Worauf sollten Funktionäre beim Umgang mit personenbezogenen Daten achten?
Nicht nur Unternehmen und Behörden, auch Vereine müssen die gesetzlichen Vorgaben zum Datenschutz einhalten. Die wichtigste rechtliche Grundlage für den Datenschutz im Verein bildet in Österreich das Datenschutzgesetz 2000 (DSG). Mit der Datenschutzgrundverordnung (DSGVO) soll in allen EU-Mitgliedsländern das Datenschutzrecht harmonisiert werden. In diesem Beitrag werden die wichtigsten Vorgaben zum Datenschutz im Verein erläutert.
Rechtlicher Rahmen
Das DSG 2000 beziehungsweise die DSGVO regelt genau, was ein Verein bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten beachten muss. Unter personenbezogenen Daten versteht der Gesetzgeber nicht nur Angaben zur Person (zum Beispiel Name, Adresse, Geburtsdatum), sondern auch weitere Informationen wie Wettkampfergebnisse, Mitgliedschaften in Organisationen oder persönliche Interessen. Verantwortlich für die Einhaltung der Datenschutzvorgaben ist der Vereinsvorstand. Er muss dafür sorgen, dass das Persönlichkeitsrecht der Mitglieder angemessen berücksichtigt wird.
Erheben personenbezogener Daten
Die meisten Vereine erhalten personenbezogene Daten durch den Mitgliedsantrag oder durch Anmeldeformulare zu Wettkämpfen oder einer Fortbildung. Welche Daten durch den Verein erhoben werden, hängt von den Vereinszielen ab. Diese sollten verständlich in der Vereinssatzung festgelegt sein. Möchte ein Verein zusätzlich weitere Informationen wie zum Beispiel persönliche Interessen erfahren, muss auf dem Aufnahmeantrag klar erkennbar sein, welche Angaben freiwillig sind und zu welchem Zweck diese Daten erhoben und genutzt werden. Am besten händigen Sie eine datenschutzrechtliche Belehrung aus, die darüber Auskunft gibt, welche Daten zu welchem Zweck erhoben, gespeichert und genutzt werden.
Verarbeiten und Nutzen der Daten durch den Verein
Mit Verarbeiten meint der Gesetzgeber das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten. Unter die Nutzung fällt zum Beispiel die Datenweitergabe innerhalb des Vereins im Vorstand oder wenn der Verein die Daten extern verwalten lässt. Generell gilt, dass jeder Funktionsträger im Verein nur entsprechend seiner Aufgaben auf die erforderlichen Mitgliederdaten Zugriff haben darf.
Veröffentlichungen im Internet und von Fotos
Bei Veröffentlichungen im Internet macht der Gesetzgeber klare Vorgaben: Jede Veröffentlichung von personenbezogenen Daten im Internet durch einen Verein ist grundsätzlich erstmal unzulässig – es sei denn, der Betroffene hat sich ausdrücklich damit einverstanden erklärt.
Dennoch gibt es einige Ausnahmen zu dieser Regelung. So ist die Veröffentlichung von allgemein zugänglichen Daten erlaubt, wenn es keine besonderen schutzwürdigen Interessen des Betroffenen gibt. Das heißt konkret: Ein offizielles Fußballspiel ist ein öffentliches Ereignis, über das auch die Lokalpresse berichtet. Daher dürfen Sie beispielsweise personenbezogene Informationen zur Mannschaftsaufstellung veröffentlichen. Diese Daten müssen aber nach angemessener Zeit gelöscht werden. Ähnlich verhält es sich beim Verwenden von Videos und Fotos. Diese dürfen ohne ausdrückliche Erlaubnis des Betroffenen nicht veröffentlicht werden, da ansonsten ein Eingriff in das Persönlichkeitsrecht vorliegt.
Wann ist ein Datenschutzbeauftragter nötig?
Der Vorstand muss einen Datenschutzbeauftragten bestellen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Es ist aber in jedem Fall ein Datenschutzbeauftragter zu benennen, wenn Angaben beispielsweise zur Gesundheit oder politischen Meinung oder zur Bewertung der Person erfasst werden. Genau wie bei Unternehmen wirkt ein Datenschutzbeauftragter im Verein auf die Einhaltung der Vorschriften hin.
Was müssen Vorstände beachten?
Zusammenfassend ergeben sich für den Vorstand folgende Grundregeln für den Umgang mit personenbezogenen Daten:
- Verwenden Sie personenbezogene Daten nur für vereinsinterne Zwecke gemäß der Vereinssatzung.
- Geben Sie die Daten nicht an Dritte weiter – es sei denn, Sie haben die schriftliche Einwilligung der betroffenen Person.
- Beschränken Sie den internen Zugriff auf personenbezogene Daten.
- Halten Sie die IT aktuell und orientieren Sie sich an den üblichen Sicherheitsstandards (Firewall, Virenscanner, passwortgeschützter Zugang, evtl. Festplattenverschlüsselung).