Datenschutz

Zur Datenschutzgrundverordnung

Ab dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung der Europäischen Union anzuwenden. „Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.“ (Wikipedia / April 2018)

Daraus ergibt sich zunächst, das von oberster Stelle der EU die längst überfälligen Maßnahmen im Bereich Datenschutz EU-weit geregelt wurden, was im Kern natürlich gerade für Verbraucher eine sehr positive Entwicklung darstellt. Wer aktuell die Medien in Zeiten von Big Data, Cambridge Analytica oder den Datenkraken Facebook und Google verfolgt, weiß auch, was einer der Hauptgründe für diese Verordnung ist. Man zielt darauf, Großkonzerne, die mit Nutzerdaten nicht sauber umgehen, auf Datenschutz zu verpflichten. Ein zweiter ganz entscheidender Grund waren EU-Länder, in denen bis dato Datenschutz gar kein Thema war, „miteinzufangen“.

In Deutschland war die Regelung durch das Bundesdatenschutzgesetzt auf einem vergleichsweise hohen Niveau. Und auch das höchste Prinzip des Datenschutzes hat sich eigentlich nicht geändert: Das sogenannte „Verbot mit Erlaubnisvorbehalt: Die Erhebung, Nutzung und Verarbeitung  personenbezogener Daten ist GRUNDSÄTZLICH VERBOTEN. Es sei denn eine Rechtsnorm erlaubt es oder der Betroffene hat eingewilligt.“

Wer dieses Prinzip verstanden hat und bei Erhebung von personenbezogenen Daten niemals die Perspektive des Nutzers, dessen Daten man erhebt, aus den Augen verliert, sich also fragt, ob der Nutzer in die Erhebung eingewilligt hat, der ist auf dem richtigen Weg. Denn mit der neuen Verordnung haben Bürger das erweiterte Recht zu erfahren, was mit ihren Daten passiert. Nutzer können jetzt auch verlangen, dass ihre Daten gelöscht werden oder dass sie sie bekommen. Transparenz und Sicherheit im Hinblick auf persönliche Daten, gerade in der digitalen Welt, ist also der Schwerpunkt.

Aber wie regelt man nun den Datenschutz auf Vereinsebene?

Der erste Schritt auf Vereins- oder Verbandsebene ist die Erledigung der anstehenden Hausaufgaben schriftlich festzuhalten, also eine (neudeutsch) Roadmap zu erstellen, in der man aufschreibt, welche Projekte bis wann in der Zukunft umgesetzt werden sollen? Die Aufsichtsbehörden wissen schließlich, dass in der deutschen Sportlandschaft ein enorm großer Teil ehrenamtlich gestemmt wird und werden sicherlich nicht zum 25.5.2018 Sportvereine auf Datenschutzvorkehrungen überprüfen. Dennoch sollte man sich jetzt unbedingt mit dem Thema beschäftigen und weitere Schritte bzw. wichtige Projekte, wie die Erstellung eines Verfahrensverzeichnisses, eine Überprüfung der Webseite oder die Datenschutzbestimmungen im Verein überprüfen und ggf in die Wege leiten. Das Verfahrensverzeichnis, das bereits im Bundesdatenschutzgesetz verankert war, ist ein wesentlicher Bestandteil der neuen DSGVO. Daraus geht hervor, dass jede staatliche oder private „Stelle“ (bsp. ein Verein), die personenbezogene Daten verarbeitet, den Umgang mit diesen Daten auch zu dokumentieren hat.
Wenn man sich vergegenwärtigt, welche Personen mit der Erhebung und Verwaltung von personenbezogenen Daten im Verein zu tun haben, wird man auch schnell zu dem Schluss kommen, dass die Bestellung eines Datenschutzbeauftragten bei größeren Verbänden und Vereinen unumgänglich ist. In dessen Aufgabengebiet würde unter anderem auch die „Schulung“ bzw. Sensibilisierung der Mitarbeiter für Datenschutz gehören. Unternehmen und Vereine haben einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen bzw. in der Regel mindestens 20 Personen beschäftigen, die ständig personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen. Übrigens zählen natürlich auch ehrenamtliche Mitarbeiter (oder Trainer) dazu.

Fragenkatalog für Vereine:

1. Liegt eine Einwilligung zur Datenerhebung, -verarbeitung und -nutzung von Mitgliederdaten vor?
Die Einwilligung für die Datenerhebung, -verarbeitung und -nutzung von personenbezogenen Mitgliederdaten zu Vereinszwecken sollte bereits im Mitgliedsantrag eingeholt werden, ohne diese ist eine Vereinsarbeit mit dem Mitglied datenschutzrechtlich nur sehr schwer praktizierbar.
Eine inhaltliche Trennung der Einwilligungen für die Datenerhebung, -verarbeitung und -nutzung zu Vereinszwecken (obligatorisch), für die Veröffentlichung von personenbezogenen Mitgliederdaten in Medien sowie für sonstige Nutzungen - z. B. die werbliche Kontaktaufnahme (beide freiwillig) ist sinnvoll.

2. Existiert eine Dokumentation der Datenverarbeitung im Verein?

a) Verarbeitungsverzeichnisse

  • zumeist formularmäßige Beschreibung der Datenverarbeitungsprozesse im Verein (z. B. Mitgliederverwaltung, Beitragszahlung, Entgeltabrechnung von Mitarbeitern, Meldungen zu Wettkämpfen, Leistungsüberprüfungen)
  • Verarbeitungsverzeichnisse überprüfen, anpassen oder erstellen
  • Fristen für die Aufbewahrungsdauer, Löschung und/oder Sperrung von Daten beachten

b) Auftragsdatenverarbeitung  
Ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle z. B. externe Entgeltabrechnung, Verarbeitung von Sportlerdaten durch LSB oder IAT, Wartung von IT-Systemen bzw. Software, mit denen personenbezogene Daten verarbeitet werden, durch Drittfirmen. Grundsätzlich gilt: Die Auftragsdatenverarbeitungsverträge überprüfen, anpassen oder abschließen

3. Ist ein Datenschutzbeauftragter nötig?
Wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personen-bezogener Daten beschäftigt sind (dazu zählen auch externe Dienstleister z. B. Steuerberater / Entgeltabrechnung)
ODER
wenn besondere personenbezogene Daten z. B. zur Gesundheit oder zur Bewertung / Beurteilung der Person erfasst werden (z. B. Laktosemessungen, Leistungsdiagnostikdaten)

4. Ist die Datensicherheit gewährleistet?

  • Sicherstellung das IT und Software immer auf dem aktuellen Stand ist
  • Einhaltung üblichen Sicherheitsstandards (z. B. Firewall, Virenscanner, passwortgeschützter Zugang, evtl. Festplattenverschlüsselung)
  • Beschränken des internen Zugriff auf personenbezogene Daten
  • Festlegung und Dokumentation der technischen und organisatorischen Maßnahmen (TOM) zur Gewährleistung der Datensicherheit
  • 5. Welche Auskunftspflichten gelten?
  • Es gelten mit der DSGVO umfangreiche Auskunftspflichten der verantwortlichen Stellen gegenüber Betroffenen
  • Sie können Bestätigung darüber verlangen, ob personenbezogene Daten verarbeitet werden
  • Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung (z. B. Verarbeitungszwecke, Datenkategorien, Empfänger bei Datenweitergabe, geplante Speicherdauer, Herkunft der Daten, Recht auf Berichtung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht, Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling)
  • Auskunft ist den Auskunftsersuchenden unverzüglich (binnen eines Monats) schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich und für diese kostenlos zu erteilen. Deshalb sollten Auskunftsverlangen vorbereitet werden


Man merkt, dass sich sehr leicht ein Rattenschwanz an verschiedenen Aufgaben für Vereine und Verbände auftut. Aber glücklicherweise muss das Rad nicht neu erfunden werden. Beispielsweise stellt das Vereinsmanagement Portal VIBSS eine Vielzahl an nützlichen Tipps, Handlungsinformationen und Handreichungen zur Verfügung: http://www.vibss.de/vereinsmanagement/recht/datenschutz/

Eine Investition von 180 Euro in das Datenschutzportal der Führungsakademie des Deutschen Olympischen Sportbundes würde sich auch lohnen, denn dort werden alle relevanten Themen mit den entsprechenden Tipps und Downloads für Sportvereine inklusive aktuellen Nachrichten dargestellt: http://www.fuehrungs-akademie.de/mitgliederservice/datenschutz-portal.html

Kontakt

Nach §4f und §4g des Bundesdatenschutzgesetzes sind nicht-öffentliche Stellen, wozu auch Vereine und Verbände zählen, dazu verpflichtet einen Datenschutzbeauftragen zu bestellen, wenn mehr als neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind oder Zugriff auf diese Daten haben. Der Deutsche Kanu-Verband hat für die Einhaltung des Datenschutzes innerhalb des Verbandes einen Datenschutzbeauftragten bestellt.

Bei Fragen bezüglich des Umgangs mit Ihren Daten, steht Ihnen der Datenschutzbeauftrage des DKV gerne als Ansprechpartner zur Verfügung. Wir bitten um Verständnis, dass der Datenschutzbeauftragte vorrangig für die Einhaltung des Datenschutzes im DKV zuständig ist und im Allgemeinen keine Datenschutzberatung einzelner Mitglieder stattfinden kann.

 

Datenschutzbeauftragter des Deutschen Kanu-Verbandes:

Oliver Strubel
E-Mail: oliver.strubel@kanu.de
Telefon: 0203 - 99 75 9 - 50


Hilfreiche Links

Anbei finden Sie DKV-Handreichungen, Formulare und externes Informationsmaterial zu dem Bereich Datenschutz.

 

 


 

Bildungsmöglichkeiten (eine Auswahl bei folgenden Institutionen)

Europäische Sportakademie Land Brandenburg

Führungsakademie DOSB in Köln

LSB Baden

LSB Bayern

LSB Bremen

LSB Hamburg

LSB Hessen:

LSB Niedersachsen

LSB NRW

LSB Mecklenburg-Vorpommern

LSB Saarland

LSB Sachsen

LSB Sachsen-Anhalt

LSB Schleswig-Holstein

LSB Württemberg