Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der EU nach Ende einer Übergangsphase uneingeschränkt in Kraft. Vielleicht habt ihr davon gehört, sicher aber eine Reihe von E-Mails und Briefen bekommen, in denen Firmen und Institutionen auf ihre neuen Datenschutzregeln hingewiesen haben. Teilweise solltet ihr diesen zustimmen, meistens aber auch nicht.
Die DSGVO gilt für alle die Daten sammeln und speichern und verarbeiten, sei es elektronisch oder auch in Karteikästen. Vielleicht sollte es einmal Ausnahmen für kleinere Unternehmen und Vereine geben, de facto ist das aber nicht der Fall: die Anforderungen etwa an den Fantasy Club e.V. sind die gleichen wie die an Facebook & Co. Dafür lassen sich die Macher der Verordnung feiern, vor allem etwa der GRÜNE Jan Albrecht, für 600.000 Vereine in Deutschland bedeutet es aber einen deutlichen Mehraufwand. Vielleicht jetzt kurz und einmalig, eventuell aber auch langfristig.
Mit diesem Schreiben möchte ich Euch darüber informieren, wie wir vom Vorstand des Fantasy Club e.V. mit der DSGVO umgehen. Wir orientieren uns dabei an den Handreichungen der Landesdatenschutzbeauftragten aus Bayern und Baden-Württemberg, wo es selbst in deren Texten Unklarheiten gibt orientieren wir uns am Zweck der DSGVO, nämlich verantwortungsbewusst mit den Daten unserer Mitglieder umzugehen und dabei aber auch übermäßigen Aufwand zu vermeiden.
1. Wir benötigen keine neue Einwilligung zur Erhebung und Speicherung der Mitgliedsdaten, das sind insbesondere die persönlichen Daten (Name, Vorname, Geburtsdatum), Adressdaten, Kontaktdaten und Bankverbindungungen sowie die abgegebene Erklärung zur Teilnahme am Lastschrifteinzug. Deren Erhebung und Nutzung war bereits vor der DSGVO durch Willenserklärung des Mitglieds (Aufnahmeantrag) und Vereinszweck legal.
2. Wir haben ein Verarbeitungsverzeichnis erstellt, in dem niedergeschrieben ist, welche Daten von wem verarbeitet werden. Wenig überraschend für Euch ist es die Schatzmeisterin / der Schatzmeister, der mit diesen Daten regelmäßig zu tun hat. Das Verarbeitungsverzeichnis ist zur Auskunft an Datenschutzbehörden vorgesehen.
3. Da unter zehn Menschen regelmäßig mit den Daten hantieren, bei uns die Schatzmeisterin, benötigen wir keinen externen Datenschutzbeauftragten.
4. In einer Datenschutzordnung und einer Regelung der Löschfristen ist festgelegt, wie Daten geschützt werden und wann sie gelöscht werden. Im Prinzip wird, angesichts geringer Gefahrenlage, nur festgelegt, dass auf verarbeitenden Rechnern regelmäßig Betriebsssystem- und Softwareupdates gemacht werden, das Computerprogramm zur Mitgliederverwaltung per Passwort geschützt ist und die betriebssystemeigene Virenabwehr aktiviert ist. Bei den Löschfristen gelten vor allem die gesetzlichen Aufbewahrungsfristen, für die Errichtung eines Vereinsarchivs und zum Beleg, dass die Vorstände jederzeit korrekt gearbeitet haben, wird jede Kommunikation zu Vereinszwecken mindestens 10 Jahre archiviert.
5. Mit der Druckerei Winterworks wurde ein Auftragsverarbeitungsvertrag geschlossen, der weiterhin die Übermittlung der Adressdaten zum Versand an die Druckerei vorsieht, geregelt ist nun vertraglich, dass die Daten nach Abarbeitung des Auftrags gelöscht werden. Die Übermittlung ist durch den Vereinszweck gedeckt.
6. Die Internetpräsenz wurde überprüft, es sind keine Drittanbieter- oder Socia-Media-Plug-Ins installiert, die Hinweise zum Datenschutz wurden angepasst. Mit dem Webhoster besteht ebenfalls ein Auftragsverarbeitungsvertrag. Kommentare wurden deaktiviert.
Das alles hat Arbeit gemacht, viele Punkte in den Handreichungen der Datenschutzämter sind unklar formuliert oder gehen mit einer „Soll“-Formulierung über das rechtlich vorgeschriebene hinaus. Wichtig ist: Eure Daten sind bei uns jetzt in genau so guten Händen wie zuvor.
Gefahr geht für den Fantasy Club und seinen Vorstand denn auch weder von den Behörden noch durch Abmahner aus. Um es klar zu sagen: nur querulante (Ex-)Vereinsmitglieder haben jetzt bei jedem Verein ein Mittel mehr, den Ehrenamtlichen ihre Arbeit zur Hölle zu machen. Und der FC hat ja dementsprechende Erfahrungen schon machen müssen. Deshalb nervt mich diese DSGVO. Für Euch ändert sich nichts.
Michael Scheuch