DSGVO für Vereine – was muss beachtet werden?
Auch Vereine müssen alle Personendaten erfassen, schützen und gegebenenfalls offen legen. Foto: pixabay
Seit ein paar Tagen haben wir die DSGVO. Sie soll eine Vereinheitlichung der Verarbeitung von personenbezogenen Daten in den EU-Mitgliedsstaaten gewährleisten. Auch Vereine und Freischaffende müssen sich daran halten. Was bedeutet das genau?
Das Vereinsleben ist turbulent genug und ehrenamtliche Helfer sowieso knapp. Und dann noch die DSGVO! Nicht wenige haben gestöhnt in den letzten Tagen: Muss das jetzt auch noch sein? Wie wichtig ist das für uns kleine Vereine und freischaffende Künstler? Haben wir nicht vielleicht eine Schonfrist, drückt man vielleicht ein Auge zu? Der Countdown hat getickt und nun ist er vorüber. Viel Gerede ist im Umlauf und niemand weiß Genaues.
Es ist für alle gleichermaßen verwirrend und auch ein Stück beängstigend. Kaum jemals zuvor ist ein Gesetz in Kraft getreten mit derartig weitreichenden Folgen bei gleichzeitiger totaler Ahnungslosigkeit. Wer hat schon die gesamte DSGVO gelesen – und verstanden? Wir haben einmal recherchiert und wollen hier erklären, warum es auch die kleinen Vereine betrifft und was konkret umzusetzen ist.
Für wen gilt die DSGVO?
Ganz klar, Vereine sind nicht ausgeklammert. Die DSGVO gilt für alle in der EU ansässigen privaten Unternehmen sowie Niederlassungen, Freiberufler, Vereine und öffentlichen Stellen, unabhängig von ihrer Größe. Das Ziel der Datenschutz-Grundverordnung DSGVO ist die Vereinheitlichung der Verarbeitung von personenbezogenen Daten in den EU-Mitgliedsstaaten. Diese Daten umfassen Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kontodaten, Standortinformationen und IP-Adressen. Auch bei Fotos, die Sie auf der Webseite posten, muss die Zustimmung vorliegen. Lassen Sie beispielsweise Ihre Vorstandsmitglieder und Helfer, die auf der Website abgebildet sind, eine Erklärung unterschreiben.
Allgemeine Grundsätze DSGVO, die auch Vereine einhalten müssen
Wer oben aufgeführte Daten nutzt oder verarbeitet, ist per DSGVO verpflichtet, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das beginnt beim harmlosen Newsletter, der über die Aktivitäten des Vereins informiert. Er basiert auf Personendaten und setzt sich beispielsweise aus Mitgliederdaten und Daten von Freunden, Nachbarn und der Familie zusammen. Alle diese Daten sind gemeint. Auch alle Daten der Vorstandsmitglieder und ehrenamtlichen Hilfen. Wer in seinem Verein nach solchen Daten sucht, hat schnell das Gefühl, eine Büchse der Pandora zu öffnen.
Die DSGVO trifft auch Vereine und Freischaffende. Foto: pixabay
Die Telefonnummer und Emailadresse vom Huber Schorsch, der beim Vereinsfest grillt, zählt ebenso wie die Daten vom Referenten, der zum Vortrag eingeladen wird. Egal, ob der Verein die Personendaten in einem Karteikasten oder, was wahrscheinlicher ist, im Computer führt, hier möchte die DSGVO, dass Sie diese Daten genau erfassen, schützen und bei Bedarf offenlegen. Vermutlich hat der Verein auch eine Webseite, einen elektronischen kreierten Newsletter und informiert über das Vereinsleben auf verschiedenen Social Media Kanälen. Wenn Sie bis jetzt noch nicht alles mit der Lupe gecheckt und in Ordnung gebracht haben: Ärmel aufkrempeln, jetzt geht es los!
- Prüfen Sie alle eingesetzten Systeme und Dienste bezüglich ihrer Vertraulichkeit, Integrität und Belastbarkeit.
- Gewährleisten Sie, dass nach einem technischen Zwischenfall alle Daten und Zugänge umgehend wiederherstellbar sind.
- Verschlüsseln und pseudonymisieren Sie alle personenbezogenen Daten.
- Über alle getroffenen Maßnahmen müssen Sie jederzeit Nachweise erbringen können – auch hinsichtlich der Auftragsdatenverarbeitung. Das ist die umfangreichste Arbeit, die auf Sie zukommt. Halten Sie daher alles schriftlich fest.
Von allen Menschen, mit deren Daten Sie arbeiten, muss die schriftliche Zustimmung zur Datenverarbeitung vorliegen. Außerdem haben diese das Recht, jederzeit Auskunft darüber zu erhalten, ob und wie ihre personenbezogenen Daten verarbeitet werden sowie eine Zusicherung, dass diese auf Wunsch gelöscht werden.
Datenschutzerklärung, Impressum & Co.
Auch die Rechtstexte auf der Website müssen DSGVO-konform angepasst werden. Überarbeiten Sie das Impressum. Es muss als eigenständiger Link von jeder Inhaltsseite aus erreichbar sein. Das Gleiche gilt für Ihre neue Datenschutzerklärung. Falls Ihr Verein auf der Website einen kleinen Onlineshop betreibt, müssen Sie AGBs erstellen, die ebenfalls von allen Seiten als eigenständiger Link erreichbar sein müssen. Am einfachsten lassen sich diese Rechtstexte von Generatoren erstellen, beispielsweise diesem DSGVO Datenschutzgenerator. Passen Sie die Texte jeweils auf Ihre Bedürfnisse an.
Haben Sie schon Ihre Analysetools gecheckt?
Wer für die Auswertung seiner Website-Reichweite ein Analysetool wie Google Analytics, Piwik oder eTracker nutzt, muss die IP-Adressen der Nutzer anonymisieren. Das war übrigens schon vor der Datenschutz-Grundverordnung so. Wie man übrigens Google Analytics mit WordPress verbindet, ist in einem Artikel von Elbnetz zusammengefasst.
Was ist bei Newsletter oder Online-Fanshop zu beachten?
Bei Erhebung von Daten über ein Kontaktformular müssen die Daten mithilfe einer SSL Verschlüsselung vor Zugriffen Dritter geschützt werden. Das betrifft Onlineshop wie Newsletter gleichermaßen. Ebenfalls verschlüsseln muss, wer einen Log-in-geschützten Bereich eingerichtet hat, der das Kommentieren von Blogbeiträgen erlaubt oder eine Art Intranet führt.
Facebook, Twitter & Co.
Auch Vereine, die Social-Media-Plug-ins auf ihren Websites integriert haben, müssen künftig SSL-verschlüsselt arbeiten. Jonas Tietgen von den wp Ninjas hat eine Liste zusammengetragen, welche Plug-ins DSGVO kompatibel sind. Lassen Sie sich von Ihrem Webmaster oder einem talentierten Vereinsmitglied helfen. Es klingt kompliziert und ist immerhin tatsächlich nicht ganz ohne.
Re-Opt-in für Newsletterempfänger?
Viele Versender von Newslettern verschicken derzeit schnell noch sogenannte Re-Opt-In-Mailings, in denen sie sich der Erlaubnis versichern, den Newsletter an die Adressaten weiterhin verschicken zu dürfen. Das ist nicht ganz umstritten. Denn damit wird kommuniziert, dass eigentlich davon ausgegangen wird, keine Einwilligung zu haben. Strenggenommen ist dieses Mailing also bereits Werbung, für die es eine Einwilligung bräuchte.
Gab es bereits eine gültige Einwilligung nach BDSG, ist dies auch für die Zukunft nach DSGVO ausreichend. Gab es diese Einwilligung nicht, ist das mit der DSGVO der gleiche Verstoß wie zur Zeit des BDSG. Faktisch dürfen, wie zuvor schon, nur Adressen für Newsletter verwendet werden, deren Personen schriftlich per Double-Opt-in ihre Einwilligung gegeben haben. Diese schriftliche Einwilligung muss nachweisbar sein. Aber wir alle wissen, wie das oft ist: Viele Freunde, Kollegen und Bekannte bekommen einen Newsletter zugeschickt. Streng genommen müssen all diese Newsletter-Empfänger aktiv zustimmen, auch wenn danach der Newsletter nur noch aus einem Drittel der Datei besteht.
Datenschutzerklärung der ehrenamtlichen Mitarbeiter
Laut Gesetz muss jeder Mitarbeiter bei Aufnahme seiner Tätigkeit auf das Datengeheimnis nach § 5 BDSG verpflichtet werden. Das betrifft auch die ehrenamtlichen Mitglieder des Veinsvorstandes und alle anderen Helfer, die mit Personendaten arbeiten, beispielsweise beim Versenden des Newsletters mithelfen. ActiveMind stellt kostenlose Mustervorlagen für die Verpflichtungserklärung und Vertraulichkeitserklärung von Mitarbeitern, externen Dienstleistern und ehrenamtlichen Hilfen zur Verfügung. Alle Mitarbeiter, die mit Daten in Berührung kommen, müssen eine solche Erklärung unterschreiben.
Verzeichnis der Verarbeitungstätigkeiten erstellen
Hier kommt allerdings noch einmal ein großer Batzen Arbeit! Die Nachweis- und Dokumentationspflicht steht bei der DSGVO im Vordergrund. Daher ist es notwendig, alle erhobenen personenbezogenen Daten zu dokumentieren. Dieses „Verarbeitungsverzeichnis“ umfasst alle Daten, die gesammelt und gespeichert werden. Muster und Vorlagen Verzeichnis von Verarbeitungstätigkeiten finden Sie bei WKO. Wenn Sie all das geschafft haben, sind Sie auf der sicheren Seite. Viel Arbeit? Ja, das stimmt. Trotzdem hilft es nicht, den Kopf in den Sand zu stecken. Packen wir es an! Schließlich sind wir Ehrenamtlichen und Freiberufler doch wirklich fleißig und engagiert, nicht wahr?
Hier geht es zu Datenschutzerklärung von KulturVision e.V.