Datenschutz im Sportverein – Änderungen durch die neue EU-Verordnung
Zum 25. Mai tritt die neue EU-Datenschutz-Grundverordnung in Kraft. In diesem Zusammenhang wird auch das deutsche Bundesdatenschutzgesetz novelliert. Die Neuregelung des Datenschutzes betrifft auch die Sportvereine und -verbände und bringt einige Änderungen mit sich. Bisher haben lediglich 6,5% der in Deutschland organisierten Vereine einen ausreichenden Umgang mit dem Thema Datenschutz. Wir möchten Euch hier erste Hinweise und Ratschläge zur Handhabung der Problematik geben.
Grundlegend muss beim Thema Datenschutz zum einen der Umgang mit den personenbezogenen Daten (Name, Geburtsdatum, Familienstand, Fotos, etc.) der Vereinsmitglieder betrachtet werden – also was muss berücksichtigt werden, wenn man diese Daten erfasst, verarbeitet und speichert – und zum anderen ist die Datensicherheit relevant, also der Schutz vor ungewolltem Datenverlust, z.B. durch einen Hackerangriff oder Diebstahl des vereinseigenen Laptops.
Welche Änderungen bringt das neue Gesetz mit sich?
Die Verarbeitung der Daten der Mitglieder ist grundsätzlich erst einmal verboten, es sei denn es liegt eine ausdrückliche Einwilligung des Mitglieds vor. Damit soll die EU-Verordnung personenbezogene Daten besser schützen. Der Verein sollte seinen Mitgliedern auf Anfrage darlegen können, wie er die Daten seiner Mitglieder verarbeitet. Dazu sollte er ein Verzeichnis der Verarbeitungsaktivitäten anlegen. Der Verein ist auch in der Verantwortung, seine Mitglieder bei Datenpannen binnen 72 Stunden zu benachrichtigen. Künftig ist bei Anschuldigungen, dass kein korrekter Umgang mit dem Thema Datenschutz in einem Verein vorliegt, dieser selbst in der Pflicht, nachzuweisen, dass dem nicht so ist. Außerdem erhöhen sich mögliche Bußgelder für Nichteinhaltung der Gesetze.
Welche Maßnahmen sollte der Verein ergreifen?
Eine Verankerung des Themas in der Satzung als Ermächtigungsgrundlage sollten Vereine bei der nächsten Satzungsänderung angehen, Detailregelungen können in einer zusätzlichen Datenschutzordnung getroffen werden. Vorstände können einen Datenschutzbeauftragten benennen und diese Aufgabe delegieren. Pflicht wird dies jedoch erst, wenn regelmäßig mehr als 10 Personen im Verein mit den Mitgliederdaten umgehen. Dieser wird vom Vorstand benannt, die Haftung verbleibt jedoch beim Vorstand nach §26 BGB. Der Datenschutzbeauftragte muss auch dem Landesdatenschutzbeauftragten gemeldet werden.
Mit dem Aufnahmeantrag erkennen neue Mitglieder die Satzung des Vereins an und mit einer zusätzlichen Einwilligungserklärung stimmen sie auch der Verarbeitung der personenbezogenen Daten zu. Dies sollte jedoch separat mit einer Extra-Unterschrift erfolgen.
Bei Nichtmitgliedern, die an Veranstaltungen, die der Verein ausrichtet teilnehmen, muss eine Einwilligung eingeholt werden, falls man personenbezogene Daten erfasst oder Bildmaterial weiterverarbeiten will. Falls es sich nur um den Hinweis zur Nutzung von Bildmaterial für die Öffentlichkeitsarbeit des Vereins handelt, kann dieser auch auf der Ausschreibung vermerkt sein. Wenn von den Sportlern jedoch sowieso personenbezogene Daten erhoben werden, sollte auch eine Einwilligungserklärung unterschrieben werden, um sich abzusichern.
Grundsätzlich sollten regelmäßig Sicherungskopien der Daten gemacht werden und dies an einem sicheren Ort verwahrt werden. Im Reha- oder Leistungssport werden mitunter Gesundheitsdaten erhoben. Diese sind besonders schützenswert. Rehasportformulare oder Anamnesedaten dürfen nicht für Unbefugte frei zugänglich gelagert werden. Regelmäßig benötigte Unterschriftenlisten sollten von diesen Daten separiert werden.
Generell müssen alle Mitarbeiter/ Trainer /Übungsleiter darüber belehrt werden, dass die Mitgliederdaten dem Datengeheimnis unterliegen und nicht weitergegeben werden dürfen, es sei denn, es liegt eine Einwilligung des Betroffenen vor. Bei Minderjährigen muss die Zustimmung beider Elternteile vorliegen, damit eine solche Einwilligung wirksam ist. Darauf muss auch geachtet werden bei der Erstellung von Mailverteilern, Facebook- oder WhatsApp-Gruppen.
Weitere Beispiele aus dem Vereinsleben, bei denen auf Datenschutz zu achten ist, sind:
- Bekanntgabe von Daten in der Vereinszeitung
- Datenübermittlung an Fachverbände
- E-Mail-Versand an große Verteiler (E-Mail-Adressen müssen im bcc stehen)
- „Big-Data“ im Leistungssport
- Tracking-Verfahren auf der Homepage
- Veröffentlichung von Ranglisten (kein Verstoß gegen Datenschutz, jedoch Beschränkung auf Name, Verein, Ergebnis, Platzierung und Information der Sportler)
- Veröffentlichung von Kontaktdaten