| 20:37 Uhr

Neue Datenschutzregeln für Vereine
„Fleißarbeit, aber kein Hexenwerk“

Der St. Ingberter Rechtsanwalt Patrick Nessler.
Der St. Ingberter Rechtsanwalt Patrick Nessler. FOTO: Patrick Nessler
Zweibrücken. Bei der Verarbeitung von Mitgliederinformationen müssen Vereine künftig einiges beachten. Sonst drohen Millionen-Strafen.

Ab Mai kommt auf Vereine wegen der neuen EU-Datenschutzgrundverordnung Mehrarbeit zu. Bei Versäumnissen drohen drakonische Strafen. Der St. Ingberter Rechtsanwalt Patrick Nessler, der den Sportbund Pfalz und den Landessportverband für das Saarland in der Frage berät und Vorträge hält, hat dem Merkur verraten, wie er die Neuregelungen einschätzt und worauf die Vereine jetzt achten müssen.

Herr Nessler, was besagt die neue Datenschutzgrundverordnung (DSGVO)?

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Die DSGVO schützt deshalb die Menschen bei der automatisierten Verarbeitung ihrer personenbezogenen Daten und auch bei der nichtautomatisierten Verarbeitung personenbezogener Daten, wenn die Daten in einem Dateisystem gespeichert sind oder werden sollen. „Verarbeitung“ ist dabei zum Beispiel das Erheben, Erfassen, Ordnen, Abfragen, die Organisation, Speicherung, Anpassung, Veränderung oder Verwendung. Damit findet die DSGVO grundsätzlich nicht nur auf die großen Unternehmen, sondern auch auf kleine und jeden Verein Anwendung. Denn jeder Verein verarbeitet zumindest die Daten seiner Mitglieder. Dabei hat er künftig eine ganze Reihe von Dingen zu beachten. Manche Punkte waren bisher schon nach dem Bundesdatenschutzgesetz zu berücksichtigen, andere sind tatsächlich neu.



Was ist der Hintergrund, dass diese eingeführt wurde?

Das bisherige Datenschutzrecht der EU war so gestaltet, dass es zu seiner Geltung erst von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden musste. Das wurde in den vergangen Jahren von den Mitgliedsstaaten sehr unterschiedlich gemacht. Die nun erlassene DSGVO gilt ab dem 25. Mai 2018 unmittelbar in allen Mitgliedsstaaten. Zwei wichtige Aspekte sind auch, dass aufgrund der Erfahrungen der letzten Jahre der Schutz der Menschen bezüglich ihrer Daten verbessert und Sanktionen gegen außerhalb der EU sitzende Datenverarbeiter ermöglicht wurden.

Inwiefern wird denn Mehrarbeit auf die Vereine zukommen?

Jeder Verein muss bis zum 25. Mai 2018 prüfen, inwieweit die DSGVO Maßnahmen im Verein verlangt. Dafür ist es erforderlich, dass die Vereine eine Bestandsaufnahme machen, wann sie wo und wie welche personenbezogenen Daten erheben und wie sie diese verarbeiten. Im zweiten Schritt muss überprüft werden, ob für jede dieser Maßnahmen eine Rechtsgrundlage gegeben ist. Sofern die Rechtsgrundlage die Einwilligung ist, muss sichergestellt werden, dass diese den neuen gesetzlichen Erfordernissen entspricht. Da zukünftig bei einer Datenerhebung durch den Verein die betroffene Person eine ganze Reihe von Informationen vom Verein erhalten muss, müssen diese erarbeitet und in die Vereinsarbeit integriert werden. Also zum Beispiel in das Aufnahmeformular. Wichtig ist auch zu prüfen, ob der Verein einen Datenschutzbeauftragten zwingend braucht. Es wäre dann eine entsprechend qualifizierte Person zu suchen und zu benennen. Es gibt noch weitere Punkte, welche einen Verein treffen können, das würde hier aber zu weit führen. Wichtig ist, dass die meiste Arbeit nur am Anfang steht, um die ganzen Dinge zu erarbeiten und organisieren. Danach lässt die Arbeitsbelastung deutlich nach.

Welche Maßnahmen drohen Vereinen, die die Änderungen nicht umsetzen (können)? Es stehen ja Bußgelder von bis zu 20 Millionen Euro im Raum. Mit einem Bruchteil davon könnte man ja die halbe Vereinslandschaft eines Bundeslandes ausradieren…

Tatsächlich hat der Gesetzgeber in der DSGVO festgelegt, dass die zu verhängenden Bußgelder zwar angemessen sein müssen, aber auch wirksam und abschreckend. In Verbindung mit der Erhöhung des Bußgeldrahmens auf 20 Millionen Euro ist klar, dass Bußgelder zukünftig immer schmerzhaft sein werden. Das entspricht auch dem Willen des Gesetzgebers, spätestens jetzt die besondere Wichtigkeit des Datenschutzes in den Vordergrund zu stellen.

Inwiefern glauben Sie, dass solche Verstöße rigoros geprüft würden?

Ich gehe nicht davon aus, dass die Datenschutzbehörden von sich aus in nächster Zeit Vereine oder Verbände systematisch prüfen werden. Das wird wohl schon aus Gründen mangelnder Mitarbeiterkapazitäten nicht passieren, weil andere Datenverarbeiter in der Liste weiter oben stehen dürften. Aber ein großes Risiko bleibt bei jedem Verein: Beschwert sich irgendwer bei der Datenschutzbehörde über den Verein, dann wird die Behörde aller Voraussicht nach auch die Beschwerde prüfen.

Wie sind Ihre Tipps zu den Fragen, welche Daten für den Verein wichtig sind, wie der Zugang dazu geregelt wird und wo und wie sie gespeichert werden?

Der Verein sollte für sich ernsthaft und objektiv klären, welche Daten er wirklich braucht und welche er nur gerne hätte. So hat in einer Veranstaltung ein Sportvereinsvertreter zum Beispiel angegeben, dass er bei seinen Mitgliedern auch deren Beruf erfragt. Das kann für den Verein zwar nützlich sein. Die Kenntnis vom Beruf eines jeden Mitglieds ist aber im Sportverein nicht notwendig, wenn vielleicht in der einen oder anderen Situation auch hilfreich. Außerdem sollten die Daten innerhalb des Vereins nur insoweit und an die Personen weitergegeben werden, welche für die Arbeit der Person für den Verein notwendig sind. So braucht zum Beispiel ein Beisitzer im Verein, der nur für die Pressearbeit zuständig ist, keinen generellen Zugriff auf alle Mitgliederdaten. Bei der Speicherung der Daten muss sichergestellt werden, dass nur die Personen Zugriff nehmen können, die dazu auch berechtigt sind und dass die Daten auch vor Verlust geschützt sind. Es muss eine Sicherungskopie vorhanden sein.

Inwiefern können den Vereinsvertretern übergeordnete Verbände Hilfestellung bieten?

Das ist unterschiedlich, weil das Thema komplex ist. So hat die DSGVO einige völlig neue – und leider nicht eindeutig formulierte – Regelungen, zu denen bisher noch keine Erfahrungswerte vorliegen. Außerdem sind die Auswirkungen der DSGVO bei jedem Verein anders, so dass grundsätzlich keine allgemein gültigen Formulierungsvorschläge erarbeitet werden können. Allerdings bieten dankenswerter Weise viele Organisationen für ihre Mitglieder Informationsveranstaltungen zur DSGVO an.

Was geschieht ganz plakativ gesprochen, wenn ein Vereinsmitglied nicht einverstanden damit ist, dass, oder wie seine Daten gespeichert und geschützt werden?

Soweit es Daten betrifft, die der Verein zwingend für die Durchführung der Mitgliedschaft benötigt, hat das Mitglied nur die Wahl zwischen Akzeptieren oder nicht mehr Mitglied sein. Solche Daten sind in der Regel bei allen Vereinen mindestens der vollständige Name und die Anschrift. Ist ein Mitglied mit der Art der Verarbeitung seiner Daten nicht einverstanden, kann es sich beim Verein, aber auch bei der Datenschutzbehörde beschweren. Dann wird geprüft, ob die Art der Verarbeitung dem Datenschutzrecht genügt, auch ob die im Verein vorhandenen Maßnahmen zur Datensicherheit angemessen und ausreichend sind.

Welche Möglichkeiten haben die Vereinsvertreter, sich über die Änderungen detailliert zu informieren?

Der Sportbund Pfalz wird am 9. März im Rahmen seines Symposiums Recht und Steuern durch mich als Referenten die wichtigsten Eckpunkte an Vereinsvertreter vermitteln. Auch der Landessportverband für das Saarland (LSVS) und die Ehrenamtsbörsen aller Landkreise im Saarland haben mit mir entsprechende Informationsveranstaltungen durchgeführt oder werden das tun. Der LSVS bietet sogar fünfstündige Seminare zu diesem Thema an, in denen auch Details angesprochen werden können und Fragen wie Videoüberwachung und Arbeitnehmerdatenschutz. Informationen dazu findet man auf der LSVS-Internetseite.

Glauben Sie, dass die Vereine das stemmen können – oder droht eine Überforderung, Wegbrechen von Ehrenamtlichen, Auflösung?

Ich halte die Umsetzung der DSGVO in den Vereinen und Verbänden für leistbar. Es ist zwar mit Fleißarbeit verbunden, aber kein Hexenwerk. Natürlich wird es Vereinsvorstände geben, die mit der Umsetzung – aus den unterschiedlichsten Gründen – nicht zu Recht kommen werden. Diese sollten sich aber Hilfe holen und mit dieser die notwendigen Maßnahmen einleiten. Denn nichts machen ist auf jeden Fall falsch, sowohl für den Vorstand, als auch für den Verein.

Die Fragen stellte Eric Kolling

Vereine sollten sich in Zukunft ganz genau überlegen, welche Daten von Mitgliedern sie erheben wollen, rät Experte Patrick Nessler.
Vereine sollten sich in Zukunft ganz genau überlegen, welche Daten von Mitgliedern sie erheben wollen, rät Experte Patrick Nessler. FOTO: Silas Stein / dpa