· 

Das Datenschutzrecht im Vereinsleben

Unter vorgenannter Überschrift bat ein Leser, nachfolgenden Beitrag anonym zu veröffentlichen.  Er beschreibt als Schriftführer eines Vereins seinen Unmut über die DSGVO. Die bdvv-Redaktion nimmt dies zum Anlass, einige Absätze wertfrei und ohne rechtsberatend zu agieren in Fettschrift zu kommentieren. 

 

Ich bin Schriftführer in einem kleinen Verein mit rund 120 Mitgliedern. Ich kenne etwa die Hälfte unserer Mitglieder persönlich. Als Schriftführer protokolliere ich die jährliche Hauptversammlung, ich informiere die Mitglieder per E-Mail über aktuelle Themen und Termine und ich verwalte die Liste unserer Mitglieder.

Ich sehe Datenschutz als ein unterstützenswertes gesellschaftliches und politisches Anliegen. (?) Als Privatperson erlebe ich die Auswirkungen der Datenschutzgesetze und -verordnungen aber vor allem in Form von Textwüsten; Einverständniserklärungen (er meint Einwilligungen), die ich wie jede mir bekannte Person unterschreibe oder zustimmend anklicke, ohne je ernsthaft zu prüfen, was ich da anklicke oder unterschreibe. Aber das ist eine andere Geschichte…

Die Redaktion interpretiert diese Aussage so, als ob der Verfasser Datenschutzverletzungen als Kavaliersdelikt deutet. Einwilligungen sind die Selbstbestimmung betreffende Erklärungen und sollten eben nicht einfach nur so angeklickt oder unterschrieben werden. Denn wie sonst soll der Gesetzgeber eine Person vor Missbrauch seiner Daten schützen. Denn nur der, der eine Einwilligung verlangt, handelt dsgvo-konform. (Kriminalitätsdelikte ausgenommen)  

 

Meine Geschichte hier erzählt davon, dass ich in einem Dilemma stecke. Ich engagiere mich als Schriftführer für meinen Verein. Der Aufwand, den ich damit habe, der ist nicht übermäßig. Aber doch so groß, dass andere Vereinsmitglieder nicht Schlange stehen, um diese Aufgabe zu übernehmen. Ich denke, ich bin ein typisches ehrenamtlich engagiertes Vereinsmitglied. Unser Verein ist eine tolle Sache für alle seine Mitglieder. Aber einige müssen eben etwas tun, damit der Verein funktioniert. Und über diese Schwelle tritt nur eine Minderheit. Die Mehrheit der Mitglieder profitiert davon, dass sich schon jemand findet, der etwas tut. Einige tun viel mehr als ich. Unser Vorsitzender ist in der gemeinsamen Sache ungleich engagierter als ich.

Die Mehrheit der Mitglieder vertraut darauf, dass personenbezogene und möglicherweise auch sensible Daten dsgvo-konform verarbeiten werden und erwarten auch, dass ihre Einwilligung dazu gemäß DSGVO eingefordert wird. Denn sie dürfen nicht erwarten, dass dies zu Gunsten von etwaiger Bequemlichkeit unterbleibt.  

 

So oder so ähnlich dürfte es immer schon gewesen sein. In unserem Verein und abertausend anderen kleinen Vereinen. So funktioniert Vereinsleben. Und damit eine Form der gesellschaftlichen Selbstorganisation, die überall gutgeheißen, gewünscht und als wertvoll angesehen wird. Kurz: mir scheint Konsens darüber zu bestehen, dass mehr oder weniger jedermann will, dass es Vereine gibt und dass sich Menschen darin organisieren. Und dafür engagieren.

 Das Datenschutzrecht gilt für alle und jeden. Ausnahmslos. Und schon lange.

Richtig. Datenschutz wird weitgehend ignoriert, nicht wahrgenommen und nicht umgesetzt und verursacht jetzt den Unmut, begründet in der Mehrarbeit zur Sicherstellung desselben, anstatt Bedeutung, Sinn und Zweck der DSGVO in der Vermeidung von Bedrohungslagen durch Datenmissbrauch und Datenschutzverletzungen zu sehen. 

 

Vereinsvorstände, dazu gehöre ich als Schriftführer, müssen – wie jedermann – das Datenschutzrecht beachten. Jedermann heißt übrigens: Sie auch. Egal was sie tun und wofür. Sobald Sie irgendwo Daten sammeln, also zum Beispiel in ihrem privaten Adressbuch, müssen Sie die gleichen Regeln einhalten, über die ich mich gleich beklagen werde (und ich werde deutlich machen, warum).

Es gibt nämlich keine Ausnahmen und keine Sonderregelungen für den privaten Bereich. Nicht für Sie als Einzelperson. Und nicht für mich als private Person, die bereit ist, einen bestimmten Teil ihrer Freizeit dem gesellschaftlich gewünschten Engagement für einen kleinen Verein zu 'opfern'.

Allerdings dürfen Sie als Privatperson wohl darauf vertrauen, dass keine Behörde bei Ihnen vorbeischaut und kontrolliert, wie Sie es mit dem Datenschutz halten.

Die DSGVO regelt den Datenschutz personenbezogener Daten durch sogenannte Verantwortliche. "Verantwortliche" sind gemäß Artikel 4 DSGVO natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Das gilt übrigens auch für Privatpersonen im Hinblick auf die Beachtung von Persönlichkeitsrechten. Dazu mehr unter  

 

Drauf konnten auch Vereine lange vertrauen. Die wenigsten Datenschutzregeln sind erst mit der aufmerksamkeitsstarken Datenschutzgrundverordnung (DSGVO) neu eingeführt worden. Die hat nun aber mit erheblichen Strafandrohungen dazu geführt, dass der Datenschutz sehr viel mehr Aufmerksamkeit bekommen hat. Und das ist erstmal nichts Schlechtes.

Nun drohen hohe Strafen und alle schauen hin

Aber plötzlich fühlen sich Vereinsvorstände viel mehr in Pflicht genommen (Das war das Ziel). Denn die drakonischen Strafen, über die man im Zusammenhang mit der Berichterstattung zum Thema DSGVO lesen konnte, haben viele aufgeweckt. Und nun stellen sie sich die Frage: was muss ich tun, um sicher zu sein, dass mich niemand für Fehlverhalten bestraft?

Diese Selbsterkenntnis sollte genügen, sich gegenüber seinen Vereinsmitgliedern dsgvo-konform zu verhalten.

 

Was mich persönlich betrifft: ich habe keine große Befürchtung, dass ich für ein Fehlverhalten in diesem Bereich bestraft werde.

Jedoch sollte man sich gewahr sein, dass spätestens, wenn ein Auskunftsbegehren oder eine Datenschutzverletzung ansteht, man DSGVO-Konformität nachweisen muss. Insofern ist eine Bedrohungslage für den Verein und den Verfasser durch den Selbigen bereits gegeben, wenn kein Datenschutzmanagement inkl. Datenschutzdokumentation etabliert ist. 

 

Mein Eindruck ist, dass die Aufsichtsbehörden vor allem auf (große) Unternehmen schauen. Ich denke, dass die Behörden sehr wohl wissen, dass kleine Vereine die Regeln, die für sie in diesem Bereich gelten, gar nicht einhalten können.

Das dürfte wohl eine klare Fehleinschätzung sein. Insofern sollte man sich bei seinem Verband, bei einem Datenschutzberater oder bei der Redaktion des bdvv beraten lassen.

 

Es gibt in Deutschland rund 600.000 Vereine. In diesen Vereinen engagieren sich mehrere Millionen Menschen in der Vorstandsarbeit. Das will keine Behörde gefährden. Und das wollte auch der Gesetzgeber bei der Formulierung des Datenschutzrechts nicht in Gefahr bringen.

Das Dilemma – Millionen Deutsche brechen das Gesetz (nicht selten wissentlich) 

Datenschutz als Bedrohung für das Vereinswesen zu deuten, ist sicherlich nicht dienlich. Da sollte jedermann mitwirken, dass die Maßgaben der DSGVO beachtet und kultiviert werden. 

 

Aber der Gesetzgeber hat mich und die mehreren Millionen engagierten Vereinsmitglieder in eine Situation gebracht, in der ich gar nicht anders kann als entweder

a) meine Tätigkeit im Vereinsvorstand aufgeben oder

b) (wissentlich) gegen geltendes Recht verstoßen

Das Argument dürfte indes entkräftet sein.

 

Nach meiner Einschätzung – und die beruht mittlerweile auf informellen Gesprächen mit einer Reihe von ganz verschiedenen Vereinen aus unterschiedlichen Regionen Deutschlands – ist Option b) der Zustand bei (fast) allen Vereinen. Die Frage ist nur, ob wissentlich oder unwissentlich gegen das Recht verstoßen wird. In meinem Fall erfolgt der Verstoß wissentlich, denn ich habe mich mit diesem Thema beschäftigt.

Auch wissentlich gegen Recht und Gesetz verstoßen, ist nicht hinnehmbar.

 

Weil ich mich im Dilemma befinde, entweder gegen Recht zu verstoßen oder aber meinen Verein im Stich zu lassen und damit seine Existenz gefährden, fühle ich mich zu diesem Verstoß gezwungen. Und das empfinde ich als einen skandalösen Zustand, der dringend beendet werden muss.

Mein Anliegen: wir brauchen eine gesetzliche Ausnahmeregelung von den Datenschutzregeln mindestens für Privatpersonen und Vereine.

Allen falls kann die Pönalisierung gemeint sein.

 

Konkrete Beispiele für das Datenschutzdilemma in einem kleinen Verein

Und jetzt nenne ich Ihnen ein paar Beispiele aus meinem Schriftführeralltag, und ich hoffe, die machen mein Dilemma deutlich.

  • Personenbezogene Daten müssen vor unberechtigtem Zugriff geschützt werden. Die Mitgliedsanträge samt Bankeinzugsermächtigungen für den jährlichen Vereinsbeitrag lagern bei mir zu Hause in einem Zimmer in Papierform in einem Ordner in einem Schrank.
    • Es gibt im ganzen Zimmer, im ganzen Geschoss, keinen abschließbaren Schrank.
    • Damit haben theoretisch unberechtigte Personen Zugriff auf diese Daten: meine Frau und meine beiden minderjährigen Söhne.
    • Ich bin aber nicht bereit, mein Arbeitszimmer mit einem unpassenden abschließbaren Möbel auszurüsten, nur um die Daten unserer Mitglieder vor meiner Frau und meinen Kindern zu schützen.
      • Dann wäre somit keine DSGVO-Konformität für den Verein gegeben.  
  • Unsere Mitglieder teilen das Interesse an einem Thema. Der Austausch untereinander ist zentraler Teil des Vereinslebens. Es kann dabei vorkommen, dass Mitglied Heinz gerne von Mitglied Klaus etwas wüsste. Aber Heinz hat keine aktuellen Kontaktdaten von Klaus. Also bittet er mich um die Telefonnummer.
    • Um diese weiterzugeben, müsste ich eigentlich ein explizites Einverständnis von Klaus einholen. Dabei ist dieser Form der Vernetzung untereinander seit Jahren gelebte Praxis. Ich habe noch nie eine Beschwerde dazu gehabt.
      • Eine Einwilligung zur Weiterleitung und Bearbeitung von personenbezogenen Daten zu einem näher im Kontext der Vereinsarbeit zu beschreiben Zweck wäre erforderlich. 
  • Ganz im Gegenteil. In der Vergangenheit habe ich jährlich einmal an ALLE Mitglieder ALLE Kontaktdaten versendet. Und wenn ich das einmal zu spät gemacht habe oder jemanden vergessen habe, dann gab es Beschwerden.
      • Das wäre dann ein geeigneter Anlass, seine Mitglieder auf den Datenschutz aufmerksam zu machen, in dem ein Datenschutzhandbuch, vorzugshalber als Export eines elektronischen Datenschutzhandbuchs zur Einsicht gegeben wird. 
    • ALLE Daten AN ALLE Mitglieder. Ein Datenschutz-Horrorszenario. Aber für das Vereinsleben eminent hilfreich.
      • Es bedürfte lediglich einer vorzugshalber zweckbezogenen Einwilligung der Mitglieder, dann wäre es kein Horrorszenario.
  • Jemand googelt im Internet nach unserem Verein und interessiert sich dafür. Er wendet sich darum an unseren Vorsitzenden und möchte informiert werden. Unser Vorsitzender leitet mir seine Mail weiter mit der Bitte, ihn in unseren Vereinsverteiler aufzunehmen. 
    • Das ist schon ganz oft passiert. Und bisher waren alle Interessenten mit diesem Vorgehen zufrieden.
    • Aber datenschutzrechtlich ist das ein Mehrfach-Problem.
    • Die Datenweitergabe an mich ist problematisch (unklares Einverständnis, unverschlüsselte E-Mail)
    • Die Aufnahme in unseren Mailverteiler ist problematisch, denn der Interessent hat nicht explizit darum gebeten.
    • (erst einmal hat mich ein solcher Interessent etwa 12 Monate nach Aufnahme in den Verteiler um Löschung gebeten. Dem bin ich selbstverständlich sofort nachgekommen)
    • Eine Informationspflicht tritt erst mit Speicherung ein, so die Auslegung der DSGVO. Insofern wäre/n der oder die Empfänger verpflichtet, zunächst aber zeitnah mit einer Rückmail ihrer Informationspflicht durch Einsicht in die Datenschutzdokumentation nachzukommen und eine Einwilligung abzuwarten.
  • Das alles sind Prozesse, bei denen Daten gehandhabt werden. Nach meiner Einschätzung stets auf Wunsch und im Interesse der betroffenen Personen. Aber:
    • Das kann ich im Einzelfall nicht beweisen und wenn mir ein 'Stinkstiefel' (so etwas soll es ja in allen Vereinen geben) quer kommt, dann habe ich nichts in der Hand.
    • Diese Prozesse handhaben wir meistens 'so wie immer' oder spontan nach gesundem Menschenverstand, wenn etwas zum ersten Mal passiert. Datenschutzrechtlich müsste das alles verbindlich festgelegt und dokumentiert werden.
    • Besser Sie handeln nach DSGVO, wie in Ihrem Datenschutzhandbuch dokumentiert.  

Das alles und viele andere Beispiele, die ich anführen könnte, sind Probleme, die im Prinzip datenschutzrechtskonform gelöst werden könnten. Es würde mich aber mehr Zeit oder anderes kosten (z.B. eine Umgestaltung meines Zimmers), als ich bereit bin zu geben. Und meines Wissens gibt es keinen Betroffenen in unserem Verein, der das einfordert. (Jedenfalls nicht, wenn alternativ der Verein aufgegeben werden müsste, weil sich keiner findet, der diesen Aufwand betreiben will).

Zum Thema Schutzarten bzw. technische und organisatorische Maßnahmen (TOMs) wie übrigens auch im Datenschutzhandbuch beschrieben, kommt keiner herum. In vorliegendem Fall würde eine Einweisung der Familie, ein unzugänglicher Aktenzugang und ein Absperren der Wohnung genügen. Natürlich sollte der PC-Zugang passwortgeschützt sein.  

 

Zu unserem Verein gibt es eine bundesweite Dachorganisation. Auch die hat einen Vorstand. Auch der hat ein Problem mit dem Datenschutz. Er löst das, in dem er mir ein Formular (gemeint ist wohl ein  sogenannter Auftragsdatenverarbeitungsvertrag (ADV)) vorlegt, in dem ich ihm zusichern soll (gemeint ist: indem er mir zusichert), dass ich (gemeint ist: er als Verantwortlicher) alle Datenschutzregeln einhalte.

Gemeint ist hier sicherlich, dass der Verband dem Verein einen ADV geschickt hat, durch welchen nach beiderseitigem Unterzeichnen sich der Verein zuvergewissern hat, dass der Verband seine Daten dsgvo-konform verarbeitet. (Rechenschaftspflicht/Beweislastumkehr). Diese Pflicht ist er seinen Mitgliedern schuldig.

 

Das ist eine der eingangs erwähnten Textwüsten. Nur dass ich hier kein Einverständnis erteilen soll, sondern eine rechtsverbindliche Zusage machen soll, die ich nicht einhalten kann.Ich werde das Formular nicht unterschreiben. Unser Bundesvorstand kann damit nicht belegen, dass er seinen Datenschutzverpflichtungen nachgekommen ist. I Und nun?

Der Verfasser hat hier nicht verstanden, dass er derjenige ist, welcher eigentlich einen ADV beim Verband einfordern muss, um seinen Mitgliedern zu belegen, dass die Weitergabe von personenbezogenen Daten der Mitglieder an den Verband sowie die Verarbeitung dieser Daten durch den Verband gemäß den Rechtsgrundlagen dsgvo-konform geschieht. Der Verband also hat dem Mitgliedsverein einen Service geleistet, indem er dem Mitgliedsverein einen ADV zusendet, verbunden mit der Bitte, diesen im eigenen Interesse unterschrieben zurückzusenden.

Insofern übrigens kann er nicht erwarten, dass ihm andere Dienstleister, analog wie sich die Rolle des Verbandes versteht, also weitere Empfänger von Mitgliederdaten, wie z. B. Newsletterversender oder Steuerberater einen ADV zusenden. Der Verein ist selbst verpflichtet einen unterschriebeben ADV einzufordern und wäre bei Nichterhalt eines unterschriebenen ADVs zur Kündigung seiner Verbandsmitgliedschaft gehalten.

Und umgekehrt wäre der Verein verpflichtet, einen ADV an die Instanzen zu versenden, für welche er wiederum personenbezogene Daten verwaltet, etwa wenn andere Vereine als Turnierteilnehmer ihre Mitgliederdaten an den austragenden Verein in der Rolle als Turnierveranstalter senden, insofern der Verein als Turnierveranstalter DSGVO-Konformität beweist.

 

Meine Lösung: großzügige Ausnahmen für Privatpersonen und Vereine.

Es gibt nur eine Lösung: das Datenschutzrecht braucht eine großzügige Ausnahme für private Personen und ehrenamtliches Engagement.

Diese allgemeine Uneinsicht, Verständnislosigkeit oder Akzeptanz für den Datenschutz, im weiteren Sinne auch Unmündigkeit, wird zu weiteren unbequemen Maßnahmen führen.

 

Kommentar schreiben

Kommentare: 0