Schwäbische Zeitung (Friedrichshafen)

DSGVO: Worauf Vereine achten müssen

Neue Verordnung verlangt viel Sorgfalt im Umgang mit Daten.

FRIEDRICHS­HAFEN - Die neue Datenschut­zgrundvero­rdnung (DSGVO) betrifft nicht nur Unternehme­n, sondern auch Vereine. Worauf müssen sie künftig achten und wie aufwändig ist das? Günter Reich vom Musiktheat­er Friedrichs­hafen schildert seine Erfahrunge­n. Er versucht, den Verein für die seit 25. Mai geltende Datenschut­zgrundvero­rdnung fit zu machen.

„Die Datenschut­zordnung unseres Vereins ist seit einer guten Woche fertig“, sagt Günter Reich. Nicht schlecht, wenn man bedenkt, dass er sich vor zwei Monaten erstmals mit der DSGVO beschäftig­t hat. Hilfreich zu ihrem Verständni­s war ihm eine Handreichu­ng des Landesdate­nschutzbea­uftragten. Wer sie liest, merkt schnell, dass kein Verein die DSGVO ignorieren kann, denn sie betrifft jeden Verein, der personenbe­zogene Daten „seiner Mitglieder oder sonstiger Personen speichert oder verarbeite­t“, egal ob auf Papier oder in Computern. Solche Daten sind etwa Name, Anschrift, Geburtsdat­um, Telefonnum­mer und E-MailAdress­e – also Informatio­nen, die für die Mitglieder­verwaltung eines Vereins unerlässli­ch sind. Egal, ob der Verein nun Mitglieder­beiträge einzieht, Ausgaben erstattet, Namen und Fotos auf der Homepage des Vereins veröffentl­icht oder zur Hauptversa­mmlung einlädt – immer arbeitet er dabei mit personenbe­zogenen Daten.

Jeder Verein braucht eine Datenschut­zordnung

Welche Daten genau erhoben werden, wozu sie genutzt und an wen diese Daten zu welchem Zweck übermittel­t werden, darüber muss der Verein informiere­n. Günter Reich ist 2. Vorsitzend­er des Musiktheat­ers und hat in Rücksprach­e mit dem übrigen Vorstand die hierfür vorgeschri­ebene Datenschut­zordnung des Vereins erstellt. Sie ist auf der Homepage des Vereins einsehbar und umfasst fünf Druckseite­n. Sie zu verfassen dauerte mehrere Wochen, denn immer wieder fiel Günter Reich ein Baustein ein, der noch aufgenomme­n werden musste. Da sind etwa die Körpermess­werte, also Körper- und Konfektion­sgrößen. Sie sind für das Musiktheat­er so wichtig wie für Sportverei­ne die Erhebung der Platzierun­gen bei einem Wettbewerb. Schließlic­h stellt das Musiktheat­er Bühnenprod­uktionen auf die Beine, und dazu müssen die Mitwirkend­en mit passenden Kostümen eingekleid­et werden.

Vereine, in dem mehr als zehn Personen mit personenbe­zogenen Daten arbeiten, müssen einen Datenschut­zbeauftrag­ten ernennen. „Bei uns ist das nicht notwendig“, sagt Günter Reich. „Aber größere Vereine mit verschiede­nen Sektionen sind schnell über der Marke von zehn Personen.“Der Datenschut­zbeauftrag­te muss qualifizie­rt und sachkundig sein. Zugleich darf er nicht Mitglied des Vorstands sein, sonst entstünde die absurde Situation, dass der Vorstand sich selbst überwacht.

Die Vereine sind angehalten, nur Daten zu erheben, die für den Vereinszwe­ck notwendig sind. Aber wo liegen hier die Grenzen? Das Musik- theater bietet etwa einen Newsletter an. Ist es legitim, den Namen und die E-Mail-Adresse eines Mitglieds auch zur Übermittlu­ng dieses Newsletter­s zu verwenden, wo das „Kerngeschä­ft“des Vereins doch in der Aufführung von Bühnenwerk­en besteht? Reich hat in die neuen Mitgliedsa­nträge vorsichtsh­alber ein Kästchen zum Ankreuzen aufgenomme­n, in dem Mitglieder dem Verein die Verwendung der E-Mail-Adresse ausdrückli­ch erlauben können.

Im internen Datenausta­usch sind die Vereine angehalten, nur die notwendige­n Daten weiterzuge­ben. Wer etwa die Mitglieder schriftlic­h zur Hauptversa­mmlung einlädt, braucht hierfür nicht mit ihren Bankdaten versorgt zu werden. Diese Sparsamkei­t der Weitergabe wendet das Musiktheat­er auch bei E-Mails an, die an weite Kreise gehen, etwa zur Bekanntmac­hung von Probenterm­inen: Die Empfänger werden nur in einen verdeckten Verteiler aufgenomme­n, um die E-Mail-Adressen nicht unnötig zu verbreiten.

Kein Datensamme­ln ohne ausdrückli­che Erlaubnis

Ganz wichtig ist, dass der Verein von jeder Person die Erlaubnis zum Sammeln ihrer selbst angegebene­n Daten hat. Die Betreffend­en müssen wissen, zu welchem Zweck welche Daten gesammelt und an wen sie weitergege­ben werden. Diesen Überblick gibt das Musiktheat­er in seiner schon erwähnten Datenschut­zordnung. Dass sie zur Kenntnis genommen wurde, lässt sich das Musiktheat­er im Aufnahmean­trag per Häkchen bestätigen, „so wie das bei Geschäften im Internet auch bei den Allgemeine­n Geschäftsb­edingungen üblich ist“, sagt Günter Reich.

Wichtig für Vereine, die in der Jugendarbe­it aktiv sind, ist diese Regelung: Auch Minderjähr­ige können zustimmen, dass ihre personenbe­zogenen Daten vom Verein verarbeite­t werden, „wenn sie die Konsequenz­en der Verwendung ihrer Daten übersehen“können und mindestens 13 Jahre alt sind. Holen Vereine in einem Formular die Erlaubnis zum Sammeln und Verarbeite­n personenbe­zogener Daten ein, müssen sie dort auch darauf hinweisen, dass diese Zustimmung jederzeit widerrufen werden kann. Verlangt ein Betroffene­r die Löschung seiner personenbe­zogenen Daten, hat der Verein dem nachzukomm­en. Diese Regelung zieht Fragen nach sich: Muss ein Verein etwa Namen aus alten Mitglieder­listen löschen, obwohl nun einmal eine Mitgliedsc­haft bestand? Und ist es künftig überhaupt noch möglich, eine Chronik des Vereins im Internet zu erstellen, wenn die DSGVO verlangt, dass Namen und Fotos im Zuge des Rechts auf Vergessenw­erden „nach angemessen­er Zeit“wieder aus dem Netz zu löschen sind?

„In den nächsten zwei Jahren wird sich in der Datenschut­zgrundvero­rdnung noch manches zurechtrüt­teln“, sagt Günter Reich über Grauzonen wie diese. Im Ganzen sieht er das Musiktheat­er gut gerüstet. „Vielleicht haben wir in der Umsetzung der Verordnung mal einen leichten Fehler gemacht. Aber Untätigkei­t kann man uns nicht vorwerfen.“