeigt in der 3. Auflage seines erfolgreichen Buches „Stolperfalle Vereinpraxisnah und verständlich, wie Du sicher mit der Rechtsform Verein, auch und gerade in Kombination mit der Gemeinnützigkeit umgehen und Stolperfallen vermeiden kannst. Erweitert hat er die aktuelle Auflage natürlich um das schwierige Thema Datenschutz.


Weitere interessante Artikel für Dich auf Vereinsmeier.online:

Grundsätzliches: Die Mitgliederversammlung

Vereinsregister: Was Du wissen musst

Wie Du mehr Helfer gewinnst

Hinweis: Die Beiträge auf dieser Seite dienen lediglich der allgemeinen Bildung und Information – nicht der juristischen Beratung bei rechtlichen Anliegen. Dieser Artikel ersetzt keine Beratung durch einen Rechtsanwalt, Steuerberater oder ähnlicher Beratungsstellen. Die Nutzung erfolgt auf eigene Verantwortung.

Ein Gedanke zu „Datenschutz-Kolumne: Einführung Datenschutz“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.