DSGVO

DSGVO - Was ist das eigentlich?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Die DSGVO trat eigentlich schon am 25. Mai 2016 in Kraft. Die EU-Mitgliedstaaten müssen aber die Datenschutzgrundverordnung erst ab dem 25. Mai 2018 anwenden.

Das Datenschutzrecht wird durch zahlreiche Prinzipien bestimmt, die sogar gesetzlich verankert sind und deren Einhaltung unter Umständen nachgewiesen werden muss. Die wichtigsten Grundprinzipien für die Verarbeitung von personenbezogenen Daten sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Was verlangt die DSGVO von einem Sportverein?

Im Sportverein werden vielfach Daten mit Bezug zu Personen verarbeitet. Seien es die erforderlichen Daten bei Aufnahme in den Verein, die Ergebnisse von Wettkämpfen, die Teilnehmer- oder Telefonlisten, bis hin zu Redebeiträgen in Protokollen oder Ehrungen auf einer Mitgliederversammlung: stets handelt es sich um personenbezogene Daten.

Durch das Inkrafttreten der DSGVO werden die wesentlichen datenschutzrelevanten Bestimmungen vom Bundesdatenschutzgesetz (BDSG) in die DSGVO verlagert. Der Verein, als die für Beachtung des Datenschutzes verantwortliche Stelle, wird sich in erster Linie an der DSGVO zu orientieren haben. Für Sportvereine werden im Wesentlichen nur noch die Regelungen zur Videoüberwachung und zur Bestellung eines Datenschutzbeauftragten im BDSG von Bedeutung sein. Alles andere ist der (neuen) DSGVO zu entnehmen.

Da in Deutschland traditionell ein hohes Datenschutzniveau und ein ausdifferenziertes Regelwerk gelten und die Systematik der neuen EU-Regelungen sich daran orientieren, wird sich grundlegend nicht viel ändern. Seien es die Grundlagen für die Datenverarbeitung (zum Beispiel aufgrund gesetzlicher Generalklausel oder Einwilligung der Betroffenen), die Grundprinzipien (zum Beispiel Datensparsamkeit, Zweckbindung, Transparenz), die technischen und organisatorischen Maßnahmen oder die Rechte der betroffenen Personen: Wer sich bereits bislang mit dem Datenschutz beschäftigt hat, dem wird vieles bekannt vorkommen.

Was sich zB nicht ändert:

  • Bei dem Erwerb der Mitgliedschaft handelt es sich um einen Vertragsschluss zwischen dem Verein und dem aufzunehmenden Mitglied. Insofern dürfen bereits alle Daten erhoben, verarbeitet und unter Umständen an Dritte weitergegeben werden, soweit dies für die Durchführung des Mitgliedschaftsverhältnisses erforderlich ist
  • Eine rechtliche Verpflichtung zur Verarbeitung von personenbezogenen Daten ist bei gemeinnützigen Sportvereinen zum Beispiel gegeben, wenn Spendenbescheinigungen ausgestellt werden. Auf der Zuwendungsbestätigung sind nach §50 der Einkommensteuer-Durchführungsverordnung Name und Anschrift des Zuwendenden anzugeben
  • Bei Teilnahme an Regatten muss auch weiterhin eine Einwilligung in die Speicherung und Nutzung von (zusätzlichen) personenbezogenen Daten abgegeben werden

Was ändert sich für Bestandsmitglieder?

Für Euch als (bisherige) Mitglieder ändert sich nicht allzu viel:

  • Alle Bestandsmitglieder werden über die neue Datenschutzerklärung informiert (u.a. durch Aushang, Newsletter, eMail, Post)
  • Jeder kann der neuen Datenschutzerklärung, bzw. einzelnen Klauseln der Datenschutzerklärung, z.B. der Nutzung der E-Mail-Adresse für die vereinsinterne Kommunikation oder der postalischen Zusendung von Publikationen schriftlich innerhalb von 3 Wochen ab Zugang widersprechen
  • Soweit nach Ablauf der gesetzten Frist kein Widerspruch eingegangen ist, wird dies als Einwilligung in die neue Datenschutzerklärung gewertet

Wir möchten Euch dringend darauf hinweisen, dass alle Mitglieder vom Vorstand und Funktionsträgern zur Verwirklichung des Satzungszwecks jederzeit kontaktiert werden dürfen und dass die Nutzung der personenbezogenen Daten des berechtigten Interesses des Vereins dient. Ein Widerspruch zur Speicherung und Verarbeitung der eigenen Daten verhindert in der Realität die Mitgliederverwaltung (Beitragseinzug, Verbandsmeldungen, etc.) und müsste konsequenterweise mit dem Austritt aus dem Verein einhergehen.

Den neuen Regatta-Ausschreibungen ist ein separater Datenschutzhinweis beigefügt, denn für die Meldung zu einer Regatta sind weitere personenbezogene Daten anzugeben, die nicht durch unsere allgemeine Datenschutzerklärung abgedeckt sind, bspw. bei Seglern der Bootstyp und die Segelnummer. Außerdem werden bei Regatten häufig Zielfotos geschossen zur optischen Auswertung.

Was ändert sich für Neumitglieder?

Neumitglieder werden im angepassten Aufnahmeantrag auf die neue Datenschutzerklärung hingewiesen und müssen dreifach unterschreiben:

  • Einwilligung in die Speicherung und Verarbeitung personenbezogener Daten
  • Einwilligung zur Kontaktaufnahme (per Email und Telefon)
  • Einwilligung in die Verwendung von Bildmaterial

Die Annahme eines Aufnahmeantrags seitens des Vereins stellt einen Vertragsschluss dar. Die DSGVO sieht "weitere Tatbestände" vor, bei deren Vorliegen personenbezogene Daten verarbeitet werden können, auch ohne dass eine Einwilligung der jeweiligen Person vorliegen muss. Für die Vereinsarbeit am bedeutsamsten sind die Folgenden:

  • zur Erfüllung eines Vertrages (Artikel 6 Absatz 1 b) DSGVO)
  • zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Absatz 1 c) DSGVO)
  • zur Wahrung der berechtigten Interessen (Artikel 6 Absatz 1 f) DSGVO).

Welche personenbezogenen Daten das im Einzelnen sind, hängt von den Rahmenbedingungen ab. Jedenfalls handelt es sich regelmäßig um Vor- und Nachname, Geschlecht, Anschrift, Geburtsdatum.

Welche Rechte habe ich?

Ein effektiver Schutz der Daten kann nur gewährleistet werden, wenn den betroffenen Personen entsprechende Rechte eingeräumt werden. So sieht die DSGVO zahlreiche Rechte vor, die die betroffene Person (Mitglieder) gegenüber dem Verantwortlichen (MRSV) geltend machen kann:

  • das Recht auf Auskunft (Artikel 15 DSGVO)
  • das Recht auf Berichtigung (Art. 16 DSGVO)
  • das Recht auf Löschung („Recht auf Vergessen werden“; Artikel 17 DSGVO)
  • das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
  • das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
  • das Widerspruchsrecht (Artikel 21 DSGVO)
  • das Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77 DSGVO)
  • das Recht auf Schadensersatz (Artikel 82 DSGVO).

Bezüglich aller Punkte wenden sich die Mitglieder bitte persönlich an uns z.B. Telefon, Brief oder Email (sekretariat@mrsv-bayern.de).

Was hat der MRSV umgesetzt?

Für den Vorstand und alle Funktionsträger kamen bzw. kommen sowohl in der Vorbereitung auf die DSGVO als auch in Durchführung des neuen Datenschutzrechts erhebliche Mehraufwände zu. Die Vorbereitung war geprägt durch das Erstellen einer neuen Datenschutzerklärung, der Verpflichtung aller Funktionsträger darauf, der Anpassung der Vereinssatzung, der Änderung diverser Dokumente, der Erstellung von Verfahrensverzeichnissen, der vertraglichen Vereinbarung mit sog. Auftragsdatenverarbeitern, etc... In der Durchführung wird das Hauptaugenmerk darauf liegen, alle Vorschriften und insbesondere individuelle Widerrufe (zB von Bildrechten) zu berücksichtigen.

Zur Vorbereitung auf die neuen Richtlinien der DSGVO hat der MRSV folgende Maßnahmen ergriffen:

  1. Eine neue Datenschutzklausel für die Vereinssatzung wurde erstellt; die Vereinssatzung wird entsprechend angepasst
  2. Eine neue Datenschutzerklärung wurde erstellt und ist (nur) für Neumitglieder zu unterzeichnen
  3. Der Aufnahmeantrag wurde um die Einwilligung zum Datenschutz angepasst
  4. Eine neue Datenschutzerklärung für die Webseite wurde erstellt und veröffentlicht
  5. Alle Vorstände und Funktionsträger wurden bzw. werden auf den neuen Datenschutz verpflichtet
  6. Die Bestandsmitglieder wurden bzw. werden informiert
  7. Auftragsdatenverarbeitungsverträge mit Partnerunternehmen wurden bzw. werden geschlossen
  8. Ein Verarbeitungsverzeichnis wurde erstellt
  9. Technische und organisatorische Maßnahmen wurden ergriffen
  10. Alle Regatta-Ausschreibungen wurden angepasst und ein neuer Datenschutzhinweis für Regatten erarbeitet
  11. Die Mitgliederliste mit Adressen und Telefonnummern wurde aus dem internen Bereich entfernt
  12. Die Vereins-Webseite wurde angepasst bzw. ergänzt

Die Benennung eines Datenschutzbeauftragten ist für den MRSV nicht notwendig. Nach den Regelungen des BDSG wäre dies nur verpflichtend, sofern "in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind", was auf uns nicht zutrifft.