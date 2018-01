Auch Vereine stellt die neue EU-Datenschutzgrundverordnung vor Herausforderungen. Ehrenamtsstiftung bietet Beratung an

von Karin Koslik

30. Januar 2018, 12:00 Uhr

Wenn am 25. Mai die EU-Datenschutzgrundverordnung in Kraft tritt, sollten nicht nur Gesetzgeber und Unternehmen, sondern auch Vereine darauf vorbereitet sein. Karin Koslik sprach über die Anforderungen, die an sie gestellt werden, mit dem Geschäftsführer der Ehrenamtsstiftung MV, Jan Holze.



Herr Holze, was kommt auf die rund 12 500 Vereine im Land zu?

Holze: Bislang führte der Datenschutz vielerorts ein Schattendasein. Kontrollen waren eher unüblich und Bußgelder bei entdeckten Verstößen eher gering. Dafür, dass sich das nun ändern wird, sind zwar die meisten Dachverbände sensibilisiert. Ich habe aber den Eindruck, dass sich das noch nicht flächendeckend herumgesprochen hat.

Was genau verlangt die neue Verordnung?

Vereine müssen künftig lückenlos nachweisen können, dass sie datenschutzkonform agieren. Alle Prozesse, die personenbezogene Daten betreffen, müssen dokumentiert, geprüft und einer Risikobewertung unterzogen werden. Dabei geht es um jede Form der Verarbeitung von Daten. Dies umfasst die Erhebung, die Speicherung, und gegebenenfalls die Weiterleitung von Daten an Dritte, die jeweils einer separaten Einverständniserklärung bedürfen.

Das klingt wahnsinnig kompliziert – und arbeitsaufwendig…

So arbeitsaufwendig ist das gar nicht, genau genommen muss man sich nur einmal über alle Prozesse im Verein Klarheit verschaffen. Längst nicht bei jedem braucht es die Einwilligung zur Datennutzung: Wenn jemand zum Beispiel Vereinsmitglied wird, dann ist es selbstverständlich, persönliche Daten wie die Adresse oder auch eine Telefonnummer anzugeben. In diesem Kontext braucht es keine Einverständniserklärung. Sie wird erst erforderlich, wenn Daten weitergegeben werden sollen, zum Beispiel an Sponsoren, oder wenn ein Newsletter bezogen werden soll.

Nun läuft heute ja selbst in kleinen Vereinen sehr viel über das Internet. Was gilt es da zu beachten?

Ganz wichtig ist, dass der Verein dafür sorgen muss, dass seine Webseite, insbesondere bei der Nutzung von Kontaktformularen, gesichert ist. Für Nutzer sichtbar ist das an der Seitenbezeichnung https: statt „nur“ http:. Zudem sollten die Datenschutzhinweise überprüft werden. Werden externe Dienste wie Facebook oder Google eingebunden, so ist darauf hinzuweisen. Gleiches gilt für Cookies zur Erfassung von Nutzerdaten. Der Nutzer muss in Zukunft in die Nutzung seiner Daten aktiv einwilligen oder sie ablehnen können. Und es muss natürlich auch garantiert sein, dass Vereinsdaten nicht auf einem jedermann zugänglichen Privat-PC gespeichert werden oder auf einer ungesicherten externen Festplatte.

Was passiert bei Verstößen? Die Datenschutzbehörden werden doch sicher nicht gleich Ende Mai Vereine kontrollieren…

Ich gehe nicht davon aus, dass es schon in diesem Jahr allgemeine Prüfungen geben wird. Wenn sich allerdings jemand über zu laxen Umgang mit Daten beschwert, es also einen konkreten Verdacht gibt, ist die Datenschutzbehörde angehalten zu prüfen – und dann können Vereinsvorstände gegebenenfalls persönlich sehr viel stärker haftbar gemacht werden als heute. Die maximalen Bußgelder für Datenschutzverstöße steigen mit Inkrafttreten der Verordnung von jetzt 300 000 auf 20 Millionen Euro.

Wo können Vereine sich in Sachen Datenschutz beraten lassen?

Wir als Ehrenamtsstiftung bieten dazu Informationsveranstaltungen an, darunter am 5. Februar in Schwerin und am 20. Februar in Güstrow. Anmeldungen zu den Veranstaltungen, die jeweils von 18 bis 19.30 Uhr stattfinden, sind über unsere Internetseite www.ehrenamtsstiftung-mv.de/veranstaltungen möglich. Im Ergebnis dieser Veranstaltungen werden wir Checklisten für Vereine erarbeiten, die auch auf Besonderheiten eingehen. Hospizvereine, die gesundheitsbezogene Daten erheben, haben zum Beispiel spezielle Dokumentationspflichten. Und wenn in einem Verein mehr als zehn Personen mit Daten befasst sind, muss sogar ein externer Datenschutzbeauftragter bestellt werden. Das kann unter anderem größere Sportvereine mit zehn oder mehr Abteilungen betreffen.