Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist nach mehrjähriger Übergangsphase zum 25. Mai 2018 in Kraft getreten. Die Bundesvereinigung Deutscher Orchesterverbände e.V. hat zusammengefasst, was für Vereine wichtig ist.
Auf nationaler Ebene wurde unter anderem das Bundesdatenschutzgesetz (BDSG) überarbeitet und angepasst. Aktuell ist die Rechtslage allerdings noch nicht in allen Fällen eindeutig, teilweise haben sich die zuständigen Aufsichtsbehörden (in Deutschland die Datenschutzbeauftragten der Bundesländer) noch nicht abschließend auf einheitliche Auslegungen festgelegt. Es ist also davon auszugehen, dass sich die Umsetzung einiger Regelungen und deren Wirkungsbereich erst später klären werden. An dieser Stelle muss darauf hingewiesen werden, dass dies keine juristische Beratung darstellen und ersetzen kann.
Grundsätzlich sind die Vereine, beziehungsweise deren juristische Vertreter_innen dafür verantwortlich die Einhaltung der EU-DSGVO beziehungsweise des BDSG zu dokumentieren und auf Anfrage nachweisen zu können. Eventuell anfallende Bußgelder können im Falle eines Falles übrigens nicht durch „Abmahnkanzleien“, sondern nur durch die jeweiligen zuständigen Landesdatenschutzbeauftragten verhängt werden.
Nach gründlicher Abwägung der Sachverhalte und Rücksprache mit mehreren Expert_innen rät die Bundesvereinigung Deutscher Orchesterverbände dazu, zunächst einmal folgende Checkliste durchzugehen und die Erledigung zu dokumentieren.
Impressum!
Auf jeden Fall muss das Impressum auf der Homepage und den ggf. existierenden Social-Media-Seiten der aktuellen Gesetzeslage angepasst werden!
Beispiel für einen Online-Generator: www.e-recht24.de/impressum-generator oder datenschutz-generator.de
Datenschutzerklärung!
Wenn auf der Homepage personenbezogene Daten verarbeitet werden, muss dies auch in einer Datenschutzerklärung erläutert werden. Insbesondere bei der Nutzung von Kontaktformularen, Facebook-Buttons oder Analyse-Tools beziehungsweise Cookies muss also entsprechend informiert werden.
Muster: www.e-recht24.de/muster-datenschutzerklaerung
Datenschutz-Verpflichtung von Ehren- und Hauptamtlichen!
Beschäftigte, die mit personenbezogenen Daten umgehen, sind zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der EU-DSGVO erfolgt. Bei Neuwahlen/Neueinstellungen ist dies mit Aufnahme der Tätigkeit zu dokumentieren.
Satzungsänderungen?
Grundsätzlich muss ein Mitglied schon beim Beitritt über die Verarbeitung der personenbezogenen Daten informiert werden und der Nutzung zustimmen. Dies kann entweder über einen entsprechenden Absatz in der Satzung oder zum Beispiel eine separate Datenschutzordnung erfolgen, welche dem Beitrittsformular beiliegt. Bereits bestehende Mitglieder (nur natürliche Personen) sind über die Nutzung beziehungsweise Verarbeitung der Daten zu informieren.
Verzeichnis von Verarbeitungstätigkeiten?
Die EU-DSGVO fordert eine Auflistung aller anfallenden Verarbeitungstätigkeiten. Dieses ist zwar eigentlich für Kleinstunternehmen (unter 250 Mitarbeiter_innen) nicht nötig, allerdings muss es dennoch geführt werden, wenn „ständig“ Daten verarbeitet werden. Die Landesdatenschutzbeauftragten von zum Beispiel Bayern und Baden-Württemberg sind sich einig, dass alleine die Mitgliederverwaltung eine ständige Datenverarbeitung bedeutet und Vereine daher ein Verzeichnis führen müssen! Das Verzeichnis ist nur auf Anfrage der Aufsichtsbehörde an diese herauszugeben, nicht an Vereinsmitglieder oder Dritte.
Muster: https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
Datenschutzbeauftragter?
Wenn mehr als zehn Personen (hierzu zählen Ehren- und Hauptamtliche) regelmäßig mit der Verarbeitung personenbezogener Daten beschäftig sind, ist ein Datenschutzbeauftragter mit entsprechender Qualifikation zu bestellen. „Regelmäßig“ bedeutet, zum Beispiel die permanente Mitgliederverwaltung – „nicht ständig beschäftigt“ hingegen ist zum Beispiel der/die Tanzleiter_in, welche_r nur mit den Namen der Mitwirkenden umgeht. Auch wenn kein Datenschutzbeauftragter benannt werden muss, ist dennoch ein Mitglied des Vorstandes als im Verein für den Datenschutz Verantwortlicher zu bestimmen und zu verpflichten. Die Beschreibung des Umfangs der Verantwortung muss (zum Beispiel im Geschäftsverteilungsplan des Vorstandes) niedergelegt sein und der Verpflichtungserklärung entsprechen.
Nutzung von Whats-App und ähnlichen Messengern im Verein!
Wenn im Verein WhatsApp-Gruppen für die Vereinskommunikation existieren, so sind diese nicht gesetzeskonform, da WhatsApp die im Mobiltelefon gespeicherten Kontaktdaten an WhatsApp übermittelt - was nicht den Datenschutzbestimmungen der EU-DSGVO entspricht. Dabei ist es gleichgültig, ob die Gruppenmitglieder ihre Einwilligung erklärt haben, da diese lediglich eine Rechtsgrundlage für die Nutzung der Daten bietet, jedoch nicht die Betroffenenrechte auf Information, Auskunft oder gar Löschung außer Kraft setzt. WhatsApp darf daher nur rein privat genutzt werden!
Fotografien!
Das Kunsturhebergesetz (KUG) ist im Sinne der EU-DSGVO als Spezialisierungsgesetz anzusehen. Bei öffentlichen Veranstaltungen sind Bilder mit Publikum wie bisher als „Bildnisse aus dem Bereich der Zeitgeschichte“ zu werten. Bei der Veröffentlichung von Bildern von Einzelpersonen ist vorab eine schriftliche Einwilligung einzuholen, die darüber informiert, wo diese Bilder später veröffentlicht werden. Bei Minderjährigen muss diese Einwilligung von allen Sorgeberechtigten unterzeichnet werden.
Auftragsdatenverarbeitung?
Immer dann, wenn Dritte weisungsabhängig auf personenbezogene Daten zugreifen, liegt eine Auftragsdatenverarbeitung vor. Dies könnte zum Beispiel die Beauftragung einer (Lohn)Buchhaltung oder ein externer Dienstleister für den Newsletter-Versand sein. In diesem Falle muss eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden. Diese kann der Verein beim Auftragsdatenverarbeitenden anfordern. Eine weisungsunabhängige Verarbeitung ist zum Beispiel der Versand von Briefpost – hier wird lediglich der Auftrag zum Transport der Post erteilt, kein Auftrag zur Verarbeitung personenbezogener Daten.
Quelle: Bundesvereinigung Deutscher Orchesterverbände e.V. www.orchesterverbaende.de