Datenschutz-Seminar bei der Kolpingsfamilie Allersberg

„Personendaten nur mit schriftlicher Einwilligung erheben“

Ob Kolpingsfamilie, Frauenbund, Blaskapelle oder Tennisclub: Die ab 25. Mai geltende Europäische Datenschutzgrundverordnung (DSGVO) betrifft auch Vereine. Entsprechend lebhaft diskutierten rund 30 Vereinsvertreter beim Informationsabend im Kolpinghaus Allersberg, zu dem das Kolping-Erwachsenen-Bildungswerk Eichstätt und die Kolpingsfamilie Allersberg geladen hatten.


 „Wichtig ist für Kolpingsfamilien und andere Vereine zunächst einmal, sich klar zu werden, wer überhaupt mit welchen personenbezogenen Daten wie und zu welchem Zweck umgeht“, erläuterten die Referenten Petra Pfau und Thomas Tiedtke von der interaktiv manufaktur in Füssen. „Am besten wird das auch gleich dokumentiert.“ Den rund 30 anwesenden Vereinsvertretern aus der ganzen Region zeigte Tiedtke entsprechende Vorlagen auf der Internetseite des Bayerischen Landesamtes für Datenschutzaufsicht (https://lda.bayern.de). Dieses sogenannte „Verzeichnis von Verarbeitungstätigkeiten“ müsse im Falle einer Prüfung vorgelegt werden, betonte der Referent. Es bildet auch die Grundlage für den Auskunftsanspruch Betroffener. „Jeder hat das Recht zu erfragen: Welche Daten habt ihr von mir, was macht ihr damit?“, sagte Tiedtke. Damit Vereine Daten überhaupt erfassen und verarbeiten dürfen, müssen Mitglieder sowie haupt- und ehrenamtliche Mitarbeiter schriftlich einwilligen, z.B. im Mitgliedschaftsantrag oder bei der Anmeldung zu einer Veranstaltung. „Eine Widerspruchslösung reicht nicht“, mahnte der Referent. Ist der Zweck erfüllt, für den die Daten erhoben wurden, z.B. bei Austritt eines Mitglieds oder nach einer Veranstaltung, müssen sie wieder gelöscht oder zumindest gesperrt werden. „Also dürfen Teilnehmer einer Jugendfreizeit im Folgejahr nur dann wieder angeschrieben und eingeladen werden, wenn sie ausdrücklich zugestimmt haben“, bestätigte Tiedtke auf Nachfrage und betonte, dass auch für Fotos und Videos stets zweckgebundene schriftliche Einwilligungen einzuholen seien. Schließlich spitzte er zu: „Alles ist verboten, außer man hat eine schriftliche Einwilligung oder ein Gesetz erlaubt es.“

Wie die DSGVO im Büroalltag eingehalten werden kann, erläuterte Petra Pfau: So sollten Dokumente mit personenbezogenen Daten in Schränken nachweislich verschlossen und nicht mehr benötigte Papiere sofort vernichtet werden. Computer sind mit sicheren Passwörtern zu schützen und mit Updates auf dem technisch aktuellen Stand zu halten, auch regelmäßige Sicherungen und Daten auf Speichermedien sind zu verschlüsseln. „Tragen Sie bei mehreren Empfängern die Adressen in ‚bcc‘ ein, damit sie nicht lesbar sind, und mailen Sie nie sensible Daten“, mahnte Pfau zu besonderer Vorsicht bei E-Mails. „Pannen wie Fehler beim Versenden, Verlust, Diebstahl oder Hacking müssen dem Landesamt für Datenschutzaufsicht gemeldet werden – und zwar binnen 72 Stunden nach Bekanntwerden“, betonte die Referentin und warnte vor Diensten wie Facebook oder Dropbox, bei denen Daten in sogenannte „Drittländer“ außerhalb der EU, etwa in die USA, abwandern. Auf der Vereinswebseite muss künftig neben dem Impressum auch eine Datenschutzerklärung von allen Seiten aus direkt erreichbar sein. „Wenn Sie Ihre Homepage extern hosten lassen, schließen Sie mit dem Anbieter eine sogenannte Vereinbarung für Auftragsverarbeitung, die regelt, wie er mit Ihren Daten arbeiten darf“, empfahl Pfau. „Das gilt übrigens auch für externe Buchhalter und Steuerberater.“

Als tragenden Pfeiler, damit Kolpingsfamilien und andere Vereine ihre Mitgliedsdaten bestimmungsgemäß schützen können, sehen Tiedtke und Pfau die Schulung aller ehren- und hauptamtlichen Kräfte. „Dazu gehört auch eine schriftliche Verpflichtungserklärung, denn jeder ist persönlich verantwortlich für den Umgang mit den ihm anvertrauten Mitgliederdaten.“ Diese Verantwortung kann weder der Vorstand noch ein Datenschutzbeauftragter abnehmen, den übrigens nur Vereine benötigen, in denen mehr als zehn Personen regelmäßig mit schützenswerten Daten umgehen.

 

Stefanie Lindl-Fischer
26.04.2018