Aktuelles

Alle Neuigkeiten auf einen Blick.

MdL Martin Huber: Vereinen wichtige Infos zum Datenschutz mitgeteilt

Präsident der bayerischen Datenschutzaufsicht Thomas Kranig war in Altötting vor Ort

25.07.2018
Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Thomas Kranig
Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Thomas Kranig


Unter den Vereinen war große Verunsicherung wegen der neuen Regelungen der Datenschutzgrundverordnung zu spüren. Deshalb hat Landtagsabgeordneter Martin Huber zu einer Informationsveranstaltung eingeladen, bei der Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht die Details der neuen Regelungen näherbrachte.

Eingangs dankte Martin Huber den anwesenden Vereinsverantwortlichen für ihre ehrenamtliche Tätigkeit und machte deutlich, dass der Freistaat Bayern an der Seite der Vereine stehe. Mit dem Ehrenamtstelefon, der Ehrenamtskarte, dem Beauftragten für Bürokratieabbau in Bayern und der Erhöhung der Vereinspauschale in diesem Jahr unterstützt der Freistaat die Vereine in besonderem Maß.

„Gleichzeitig haben wir mit der neuen Datenschutzgrundverordnung eine neue Herausforderung. Der Freistaat Bayern möchte den Vereinen Hilfestellung leisten und hat deshalb einen „Bayerischen Weg“ zur Umsetzung beschlossen. Kein Verein, kein Handwerksbetrieb und keine Arztpraxis muss Bußgelder befürchten, wenn sie aus Unkenntnis erstmals datenschutzrechtliche Bestimmungen verletzt haben. Bei einem Erstverstoß gegen die Bestimmungen drohen also noch keine Buß-gelder. Die Bayerische Staatsregierung wird außerdem konsequent gegen Abmahnanwälte vorgehen, wenn diese meinen, wegen formeller Datenschutzverstöße rechtsmissbräuchlich abmahnen und ab-kassieren zu können. Außerdem bleiben wir mit den Vereinen und Mittelständlern im Gespräch und ich bitte Sie auch, sich jederzeit an mich zu wenden, wenn es Probleme vor Ort gibt.“, betonte Huber.

Präsident Thomas Kranig ging auf die wichtigsten Fragen der anwesenden Vereinsvertreter ein:

Für die Verarbeitung der Daten von Vereinsmitgliedern zum Zwecke der regulären Mitgliederverwaltung muss von den Mitgliedern keine Einwilligung eingeholt werden. Das Gesetz erlaubt die Verarbeitung zum Zwecke der Mitgliedschaft auch ohne Einwilligung. Die Mitglieder müssen aber bei der Erhebung ihrer Daten (d. h. grundsätzlich bei Vereinseintritt) über die Verarbeitung ihrer Daten durch den Verein informiert werden.

Auch darüber, an welche übergeordneten Verbände die Daten eventuell weitergegeben werden, ist zu informieren. Dies kann über ein extra Blatt zum Datenschutz beim Mitgliedsantrag geregelt werden.

Neumitgliedern müssen bei Erhebung Ihrer Daten, also der Regel beim Ausfüllen des Antrags, die notwendigen Informationen mitgeteilt, d. h. zur Verfügung gestellt werden, dass das Mitglied sie ohne Mühe umgehend zur Kenntnis nehmen kann. Im Onlineverfahren reicht deshalb ein Link. Im Offlineverfahren (Papierantrag) müssen die Informationen auch auf Papier zur Verfügung gestellt werden.

Einen Datenschutzbeauftragten müssen die Vereine nicht zwangsläufig bestellen. Dies ist nur dann erforderlich, wenn im Verein mindestens zehn Personen ständig, d. h. die überwiegende Zeit, die sie für den Verein aufbringen, mit der Verarbeitung von personenbezogenen Daten zu tun haben. Häufige gelegentliche Anlässe lösen noch keine Benennungspflicht aus. Im Verein können daher ohne Weiteres auch mehr als 10 Personen regelmäßig Zugriff auf die Datenbestände der Vereinsmitglieder nehmen (beispielsweise zur Organisation von wöchentlichen Proben, Trainingseinheiten, Spielen oder Veranstaltungen), ohne dass deshalb ein Datenschutzbeauftragter bestellt werden müsste, da hier zwar eine wiederkehrende und häufige, aber keine ständige Datenverarbeitung vorliegt.

Jeder Verein muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel nicht nur gelegentlich Daten verarbeitet. Muster, wie ein solches Verzeichnis aussehen kann, findet man auf unser Webseite unter den Handreichungen für Vereine und kleine Unternehmen sowie etwas umfangreicher in den offiziellen Infomaterialien.

Grundsätzlich darf ein Verein Bilder mit Personen auf der Vereinshomepage veröffentlichen. Ein Verein hat ein legitimes Interesse daran, Fotos zu veröffentlichen, um z. B. auf der Vereinshomepage über Aktivitäten zu berichten und über den Verein zu informieren. In der Regel ergeben sich daraus auch keine besonderen Beeinträchtigungen für die betroffenen Personen, d. h. die abgelichteten Spieler und Betreuer. Im Ergebnis ist die Verarbeitung von Fotos somit nach Art. 6 Abs. 1 lit. f) DS-GVO rechtmäßig. Voraussetzung ist aber eine ausreichende vorherige Information über die geplante Veröffentlichung. Fotos mit Kindern dürfen allerdings nur mit Zustimmung beider Sorgeberechtigten veröffentlicht werden.

Die Datenschutzerklärung mit Informationen zur Verarbeitung der Daten ist in zweierlei Hinsicht erforderlich. Das Mitglied muss über den Umgang mit den Daten im Zusammenhang mit Mitgliederverwaltung, Löschen usw. durch eine Datenschutzerklärung wie oben beschrieben bei Eintritt informiert werden. Diese kann auch auf der Homepage veröffentlich sein. Zusätzlich ist eine Information darüber zwingend notwendig, was mit den Daten der Nutzer auf einer Webseite geschieht. Diese Datenschutzinformation muss spezifisch auf die Funktionen der Webseite eingehen.

Bei Fotos, auf denen nicht die einzelne Person, sondern der Charakter der Veranstaltung bzw. des Spiels im Mittelpunkt steht – zum Beispiel bei einer Spielszene eines Fußballspiels – ist  keine Einwilligung der abgebildeten Personen erforderlich. Voraussetzung ist aber auch hier eine ausreichende vorherige Information über die geplante Veröffentlichung.

Zur Frage, ob ein Verein noch Vereinsinformationen per E-Mail an die Mitglieder senden darf, ist mitzuteilen, dass dies weiterhin möglich ist. Sollte keine spezielle Newsletter-Software eingesetzt werden und der Versand manuell erfolgen, ist darauf zu achten, dass die E-Mail-Adressen der Empfänger dabei immer in das „BCC“-Feld eingetragen werden. Alternativ kann auch auf andere Weise sichergestellt werden, dass die angeschriebenen Personen für die anderen Empfänger nicht sichtbar sind. Andernfalls würden beim Eintrag in das „AN“-Feld oder das „CC“-Feld personenbezogene Daten an alle übrigen Empfänger übermittelt, was ohne Einwilligung der betroffenen Personen nicht zulässig ist – dies ist unabhängig davon, ob sich manche Vereinsmitglieder ohnehin persönlich kennen oder nicht.

Bei unabsichtlichen Verstößen gegen das Datenschutzrecht, etwa durch Verlust der Daten auf einem USB-Stick oder einem Hackerangriff ist sofort nach Erkennen des Verlustes das Landesamt für Datenschutzaufsicht zu informieren. Ein Bußgeld wird bei der freiwilligen Meldung nicht erhoben.

Präsident Kranig machte deutlich, dass es ihm nicht darum gehe, möglichst hohe Bußgelder zu verhängen, sondern er die Vereine zu einem guten Umgang mit den Daten animieren und Hilfestellung leisten wolle.

Ein Musterblatt für Vereine finden Sie hier.

Dr. Martin Huber MdL

Maximilianeum
81627 München
Telefon : 089 4126 2969
Telefax : 089 4126 1969
E-Mail  : martin.huber@csu-landtag.de