Meckenheim. In den letzten Wochen häuften sich die Briefe und E-Mails von den verschiedensten Unternehmen, fast alle zum Thema Datenschutz. Am 25. Mai tritt die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Was dies für den Verein bedeutet und was in den letzten Monaten alles unternommen wurde, wird nachfolgend dargestellt.
Bei all den Vorteilen, die ein gemeinnütziger Verein genießt, im Bereich des Datenschutzrechts erfährt dieser keine bevorzugte Behandlung. Auch für ihn gelten die Datenschutzgesetze, insbesondere ab dem 25. Mai die EU Datenschutzgrundverordnung (EU-DSGVO) und das dann ebenfalls neue Bundesdatenschutzgesetz (BDSG). Mit all den Auflagen, die auch Großkonzerne wie Facebook, Google oder Amazon zu erfüllen haben. Der wesentliche Unterschied, diese Unternehmen können es sich leisten, Abteilungen mit einer Vielzahl von Spezialisten zu beschäftigen.
Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder, daneben aber auch Spender, Besucher der Website, Nicht-Mitglieder, die an Kursen teilnehmen oder zum Schnuppern am Sportangebot teilnehmen. Typischerweise erhoben werden Name und Anschrift, Geburtsdatum, Kontaktdaten, Eintrittsdatum, Bankverbindung und Ähnliches. All das sind personenbezogene Daten. Die Art der Erfassung (digital oder auf Papier) spielt dabei überhaupt keine Rolle.
Der Datenschutz bezieht sich auf das Erheben, Verarbeiten und Nutzen von Daten. In vielen Fällen müssen die Betroffenen die Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Das ist nicht erforderlich, wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden müssen. Bei Vereinen ist diese vertragliche Beziehung die Mitgliedschaft.
Das Gleiche gilt, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Das gilt zum Beispiel für Spender. Hier müssen die Spendenbescheinigungen mit ihren Daten zehn Jahre aufbewahrt werden, dies fordert die Abgabenordnung beziehungsweis das Handelsgesetzbuch. Verantwortlich für den zum Schutz personenbezogener Daten ist der Vorstand. Darüber hinaus hat der Verein seit Jahren einen Datenschutzbeauftragten, der zur Erfüllung dieser Aufgabe über die erforderliche Fachkunde und Zuverlässigkeit verfügt.
Was wurde alles getan?
Im ersten Schritt wurden alle Prozesse durchleuchtet, in denen personenbezogene Daten erhoben und verarbeitet werden. Dies mündete in der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, ließ aber auch die Prozesse nochmals hinterfragen und verbessern. Auch ist dies die Basis zur Durchführung der gegebenenfalls notwendigen Datenschutz-Folgenabschätzungen.
Dabei mussten auch neue Prozesse etabliert werden, zum Beispiel, um einem Auskunftsgesuchen oder Meldepflichten nachzukommen.
Alle Mitarbeiter des Vereins (im Sinne des Datenschutzes; sprich Übungsleiter, Gruppenhelfer, Ärzte, etc. und natürlich auch der Vorstand), wurden auf das Datengeheimnis gemäß der DSGVO verpflichtet. Die Übungsleiter, Ärzte und Gruppenhelfer im Rehabilitationssport werden darüber hinaus auch auf das Sozialgeheimnis (gemäß Sozialgesetzbuch) verpflichtet, sowie die IT Administratoren auch auf das Fernmeldegeheimnis.
Im gleichen Atemzug wurden die Mitarbeiter auch über ihre eigenen Rechte als Mitarbeiter des Vereins informiert. In den nächsten Monaten werden auch noch Weiterbildungen für alle Mitarbeiter zum Thema Datenschutz durchgeführt. Aber auch der generelle Umgang mit personenbezogenen Daten wurde geregelt. Der Vorstand hat hierzu eine Datenschutzordnung inklusive der technisch organisatorischen Maßnahmen (TOMs) verabschiedet und intern veröffentlicht. Auch diese ist nun für alle Mitarbeiter bindend.
Ein wesentlicher Aspekt der neuen Gesetzgebung ist es, mehr Transparenz in den Umgang mit personenbezogenen Daten zu bringen. Aus diesem Grund legt das Gesetz Informationspflichten auf. Unter diesem Aspekt wurden alle Formulare und die Datenschutzerklärung auf der Website überarbeitet, um möglichst umfangreich und gemäß den Erfordernissen der DSGVO zu informieren.
Einen weiteren Schwerpunkt lag auf der IT und Ausstattung, in dem die Sicherheitsmechanismen geprüft wurden. Hierzu mussten die vertraglichen Beziehungen mit externen Anbietern angepasst werden.
Warum der ganze Aufwand?
Es wäre einfach zu antworten, „das Gesetz schreibt dies vor“ oder „die neuen Bußgelder im Extremfall von bis zu 40 Mio. Euro“. Natürlich werden bei Vereinen im Fall von Verstößen keine so dramatischen Beträge fällig, vier- bis fünfstellige Bußgelder sind aber jedoch denkbar. Nein, seit jeher legt der VFG Meckenheim Wert auf einen verantwortungsvollen Umgang mit personenbezogenen Daten, insbesondere da dies im Bereich Rehabilitationssport sogar Gesundheitsdaten unserer Mitglieder umfasst. Dies wurde, ohne gesetzliche Notwendigkeit, mit der Bestellung eines Datenschutzbeauftragten schon immer zum Ausdruck gebracht.