Allgemein

Zu aller erst sollen einige grundlegende Dinge erläutert werden, die im allgemeinen Ablauf beachtet werden sollten, damit Sie nicht versehentlich personenbezogene Daten preisgeben.

Eine der wichtigsten Maßnahmen ist, dass Sie dafür Sorge tragen, dass niemand ungehindert und unbefugt mitlesen kann, sei es im Büro oder auch unterwegs. Durch eine einfache Sichtschutzfolie auf Laptops oder Computern können Sie ungeliebten Mitlesern den „Garaus machen“. Denn hierdurch wird das Mitlesen durch Dritte verhindert.

Auch sollten Sie sämtliche Unterlagen (z.B Mitgliederakten) einsammeln und einschließen. Dies ist eine weitere Schutzmaßnahme vor unberechtigter Einsichtnahme durch Dritte. Generell ist es besser, die Unterlagen mit personenbezogenen Daten nie unbeaufsichtigt zu lassen, da es immer eine Möglichkeit gibt, dass Dritte unbefugt mitlesen oder die Räumlichkeiten betreten. Genauso wichtig ist die Sperrung des PCs sobald Sie diesen, und sei es nur für den Toilettengang, unbeaufsichtigt lassen.

Ein weiterer wichtiger Schutzmechanismus ist das Passwort. Dieses sollte mindestens 8 Zeichen lang sein, einen Groß- und einen Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Sie können sich eine Eselsbrücke (Merksatz) bauen, zu Informationen die nur Ihnen bekannt sind und aus den Buchstaben und Zahlen einen eigenen Code „basteln“. Beispiel: (J)eden (M)orgen (u)m (8) (f)ahre (i)ch (m)it (d)er ($)-(B)ahn = JMu8fimd$B.

Beachten Sie: Schreiben Sie Ihr Passwort niemals auf, kleben Sie es niemals irgendwo hin und geben Sie es nicht an Dritte weiter.

Verarbeitung von Daten

Zunächst müssen Verantwortliche sicherstellen, dass die Daten Ihrer Mitglieder immer aktuell sind. Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO)

Dem ist z.B. die Option, eine neue Adresse angeben zu können, dienlich. Dies ist die so genannte Richtigkeit der Daten. (Art. 16 DSGVO)

Grundsätzlich gilt im Datenschutzrecht das Prinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass niemand mit den personenbezogenen Daten eines anderen umgehen darf, wenn nicht eine ausdrückliche Erlaubnis der betroffenen Person vorliegt oder eine Rechtsgrundlage greift.

Eine weitere Ermächtigungsgrundlage ist die Wahrung berechtigter Interessen. Hierbei dürfen seitens des Verantwortlichen Daten verarbeitet werden, sofern nicht die schutzwürdigen Interessen des Betroffenen überwiegen.

Zudem darf eine Verarbeitung, unabhängig von vertraglicher oder gesetzlicher Grundlage, nur aufgrund eines konkret festgelegten Zweckes erfolgen.

Eine Weitergabe an Dritte ist unzulässig, sofern keine Einwilligung des Betroffenen vorliegt oder ein anderes Gesetz eine Übermittlung vorschreibt. Beispiel: Abgabenordnung (AO) – Übermittlung an das Finanzamt.

Weiter ist in der DSGVO die Rechenschaftspflicht verankert. Dies bedeutet, dass der Verantwortliche nachweisen muss, welche personenbezogenen Daten er verarbeitet, auf welcher Rechtsgrundlage dies geschieht, für welchen Zweck und wie lange er diese Daten noch speichern möchte/muss. Diese Verpflichtung betrifft alle Verarbeiter. (Artt. 5, 6 und 30 DSGVO)

Einwilligungserklärungen Art. 4 Abs. 11 und Art 7 DSGVO

Die Einwilligung steht als mögliche Rechtsgrundlage zur Verfügung: Eine Einwilligung kann in bestimmten Fällen die Speicherung oder Weitergabe von Daten legitimieren. Dabei werden recht hohe Anforderungen gestellt. Die einwilligende Person muss eine Einwilligung informiert, freiwillig und jederzeit widerrufbar abgeben. Im Gesundheitswesen ist beispielsweise für die Weitergabe von Daten an externe Abrechnungsstellen eine Einwilligung in vielen Fällen erforderlich.

Die Einwilligung ist nur dann wirksam, wenn sie freiwillig, also ohne Zwang abgegeben wird. Weiterhin muss sie für einen bestimmten Fall abgegeben werden, also konkretisiert werden und nicht allgemein für alle derzeitigen und zukünftigen Fälle. Die betroffene Person muss klar und verständlich informiert worden sein, dass Sie ein Widerrufsrecht hat. Zuletzt muss die Handlung, die zu einer Einwilligung führt, eindeutig sein. Diese kann insbesondere relevant werden in Fällen, in denen es keine gesetzlichen Regelungen gibt. Zu denken ist hier an eine Geburtstagsliste, o.ä.

Lassen Sie sich immer eine schriftliche Einwilligung geben, um eventuellen Ärger zu vermeiden!

Möglichkeiten eine Einwilligung einzuholen: Schriftform mit Unterschrift und elektronisch mit dem sogenannten „Double-Opt-In Verfahren“.

Der richtige Umgang mit Fotos

Gerade im Vereinswesen werden oft Fotos gemacht, da es allerlei an Veranstaltungen gibt. Gerade aus diesem Grund ist es umso wichtiger, dass Sie einen Einblick in den richtigen Umgang mit Fotos bekommen.

Ob heute digital oder damals analog, Fotos lassen sich beliebig oft und ohne Qualitätsverlust duplizieren. Dies führt dazu, dass diese im Umlauf sind und der Betroffene manchmal nicht genau weiß, wo seine Bilder überall zu finden sind.
Auch gibt es keine effektiven technischen Schutzmaßnahmen für die Betroffenen.

Von der rechtlichen Seite ist das Kunsturhebergesetz zu beachten. §22 KunstUrhG regelt hierbei, dass Bildnisse nur mit Einwilligung zur Schau gestellt werden dürfen.

Der §23 KunstUrhG regelt die Ausnahmen von dieser Regelung.

Für die Vereine gibt es keine gesonderte Regelung, es gilt das KunstUrhG. Allerdings gilt hier viel öfter die Ausnahme des § 23 KunstUrhG, da es hier sehr oft zu Fotos von Versammlungen und Aufzügen kommt. Hierbei ist nur wesentlich, dass die Personen als Teilnehmer dieser Veranstaltung zu sehen sind und somit greift die Ausnahme des §23 KunstUrhG. Diese Ausnahme greift nur dann nicht, wenn berechtigte Interessen des Abgebildeten verletzt werden. Dies kann zum Beispiel der Fall sein, wenn beim Frauenfussball das Trikot einer Spielerin zerrissen wird und ihre nackte Brust zu sehen ist. Dass dieses Bild nicht veröffentlicht werden darf, sollte auf der Hand liegen. Daraus ergibt sich, dass diskriminierende Bilder oder Videos grundsätzlich nicht veröffentlicht werden dürfen.

Im Bereich Fotos von Minderjährigen ist zu raten, stets die schriftliche Einwilligung eines Sorgeberechtigten einzuholen, dies betrifft auch Mannschaftsfotos. Ab einem Alter von 14 Jahren ist auch die Einwilligung des/der Minderjährigen erforderlich.

Der richtige Auftritt im Internet

Die Homepage muss über ein Impressum verfügen. Die folgenden Stichpunkte, welche sich nach dem § 5 TMG richtet, hilft Ihnen festzustellen, ob Ihre Homepage, das datenschutzrechtlich Notwendige enthält:

Zunächst muss das Impressum gut sichtbar und von jeder Unterseite erreichbar auf der Homepage eingebunden sein und folgende Angaben enthalten:

  • Die Kontaktdaten des Vereins
  • Die Rechtsform des Vereins
  • Den Vertretungsberechtigten und dessen Kontaktdaten
  • Bei Eintragung ins Handelsregister o.ä. die Registernummer
  • Umsatzsteueridentifikationsnummer
  • Sofern Angaben gemacht werden, Stamm oder Grundkapital bzw. Gesamtbetrag ausstehender Einlagen
  • Bei einer AG bzw. KaAG oder GmbH falls nötig Angaben über die Abwicklung

Wenn das Angebot auch journalistisch-redaktionelle Gestaltungen enthält, ist die Adresse und der Name des hierfür Verantwortlichen anzugeben. (§ 55 Abs. 2 RStV)

Zudem muss der Nutzer im Rahmen einer Datenschutzerklärung – welche separat, gut sichtbar und von jeder Unterseite erreichbar auf der Homepage eingebunden sein muss -  über Art, Umfang und Zweck der Erhebung seiner Daten aufgeklärt werden. (§ 13 TMG)

Aufbewahrung und Archivierung

In diesem Kapitel werden die generellen und spezifischen Aufbewahrungsfristen erläutert. Zunächst empfiehlt sich ein Blick in das Handelsgesetzbuch und hier in den § 257 HGB. Dieser erläutert die allgemein gültigen Aufbewahrungsfristen.

Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen und Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege) sind zehn Jahre aufzubewahren.

Die empfangenen Handelsbriefe und die Wiedergaben der abgesandten Handelsbriefe sind sechs Jahre aufzubewahren.

Weitere Aufbewahrungsfristen können sich aus der Satzung ergeben. So kann es sein, dass z.B. Protokolle grundsätzlich nicht gelöscht werden dürfen.

Informationspflichten Art. 13 und 14 DSGVO

Um dieses Thema etwas plastischer zu machen und Ihnen eine Gedächtnisstütze zu bieten, können Sie sich folgenden Schlagsatz als Eselsbrücke merken: Sie haben das Recht zu erfahren „wer, was, wann und bei welcher Gelegenheit über Sie weiß.“

Die bisherige Rechtslage hat die Informationspflichten bislang im BDGS und weiteren Gesetzen geregelt. Die Erhebung der Daten beim Betroffenen richtete sich nach §4 Abs. 3 BDSG, ohne dessen Kenntnis nach §33 BDSG. Weitere Regelungen befinden sich im TMG.

Die neue Rechtslage regelt in den Art. 13 und 14 DSGVO die Informationspflichten und ist dabei um einiges umfangreicher. Es wird zwischen der Erhebung direkt beim Betroffenen (Art. 13 DSGVO) und dem Umstand, wenn die Erhebung nicht direkt beim Betroffenen erfolgt (Art. 14 DSGVO) unterschieden.

Lassen Sie uns zunächst die Direkterhebung ansehen, also Art. 13 DSGVO.

Wenn personenbezogene Daten beim Betroffenen erhoben werden, so muss der Verantwortliche dem Betroffenen folgende Informationen mitteilen:

Es ist über Namen und Kontaktdaten des Verantwortlichen sowie über die Daten seiner Stellvertreter zu informieren. Artikel 27 DSGVO regelt diesen Fall, falls der Verantwortliche nicht in der EU niedergelassen ist.

Auch müssen die Kontaktdaten des Datenschutzbeauftragten bekannt sein.

Die Verarbeitungszwecke sowie die Rechtsgrundlage auf welche die Verarbeitung gestützt wird, müssen offengelegt werden. Dies führt dazu, dass der Betroffene umfänglich über den Erlaubnisbestand aufgeklärt wird. Hier sollten Sie in der Praxis reagieren und in sämtliche Vorlagen, welche Sie verwenden um eine Einwilligung zur Datenverarbeitung zu erlangen, die jeweilige Rechtsgrundlage aufnehmen und den Betroffenen vollumfänglich, schriftlich aufklären. An dieser Stelle können Sie auch ein berechtigtes Interesse mit erläutern (z.B. die Abrechnung), da eine Erläuterung dieses Zwecks im Rahmen der Informationspflichten ohnehin unerlässlich ist.

Sie müssen zumindest die Kategorie des Empfängers angeben können, denn eine Information hierüber unterliegt auch den neuen Informationspflichten. Diese Daten können und sollten Sie auch auf Ihren Vorlagen abbilden, denn so sind Sie auf der sicheren Seite und können nachweisen, dass Sie die Mitglieder informiert haben.

Darüber hinaus muss der Betroffene über die Dauer der Speicherung und seine Rechte als Betroffener informiert werden. Grundsätzlich ist die Dauer der Speicherung konkret anzugeben, nur wenn dies dem Verantwortlichen nicht möglich ist, genügt es Kriterien anzugeben, welche die Festlegung der Dauer ermöglichen.

Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, muss dieser darüber aufgeklärt werden, dass er die Einwilligung jederzeit widerrufen kann.

Auch auf das Beschwerderecht gemäß § 77 DSGVO ist zu verweisen.

Der Verantwortliche muss die Betroffenen darüber aufklären, ob die Verarbeitung gesetzlich oder vertraglich vorgeschrieben ist, für einen Vertragsschluss oder sonstige Verpflichtungen notwendig ist.

Bitte bedenken Sie, dass der Betroffene zum Zeitpunkt der Erhebung zu informieren ist.