Sind die Sportvereine im Rhein-Kreis Neuss EU-DSGVO-ready?

Liebe Vereinsvertreter,

seit dem 25.5.2018 ist nun die EU-DSGVO in Kraft, die neue europaweit geltende Datenschutzgrundverordnung. Ergänzend hierzu gibt es noch ein „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU) und man spricht hier von einem neuen Bundesdatenschutzgesetz (BDSG-neu).

Die Situation wird durch eine unverhältnismäßige Berichterstattung mit Bußgeldern bis zu 20 Mill. Euro bei Verstößen und durch überzogene Beispiele leider angeheizt. Sogenannte Datenschutz-„Experten“ sorgen leider oft für Übertreibungen und schüren Panik – auch in den Vereinen.

Da leider noch viele Sportvereine im Rhein-Kreis-Neuss nicht alle notwendigen Maßnahmen ergriffen haben, um die EU-DSGVO für den Vereinsbetrieb umzusetzen, haben wir diese Info als „Hilfe zur Selbsthilfe“ erstellt. Die hier aufgeführten Maßnahmen sind in jedem Verein schnell umgesetzt – dann sind Sie EU-DSGVO-ready.

Nehmen Sie sich ein paar Minuten Zeit, um diese Punkte durchzuarbeiten:

 

Anforderungen der Datenschutz-Grundverordnung (EU-DSGVO) an Vereine

Das Bayerische Landesamt für Datenschutzaufsicht (LDA-Bayern) hat federführend für alle Datenschutzaufsichtsbehörden der Länder in Deutschland ein kurzes Merkblatt zu den Anforderungen der Datenschutz-Grundverordnung (EU-DSGVO) an Vereine herausgebracht (siehe Anlage). Diese übersichtliche Checkliste hilft sicherlich vielen Verantwortlichen in den Vereinen weiter, die richtigen Maßnahmen zu ergreifen.

 

Datenschutzerklärung auf der Vereins-Homepage

Nach Art. 13 EU-DSGVO muss jede WEB-Seite eine Datenschutzerklärung haben, die direkt auf der ersten Seite wie das Impressum zu finden sein muss.

Hier gibt es im Internet viele Hilfen, aber Achtung: Einfach eine Datenschutzerklärung „zu kopieren“ kann problematisch sein, denn welche Inhalte in die Datenschutzerklärung gehören, hängt von der jeweiligen Realisation der WEB-Seite ab. Der Umfang der Datenerhebung von vielen WEB-Seiten ist übrigens weitaus größer, als die meisten Homepagebetreiber vermuten. Selbst wenn z.B. auf der Website keine Möglichkeit besteht, persönliche Daten einzugeben, werden oft dennoch etliche Informationen erfasst (z.B. Logdateien wie Informationen über den genutzten Browsertyp und die verwendete Version, das Betriebssystem des Nutzers, die IP-Adresse des Nutzers, die Adresse der zuvor besuchten Webseite (Referer-URL) bzw. Quelle (von welcher der Nutzer auf die Seite gelangte), Datum und Uhrzeit des Zugriffs usw.).

Auch solche oft genutzten Tracking-Tools wie. Google Analytics oder Piwik „erfassen“ bzw. „sammeln“ Daten, auf die auf der jeweiligen Datenschutzerklärung hingewiesen werden muss. Auch solche beliebten SocialMedia-PlugIns für Facebook, Twitter, Instagram & Co müssen hier aufgeführt werden, denn ein Klick z.B. auf einen „Like“-Button hat Datenschutzkonsequenzen. Auch die Verwendung von Cookies (von kleinen Textdateien, die auf dem Gerät des WEB-Seiten-Benutzers gespeichert werden) müssen detailliert aufgeführt werden. Haben Sie Video-PlugIns auf Ihrer Webseite z.B. für Youtube, Vimeo usw., müssen Sie dies ebenfalls in Ihrer Datenschutzerklärung angeben.

Die Angaben der notwendigen Datenschutzerklärung auf der Vereinshomepage ist von außen betrachtet oft die „offenste Flanke eines Vereins“, da eine Überprüfung mit Roboter-Programmen im Internet einfach möglich ist, was diverse Abmahnorganisationen nutzen.

Fazit:
Vermeiden Sie eine mögliche teure Abmahnung und integrieren Sie eine Datenschutzerklärung auf der Vereinshomepage.

Sie finden im Internet viele Hilfen, wie man seine Datenschutzerklärung rechtskonform gestalten kann. Es gibt auch sog. Datenschutzerklärungs-Generatoren die für Vereine kostenlos nutzbar sind und ganz brauchbare Resultate liefern, z.B.

https://www.datenschutz-generator.de
https://www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator


Hinweis: der KSB übernimmt keine Haftung für diese Generatoren und keine Verantwortung für Qualität, Vollständigkeit und Richtigkeit, diese beiden Links sollten nur Beispiele für solche Lösungen geben.

 

Informationspflicht gegenüber allen Vereinsmitgliedern

Nach Artikel 12, 13 und 14 der EU-DSGVO ist jeder Verantwortliche (geschäftsführender Vereinsvorstand nach § 26 BGB) verpflichtet, die Betroffenen (d.h. jedes Vereinsmitglieder) - deren Daten der Verein irgendwie verarbeitet – darüber zu informieren, wie personenbezogene Daten im Verein verarbeitet werden.

Hier bietet der Landessportbund Nordrhein-Westfalen (LSB NRW) eine sehr gute Mustervorlage „Informationspflichten nach Artikel 13 und 14 DSGVO“ an – siehe Anlage zu dieser Mail bzw. siehe unter www.vibss.de/vereinsmanagement/recht/datenschutz. Mit dieser Vorlage kann jeder Verein in wenigen Minuten sein eigenes Informations-Rundschreiben verfassen und dann z.B. per Mail oder Rundschreiben oder Aushang zur Kenntnis bringen.

Sie sollten dieses Informations-Schreiben unbedingt umgehend erstellen und veröffentlichen, damit Sie auch vor Angriffen von Vereinsmitgliedern gesichert sind.

Verpflichtung zur Wahrung der Vertraulichkeit und zur Beachtung der datenschutzrechtlichen Regelungen

Sie sollten auch umgehend mit allen Vereins-Vorständen, Abteilungsleitern, Obleuten, Mitarbeitern der Geschäftsstelle, Trainer/inne/n, Übungsleiter/inne/n usw. (gleichgültig ob angestellt, auf Honorarbasis oder ehrenamtlich tätig) eine schriftliche „Verpflichtungsvereinbarung zur Wahrung der Vertraulichkeit und zur Beachtung der datenschutzrechtlichen Regelungen“ abschließen. Auch hier bietet der LSB brauchbare Mustervorlagen - siehe Anlage zu dieser Mail bzw. siehe unter www.vibss.de/vereinsmanagement/recht/datenschutz.

 

Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO

Jeder Verantwortliche eines Vereins (geschäftsführender Vorstand gem. § 26 BGB) ist verpflichtet ein sog. Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO zu erstellen und auf Verlangen vorzuhalten, in dem u.a. die Verantwortlichen im Verein aufgeführt und auch die technisch-organisatorischen Maßnahmen beschrieben werden, z.B. auf welchen Geräten personenbezogene Daten verarbeitet werden, wie diese geschützt und wie gesichert sind. Auch hier hilft wieder eine Mustervorlage des LSBs, die in wenigen Minuten ausgefüllt werden kann - siehe Anlage zu dieser Mail bzw. siehe unter www.vibss.de/vereinsmanagement/recht/datenschutz.

 

Datenschutzordnung im Verein

Sinnvoll ist auch die Verabschiedung und Veröffentlichung einer Datenschutzordnung im Verein. Auch hier gibt es eine sehr brauchbare Mustervorlage vom LSB - siehe Anlage zu dieser Mail bzw. siehe unter www.vibss.de/vereinsmanagement/recht/datenschutz.

 

Erweiterung Ihrer Mitglieds-Aufnahmeanträge um eine Einwilligung in die Datenverarbeitung einschließlich der Veröffentlichung von Personenbildern im Zusammenhang mit dem Eintritt in den Verein

Ihre Aufnahmeanträge sollten Sie um eine „Einwilligung in die Datenverarbeitung einschließlich der Veröffentlichung von Personenbildern im Zusammenhang mit dem Eintritt in den Verein“ erweitern. Auch hier finden Sie wieder ein Muster vom LSB in der Anlage zu dieser Mail bzw. siehe unter www.vibss.de/vereinsmanagement/recht/datenschutz.

 

Braucht der Verein einen Datenschutzbeauftragten?

In der gesetzlichen Regelung nach „§ 38 BDSG (neu) - Datenschutzbeauftragte bei nichtöffentlichen Stellen“ ist nachzulesen:

„Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der EU-DSGVO müssen die Verantwortlichen (als der geschäftsführende Vereinsvorstand) einen Datenschutzbeauftragten ernennen, soweit in der Regel mindestens zehn (10) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind.“

In der beiliegenden Information „Anforderungen der Datenschutz-Grundverordnung (EU-DSGVO) an Vereine“ des Bayerischen Landesamtes für Datenschutzaufsicht (LDA-Bayern) ist hierzu nachzulesen:

„Ständig beschäftigt“ ist, wer z. B. permanent Mitgliederverwaltung macht – „nicht ständig beschäftigt“ ist dagegen bspw., wer als Übungsleiter nur mit den Namen seiner Mannschaft umgeht. Nach diesen Ausführungen haben selbst in Großvereinen oft nur die Mitarbeiter der Vereinsgeschäftsstelle ständig und permanent etwas mit der automatisierten Verarbeitung personenbezogener Daten zu tun und die Pflicht zur Bestellung eines Datenschutzbeauftragten dürfte damit wohl für die meisten Sportvereine entfallen.

Wir empfehlen hier, dass der geschäftsführende Vorstand eines Vereins sich zusammensetzt und in einem schriftlichen Protokoll festhält, wer im Verein mit der ständigen und permanenten automatisierten Verarbeitung von personenbezogenen Daten etwas zu tun hat, um dann z.B. festzustellen, dass die Bestellung eines Datenschutzbeauftragten für den Verein nicht notwendig ist.

Wir hoffen, dass Ihnen diese Punkte weiterhelfen und Sie schnellsten EU-DSGVO-ready werden. Natürlich ist dies hier keine Rechtsberatung und umfasst auch keine Garantie auf Vollständigkeit.

 

Mit freundlichen Grüßen

Sportbund Rhein-Kreis Neuss e.V.
Vorstand und Geschäftsführung

 

 

Nützliche Downloads: