1

EU Datenschutzgrundverordnung (EU DSG VO) und ihre

Auswirkungen auf Vereine – ein Überblick

Am 25. Mai 2018 tritt die EU DSG VO in Kraft. Es gibt keine Übergangsfristen,

d.h. die Anforderungen dieser Verordnung müssen am 25. Mai 2018 erfüllt sein.

Auch Vereine sind hiervon betroffen. Neben dem DTK als Hauptverein auch dessen

Landesverbände und alle Ortsgruppen.

Jeder Verein verarbeitet Mitgliederdaten. Oft sind das sehr persönliche Daten wie

etwa Alter und Familienstand, aber auch Mailadressen oder sonstige Kontaktdaten.

Selbstverständlich dürfen diese Daten nur von den Personen angesehen werden, die

sie für ihr Vereinsamt benötigen. Nicht einmal Mitgliedern dürfen diese Daten

zugänglich gemacht werden, mögliche Ausnahme: Minderheitenbegehren.

Schon bis jetzt war das Bundesdatenschutzgesetz zu beachten. Die Einhaltung

bestimmter Regeln im Umgang mit personenbezogenen Daten ist daher nicht neu.

Schon jetzt gilt: Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn

es gesetzlich geboten ist, es zur Erfüllung des Vereinszwecks erforderlich ist oder

wenn der Betroffene einwilligt.

Zur Erfüllung des Vereinszwecks dürfen nur die personenbezogenen Daten verarbeitet

werden, die zwingend erforderlich sind und es dürfen auch nur die Personen Zugriff

auf diese Daten haben, die sie zur Ausführung ihres Amtes benötigen.

An die Einwilligung der Betroffenen werden nun höhere Anforderungen gestellt.

Die Einwilligung setzt voraus, dass die betroffene Person mindestens 16 Jahre alt ist

und umfassend darüber informiert wurde, welche Daten zu welchen Zwecken

verarbeitet werden.

In Einwilligungserklärungen sollten daher insbesondere die Verarbeitungszwecke

sorgfältig und umfassend angegeben werden. Nur „zur Erfüllung des Vereinszwecks“

reicht nicht aus. Dies gilt vor allem, wenn personenbezogene Daten auf Webseiten,

in Vereinsbroschüren etc. veröffentlicht werden und letztere sogar noch in die

Öffentlichkeit gelangen, weil sie als Werbemittel für den Verein genutzt werden.

Die Verordnung gilt für alle Dateisysteme. Es ist daher völlig egal, ob Vereine ihre

Mitgliederdaten elektronisch oder z.B. auf Karteikarten/Listen führen.

Panik ist nicht angebracht, aber es besteht akuter Handlungsbedarf zur Umsetzung

der Anforderungen der EU DSG VO.

Bei Nichteinhaltung dieser Anforderungen drohen nämlich empfindliche Bußgelder.

Was ist zu tun?

Verschaffen Sie sich einen Überblick, auf welchen Wegen Daten zu Ihnen kommen,

welche Daten verarbeitet werden, was passiert nach Erhalt mit diesen Daten, wer hat

2

Zugriff auf diese Daten und vor allem auch, was überhaupt an Daten / Altdaten ist an

welchen Orten vorhanden? Wo liegen noch alte Unterlagen? Was bewahren

Obleute, Prüfungsleiter und andere Mitglieder für den Verein auf. Brauchen diese

Personen tatsächlich diese Daten? Das ist Aufgabe des Vorsitzenden bzw. des

Vorstands.

Alle diese Angaben werden sodann in dem von der EU DSG VO geforderte

„Verzeichnis der Verarbeitungstätigkeiten“ zusammengefasst.

In dieses Verzeichnis gehören auch alle technisch-organisatorischen Maßnahmen

(TOMs), die gewährleisten, dass die im Verein befindlichen Daten sicher sind, also

vor dem Zugriff Unberechtigter geschützt sind, nicht verloren gehen,

wiederherstellbar sind etc.

Muss ein Datenschutzbeauftragter bestellt werden?

Ja, wenn mindestens zehn Personen irgendwie automatisiert Daten verarbeiten (also

mit PC, Laptop, Smartphone usw.), besteht die Pflicht, einen

Datenschutzbeauftragten zu benennen. Je nach Vorstandsgröße inklusive Obleuten

trifft dies häufig sogar schon auf eher kleine Vereine zu.

Wichtig !!! Auch wer keinen Datenschutzbeauftragten benennen muss, muss sich

trotzdem um den Datenschutz kümmern, braucht also einen Ansprechpartner für den

Bereich Datenschutz, der sowohl im Impressum als auch in der

Datenschutzerklärung zu benennen ist.

Was ist laut EU DSG VO mit Verarbeitung von Daten gemeint?

Verarbeitung ist das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen

oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung,

Verbreiten, Abgleichen, Verknüpfen, Beschränken, Löschen oder Vernichten von

personenbezogenen Daten.

Unter die Nutzung fällt zum Beispiel die Datenweitergabe innerhalb des Vereins im

Vorstand oder bei externer Verwaltung der Vereinsdaten. In letzterem Fall ist ein sog.

Auftragsverarbeitervertrag zu schließen. Generell gilt, dass jeder Funktionsträger im

Verein nur entsprechend seiner Aufgaben auf die erforderlichen Mitgliederdaten

Zugriff haben darf.

Was bedeuten Informations- und Auskunftsrecht laut EU DSG VO?

Die EU DSG VO stärkt die Betroffenenrechte. Betroffene können Auskunft darüber

verlangen, welche Daten zu welchen Zwecken gespeichert werden. Diese Auskunft

muss kurzfristig möglich sein. Sie können zudem verlangen, dass die Daten nach

Beendigung der Mitgliedschaft gelöscht werden, soweit keine gesetzlichen

Regelungen entgegenstehen. Dies muss dokumentiert werden.

3

Was passiert bei einer Verletzung personenbezogener Daten?

Der Schutz personenbezogener Daten kann auf vielfältige Weise verletzt werden.

Zum Beispiel durch den Verlust einer Mitgliederliste, erfolgreiche Hacking-Angriffe,

Verschicken von Mitteilungen über einen offenen E-Mail-Verteiler oder der Verlust

eines Laptops oder Smartphones mit Mitgliederdaten.

In solchen Fällen ist unverzüglich (lt Verordnung innerhalb von 72 Stunden) die

zuständige Datenschutzaufsichtsbehörde (das ist die im jeweiligen Bundesland

zuständige Behörde für den Datenschutz) zu informieren. Mit der Behörde kann dann

geklärt werden, ob und in welchem Umfang die Vereinsmitglieder zu informieren

sind.

Webseiten – Risiko !!!

Am dringlichsten ist die Überprüfung der Webseiten, da Abmahnanwälte und

Abmahnvereine schon in den Startlöchern stehen und prüfen, ob die Webseiten EU

konform sind.

Ist dies nicht der Fall, weil es keine Datenschutzerklärung auf der Webseite gibt oder

diese unvollständig ist, drohen kostenintensive Abmahnungen.

Neben dem Impressum muss zwingend eine Datenschutzerklärung vorhanden sein.

Der Nutzer hat Anspruch auf klare und leicht verständliche Informationen darüber,

wer seine Daten zu welchem Zweck wie und wo verarbeitet.

Die Datenschutzerklärung muss individuell gestaltet werden, je nachdem ob und wie

personenbezogene Daten erhoben werden. Auch auf den Einsatz externer Dienste,

wie zum Beispiel Facebook und Google, muss hingewiesen werden, sofern diese

durch den Aufruf der Website personenbezogene Daten erheben. Dies ist der Fall

bei Google-Analytics, google-maps, google-Schriften u.a. Bitte klären Sie das mit

Ihrem IT-Dienstleister.

Falls die Umsetzung der EU DSG VO bis zum 24. Mai 2018, 23.59 Uhr nicht möglich

sein sollte (dazu gehören auch die Einwilligungserklärungen der Personen, deren

Daten auf der Website veröffentlicht sind), ist angeraten, Teile der Webseite mit

personenbezogenen Daten oder sogar die komplette Webseite offline zu stellen.

Verantwortliche Stelle für die Umsetzung der EU DSG VO ist der

Vereinsvorstand.

Datenschutzerklärung

Zugriffsdaten werden nahezu bei jedem Webseitenbesuch erhoben.

4

Welche das sind, erfragen Sie am besten bei Ihrer IT-Abteilung oder Ihrem ITDienstleister,

der Ihren Webserver hostet. Anschließend passen Sie ggf. die

Informationen zu den die erhobenen Daten im Text an.

Für jeden Tracker, jedes Plug-In oder Tool, das in irgendeiner Weise mit

personenbezogenen Daten in Verbindung steht, ist eine entsprechende

Datenschutzerklärung zu formulieren!

Die Datenschutzerklärung muss über einen Link zu erreichen sein und sollte schon

über den ersten Screen – also den Webseitenbereich, der beim Laden zuerst zu

sehen ist – erkennbar und erreichbar sein.

Setzen Sie Cookies ein? Analyse-Tools (Google-Analytics) ? Plug-Ins? Tracker?

Google-Map? Zu jedem einzelnen Tool muss eine entsprechende

Datenschutzerklärung formuliert werden. Zudem müssen ggf. noch besondere

Hinweise vor der Nutzung des Tools durch den Webseitenbesucher installiert

werden.

In der Datenschutzerklärung ist ferner der Verantwortliche für den Datenschutz mit

Kontaktdaten anzugeben.

Der Hinweis auf die Aufsichtsbehörde sollte ebenfalls nicht fehlen.

Die Datenschutzerklärung darf nicht Teil des Impressums sein. Es muss zwingend

ein eigener Link gesetzt werden.

Kontaktformular

Bei Kontaktmöglichkeiten auf der Webseite ist diese zwingend mit einem

Sicherheitszertifikat zu versehen (SSL-Verschlüsselung).

Der Benutzer muss an dieser Stelle in verständlicher Form über Art, Zweck und

Umfang der Erhebung und Nutzung der personenbezogenen Daten informiert

werden, weil er nur so weiß, worin er einwilligt. Zugleich muss er über das

Widerrufsrecht für die erteilte Einwilligung aufgeklärt werden, das er jederzeit

ausüben kann. Es muss ein Hinweis auf die Datenschutzerklärung erfolgen, so dass

der Benutzer mit einem Klick diese Erklärung zur Kenntnis nehmen kann.

Das Kontaktformular ist so zu überarbeiten, dass der Benutzer nach der Information

über die Eingabe der Daten und dem Hinweis auf die Datenschutzerklärung aktiv in

einer Checkbox die Kenntnisnahme und seine Einwilligung bestätigen muss.

Idealerweise wird diese Einwilligung zu späteren Beweiszwecken archiviert. Wird

keine Einwilligung erteilt, darf der Benutzer das Kontaktformular nicht absenden

können.

Die Verbindung des Kontaktformulars mit z.B. einer Newsletterbestellung ist

unzulässig.

Es gilt der Grundsatz der Datensparsamkeit. Für die Beantwortung einer

Kontaktanfrage reicht der Name und eine gültige E-Mail-Adresse aus. Diese Felder

sollten als Pflichtfelder gekennzeichnet sein.

5

Werden mehr Informationen von Benutzern verlangt (Anschrift, Telefonnummer etc),

muss dies gekennzeichnet sein, z.B. mit einem Asterisk (*) und einer Begründung für

die Abfrage versehen werden.

Der Benutzer kann so selbst entscheiden, ob er weitere Daten als die Pflichtangaben

angeben möchte.

Sie als Verwender des Kontaktformulars müssen im Streitfall rechtssicher begründen

können, warum z.B. die Telefonnummer ein Pflichtfeld sein soll. Bei Unsicherheiten

holen Sie sich bitte qualifizierten Rechtsrat zu seiner Pflichtfeldabfrage ein oder

beschränken Sie das Kontaktformular auf Abfragen zu Namen und E-Mail-Adresse.

Achtung: In Artikel 7 EU DSG VO ist nun ein einheitliches Mindestalter für die

Einwilligung festgelegt auf 16 Jahre. Einwilligungen von Minderjährigen unter 16

Jahren (oder unter 13 Jahren, wenn das nationale Recht eine entsprechende

Bestimmung enthält) sind nach der DSGVO nur wirksam, wenn die Eltern damit

einverstanden sind.

Webseiten-Betreiber müssen also das Alter eines Nutzers verifizieren, um

rechtssicher festzustellen, ob die jeweiligen Nutzer oder deren Eltern zur

Genehmigung der Datenverarbeitung berechtigt sind.

Unklar ist bis heute, wie dies im Einzelnen gestaltet werden soll.

Cookies

Sofern Cookies auf der Webseite verwendet werden, ist ein Hinweis unbedingt

erforderlich.

Viele der heute eingesetzten Content Management Systeme (WordPress, TYPO3,

Drupal) nutzen standardmäßig Cookies ein, um den Nutzer über den Auftritt zu

„identifizieren“.

Daher ist der pauschale Einsatz eines Cookie-Banners zu empfehlen. Dieser sollte

deutlich beim ersten Aufruf der Webseite zu sehen sein.

Social Media auf der Website

Bei dem Einsatz von Social Media (z. B. Facebook Timeline, Twitter Feed,

LikeButtons) ist sicherzustellen, dass keine Daten des Webseitenbesuchers ohne

dessen Zustimmung erhoben werden.

Auf die Verwendung von Social Media Angeboten und die Art des verwendeten

Social Plugins (z. B. Like Button, Share Button, Custom Audiences etc.) ist in der

Datenschutzerklärung ein entsprechender Passus zu formulieren. Gleichzeitig muss

auf die Widerrufmöglichkeiten hingewiesen werden.

Gegebenenfalls ist sogar die „aktive“ Einwilligung des Besuchers notwendig.

Sind solche Tools nicht zwingend erforderlich, ist angeraten, deren Nutzung

unverzüglich einzustellen.

6

Veröffentlichungen im Internet und von Fotos

Jede Veröffentlichung von personenbezogenen Daten im Internet durch einen Verein

ist grundsätzlich erstmal unzulässig – es sei denn, der Betroffene hat sich

ausdrücklich damit einverstanden erklärt.

Soweit irgend möglich, sollten daher Informationen zu Vereinsveranstaltungen wie

Prüfungen, Zuchtschauen, Ausstellungen etc. nur in anonymisierter Form erfolgen,

d.h. ohne Benennung der beteiligten Personen, es sei denn, Ihnen liegt deren

Einverständniserklärung schriftlich vor.

Videos und Fotos dürfen nicht ohne ausdrückliche Erlaubnis des Betroffenen

veröffentlicht werden, da ansonsten ein Eingriff in dessen Persönlichkeitsrecht

vorliegt.

Grundregeln für den Umgang mit personenbezogenen Daten im

Verein

Verwenden Sie personenbezogene Daten nur für vereinsinterne Zwecke

gemäß der Vereinssatzung.

Geben Sie die Daten nicht an Dritte weiter – es sei denn, Sie haben die

schriftliche Einwilligung der betroffenen Person.

Beschränken Sie den internen Zugriff auf personenbezogene Daten.

Halten Sie die IT aktuell und orientieren Sie sich an den üblichen

Sicherheitsstandards (Firewall, Virenscanner, passwortgeschützter Zugang,

evtl. Festplattenverschlüsselung).

Geben Sie keine Paßwörter weiter!!!

Führen Sie regelmäßig Datensicherungen durch und prüfen Sie, ob die

Backups reproduzierbar sind.

Verwahren Sie Datensicherungen getrennt, für Unberechtigte unzugänglich

und feuersicher auf.

Verwahren Sie personenbezogene Daten nicht an öffentlich zugänglichen

Stellen, z.B. im Vereinsheim, auf.

Weitere Anforderungen

Bei Dienstleistern in Sachen Datenverarbeitung sollten Sie auf deutsche oder EUweite

Anbieter setzen und auf einen konkreten Hinweis zur Einhaltung der DSGVO

im Vertrag achten.

Whats-App, Messenger oder Dropbox sind beispielsweise US-amerikanische Firmen.

Werden Mitgliederdaten hierüber ausgetauscht, gilt das als grundsätzlich nicht

erlaubte "Übermittlung an Drittstaaten", sofern keine explizite Einwilligung der

betroffenen Person vorliegt.

Eine solide Alternative für Whats-App ist z.B. Threema.

7

Herzstück von Threema sind die Sicherheits-Features, die laut Hersteller für

abhörsichere Kommunikation sorgen. Auch das unerwünschte nach außen dringen

der eigenen Kontaktdaten – oder derer von Chat-Partnern – soll effektiv verhindert

werden. Die Verschlüsselung findet dabei komplett asynchron auf dem eigenen

Gerät statt. Das gilt auch für Gruppen-Chats, die ebenfalls durch die Ende-zu-Ende-

Verschlüsselung gesichert werden. Darüber hinaus sind nicht nur Textnachrichten

gesichert – auch alle anderen Medien, die sich mit Threema versenden lassen,

werden verschlüsselt – etwa Bilder, Videos, Sprachnachrichten oder Kontakte selbst.

Sorgen Sie dafür, dass Sie von Ihren Auftragsverarbeitern (Hoster, Cloud-Dienste,

externe Dienstleister) Bestätigungen zur Einhaltung der EU DSG VO vorliegen

haben.

Holen Sie von allen, die Vereinsdaten verarbeiten, Verschwiegenheitserklärungen

ein und informieren Sie sie über die geltende Rechtslage.

Bitte stellen Sie sich bei der Verarbeitung von Daten immer die folgenden

Fragen:

Datensparsamkeit: Ist die Vorhaltung von Daten und deren Verarbeitung

tatsächlich notwendig?

Datenrichtigkeit: Ist gewährleistet, dass Mitgliederdaten stets auf dem

neuesten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden?

Rechtmäßigkeit: Ist die Datenverarbeitung gem. Art.6 Abs.1 DSGVO rechtlich

zulässig? Dient die Datenverarbeitung der Erfüllung des Vereinszwecks? Gibt

es Einwilligungen der Betroffenen? Lässt sich die Datenverarbeitung durch

eigene „berechtigte Interessen“ oder durch „berechtigte Interessen“ der

Mitglieder legitimieren?

Löschfristen: Werden Daten gelöscht, sobald sie nicht mehr benötigt werden?

Gibt es eine Löschroutine, die eine rechtzeitige Löschung gewährleistet?

Zugriffsrechte: Haben Vorstandsmitglieder ausschließlich Zugriff auf Daten,

die sie für ihre jeweiligen Aufgaben benötigen?

Zugangskontrolle: Sind die Rechner im Verein ausreichend gegen den

Zugang durch Unbefugte geschützt?

Schutz gegen Hacker und Malware: Gibt es eine Firewall? Sind aktuelle

Virenscanner installiert?

Abschließender Hinweis:

Diese Ausführungen sollen einen Überblick über die Neuerungen der EU DSG VO

geben. Sie ersetzen keine qualifizierte, individuelle Beratung durch Rechtsanwälte

oder Datenschutzbeauftragte.

Brigitte Vosen

Rechtsanwältin, Mediatorin und zert. Datenschutzbeauftragte