Datenschutzverordnung ärgert Vereine

„Mich ärgert, wie das gelaufen ist“, sagt Bernd Meier, Geschäftsführer bei der Bayreuther Turnerschaft (BTS), dem mit fast 3000 Mitgliedern größten Sportverein der Stadt. Seit zwei Jahren gebe es die Verordnung, aber erst vor vier Wochen habe der Bayerische Landessportverband eine erste Fortbildung angeboten, an der er teilgenommen habe. 40 bis 50 Arbeitsstunden habe er seitdem ehrenamtlich investiert, um die erforderlichen Umstellungen beim BTS vorzubereiten. „Ich hätte gern mehr Zeit dafür gehabt“, sagt Meier.

"Umsetzung ist Wahnsinn"

Als „Skandal“ bezeichnet Norbert Hübsch, Vorsitzender des Historischen Vereins für Oberfranken, „dass man so etwas den Bürgern auflädt“. Mehr Verständnis äußert Stephan Jöris, Vorsitzender von Focus Europa, ein Verein, der sich „Kunst ohne Grenzen“ auf die nunmehr kritisch beäugte Homepage geschrieben hat. „Es ist sinnvoll, Daten und Bilder zu schützen.“ Aber: „Die Umsetzung ist Wahnsinn. Selbst Anwälte, die sich schon länger mit so etwas beschäftigen, wissen nicht, wohin sich das entwickelt.“ Ebenso wie Hübsch argwöhnt Jöris, dass Abmahnungshaie von der Neuerung profitieren könnten.

Zuhörer nicht informiert

Knapp wird die Zeit für die Vereinsvertreter, die sich erst in der vergangenen Woche bei einer Veranstaltung der Hanns-Seidel-Stiftung in Altenplos darüber informierten, was sie noch alles zu erledigen haben. Rund 130 Zuhörer waren da, der Raum überfüllt. Referent war der Bayreuther Rechtsanwalt Jens Bernsdorf. „Die Zuhörer waren bis dahin überhaupt nicht informiert“, sagt er dem Kurier. Darüber zum Beispiel, dass sie künftig ein Verzeichnis führen müssen, wer im Verein was bei der Verarbeitung – also Erheben, Speicherung und Übermittlung – persönlicher Mitglieder-Daten macht; oder darüber, dass sie künftig nur Daten speichern dürfen, die sie unbedingt brauchen; oder darüber, dass sie ihre Daten ausreichend vor Hackern, vor Verlust durch Unglücksfälle und vor Einbrechern schützen müssen. Und dass der Schutz umso wirksamer sein muss, je sensibler die Daten sind. Also bei Selbsthilfegruppen Kranker stärker als bei einem Kegelclub.

1000 Anfragen pro Tag

Wie groß die Unsicherheit ist, bekommt auch das zuständige bayerische Landesamt für Datenschutzaufsicht in Ansbach zu spüren. Wer dort Rat sucht, braucht unter Umständen Geduld. Wegen der vielen Anfragen sind die Telefone nur an einigen Stunden besetzt, ansonsten verweist der Anrufbeantworter auf Informationen des Amts im Internet (https://www.lda.bayern.de). „Gefühlt erreichen uns derzeit 1000 oder mehr Anfragen zu dem Thema“, antwortet Behördenchef Thomas Kranig dem Kurier.

Große Furcht vor Abmahnspezialisten

Vereinen, die nachhaltig und vorsätzlich gegen die Bestimmungen verstoßen, droht nach Auskunft Kranigs ein Bußgeld. Wobei tatsächlich die größere Gefahr von Abmahnvereinen oder -anwälten ausgehe, warnt Rechtsanwalt Bernsdorf. Die Behörden würden die Umsetzung der Vorschriften bei Vereinen eher locker nehmen, da diese in erster Linie für Unternehmen gemacht seien – allerdings fallen die Vereine nach europäischem Recht unter den Unternehmensbegriff. Wenn allerdings ein Verein zu Recht wegen Datenschutzverstößen abgemahnt werde, könne ein hoher dreistelliger bis niedriger vierstelliger Betrag fällig werden, sagt Bernsdorf. Der Anwalt rät, vor allem den öffentlich sichtbaren Internetauftritt pünktlich auf den rechtlich erforderlichen Stand zu bringen, indem dort auf die Datenschutzbestimmung verwiesen wird. „Da reicht eine Standardbelehrung, der Aufwand dafür ist nicht riesig.“

Ein Riesenaufwand

Bernd Meier allerdings spricht von einem „Riesenaufwand“, denn er hat sich nicht nur um den Internetauftritt des BTS zu kümmern. „Wir müssen zum Beispiel jedes der knapp 3000 Mitglieder informieren, welche Daten über ihn gespeichert sind, und abfragen, ob Bilder von Sportlern im Internet gezeigt werden dürfen“, sagt er. Bei vielen gehe das per Mail, aber rund 1000 vor allem ältere Mitglieder werden per Brief informiert. Für die Abbildung von Kindern müsse das Einverständnis der Eltern vorliegen, wobei zu unterscheiden sei, ob es sich zum Beispiel um eine Spielszene im Hockey mit vielen Spielern oder um Einzelbilder handle. „Das wird ein bisschen kompliziert, im Zweifelsfall werden wir künftig lieber weniger Bilder zeigen.“

Rechtsunsicherheit

„Die Rechtsunsicherheit ist ein Problem“, sagt Meier. Was passiert zum Beispiel, wenn ein ehemaliges Mitglied die Löschung aller Bilder aus dem Internet verlangt, obwohl diese möglicherweise bereits geteilt und auf anderen Rechnern gespeichert sind? „Ich weiß nicht, ob der Verein dafür zur Verantwortung gezogen werden kann“, räumt Meier ein. Oder ob der Verein einen eigenen Datenschutzbeauftragten braucht? Das ist immer dann nötig, wenn mehr als zehn Personen mit der automatischen Datenverarbeitung befasst sind. „Gehören da unsere 120 Übungsleiter und ihre Helfer mit den Adressenlisten dazu?“ Dazu muss sich Meier erst Rat beim Landessportverband holen.

Pünktlich werde der BTS alle DSGVO-Vorschriften umgesetzt haben. Den großen Gewinn für den Datenschutz sieht er darin aber nicht. „Wir haben bisher schon sehr auf Datenschutz geachtet. Den Zusatzaufwand hätte es nicht gebraucht.“

Datenschutz-Anforderungen an Vereine

• Benennung eines Datenschutzbeauftragten, wenn zehn Personen oder mehr regelmäßig mit personenbezogenen Daten umgehen.
• Vereine, die regelmäßig Mitgliedsverzeichnisse verwalten und Beiträge abrechnen, müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen.
• Alle Mitarbeiter, die mit personenbezogenen Daten umgehen, müssen eine Datenschutzerklärung unterzeichnen.
• Vereine müssen Informationen über die Datenverarbeitung auf der Homepage und in der Satzung leicht zugänglich bereithalten. Betroffene Personen haben das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.
• Nach Ausscheiden eines Vereinsmitglieds müssen dessen Daten gelöscht werden. Dabei sind Aufbewahrungsfristen zu beachten.
• Für die Datensicherung sind Standardmaßnahmen ausreichend (aktuelle Betriebssysteme, Passwortschutz, regelmäßiges Back-up, Virenscanner).
• Mit externen Dienstleistern wie Buchhaltung oder Provider sind schriftliche Verträge zur Auftragsverarbeitung erforderlich.
• Relevante Datenschutzverletzungen (Hacking, Fehlversendung, Verlust unverschlüsselter Daten) müssen online dem Landesamt für Datenschutzaufsicht gemeldet werden.

Quelle: Landesamt für Datenschutzaufsicht