Ein Riesenaufwand
Bernd Meier allerdings spricht von einem „Riesenaufwand“, denn er hat sich nicht nur um den Internetauftritt des BTS zu kümmern. „Wir müssen zum Beispiel jedes der knapp 3000 Mitglieder informieren, welche Daten über ihn gespeichert sind, und abfragen, ob Bilder von Sportlern im Internet gezeigt werden dürfen“, sagt er. Bei vielen gehe das per Mail, aber rund 1000 vor allem ältere Mitglieder werden per Brief informiert. Für die Abbildung von Kindern müsse das Einverständnis der Eltern vorliegen, wobei zu unterscheiden sei, ob es sich zum Beispiel um eine Spielszene im Hockey mit vielen Spielern oder um Einzelbilder handle. „Das wird ein bisschen kompliziert, im Zweifelsfall werden wir künftig lieber weniger Bilder zeigen.“
Rechtsunsicherheit
„Die Rechtsunsicherheit ist ein Problem“, sagt Meier. Was passiert zum Beispiel, wenn ein ehemaliges Mitglied die Löschung aller Bilder aus dem Internet verlangt, obwohl diese möglicherweise bereits geteilt und auf anderen Rechnern gespeichert sind? „Ich weiß nicht, ob der Verein dafür zur Verantwortung gezogen werden kann“, räumt Meier ein. Oder ob der Verein einen eigenen Datenschutzbeauftragten braucht? Das ist immer dann nötig, wenn mehr als zehn Personen mit der automatischen Datenverarbeitung befasst sind. „Gehören da unsere 120 Übungsleiter und ihre Helfer mit den Adressenlisten dazu?“ Dazu muss sich Meier erst Rat beim Landessportverband holen.
Pünktlich werde der BTS alle DSGVO-Vorschriften umgesetzt haben. Den großen Gewinn für den Datenschutz sieht er darin aber nicht. „Wir haben bisher schon sehr auf Datenschutz geachtet. Den Zusatzaufwand hätte es nicht gebraucht.“
Datenschutz-Anforderungen an Vereine
- Benennung eines Datenschutzbeauftragten, wenn zehn Personen oder mehr regelmäßig mit personenbezogenen Daten umgehen.
- Vereine, die regelmäßig Mitgliedsverzeichnisse verwalten und Beiträge abrechnen, müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen.
- Alle Mitarbeiter, die mit personenbezogenen Daten umgehen, müssen eine Datenschutzerklärung unterzeichnen.
- Vereine müssen Informationen über die Datenverarbeitung auf der Homepage und in der Satzung leicht zugänglich bereithalten. Betroffene Personen haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.
- Nach Ausscheiden eines Vereinsmitglieds müssen dessen Daten gelöscht werden. Dabei sind Aufbewahrungsfristen zu beachten.
- Für die Datensicherung sind Standardmaßnahmen ausreichend (aktuelle Betriebssysteme, Passwortschutz, regelmäßiges Back-up, Virenscanner).
- Mit externen Dienstleistern wie Buchhaltung oder Provider sind schriftliche Verträge zur Auftragsverarbeitung erforderlich.
- Relevante Datenschutzverletzungen (Hacking, Fehlversendung, Verlust unverschlüsselter Daten) müssen online dem Landesamt für Datenschutzaufsicht gemeldet werden.
Quelle: Landesamt für Datenschutzaufsicht