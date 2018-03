In drei Monaten ist es so weit: Die neue Datenschutzgrundverordnung (DSGVO) tritt in Kraft. Für Vereine bedeutet dies ab 25. Mai jede Menge Bürokratie und hohe Strafen, wenn sie einen sorgsamen Umgang mit persönlichen Daten nicht belegen können. Hans-Jürgen Schwarz, Präsident des Bundesverbands der Vereine und des Ehrenamts, erläutert am Montag, 5.März, beim Bildungswerk Ochsenhausen, worauf Vorstandsmitglieder achten müssen. Daniel Häfele hat mit ihm im Vorfeld über dieses Thema gesprochen.

Herr Schwarz, DSGVO – was hat es mit diesen fünf Buchstaben auf sich?

Die EU-Datenschutzgrundverordnung ist im April 2016 erlassen worden. Bei der DSGVO handelt es sich um eine Vereinheitlichung der europäischen Datenschutzverordnungen und Richtlinien, so dass alle, die mit personenbezogenen Daten zu tun haben, einheitliche Regelungen haben. Neu ist, dass in dem Land, in dem ich meine Leistungen anbiete, dem Datenschutz verpflichtet bin. Das heißt, auch Unternehmen außerhalb der EU müssen sich ab 25.Mai dieses Jahres nach der DSGVO richten.

Inwiefern wirkt sich die Datenschutzgrundverordnung auf Vereine aus?

Bei der DSGVO gibt es verschärfte Formvorschriften, diese gelten für Unternehmen und Vereine gleichermaßen – und das unabhängig davon, wie viele Mitglieder ein Verein zählt. Jeder, der mit personenbezogenen Daten umgeht, muss sich an die Verordnung halten. Das Abspeichern einer E-Mail-Adresse ist ein Beispiel für den Umgang mit personenbezogenen Daten. Auf die Vereine kommt ein hoher Aufwand an Verwaltungsarbeit zu.

Wie sieht diese Verwaltungsarbeit vor?

Erweiterte Einwilligungserklärung, Datenschutzfolgeabschätzungen, vertragliche Auftragsverarbeitung – das sind nur ein paar wenige Schlagworte, was an Litanei auf die Vereine zukommt. Ganz wichtig hierbei ist, genau zu dokumentieren, wann immer mit personenbezogenen Daten gearbeitet wird. Zur Dokumentationspflicht gehört auch, zu erfassen, welche Daten werden wann, wo, von wem und zu welchem Zweck erhoben. Darüber hinaus sind Datenpannen meldepflichtig und entsprechende Sicherheitsstandards einzuhalten. Wenn innerhalb eines Vereins mehr als neun Menschen mit personenbezogenen Daten arbeiten, muss ein Datenschutzbeauftragter benannt werden.

Für einen Laien stelle ich es mir schwer vor, all das rechtlich einwandfrei umzusetzen...

Das ist auch extrem schwierig, ein Laie kann deshalb nicht einfach Datenschutzbeauftragter werden. Auch hierbei werden erhöhte Anforderungen vom Gesetzgeber verlangt, was fachliche und persönliche Voraussetzungen angeht. Erschwerend kommt hinzu, dass Vorstandsmitglieder oder Mitglieder der Geschäftsführung, Webmaster und Passwortverantwortliche überhaupt nicht Datenschutzbeauftragte in ihrem Verein sein können. Deshalb wird es bei Vereinen häufig der Fall sein, dass sie einen externen Datenschutzbeauftragten benennen müssen.

Welche Dinge sollten Vereine künftig unterlassen?

Ganz klar: Vereine sollten ab 25. Mai keine personenbezogenen Daten mehr erheben, wofür sich keine Einwilligung beziehungsweise Rechtsgrundlage haben. Die Rechtsgrundlage definiert sich ganz stark über die Satzung der Vereine, die Art und Weise der Datenerhebung muss darin geregelt sein. Gleichzeitig müssen die Vereine auch darauf achten, nur die Daten zu erheben, die sie für ihren Zweck brauchen. Denn laut DSGVO muss eine Datensparsamkeit gewährleistet sein.

Wer haftet, wenn die Regelungen nicht eingehalten werden?

Die Verantwortung im Verein liegt immer beim Vorstand. Unter Umständen hat die Behörde die Möglichkeit, die Mitglieder persönlich haftbar zu machen. Die Strafen beziehungsweise Bußgelder können im schlimmsten Fall in Millionen Höhe gehen. Wer gewerbsmäßig unerlaubt mit erhobenen Daten handelt, dem drohen bis zu drei Jahre Haft. Das fördert nicht unbedingt die Bereitschaft, sich im Ehrenamt zu engagieren.

Wird gerade nur viel Aufhebens um die DSGVO gemacht und am Ende kommt es gar nicht so schlimm?

Es ist kein Strohfeuer um Nichts, sondern ein Flächenbrand, der uns alle betrifft. Auf Grundlage der DSGVO werden schon immaterielle Schäden einklagbar. Bisher musste immer ein wirtschaftlicher Schaden vorliegen. Heißt: Es kommt nicht mehr auf den Schaden an, sondern, ob alle Dinge beachtet werden, die der Gesetzgeber vorschreibt. Sollte der Verdacht aufkommen, dass sich ein Verein nicht an die DSGVO hält, muss die Behörde einschreiten. Und dann werden die Mitarbeiter fragen, wo die entsprechenden Unterlagen sind. Wenn Sie diese nicht vorlegen können, haben Sie ein Problem.

Falls jemand bei ihrem Vortrag verhindert sein sollte, wo erhalten Vereine weitere Informationen beziehungsweise Unterstützung?

Wir bieten über unsere Homepage www.bvve.de entsprechende Informationen an. Zudem haben Interessierte die Möglichkeit, sich in unseren Newsletter einzutragen, der sich genau mit diesem Thema beschäftigen wird. Als Bundesverband der Vereine sind wird dabei, ein eigenes Bildungsmaßnahmenpaket herauszubringen, in dem wir Datenschutzbeauftragte für Vereine ausbilden werden. Bisher gibt es ein solches Angebot nicht.