EU-DSGVO – Was heißt das eigentlich für die Vereine des Amateurmusizierens?

  • 08.05.2018
  • Sonstiges

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) tritt nach mehrjähriger Übergangsphase nun zum 25. Mai 2018 in Kraft. Auf nationaler Ebene wurde u. a. das Bundesdatenschutzgesetz (BDSG) überarbeitet und angepasst. Aktuell ist die Rechtslage allerdings noch nicht in allen Fällen eindeutig, teilweise haben sich die zuständigen Aufsichtsbehörden (in Deutschland die Datenschutzbeauftragten der Bundesländer) noch nicht abschließend auf einheitliche Auslegungen festgelegt. Es ist also davon auszugehen, dass sich die Umsetzung einiger Regelungen und deren Wirkungsbereich erst später klären werden. An dieser Stelle muss darauf hingewiesen werden, dass dies keine juristische Beratung darstellen und ersetzen kann.

Grundsätzlich sind die Vereine, bzw. deren juristische Vertreter dafür verantwortlich die Einhaltung der EU-DSGVO bzw. des BDSG zu dokumentieren und auf Anfrage nachweisen zu können. Evtl. anfallende Bußgelder können im Falle eines Falles übrigens nicht durch "Abmahnkanzleien", sondern nur durch die jeweiligen zuständigen Landesdatenschutzbeauftragten verhängt werden.

Nach gründlicher Abwägung der Sachverhalte und Rücksprache mit mehreren Experten rät die Bundesvereinigung Deutscher Orchesterverbände dazu, zunächst einmal folgende Checkliste durchzugehen und die Erledigung zu dokumentieren.

1. Impressum!

Auf jeden Fall muss das Impressum auf der Homepage und den ggf. existierenden Social-Media-Seiten der aktuellen Gesetzeslage angepasst werden!

(Beispiel für einen Online-Generator: https://www.e-recht24.de/impressum-generator.html)

2. Datenschutzerklärung!

Wenn auf der Homepage personenbezogene Daten verarbeitet werden, muss dies auch in einer Datenschutzerklärung erläutert werden. Insbesondere bei der Nutzung von Kontaktformularen, Facebook-Buttons oder Analyse-Tools bzw. Cookies muss also entsprechend informiert werden.

(Muster: https://www.e-recht24.de/muster-datenschutzerklaerung.html)

3. Datenschutz-Verpflichtung von Ehren- und Hauptamtlichen!

Beschäftigte, die mit personenbezogenen Daten umgehen, sind zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der EU-DSGVO erfolgt. Bei Neuwahlen/Neueinstellungen ist dies mit Aufnahme der Tätigkeit zu dokumentieren.

4. Satzungsänderungen?

Grundsätzlich muss ein Mitglied schon beim Beitritt über die Verarbeitung der personenbezogenen Daten informiert werden und der Nutzung zustimmen. Dies kann entweder über einen entsprechenden Absatz in der Satzung oder z. B. eine separate Datenschutzordnung erfolgen, welche dem Beitrittsformular beiliegt. Bereits bestehende Mitglieder (nur natürliche Personen) sind über die Nutzung bzw. Verarbeitung der Daten zu informieren.

5. Verzeichnis von Verarbeitungstätigkeiten?

Die EU-DSGVO fordert eine Auflistung aller anfallenden Verarbeitungstätigkeiten. Dieses ist zwar eigentlich für Kleinstunternehmen (unter 250 Mitarbeiter) nicht nötig, allerdings muss es dennoch geführt werden, wenn "ständig" Daten verarbeitet werden. Die Landesdatenschutzbeauftragten von z. B. Bayern und Baden-Württemberg sind sich einig, dass alleine die Mitgliederverwaltung eine ständige Datenverarbeitung bedeutet und Vereine daher ein Verzeichnis führen müssen! Das Verzeichnis ist nur auf Anfrage der Aufsichtsbehörde an diese herauszugeben, nicht an Vereinsmitglieder oder Dritte.

(Muster: https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf)

6. Datenschutzbeauftragter?

Wenn mehr als 10 Personen (hierzu zählen Ehren- und Hauptamtliche) regelmäßig mit der Verarbeitung personenbezogener Daten beschäftig sind, ist ein Datenschutzbeauftragter mit entsprechender Qualifikation zu bestellen. "Regelmäßig" bedeutet, z. B. die permanente Mitgliederverwaltung – "nicht ständig beschäftigt" hingegen ist z.B . der Dirigent, welcher nur mit den Namen der Mitwirkenden umgeht. Auch wenn kein Datenschutzbeauftragter benannt werden muss, ist dennoch ein Mitglied des Vorstandes als im Verein für den Datenschutz Verantwortlicher zu bestimmen und zu verpflichten. Die Beschreibung des Umfangs der Verantwortung muss (z.B. im Geschäftsverteilungsplan des Vorstandes) niedergelegt sein und der Verpflichtungserklärung entsprechen.

7. Nutzung von Whats-App und ähnlichen Messengern im Verein!

Wenn im Verein WhatsApp-Gruppen für die Vereinskommunikation existieren, so sind diese

nicht gesetzeskonform, da WhatsApp die im Mobiltelefon gespeicherten Kontaktdaten an WhatsApp übermittelt - was nicht den Datenschutzbestimmungen der EU-DSGVO entspricht. Dabei ist es gleichgültig, ob die Gruppenmitglieder ihre Einwilligung erklärt haben, da diese lediglich eine Rechtsgrundlage für die Nutzung der Daten bietet, jedoch nicht die Betroffenenrechte auf Information, Auskunft oder gar Löschung außer Kraft setzt. WhatsApp darf daher nur rein privat genutzt werden!

8. Fotografien!

Das Kunsturhebergesetz (KUG) ist im Sinne der EU-DSGVO als Spezialisierungsgesetz anzusehen. Bei öffentlichen Veranstaltungen sind Bilder mit Publikum wie bisher als "Bildnisse aus dem Bereich der Zeitgeschichte" zu werten. Bei der Veröffentlichung von Bildern von Einzelpersonen ist vorab eine schriftliche Einwilligung einzuholen, die darüber informiert, wo diese Bilder später veröffentlicht werden. Bei Minderjährigen muss diese Einwilligung von allen Sorgeberechtigten unterzeichnet werden.

9. Auftragsdatenverarbeitung?

Immer dann, wenn Dritte weisungsabhängig auf personenbezogene Daten zugreifen, liegt eine Auftragsdatenverarbeitung vor. Dies könnte z.B. die Beauftragung einer (Lohn)Buchhaltung oder ein externer Dienstleister für den Newsletter-Versand sein. In diesem Falle muss eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden. Diese kann der Verein beim Auftragsdatenverarbeitenden anfordern. Eine weisungsunabhängige Verarbeitung ist z.B. der Versand von Briefpost – hier wird lediglich der Auftrag zum Transport der Post erteilt, kein Auftrag zur Verarbeitung personenbezogener Daten.

« zurück