„Alles halb so schlimm“
Ab sofort gelten neue Bestimmungen beim Datenschutz. Diese betreffen auch Vereine, die sich nicht selten von der neuen Verordnung überfordert fühlen. Doch Datenschützer Hubert Daubmaier aus Joshofen gibt Entwarnung
Ab sofort gelten neue Bestimmungen beim Datenschutz. Diese betreffen auch Vereine, die sich nicht selten von der neuen Verordnung überfordert fühlen.
Herr Daubmeier, Sie sind zur Zeit ein gefragter Mann, oder?
Daubmaier: Ja, durchaus. (schmunzelt)
Die neue Datenschutzgrundordnung ist nun in Kraft. Welche Fragen treibt insbesondere Vereine in diesem Zusammenhang um?
Daubmaier: Die häufigsten Fragen drehen sich um die Webseite und um die Fotos, die darauf zu sehen sind. Auch das Thema Datenschutzbeauftragter hatte ich schon mehrfach. Die anderen Pflichten, die mit der neuen Datenschutzgrundverordnung zusammenhängen, werden eher weniger nachgefragt.
Viele Vereine sprechen ja davon, eine enorme zusätzliche Arbeit damit aufgebürdet zu bekommen. Ist die Aufregung um die Datenschutzgrundverordnung berechtigt?
Daubmaier: Ich kann mir vorstellen, dass viele Vereinsaktive erstmal von der Informationsflut überwältigt sind. Es gibt unzählige Ratgeber, die sich teilweise widersprechen und es gibt viel Panikmache hinsichtlich der zu befürchtenden hohen Strafen. Die tatsächliche Arbeit ist aber überschaubar: Wer immer die Webseite pflegt, wird sich an einem ruhigen Samstagnachmittag ein paar Stunden hinsetzen müssen, dann hätte er die neuen Pflichten umgesetzt. Natürlich wird man sich im Verein beratschlagen müssen, ob und welche Einwilligungen man auf das Beitrittsformular nimmt und wie man auf die Betroffenenrechte hinweist. Es wird Diskussionen wegen der Fotos geben, wer welche Daten braucht und wie man diese untereinander austauscht. Das alles sind Einzeldiskussionen, die man im Vorstand im kleinen Kreis führt. Die eigentliche Arbeit beläuft sich aber auf einige Stunden, die man an zwei Händen abzählen kann.
Welche Daten müssen Vereine nach der DSGVO schützen?
Daubmaier: Hauptsächlich Mitgliederdaten, wobei sich da nicht viel ändert. Die musste ein Verein vorher auch schon schützen. Man muss sich Gedanken machen, wer wirklich Zugriff auf welche Daten braucht. Ein Trainer braucht beispielsweise keine Bankeinzugsdaten, sondern nur die Kontaktdaten und auch nur die von seinem Team. Und beim Verschicken von Mitgliederlisten über E-Mail sollte die Datei verschlüsselt sein. Ab einer ge- Größe des Vereins muss es nicht sein, dass alle Vorstandsmitglieder Zugang zu sämtlichen Daten aller Mitglieder haben.
Welche Arbeit kommt jetzt konkret auf die Vereine zu?
Daubmaier: Zunächst sollten die Vereine ein Verzeichnis ihrer Verarbeitungstätigkeiten erstellen. Dazu gibt es im Internet ein Muster der Bayerischen Aufsichtsbehörde. Darauf wird unter anderem festgehalten, welche Personen sich mit welchen Daten zu welchem Zweck befassen und wann diese Daten gelöscht werden. Beispiel: Max Meier ist für die Beitragsverwaltung zuständig zum Zwecke der Vereinsfinanzierung und hat mit Kontodaten zu tun. All jene, die mit personenbezogenen Daten zu tun haben, müssen eine Verpflichtungserklärung zum Datenschutz unterschreiben. Darüber hinaus muss die Datenschutzerklärung auf den Webseiten angepasst werden. Da steht beispielsweise, welche Daten wie erho- ben und wann sie gelöscht werden. Außerdem muss es einen Hinweis geben, wer Auskunft über die Datenerhebung gibt. Auf der VereinsHomepage sollten auch nur die notwendigen Kontaktdaten der Vorstandsmitglieder stehen – es sei denn, sie haben in die Veröffentlichung weiterer Angaben eingewilligt.
Was hat es mit dem geforderten Datenschutzbeauftragten auf sich? Und welche Aufgaben hat er konkret? Daubmaier: Einen Datenschutzbeauftragten braucht ein Verein dann, wenn dort mehr als zehn Mitglieder personenbezogene Daten verarbeiten. Der klassische Verein hat meist weniger. Der Trainer mit den Kontaktdaten seines Teams zählt etwa nicht dazu. Der Datenschutzbeauftragte hat in erster Linie die Pflicht, für die Einhaltung der Datenschutzregeln zu sorgen. Er ist aber nicht der Verantwortliche und kann auch nicht haftbar gemacht werden. Zu seinen Aufgaben gehört unter andewissen rem, das Verarbeitungsverzeichnis zu führen.
Wie hoch schätzen Sie alles in allem den Arbeitsaufwand eines Vereins durch die neue Verordnung? Daubmaier: Gesetzt dem Fall, dass man sich zunächst in das Thema einlesen muss und dazu die Informationen der Bayerischen Aufsichtsbehörde studiert, dann dauert das längstens zwei Stunden. Das Verzeichnis der Verarbeitungstätigkeiten ist ebenfalls in zwei Stunden erstellt. Je nachdem wie fit der Webmaster ist, ist die Webseite in ein bis zwei Stunden an die neuen Bestimmungen angepasst. Nehmen wir noch so manche Diskussion im Vorstand sowie einige unvorhergesehene Dinge dazu, dann sind wir alles in allem wohl bei zehn Stunden Aufwand – einmalig, versteht sich.
Also alles halb so schlimm? Daubmaier: Genau. Es ist alles halb so schlimm.