Die Datenschutzgrundverordnung (DSGVO) im Sportverein
Seit 2018 gilt die neue Datenschutzgrundverordnung (DSGVO) – auch für Sportvereine. Inhaltlich hat sich an den Pflichten im Umgang mit personenbezogenen Daten nicht viel verändert, die Einhaltung der gesetzlichen Regelungen stellt Vereine und Ehrenamtliche in der Praxis aber immer wieder vor Fragen und Probleme.
Jeder Verein – unabhängig von seiner Größe oder Mitgliederzahl – verarbeitet personenbezogene Daten. Jeder Verein sollte deshalb zunächst genau hinterfragen, welche internen Prozesse mit der Erhebung, Speicherung, Verarbeitung, Übermittlung und Löschung personenbezogener Daten zusammenhängen.
„Der Begriff ‚personenbezogene Daten‘ ist sehr weit zu verstehen. Alle Daten, die entweder direkt oder über Umwege einer natürlichen Person zugeordnet werden können, fallen in den Anwendungsbereich der DSGVO. In Vereinen sind dies klassische Daten wie Name, Anschrift, Kontaktdaten, Kontodaten (Stammdaten) der Mitglieder, aber eben auch solche Daten, die nur über Umwege einer Person zugeordnet werden können, wie beispielsweise Fotos von Personen, die Mitgliedsnummer oder Leistungsdaten aus Wettkämpfen und Trainings. Nur Daten, die keiner Person zugeordnet werden können – z. B. Bilanzkennzahlen des Vereins, bloße Anzahl an Mitgliedern etc. – fallen nicht unter die DSGVO“, erklärt der Jurist Dr. Kevin Marschall, LL.M., Geschäftsführer der GDPC GbR, einer auf Datenschutz und Datensicherheit spezialisierten Beratungsgesellschaft.
1. Vereine sind verpflichtet, ein Verarbeitungsverzeichnis zu führen
Marschall: „Für jede Verarbeitung personenbezogener Daten benötigt man eine Rechtsgrundlage. Das bedeutet, dass erstmal jede Datenverarbeitung verboten ist, es sei denn, die Verarbeitung ist (gesetzlich) erlaubt.“ Diese zentralen Rechtsgrundlagen sind in Art. 6 DSGVO zu finden. Darunter fallen unter anderem die Einwilligung der Betroffenen, die erforderliche Datenverarbeitung zu Zwecken der Vertragsdurchführung (z. B. Mitgliedsverträge) oder die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z. B. Aufbewahrung von Abrechnungen zu steuerlichen Zwecken). Der Verein benötigt für jede interne Verarbeitung oder Übermittlung an externe Stellen eine solche Rechtsgrundlage.
Bei jeder Verarbeitung personenbezogener Daten seien zudem die Grundsätze der DSGVO zu beachten, die in Art. 5 DSGVO geregelt sind. Hierunter fallen vor allem der Grundsatz der Zweckbindung und der Datenminimierung.
Marschall: „Ersterer bedeutet, dass die personenbezogenen Daten nur für die zuvor festgelegten, eindeutigen und legitimen Zwecke erhoben und nicht in einer mit diesem Zweck nicht vereinbaren Weise zu einem späteren Zeitpunkt weiterverarbeitet werden. Der Verein ist folglich an die Zwecke gebunden und darf die Daten erstmal nicht für weitere später hinzukommende ‚nützliche‘ Zwecke verarbeiten. Eine Datenerhebung auf Vorrat ist unzulässig.“ Der Grundsatz der Datenminimierung bedeute hingegen, dass die Verarbeitung dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss. Hierzu führt Marschall ein Beispiel an: „Der Verein verwendet Mitgliedsformulare (Beitrittserklärungen) für neue Mitglieder. Auf diesen Formularen fragt der Verein beispielsweise nach Nationalität oder nach dem Beruf des neuen Mitglieds. Hier muss sich der Verein die Frage stellen, ob und wofür er diese Angaben überhaupt benötigt. Fällt ihm kein guter Grund dafür ein, dann ist dies ein Indiz für einen Verstoß gegen den Grundsatz der Datenminimierung, der eine überschießende Datenerhebung verbietet.“
Nach Art. 30 DSGVO sind Vereine dazu verpflichtet, ein sogenanntes Verarbeitungsverzeichnis (VVT) zu erstellen. Dieses VVT bildet die Grundlage, um den in Art. 13 und 14 festgelegten Informationspflichten nachkommen zu können. Dabei gehe es laut Marschall nicht darum, einzelne Verarbeitungen dezidiert zu dokumentieren (z. B. das Versenden einer E-Mail), sondern viel mehr darum, im Sinne einer Clusterbildung verschiedene Tätigkeiten zu definieren, im Rahmen derer personenbezogene Daten erhoben und verarbeitet werden – etwa im Rahmen der Mitgliederverwaltung, der externen oder internen Lohnabrechnung, dem Betrieb der Website, der Beitragsverwaltung, der Spendenverwaltung oder der Veröffentlichung von Bild- und Videomaterial im Internet.
Marschall empfiehlt: „Definieren Sie – je nach Größe des Vereins – personelle Zuständigkeiten für die Erstellung des Verzeichnisses und damit für die Dokumentation der Verarbeitungstätigkeiten. Die Person, die beispielsweise für den Betrieb und die Pflege der Vereinswebsite zuständig ist, wird diese Verarbeitungstätigkeit am besten dokumentieren können.“ Hinsichtlich des Detailgrads, mit dem einzelne Verarbeitungstätigkeiten im VVT dokumentiert werden sollten, rät der Experte, „so konkret wie möglich, aber mit dem Blick auf das Wesentliche“ zu arbeiten.
2. Die Sanktionen haben zugenommen – alle Mitarbeiter sollten für das Thema sensibilisiert werden
Bei der Umsetzung der DSGVO kann es immer wieder zu Fehlern kommen – meist aufgrund mangelnder Kompetenzen und Rechtsversiertheit der zuständigen Mitarbeiter. Klar ist, dass die Prüfungsdichte und Sanktionshäufigkeit von Seiten der zuständigen Aufsichtsbehörden seit Einführung der DSGVO im Jahr 2018 deutlich zugenommen hat. „Mit welchen Konsequenzen Vereine im Einzelfall rechnen müssen, hängt von vielen verschiedenen Faktoren ab“, so Marschall. „Die DSGVO gibt der Aufsichtsbehörde einen umfassenden Katalog an Befugnissen an die Hand. Bei einfach gelagerten und nicht schwerwiegenden Verstößen kann die Aufsichtsbehörde auch nur eine Verwarnung aussprechen und/oder die Anordnung erlassen, die rechtswidrige Datenverarbeitung zu unterlassen.“
Ob und in welcher Höhe unter Umständen Bußgelder fällig werden, hänge indes von der Art, Schwere und Dauer des Verstoßes ab – und ob der Verein vorsätzlich oder fahrlässig gehandelt habe. Marschall: „Bei der Verhängung von Bußgeldern gegen Vereine agieren die Aufsichtsbehörden jedoch mit Maß und Ziel.“
Häufige Fehler im Umgang mit personenbezogenen Daten:
- Fehlende Regelungen im Umgang mit Mailverteilern
- Unzureichende Datensicherheitsmaßnahmen (z.B. im Home Office oder bei der Verwendung privater Endgeräte)
- Fehlerhafte Umsetzung der Transparenzpflichten
- keine Reaktion auf geltend gemachte Betroffenenrechte (z.B. ignoriertes Auskunftsersuchen)
- keine oder inhaltlich unzureichende datenschutzrechtliche Verträge (z.B. bei der Auftragsverarbeitung gemäß Art. 28 DSGVO)
- Veröffentlichung personenbezogener Daten (z.B. Name, Foto) im Internet ohne Rechtsgrundlage
Nur bei gravierenden und offensichtlichen (z. B. bei einer Videoüberwachung in Sanitärräumen) oder bei mehrmaligen Verstößen müssten Vereine mit teilweise auch empfindlichen Bußgeldern rechnen. Unter Umständen könnten sich Vereine aber auch mit immateriellen Schadensersatzansprüchen konfrontiert sehen, so der Experte: „Es existieren schon Urteile, die den Betroffenen auch bei sogenannten Bagatellverstößen einen Schadensersatzanspruch in drei- bis vierstelliger Höhe zusprachen, etwa für eine unterlassene Auskunft an den Betroffenen nach Art. 15 DSGVO.“
Um Fehler zu vermeiden, sollten Mitarbeiter deshalb frühzeitig für das Thema Datenschutz sensibilisiert werden. Marschall: „Zum einen sind hier papierbezogene Maßnahmen geeignet – etwa die Einholung von datenschutzrechtlichen Verpflichtungserklärungen der haupt- oder ehrenamtlichen Mitarbeiter. Da Papier jedoch geduldig ist, sollte zum anderen eine Datenschutzschulung durch einen fachkundigen Experten oder Datenschutzbeauftragten vorgenommen werden. Auch aktuelle Datenschutzvorfälle, die leider immer häufiger auch kleine Vereine treffen, können eine gute Gelegenheit sein, um die Mitarbeiter situations- und themenbezogen zu sensibilisieren.“
3. Der Datenschutzbeauftragte – Nicht immer Pflicht, aber immer von Vorteil
Sobald mindestens 20 Personen mit der Verarbeitung personenbezogener Daten betraut werden, besonders risikoreiche Verarbeitungen vorgenommen werden oder der Verein überwiegend sensible Daten (z. B. Gesundheitsdaten in einem Suchtberatungsverein) verarbeitet, muss ein Datenschutzbeauftragter bestellt werden. Doch nicht jeder Vereinsmitarbeiter kommt dafür in Frage, wie Marschall erklärt: „Der Datenschutzbeauftragte darf nicht in die Verlegenheit kommen, sich und seine Arbeit selbst zu kontrollieren. Der damit zum Ausdruck kommende Interessenskonflikt ist grundsätzlich erstmal bei allen Leitungsebenen – etwa Vorstand, Geschäftsführung, IT- oder Personalverantwortlicher – gegeben. Diese dürfen grundsätzlich nicht zum Datenschutzbeauftragten benannt werden.“
Grundsätzlich können sich Vereinsmitarbeiter im Rahmen mehrtägiger – je nach Komplexität der Verarbeitung auch mehrwöchige – Seminare als Datenschutzbeauftragter fortbilden lassen, gerade für größere Vereine empfiehlt sich aber die Benennung eines externen Datenschutzbeauftragten, der die nötigen juristischen, technischen und betriebswirtschaftlichen Fachkenntnisse mit sich bringt.
Doch auch wenn ein Verein im Rahmen der DSGVO und des BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, kann es durchaus sinnvoll sein, einen internen oder externen Experten mit der Aufgabe zu betrauen, wie Marschall erklärt: „Der Verein muss alle Pflichten in der DSGVO umsetzen, beachten und die Einhaltung auch nachweisen können, ob mit oder ohne Datenschutzbeauftragten.“
Zurück zur Rubrik:
Recht
