Bei all den Vorteilen, die ein gemeinnütziger Verein genießt, im Bereich des Datenschutzrechts erfährt dieser keine bevorzugte Behandlung. Auch für ihn gelten die Datenschutzgesetze, insbesondere ab dem 25. Mai 2018 die EU Datenschutzgrundverordnung (EU-DSGVO) und das dann ebenfalls neue Bundesdatenschutzgesetz (BDSG).Mit all den Auflagen, die auch Großkonzerne wie Facebook, Google oder Amazon zu erfüllen haben. Der wesentliche Unterschied, diese Unternehmen können es sich leisten Abteilungen mit einer Vielzahl von Spezialisten zu beschäftigen.
Der Datenschutz betrifft personenbezogene Daten. Das sind alle Einzelangaben über die persönlichen oder sachlichen Verhältnisse. In Vereinen betrifft das vor allem Mitglieder, daneben aber auch Spender, Besucher unserer Website, Nicht-Mitglieder die an Kursen teilnehmen oder zum Schnuppern an unserem Sportangebot teilnehmen, …. Typischerweise erhoben werden Name und Anschrift, Geburtsdatum, Kontaktdaten, Eintrittsdatum, Bankverbindung und ähnliches. All das sind personenbezogene Daten. Die Art der Erfassung (digital oder auf Papier) spielt dabei überhaupt keine Rolle.
Der Datenschutz bezieht sich auf das Erheben, Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) und Nutzen (jede Verwendung) von Daten.
In vielen Fällen müssen die Betroffenen die Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Das ist nicht erforderlich, wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden müssen. Bei Vereinen ist diese vertragliche Beziehung die Mitgliedschaft.
Das gleiche gilt, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Das gilt zum Beispiel für Spender. Hier müssen die Spendenbescheinigungen mit ihren Daten 10 Jahre aufbewahrt werden, dies fordert die Abgabenordnung bzw. das Handelsgesetzbuch.
Verantwortlich für den zum Schutz personenbezogener Daten ist der Vorstand. Darüber hinaus hat unser Verein seit Jahren einen Datenschutzbeauftragten, der zur Erfüllung dieser Aufgabe über die erforderliche Fachkunde und Zuverlässigkeit verfügt.
Was haben wir nun so alles getan?
Im ersten Schritt haben wir all unsere Prozesse durchleuchtet, in denen wir personenbezogene Daten erheben und verarbeiten. Dies mündete in der Erstellung eines Verzeichnis der Verarbeitungstätigkeiten, lies uns aber auch unsere Prozesse nochmals hinterfragen und verbessern (Anm. vielleicht berichten wir auf der Mitgliederversammlung über ein, zwei Anekdoten). Auch ist dies die Basis zur Durchführung der ggf. notwendigen Datenschutz Folgenabschätzungen.
Dabei mussten wir auch neue Prozesse etablieren, zum Beispiel um einem Auskunftsgesuchen oder ggf. unseren Meldepflichten nachzukommen.
Alle Mitarbeiter des Vereins (im Sinne des Datenschutzes; sprich unsere Übungsleiter, Gruppenhelfer, Ärzte, etc. und natürlich auch wir im Vorstand), wurden (erneut; zuvor verpflichteten wir diese bereits gem. altem BDSG) auf das Datengeheimnis gem. der DSGVO verpflichtet. Unsere Übungsleiter, Ärzte und Gruppenhelfer im Rehabilitationssport werden darüber hinaus auch auf das Sozialgeheimnis (gem. Sozialgesetzbuch) verpflichtet, sowie unsere IT Administratoren auch auf das Fernmeldegeheimnis.
Im gleichen Atemzug informierten wir unsere Mitarbeiter auch über ihre eigenen Rechte als Mitarbeiter des Vereins. Dabei lassen wir es aber nicht bewenden, in den nächsten Monaten werden wir auch noch Weiterbildungen für alle Mitarbeiter zum Thema Datenschutz durchführen.
Aber auch der generelle Umgang mit personenbezogenen Daten wurde geregelt. Der Vorstand hat hierzu am 5. Mai 2018 eine Datenschutzordnung inklusive der technisch organisatorischen Maßnahmen (TOMs) verabschiedet und intern veröffentlicht. Auch diese ist nun für alle Mitarbeiter bindend.
Ein wesentlicher Aspekt der neuen Gesetzgebung ist es, mehr Transparenz in den Umgang mit personenbezogenen Daten zu bringen. Aus diesem Grund legt uns das Gesetz Informationspflichten auf. Unter diesem Aspekt haben wir all unsere Formulare (Aufnahmeanträge, etc.) und die Datenschutzerklärung auf unserer Website überarbeitet, um Sie möglichst umfangreich und gemäß den Erfordernissen der DSGVO zu informieren.
Die DSGVO fordert "in einer klaren und einfachen Sprache" zu informieren, ist uns dies gelungen? Wir freuen uns über Ihr Feedback und ggf. Anregungen, die Sie am besten an datenschutz@vfg-meckenheim.de richten.
Einen weiteren Schwerpunkt legten wir dann auf unsere IT und Ausstattung, in dem wir prüften wie es um deren Sicherheitsmechanismen bestellt ist. Da wir hier vor allem mit externen Anbietern zusammenarbeiten (zum Beispiel wird unsere Website durch 1&1 gehostet), mussten wir auch sehr genau auf diese schauen und unsere vertraglichen Beziehungen mit ihnen anpassen (Auftragsdatenverarbeitung).
Warum der ganze Aufwand?
Es wäre einfach zu antworten „das Gesetz schreibt dies vor“ oder „die neuen Bußgelder im Extremfall von bis zu 40 Mio. Euro“ (Natürlich werden bei Vereinen im Fall von Verstößen keine so dramatischen Beträge fällig, vier- bis fünfstellige Bußgelder sind aber jedoch denkbar). Nein, seit jeher legt der VFG Wert auf einen verantwortungsvollen Umgang mit personenbezogenen Daten, insbesondere da dies im Bereich Rehabilitationssport sogar Gesundheitsdaten unserer Mitglieder umfasst. Dies haben wir unter anderem, ohne gesetzliche Notwendigkeit, mit der Bestellung eines Datenschutzbeauftragten schon immer zum Ausdruck gebracht.
Weitere Informationen: www.vfg-meckenheim.de/Datenschutz.php