Schwäbische Zeitung (Friedrichshafen)
DSGVO: Worauf Vereine achten müssen
Neue Verordnung verlangt viel Sorgfalt im Umgang mit Daten.
FRIEDRICHSHAFEN - Die neue Datenschutzgrundverordnung (DSGVO) betrifft nicht nur Unternehmen, sondern auch Vereine. Worauf müssen sie künftig achten und wie aufwändig ist das? Günter Reich vom Musiktheater Friedrichshafen schildert seine Erfahrungen. Er versucht, den Verein für die seit 25. Mai geltende Datenschutzgrundverordnung fit zu machen.
„Die Datenschutzordnung unseres Vereins ist seit einer guten Woche fertig“, sagt Günter Reich. Nicht schlecht, wenn man bedenkt, dass er sich vor zwei Monaten erstmals mit der DSGVO beschäftigt hat. Hilfreich zu ihrem Verständnis war ihm eine Handreichung des Landesdatenschutzbeauftragten. Wer sie liest, merkt schnell, dass kein Verein die DSGVO ignorieren kann, denn sie betrifft jeden Verein, der personenbezogene Daten „seiner Mitglieder oder sonstiger Personen speichert oder verarbeitet“, egal ob auf Papier oder in Computern. Solche Daten sind etwa Name, Anschrift, Geburtsdatum, Telefonnummer und E-MailAdresse – also Informationen, die für die Mitgliederverwaltung eines Vereins unerlässlich sind. Egal, ob der Verein nun Mitgliederbeiträge einzieht, Ausgaben erstattet, Namen und Fotos auf der Homepage des Vereins veröffentlicht oder zur Hauptversammlung einlädt – immer arbeitet er dabei mit personenbezogenen Daten.
Jeder Verein braucht eine Datenschutzordnung
Welche Daten genau erhoben werden, wozu sie genutzt und an wen diese Daten zu welchem Zweck übermittelt werden, darüber muss der Verein informieren. Günter Reich ist 2. Vorsitzender des Musiktheaters und hat in Rücksprache mit dem übrigen Vorstand die hierfür vorgeschriebene Datenschutzordnung des Vereins erstellt. Sie ist auf der Homepage des Vereins einsehbar und umfasst fünf Druckseiten. Sie zu verfassen dauerte mehrere Wochen, denn immer wieder fiel Günter Reich ein Baustein ein, der noch aufgenommen werden musste. Da sind etwa die Körpermesswerte, also Körper- und Konfektionsgrößen. Sie sind für das Musiktheater so wichtig wie für Sportvereine die Erhebung der Platzierungen bei einem Wettbewerb. Schließlich stellt das Musiktheater Bühnenproduktionen auf die Beine, und dazu müssen die Mitwirkenden mit passenden Kostümen eingekleidet werden.
Vereine, in dem mehr als zehn Personen mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten ernennen. „Bei uns ist das nicht notwendig“, sagt Günter Reich. „Aber größere Vereine mit verschiedenen Sektionen sind schnell über der Marke von zehn Personen.“Der Datenschutzbeauftragte muss qualifiziert und sachkundig sein. Zugleich darf er nicht Mitglied des Vorstands sein, sonst entstünde die absurde Situation, dass der Vorstand sich selbst überwacht.
Die Vereine sind angehalten, nur Daten zu erheben, die für den Vereinszweck notwendig sind. Aber wo liegen hier die Grenzen? Das Musik- theater bietet etwa einen Newsletter an. Ist es legitim, den Namen und die E-Mail-Adresse eines Mitglieds auch zur Übermittlung dieses Newsletters zu verwenden, wo das „Kerngeschäft“des Vereins doch in der Aufführung von Bühnenwerken besteht? Reich hat in die neuen Mitgliedsanträge vorsichtshalber ein Kästchen zum Ankreuzen aufgenommen, in dem Mitglieder dem Verein die Verwendung der E-Mail-Adresse ausdrücklich erlauben können.
Im internen Datenaustausch sind die Vereine angehalten, nur die notwendigen Daten weiterzugeben. Wer etwa die Mitglieder schriftlich zur Hauptversammlung einlädt, braucht hierfür nicht mit ihren Bankdaten versorgt zu werden. Diese Sparsamkeit der Weitergabe wendet das Musiktheater auch bei E-Mails an, die an weite Kreise gehen, etwa zur Bekanntmachung von Probenterminen: Die Empfänger werden nur in einen verdeckten Verteiler aufgenommen, um die E-Mail-Adressen nicht unnötig zu verbreiten.
Kein Datensammeln ohne ausdrückliche Erlaubnis
Ganz wichtig ist, dass der Verein von jeder Person die Erlaubnis zum Sammeln ihrer selbst angegebenen Daten hat. Die Betreffenden müssen wissen, zu welchem Zweck welche Daten gesammelt und an wen sie weitergegeben werden. Diesen Überblick gibt das Musiktheater in seiner schon erwähnten Datenschutzordnung. Dass sie zur Kenntnis genommen wurde, lässt sich das Musiktheater im Aufnahmeantrag per Häkchen bestätigen, „so wie das bei Geschäften im Internet auch bei den Allgemeinen Geschäftsbedingungen üblich ist“, sagt Günter Reich.
Wichtig für Vereine, die in der Jugendarbeit aktiv sind, ist diese Regelung: Auch Minderjährige können zustimmen, dass ihre personenbezogenen Daten vom Verein verarbeitet werden, „wenn sie die Konsequenzen der Verwendung ihrer Daten übersehen“können und mindestens 13 Jahre alt sind. Holen Vereine in einem Formular die Erlaubnis zum Sammeln und Verarbeiten personenbezogener Daten ein, müssen sie dort auch darauf hinweisen, dass diese Zustimmung jederzeit widerrufen werden kann. Verlangt ein Betroffener die Löschung seiner personenbezogenen Daten, hat der Verein dem nachzukommen. Diese Regelung zieht Fragen nach sich: Muss ein Verein etwa Namen aus alten Mitgliederlisten löschen, obwohl nun einmal eine Mitgliedschaft bestand? Und ist es künftig überhaupt noch möglich, eine Chronik des Vereins im Internet zu erstellen, wenn die DSGVO verlangt, dass Namen und Fotos im Zuge des Rechts auf Vergessenwerden „nach angemessener Zeit“wieder aus dem Netz zu löschen sind?
„In den nächsten zwei Jahren wird sich in der Datenschutzgrundverordnung noch manches zurechtrütteln“, sagt Günter Reich über Grauzonen wie diese. Im Ganzen sieht er das Musiktheater gut gerüstet. „Vielleicht haben wir in der Umsetzung der Verordnung mal einen leichten Fehler gemacht. Aber Untätigkeit kann man uns nicht vorwerfen.“