Interview

Wie die DSGVO Vereine beeinträchtigt

Nina Lipp

Von Nina Lipp

So, 27. Mai 2018 um 14:19 Uhr

Südwest

Der Sonntag Einen " Flächenbrand für Vereine" nennt Hans-Jürgen Schwarz, Präsident des Bundesverbands der Vereine und des Ehrenamtes, die Datenschutzgrundverordnung, die seit Freitag gilt.

Seit Freitag gilt in der gesamten EU die neue Datenschutzgrundverordnung (DSGVO). Sie soll Verbraucher unter anderem vor der Datensammelei großer Internetkonzerne schützen. Doch auch Vereine sind betroffen, die das neue Gesetz vor scheinbar nicht bewältigbare Herausforderungen stellt, so Hans-Jürgen Schwarz, der Präsident des Bundesverbands der Vereine und des Ehrenamtes.

Der Sonntag: Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO), die seit Freitag gilt, wird das europäische Datenschutzrecht vereinheitlicht. Betroffen sind alle Organisationen, die personenbezogene Daten verarbeiten oder speichern. Praktisch heißt das: Google, Facebook und Taubenzuchtverein müssen sich gleichermaßen den neuen Anforderungen stellen.

Schwarz: Das stimmt. Die DSGVO unterscheidet nicht zwischen Unternehmen, Freiberuflern, Handwerkern und Vereinen. Und seit Freitag können Verstöße zu empfindlichen Buß- oder Ordnungsgeldstrafen führen. Bei den Vereinen ist derzeit die Verunsicherung riesig – das bekommen wir als Bundesverband der Vereine und des Ehrenamtes (BVEE) besonders zu spüren. Wir verstehen uns als Ansprechpartner für alle 620 000 eingetragenen Vereine in Deutschland mit ihren 50 Millionen Mitgliedern. In der Politik hat bis heute kaum einer begriffen, was die neue Verordnung für die Vereine, für das Ehrenamt in Deutschland bedeutet. In den vergangenen Wochen hat sich über die deutsche Vereinslandschaft ein Flächenbrand ausgebreitet.

Der Sonntag: Wer in den Vereinen ist für den Datenschutz verantwortlich?

Schwarz: Der Vorstand haftet für Schadensersatzansprüche bei unzulässiger oder unrichtiger Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten.

Der Sonntag: Die Vorsitzenden von Vereinen sind genauso wie die Vereinsmitglieder ehrenamtlich Engagierte. Viele empfinden es als Zumutung, sich in die gesetzlichen Auflagen einzuarbeiten, um sie zu erfüllen?

Schwarz: Die Wahrnehmung ist definitiv so. Wir ertrinken aktuell in der Flut der Anfragen, die wenigsten Vereine und Ehrenamtliche kennen ihre Pflichten innerhalb der Datenschutzgesetze. Der BVEE leistet da sehr viel Aufklärungsarbeit – über die FAQs auf unserer Website, in Form von Seminaren und Workshops, auch bilden wir Datenschutzbeauftragte für Vereine aus, die Vereine brauchen, wenn mindestens 10 Personen ständig mit der automatisierten Datenverarbeitung zu tun haben. Was wir nicht leisten können, ist eine individuelle Rechtsberatung.

Der Sonntag: Eine erste Recherche hat ergeben: Es ist kein einziger Fall bekannt, wo ein Verein wegen einer Datenschutzverletzung angeklagt wurde.

Schwarz: Der Datenschutz in Vereinen wird schon seit Jahrzehnten betrieben, das Bundesdatenschutzgesetz gilt ja schon seit Anfang der 80-er Jahre vollumfänglich auch für sie. Allerdings hat sich bisher keiner um die Einhaltung der Richtlinien gekümmert – und wo kein Kläger, da kein Richter. Das wird sich jetzt aber schlagartig ändern. Viele Anwälte stehen in den Startlöchern, die gezielt danach suchen, Fehler bei der Umsetzung des DSGVO anzumahnen – nicht wenige befürchten eine regelrechte Abmahnwelle von Kanzleien.

Der Sonntag: Was besagen die neuen Richtlinien?

Schwarz: Jeder Verein speichert personenbezogene Daten, mindestens und hauptsächlich die seiner Mitglieder. Nun sollte genau dokumentiert werden, welche Daten erhoben werden und wie sie genutzt werden. An unbefugte Dritte dürfen die Daten nicht gelangen. Für den Pressewart eines Fußballvereins zum Beispiel bedeutet das: Die Daten der Sportler wie Name und Alter dürfen nicht ohne Rechstgrundlage an einen übergeordneten Verband weitergegeben werden. Prinzipiell raten wir zur Datensparsamkeit: Nur solche Daten sollten gespeichert werden, die für das Vereinsleben tatsächlich nötig sind. Name und Anschrift der Vereinsmitglieder also.

Der Sonntag: Was ist denn zu tun?

Schwarz: Jeder Verein betreibt heute ja eine Webseite. Dort sollten unbedingt die Datenschutz-Erklärung überprüft und gegebenenfalls ergänzt werden. Häufig speichert die Server-Software der Webseite im Hintergrund Daten über die Besucher, was ebenfalls problematisch sein kann. Hier müssen die Verantwortlichen genau prüfen, welche Daten in den so genannten Log-Dateien protokolliert werden. Waren bisher nur wirtschaftliche Schäden im Datenschutz einklagbar, sind ab sofort auch immaterielle Schaden einklagbar.

Der Sonntag: Können Sie das anhand eines Beispiels verdeutlichen?

Schwarz: Hat ein Verein ihre Kontodaten nicht ausreichend geschützt, so dass sie gehackt werden und Geld illegal abgebucht werden konnte, ist ein materieller Schaden entstanden, den der Verein ersetzen musste. Nun ist auch immaterieller Schaden einklagbar, zum Beispiel, wenn sich jemand durch die widerrechtliche Nutzung seiner personengebundenen Daten beeinträchtigt fühlt, kann er auf Schadenersatz klagen. Und das kann schon der Fall sein, wenn ein Foto eines Sportfestes oder Wettkampfes veröffentlicht wurde, auf dem derjenige im Hintergrund zu sehen ist.

Der Sonntag: Wie fallen die Strafen aus?

Schwarz: Man muss die Formvorschriften mit allen Konsequenzen beachten als Verein, sonst handelt man schon ordnungswidrig und kann mit teilweise extremen Bußgeldern belegt werden. Wer die Vorgaben nicht erfüllt, dem drohen Sanktionen. Bei Verstößen ermöglicht das neue Gesetz Racheaktionen ehemaliger Vereinsmitglieder und Abmahnwellen geschäftstüchtiger Anwälte.

Der Sonntag: Was ist also zu tun?

Schwarz: Ich möchte betonen, dass jeder Verein aktiv werden muss. Nichts zu machen aus Angst, etwas falsch zu machen, ist auch schon strafbar. Der erste Schritt zur Umsetzung der neuen Bestimmungen ist eine Bestandsaufnahme aktueller Prozesse der Datenverarbeitung: Hilfreich sein können Verarbeitungsverzeichnisse, die dokumentieren, wo und warum Daten erhoben werden. Wer in einem Verein Verantwortung für personenbezogene Daten trägt, hat mit den "Toms" zu tun, den technischen organisatorischen Maßnahmen, die eingehalten werden müssen, also: Wie sichere ich den Zugang zu meinen Daten, wie mache ich Datensicherung, wie gewährleiste ich die Verfügbarkeit der Daten. Neu ist die Pflicht zur Meldung von Datenpannen: Kommt zum Beispiel ein USB-Stick mit unverschlüsselten Mitgliederdaten abhanden, muss der Verein das innerhalb von 72 Stunden der jeweils zuständigen Datenschutzbehörde melden.

Der Sonntag: Sollte man sich für die Mitgliederverwaltung eine Software anschaffen oder reicht es, ein vernünftiges Ablagesystem zu dokumentieren?

Schwarz: Oft ist von Datenschutz-Management-Systemen die Rede. Diese sind aber nicht obligatorisch. Denn es geht darum, dass und nicht wie die einzelnen Punkte, die die DSGVO fordert, tatsächlich umgesetzt werden. Personenbezogene Daten dürfen nicht ohne gesetzliche Grundlage erhoben oder genutzt werden. Im Verein sind das die Satzungen. Dort sollten die Datenschutzregelungen aufgenommen oder in einem gesonderten Regelwerk wie einer Datenschutzrichtlinie festgehalten werden.

Der Sonntag: Welche Strafen drohen?

Schwarz: Die Bußgelder sind drastisch, sie gehen bis zu 4 Prozent des Jahresumsatzes eines Unternehmens oder bis zu 20 Millionen Euro, je nachdem, welcher Betrag der höhere ist. Und die Vereine sind im Datenschutzrecht genauso gleich zu behandeln wie die Unternehmen. Da gibt es keinerlei Unterschied, ob Google und Co oder ein Dax-Konzern – die haben die gleichen Vorschriften.
Termin

Vortrag von Hans-Jürgen Schwarz am Dienstag, 29.5. Uhr, Quellenhalle Schlatt in Bad Krozingen. Die Anmeldefrist ist bereits abgelaufen. Weitere Infos auf der Seite des Bundesverband der Vereine und des Ehrenamtes (BVVE): bundesverband.bvve.de; Eine Checkliste für Vereine und Verbände (Stand März 2018) auf http://www.wlsb.de (unter "Vereinsmanagement", dann "Datenschutz")