i

Zum 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung in Kraft getreten. In diesem Zusammenhang wurde auch das deutsche Bundesdatenschutzgesetz novelliert. Die Neuregelung des Datenschutzes betrifft auch die Sportvereine und -verbände und bringt einige Änderungen mit sich. Hier erhaltet ihr erste Hinweise und Ratschläge zur Handhabung der Problematik.

Grundlegend muss beim Thema Datenschutz zum einen der Umgang mit den personenbezogenen Daten (Name, Geburtsdatum, Familienstand, Fotos, etc.) der Vereinsmitglieder betrachtet werden – also was muss berücksichtigt werden, wenn man diese Daten erfasst, verarbeitet und speichert – und zum anderen ist die Datensicherheit relevant, also der Schutz vor ungewolltem Datenverlust, z.B. durch einen Hackerangriff oder Diebstahl des vereinseigenen Laptops.

Welche Änderungen bringt das neue Gesetz mit sich?

Die Verarbeitung der Daten der Mitglieder ist grundsätzlich erst einmal verboten, es sei denn es liegt eine ausdrückliche Einwilligung des Mitglieds vor. Damit soll die EU-Verordnung personenbezogene Daten besser schützen. Der Verein sollte seinen Mitgliedern auf Anfrage darlegen können, wie er die Daten seiner Mitglieder verarbeitet. Dazu sollte er ein Verzeichnis der Verarbeitungsaktivitäten anlegen. Der Verein ist auch in der Verantwortung, seine Mitglieder bei Datenpannen binnen 72 Stunden zu benachrichtigen. Künftig ist bei Anschuldigungen, dass kein korrekter Umgang mit dem Thema Datenschutz in einem Verein vorliegt, dieser selbst in der Pflicht, nachzuweisen, dass dem nicht so ist. Außerdem erhöhen sich mögliche Bußgelder für Nichteinhaltung der Gesetze.

Welche Maßnahmen sollte der Verein ergreifen?

Eine Verankerung des Themas in der Satzung als Ermächtigungsgrundlage sollten Vereine bei der nächsten Satzungsänderung angehen, Detailregelungen können in einer zusätzlichen Datenschutzordnung oder -richtlinie getroffen werden. Vorstände können einen Datenschutzbeauftragten benennen und diese Aufgabe delegieren. Pflicht wird dies jedoch erst, wenn regelmäßig mehr als 10 Personen im Verein in mehr als 50% ihrer Tätigkeit mit den Mitgliederdaten umgehen. Dieser wird vom Vorstand benannt, die Haftung verbleibt jedoch beim Vorstand nach §26 BGB. Der Datenschutzbeauftragte muss auch dem Landesdatenschutzbeauftragten gemeldet werden. Für die meisten Sportvereine ist dies nicht notwendig. Rehasportvereine, in den hochsensible Gesundheitsdaten verarbeitet werden, müssen jedoch einen Datenschutzbeauftragten benennen.

Mit dem Aufnahmeantrag erkennen neue Mitglieder die Satzung des Vereins an und mit einer zusätzlichen Einwilligungserklärung stimmen sie auch der Verarbeitung der personenbezogenen Daten zu. Dies sollte jedoch separat mit einer Extra-Unterschrift erfolgen.

Bei Nichtmitgliedern, die an Veranstaltungen, die der Verein ausrichtet teilnehmen, muss eine Einwilligung eingeholt werden, falls man personenbezogene Daten erfasst oder Bildmaterial weiterverarbeiten will. Falls es sich nur um den Hinweis zur Nutzung von Bildmaterial für die Öffentlichkeitsarbeit des Vereins handelt, kann dieser auch auf der Ausschreibung vermerkt sein. Wenn von den Sportlern jedoch sowieso personenbezogene Daten erhoben werden, sollte auch eine Einwilligungserklärung unterschrieben werden, um sich abzusichern.

Grundsätzlich sollten regelmäßig Sicherungskopien der Daten gemacht werden und dies an einem sicheren Ort verwahrt werden. Im Reha- oder Leistungssport werden mitunter Gesundheitsdaten erhoben. Diese sind besonders schützenswert. Rehasportformulare oder Anamnesedaten dürfen nicht für Unbefugte frei zugänglich gelagert werden. Regelmäßig benötigte Unterschriftenlisten sollten von diesen Daten separiert werden.

Generell müssen alle Mitarbeiter/ Trainer /Übungsleiter darüber belehrt werden, dass die Mitgliederdaten dem Datengeheimnis unterliegen und nicht weitergegeben werden dürfen, es sei denn, es liegt eine Einwilligung des Betroffenen vor. Bei Minderjährigen muss die Zustimmung beider Elternteile vorliegen, damit eine solche Einwilligung wirksam ist. Darauf muss auch geachtet werden bei der Erstellung von Mailverteilern, Facebook- oder WhatsApp-Gruppen.

Weitere Beispiele aus dem Vereinsleben, bei denen auf Datenschutz zu achten ist, sind:

  • Bekanntgabe von Daten in der Vereinszeitung
  • Datenübermittlung an Fachverbände
  • E-Mail-Versand an große Verteiler (E-Mail-Adressen müssen im bcc stehen)
  • „Big-Data“ im Leistungssport
  • Tracking-Verfahren/Impressum auf der Homepage
  • Veröffentlichung von Ranglisten (kein Verstoß gegen Datenschutz, jedoch Beschränkung auf Name, Verein, Ergebnis, Platzierung und Information der Sportler)
  • Veröffentlichung von Kontaktdaten
Häufig gestellte Fragen

Was sind personenbezogene Daten?

Angaben einer natürlichen Person bzw. eines Menschen wie:

  • Name, Anschrift, E-Mail Adresse, Telefonnummer, Bankdaten, Geschlecht, Größe, Gewicht, körperliche Besonderheiten

Welchen Unterschied gibt es zu den vereinsbezogenen Daten?

Ein Verein ist eine juristische Person:

  • Empfehlung E-Mailadresse: vorstand@verein.de oder info@verein.de
  • Standortdaten des Vereinshauses, Turnhalle, Sportplatz
  • Es wird empfohlen ein Postfach statt der Privatanschrift des Vorsitzenden als Kontaktadresse zu nutzen.

Muss die Satzung angepasst werden?

  • Diese Frage kann weder mit ja noch mit nein beantwortet werden, denn es kommt sehr stark darauf an, was bereits in der Satzung steckt und/oder was rein soll. Der Verein kann auch eine entsprechende Richtlinie/Ordnung festlegen.

 §…Datenschutz

(1) Die Erhebung und Verarbeitung personenbezogener Daten der Mitglieder und Mitarbeiter durch den Verein erfolgt nur, soweit dies zur Erfüllung des Satzungszwecks erforderlich ist und eine Rechtsgrundlage oder eine ausdrückliche Einwilligung des Betroffenen für die Verarbeitung personenbezogener Daten vorliegt.

(2) Die Erhebung und Verarbeitung personenbezogener Daten im Verein erfolgt im Rahmen der Bestimmungen der EU-Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes.

(3) Zur weiteren Ausgestaltung und zu den Einzelheiten der Datenerhebung- und verwendung erlässt der Verein eine Datenschutzrichtlinie, die durch den Vorstand beschlossen und geändert wird.

Benötigt ein Verein einen Datenschutzbeauftragten?

  • Nein, nicht zwingend, da die Vereinsmitarbeiter in der Regel mit der Mitgliederverwaltung nicht „ständig beschäftigt“ sind und, weil in der Regel nicht mehr als 10 Vereinsmitarbeiter mit der Mitgliederverwaltung beschäftigt sind.

Müssen Aufnahmeanträge in Papierform bestehen bleiben oder kann man diese nach dem Scan entsorgen und die Anträge digital sichern?

  • In welcher Art und Weise Aufnahmeanträge vorgehalten werden, entscheidet jeder Verein selbst.
  • Die Aufbewahrung/Speicherung darf sowohl in Papierform als auch elektronisch erfolgen.
  • Die Aufbewahrung/Speicherung muss grundlegende Anforderungen erfüllen (verschlossene Räume und Schränke bzw. passwortgeschützter PC/Server).
  • Bei der Vernichtung von Papier muss sichergestellt sein, dass die Art und Weise den gängigen Normen entspricht (Vernichtung mittels eigenem Schredder oder durch ein professionelles Aktenvernichtungs-unternehmen).
  • Die digitalen Daten müssen durch Ihre höhere Beweglichkeit entsprechend geschützt werden.

Was ist bei der Meldung von Daten an den Fachverband zur Teilnahme am Wettkampf- und Ligenbetrieb zu beachten?

  • Auftragsdatenverarbeitung/Verarbeitung durch Dritte – muss Vertrag mit Fachverband geschlossen werden? Nein, ist in Satzung geregelt.
  • Sorgfältige Auswahl der Übermittlung an die Verbände (z.B. E-Mail verschlüsselt oder an persönlich bekannte Ansprechpartner).

Was passiert nach dem Wettkampf mit den Anmeldedaten von Athleten?

  • Daten müssen nach dem Wettkampf beim Empfänger der Anmeldedaten (z.b. Turnierveranstalter, Auswärtsgegner) gelöscht werden.
  • Zweck der Sammlung der Daten ist nach der Teilnahme am jeweiligen Wettkampf nicht mehr gegeben (Es sei denn, die Liga schreibt etwas anderes vor).

Was muss ich beachten bei der Dokumentation von Wettkämpfen, Spielberichten, Bildern auf der Vereins-Homepage?

  • Ein wirksamer Mitgliedsvertrag muss vorliegen oder in Anbahnung sein, somit gibt es die Einwilligung des Mitglieds.
  • Im Aufnahmeantrag wird die Verwendung der Daten geregelt, dort muss auf die Verwendung von Daten auf der Vereins-Homepage hingewiesen werden.
  • Zeitgeschichtliche Dokumentation aus öffentlichem Interesse

Was muss ich beachten bei der Veröffentlichung von Bildern auf Webseiten, Facebook, Weitergabe an Dritte (Medien)?

  • Einwilligung muss bei Aufnahme von Neumitgliedern eingeholt werden.
  • Liegt bei Bestandsmitgliedern keine Einwilligung nach aktuellem Stand vor, sollte dies nachgeholt werden.
  • Ein Aushang oder Hinweise dazu, dass bei Sportveranstaltung Fotos gemacht werden, sind nützlich, um Besucher/Nichtmitglieder zu informieren. Ein Absatz in der ausgehängten Stadionordnung oder die Mitteilung auf der Eintrittskarte sind hier wirksame Mittel.
  • Es ist stets darauf zu achten, dass das Sportgeschehen im Vordergrund zu sehen ist, dann können im Hintergrund auch (Besucher/Gäste) kleiner abgebildet zu sehen sein, die nicht um Erlaubnis gefragt werden müssen

Wie gehe ich mit Facebook und WhatsApp um?

  • Ein sorgsamer Umgang ist wünschenswert.
  • Unterscheidung zwischen offiziellen (vom Vereinsmitarbeiter eingerichteten) und inoffiziellen Gruppen.
  • Austausch von Treffpunkt, Wetter, Bedarf an Kleidung über WhatsApp oder andere Messenger-Dienste ist unkritisch. Nur sport-/vereinsbezogene Kommunikation zulassen.
  • Bei Daten mit konkretem Personenbezug – wie bei Mitgliederverwaltung – ist verschlüsselte E-Mail vorzuziehen.
  • Aufnahmeanträge/-bzw. -bestätigungen per Post oder E-Mail versenden.
  • Die Veröffentlichung von Daten auf Facebook mittels Aufnahmeantrag oder über die Satzung des Vereins regeln.

Mit wem sind Verträge zur Auftragsdatenverarbeitung zu schließen?

  • IT-Dienstleister, die eine Webseite oder die E-Mail Postfächer bereitstellen. Dienstleister sollten Musterverträge vorhalten.
  • Veröffentlichung von Daten auf Facebook mittels Aufnahmeantrag oder über die Satzung des Vereins regeln.

Welche Löschfristen gibt es nach Austritt eines Mitglieds aus dem Verein?

  • Konkrete Löschfristen?
  • Generell gilt: siehe Verarbeitungsverzeichnis Mitgliederverwaltung, bzw. Beitragsverwaltung.
  • Eine Kontaktpflege ehemaliger Mitglieder für Einladungen ist mit deren Einwilligung möglich.

Was muss der Verein tun, wenn eine Datenschutz-Verletzung geschieht?

  • Abklären, ob tatsächlich eine Verletzung bei personenbezogenen Daten vorliegt.
  • Beurteilung, welchen Umfang die Verletzung hat und wie viele personenbezogene Daten von wie vielen Mitgliedern/Nichtmitgliedern betroffen sind.
  • Einleiten von Maßnahmen, die eine Vergrößerung eines Schadens eindämmt (Diebstahl bzw. Einbruch oder Hackerangriff bei der Polizei melden).
  • Rücksprache mit einem Experten in Sachen Datenschutz halten.
  • innerhalb von 72 Stunden Meldung an den Landesdatenschutz-beauftragten durchführen und um eine Bewertung bitten bzw. das weitere Vorgehen abstimmen.

Wer prüft die Einhaltung der DS-GVO und wie wahrscheinlich ist eine Prüfung meines Vereins?

  • Extern: Datenschutzbehörden des jeweiligen Bundeslandes.
  • Intern: die Führung des Vereins (Vorstand, ggf. Geschäftsführer mit einem internen oder externen Datenschutzbeauftragten).
  • Eine externe Prüfung kann jederzeit stattfinden.

Gibt es eine Frist, bis wann alle Maßnahmen durchgeführt worden sein müssen?

  • Seit dem 25.05.2018 finden in Deutschland das Bundesdatenschutzgesetz in der neuen Fassung sowie die Datenschutz-Grundverordnung Anwendung.
  • Das bedeutet, ab 25.05.2018 gilt dieses Recht in der BRD, welches auch entsprechend umzusetzen ist.
  • Es gibt derzeit keine Frist, zu der alle Maßnahmen umgesetzt werden müssen. Diese können bei Prüfung kurzfristig gesetzt werden.

Welche Bußgelder können drohen?

  • Je nach Schwere des Vergehens bis max. 20 Mio. € oder 4% des im vergangenen Jahres erzielten Umsatzes, je nachdem, was größer ist.
  • Bußgelder müssen laut Gesetzeslage angemessen und abschreckend sein.

Welche Gefahr besteht für Vereine durch Abmahnanwälte?

  • Ob Unterlassungsansprüche gegen Konkurrenten wegen DSGVO-Verstößen geltend gemacht werden können, ist derzeit noch unklar, weil es zu wenige Urteile zur DS-GVO gibt.
  • Beispiel: Das Fehlen einer SSL-Verschlüsselungsowie eine fehlerhafte Datenschutzerklärung führten in einem Fall zu einem Verstoß gegen den §13 Telemediengesetz. Der Streitwert eines einstweiligen Verfügungsverfahrens wurde auf 2.000 Euro festgesetzt.
Downloads