Teil 1: Wassersport-Vereine und das neue Datenschutz-Recht – Grundlagen

Fast jede oder jeder von uns erhält derzeit Post, Mails und Postings verschiedener Unternehmen zur neuen Datenschutz-Grundverordnung (im Netz etwa hier zu finden). Von absoluter Panikmache (im hier verlinkten Artikel werden einige typische Mythen behandelt) bis hin zu der wohl gewagten Aussage, es ändere sich fast gar nichts bis darauf, dass bestehende Datenschutzerklärungen nur etwas angepasst werden müssten, findet man im Netz das gesamte Spektrum an Bewertungen und Einschätzungen. Als “Angstfaktor” wird regelmäßig die hohe Bußgeldandrohung für Verstöße (bis zu 20 Millionen Euro, oder sogar 4% des Konzernumsatzes) genutzt – auch als Geschäftsmodell. Fokussiert auf das Thema dieses Blogs möchte ich hier aufzeigen, worauf Vereine, insbesondere solche, die auf dem Gebiet des Wassersports tätig sind, achten müssen. Der erste Teil der Beitragsserie befasst sich mit den Grundlagen.

1. Datenschutz-Grundverordnung: Was ist das eigentlich?

Doch zunächst einmal von vorne: Was ist die “Datenschutz-Grundverordnung” eigentlich? Zunächst einmal: Es handelt sich um ein neues Gesetz, auch wenn dort “Verordnung” steht. Und es stammt von der Europäischen Union. Der Titel lautet nur nicht “Gesetz”, weil die EU aus historischen Gründen niemals Regelungen erlässt, die “Gesetz” heißen. Die Regelung kam aber zustande wie ein Gesetz: Die Europäische Kommission (die ähnliche Aufgaben hat wie eine Regierung) hat sie vorgeschlagen, in einem Gesetzgebungsverfahren haben das Europäische Parlament und der Rat zahlreiche Änderungen an dem Vorschlag vorgenommen, und sie wurde im Amtsblatt verkündet, und zwar bereits am 4. Mai 2016. Sie wirkt aber erst nach einer zweijährigen Übergangszeit, ab dem 25. Mai 2018 und gilt EU-weit, unmittelbar und für jede und jeden. Verbindlich ist sie in allen Amtssprachen gleichermaßen, also auch auf Deutsch. Die englische Fassung hat nicht formal, aber in der Praxis etwas mehr Autorität, weil in der EU die Texte faktisch auf der Basis einer englischen Textvorlage verhandelt und dann erst in die anderen Amtssprachen übersetzt werden.

Die Datenschutz-Grundverordnung ist europäisches Recht.

Offiziell heißt die “Datenschutz-Grundverordnung” Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Auch aus amtlicher Sicht sind aber die Bezeichnungen Verordnung (EU) 2016/679 sowie, wegen des offiziellen Klammerzusatzes, Datenschutz-Grundverordnung in Ordnung und ausreichend, etwa, wenn man eine Rechtsgrundlage angeben muss.

Einen Unterschied zu deutschen Gesetzen kennt das EU-Recht: Rechtsvorschriften der EU haben Erwägungsgründe. Nach den rechtsstaatlichen Prinzipien der EU muss jeder hoheitliche Akt, also auch jede Verordnung, begründet sein. Die zusammen mit der restlichen Verordnung im Amtsblatt verkündeten Erwägungsgründe begründen daher, warum die Verordnung erlassen wurde. Sie erläutern zugleich die einzelnen Vorschriften und sind dabei als Teil der Verordnung eine verbindliche Auslegungshilfe, nicht nur unverbindliche Meinungsäußerung. An der einen oder anderen Stele wird hier noch auf einzelne Erwägungsgründe der Datenschutz-Grundverordnung eingegangen.

2. Was hat ein Verein mit Datenverarbeitung zu tun?

Daten verarbeitet man aus technischer Sicht eigentlich laufend. Wenn Sie diesen Beitrag lesen, verarbeitet Ihr Gehirn Daten, nämlich den Inhalt dieses Textes. Und Ihr Computer hat zuvor auch Daten verarbeitet, nämlich, dass Sie diese Seite aufgerufen haben, welchen Inhalt sie hat, und so weiter. Aber nicht jede Datenverarbeitung spielt im Zusammenhang mit der Datenschutz-Grundverordnung eine Rolle.

2.1 Nur Daten natürlicher Personen sind betroffen

Die Verordnung schützt nur personenbezogene Daten, wie es in ihrem Artikel 4 Nummer 1 definiert ist. Und dies auch nur bezogen auf bestimmte Daten natürlicher Personen. Eine natürliche Person ist im Juristendeutsch das, was man gemeinhin “Mensch” nennt. Unterschieden wird die natürliche Person von einer juristischen Person – einer rechtlichen Erfindung. Juristische Personen sind alle Einheiten, die keine Menschen sind, aber ähnlich wie ein Mensch Rechte und Pflichten haben können und zugleich von den Menschen, die sie ausmachen, unterschieden werden. Hierzu zählen Gesellschaften wie die GmbH oder die Aktiengesellschaft, aber auch der eingetragene Verein (“e.V.”). Diese haben ein eigenes Vermögen und können eigene Rechte und Pflichten haben: Das Bankkonto eines eingetragenen Vereins gehört keinem der Mitglieder, und kein Mitglied haftet einem Vereinsangestellten für ausstehenden Lohn. Aber auch staatliche Stellen – Bund, Länder, Gemeinden und auch die Europäische Union – sind jeweils eigene juristische Personen.  Die Daten all dieser juristischen Personen sind nicht durch das Datenschutzrecht geschützt. Die Daten ihrer Mitarbeiter sind aber wiederum personenbezogene Daten, auch wenn die Mitarbeiter für die juristische Person handeln.

2.2 Nur Daten identifizierbarer natürlicher Personen sind geschützt

Zudem müssen die Personen zumindest “identifizierbar” sein. Die Abgrenzung ist schwierig, und die gesetzliche Definition in Artikel 4 Nummer 1 der Verordnung hilft hier nicht wirklich weiter. Da die Abgrenzung aber bereits im alten Datenschutz-Recht eine Rolle spielte, kann man annehmen, dass alle Daten zu einer natürlichen Person identifizierbar zu ihre führen, wenn sie, vor allem im Kombination, mit folgenden Merkmalen verknüpft sind:

• Namen erlauben die Identifizierung,
• Anschriften ebenfalls,
• IP-Adressen (das sind die Zahlencodes, mit denen sich Rechner, auch “Endgeräte”, im Internet identifizieren) identifizierbar personenbezogen,
• Kennzeichen von Pkw oder Booten zumindest dann, wenn das Fahrzeug nicht nur auf eine juristische Person zugelassen ist (bei einer “Ein-Mensch-GmbH” würde da aber wohl auch ein Personenbezug bestehen),
• bloße Zähler (durchfahrende Fahrzeuge, Klicks auf einer Webseite) dann nicht, wenn ich sie nicht auf Personen zurückführen kann (anders also bei einem Zähler an einem Privatweg, oder beim Kombinieren der Klickzählung mit Personendaten).

Anders gesagt, kommt es darauf an, ob man mit den Daten eine Aussage über einen bestimmten Menschen treffen kann. Es genügt aber, wenn dies erst zusammen mit anderen existierenden Daten möglich ist. Diese anderen Daten muss man selber nicht haben. Wenn man also Daten mit dem Kfz-Kennzeichen eines Privat-Pkw verknüpft, sind sie personenbezogene Daten. Denn über das Kfz-Zulassungsregister des Kraftfahrt-Bundesamtes lassen sie sich über das Kennzeichen dann einem Halter zuordnen.

Auch falsche oder unpassende personenbezogene Daten fallen unter die Verordnung. Ob die Daten stimmen, ist dabei egal. Denn vor der Erhebung und Speicherung falscher Daten soll die Verordnung gerade schützen können. Die Verknüpfung eines Verkehrsverstoßes mit einem Halter über das Kfz-Kennzeichen bewirkt daher zum Beispiel, dass personenbezogene Daten vorliegen, auch wenn der Halter gar nicht den Verstoß begangen hat.

2.3 Mögliche Bereiche, in denen Vereine Daten erheben

In welchen Bereichen erheben Vereine nun Daten? Typischerweise kommen hierfür folgende Tätigkeiten in Betracht:

• natürlich die Mitgliederverwaltung – einschließlich Zahlungseingängen und Bankverbindungsdaten,
• Verträge und Zahlungsverkehr mit Lieferanten – Handwerker, Hausmeisterservice, usw.,
• Verpachtung von Bootsstegen,
• Verkaufstätigkeiten (Merchanising, Eintrittskarten),
• Ranglisten und Auszeichnungen (für Pokale, Ehrennadeln usw.),
• Webseiten;
• elektronische Kommunikationsmittel (E-Mail, Computerfax).

In diesem Bereichen fallen regelmäßig personenbezogene Daten an und werden verarbeitet. Und dies ist weder anstößig noch künftig verboten, wie ich hier zeigen werde.

Auch nach der Datenschutz-Grundverordnung kommt es bei normaler Tätigkeit, allen Unkenrufen zum Trotz, weniger auf das “Ob”, sondern auf das “Wie” der Verarbeitung an.

3. Es darauf ankommen lassen?

Ich rate dringend davon ab, zu glauben, man schlüpft unter dem Radar hinweg, und kann es als “kleiner Verein” ja ruhig “darauf ankommen lassen”. Zwar kann man erwarten, dass Aufsichtsbehörden gemeinnützige Vereine nicht gleich mit vernichtenden Geldbußen überziehen. Dennoch gibt es genügend potentielle Ärger-Verursacher, die aus verschiedensten Motiven loslegen können. Das Spektrum reicht von verärgerten Nachbarn über wütende Ex-Mitglieder bis hin zum “Konkurrenzverein”. Denkbar ist auch, dass ein Vorstandsmitglied bei Behörden wegen Tätigkeiten außerhalb des Vereins “auf dem Kiecker gelandet ist” und genau beobachtet wird. Und verbreitet jemand Horror-Geschichten über den Verein bei einer Aufsichtsbehörde, und dieser kann keine halbwegs brauchbare Dokumentation der Wirklichkeit vorgelegt werden, ist auch dies nicht hilfreich. Denn die Darlegungslast für rechtskonformes Verhalten liegt künftig allein bei dem, der Daten verarbeitet.

Zudem haben die deutschen Datenschutzbehörden in stichprobenartige Untersuchungen bewusst alle Branchen und Größenklassen einbezogen. Auch Beschwerden haben nachweislich dazu geführt, dass sogar Hobby-Blogger zwar erträglichen, aber vermeidbaren Ärger mit den Datenschutz-Aufsichtsbehörden bekamen. Keinesfalls kümmert man sich also nur um die “Großen” und lässt die “Kleinen” einfach laufen.

4. Vorschlag für ein schrittweises Vorgehen

Wegen der vielen unterschiedlichen Verhältnisse und Tätigkeiten in einem Verein kann ich nur grob ein schrittweises Vorgehen vorschlagen, mit dem sich nach menschlichem Ermessen zumindest die gröbsten Fehler vermeiden lassen. Möglich wäre folgendes:

• Möglichst detaillierte Bestandsaufnahme der Datenverarbeitungen,
• Prüfung, ob ein Datenschutzbeauftragter bestellt werden muss, und ggfs. Bestellung und Einbindung ins weitere Vorgehen,
• Anpassung der Verarbeitungsprozesse,
• Abschluss von Vereinbarungen zur Auftragsverarbeitung,
• Dokumentation der Verarbeitungsprozesse,
• Information der Betroffenen

und, wenn man es ganz gut machen möchte,

• Einrichtung eines Qualitätssicherungsverfahrens für den Datenschutz.

Im Einzelnen:

5. Bestandsaufnahme

Die Bestandsaufnahme ist zunächst unverzichtbar, um zu wissen, wie es mit einem optimalen Datenschutz weitergehen muss. Wichtig ist, alle Datenverarbeitungen im Verein kennenzulernen und zu notieren – möglichst genau, um gut optimieren zu können.

5.1 Allgemein

Allgemein wichtig sind folgende Gesichtspunkte:

• Bei welchem Anlass werden Daten erhoben?
  Beispiel: “Fälligkeit eines Mitgliedsbeitrages; Zahlung eines Mitgliedsbeitrages”.
• Welche Daten – ganz genau – werden erhoben?
  Beispiel zu Beitragszahlungen: “Mitgliedsnummer, Name des Mitglieds, Zahlungsdatum, Eingangskonto, Betrag, offener Betrag, Datum der Mahnung, Adresse, an die die Mahnung versendet wurde.”
• Werden die Daten manuell (papiergebunden) oder automatisiert (dazu zählt jede Computeranwendung) gespeichert und gegebenenfalls verarbeitet?
  Beispiel: “Im Programm Verein Pro Plus” oder “Papierkartei”.
  Werden die Daten im Verein nur manuell verarbeitet, ist hier mit diesen Daten Schluss – außer, wenn es sich um Daten von Arbeitnehmern des Vereins handelt.
• Wer hat Zugriff, und wie wird das sichergestellt?
  Beispiel: “Vorstandsvorsitzender, Kassenwart” oder “Zugang zur Kartei hat nur, wer den Schrankschlüssel hat – Vorstandsvorsitzender, Kassenwart.”
• Damit verbunden: Zu welchen Zwecken werden die Daten dann verwendet? Auch hier sollte man möglichst detailliert denken und auch Eventualitäten berücksichtigen.
  Zum Beispiel dienen Zahlungsdaten zu Vereinsbeiträgen neben den Zwecken “Überprüfung der Zahlung fälliger Beiträge” und “Buchhaltung” auch dem Zweck “Verwendung für ein Vereinsausschlussverfahren”auch dann, wenn noch niemals jemand aus dem Verein ausgeschlossen worden ist, dies aber in der Satzung vorgesehen ist.
• Und: An wen werden die Daten weitergegeben, wenn auch nur auf Anforderung?
  Beispiel zu Zahlungsdaten: Finanzamt im Rahmen von Prüfungen; Steuerberater/-in. Nicht aufgeführt werden muss (darf aber) die Möglichkeit, die Daten an eine/-n Rechtsanwalt/-wältin oder Gerichte weiterzugeben, um Forderungen einzuklagen. Alle Daten dürfen verwendet werden, um eigene Rechte geltend zu machen oder sich rechtlich zu schützen, ohne dass dies explizit erwähnt werden muss. Die mögliche Abtretung an Inkassobüros ist aber zu dokumentieren.

Es ist wichtig, dass nicht nur die Aktivitäten des Kern-Vorstands aufgezeichnet werden, sondern auch delegierte Tätigkeiten von Vereinen, die aber im eigenen Namen erfolgen, so etwa Fest-, Sport- oder Fahrschulaktivitäten, die Mitglieder im Namen des Vereins selbstständig organisieren. Nicht bei der Bestandsaufnahme berücksichtigt werden müssen Tätigkeiten, die vollkommen ausgelagert werden: Für die Tätigkeit der Bank oder einer steuerberatenden Person ist diese verantwortlich. Entscheidend ist, dass die Auslagerung so erfolgt, dass eine komplette Funktion eigenverantwortlich und mit eigenem Entscheidungsspielraum übernommen wird.

5.2 Besonderheiten bei Webseiten

Bei Webseiten kann sich die Bestandsaufnahme besonders schwierig gestalten. Viele, die Webseiten selbst erstellen, aber auch Webentwickler, lösen durch die Form der Programmierung und die verwendete Software Verarbeitungen aus, derer sie sich nicht bewusst sind. Typischerweise werden bei Webseiten immer personenbezogene Daten erhoben, und zwar über die so genannten Logfiles der Provider, die alle Aufrufe einschließlich der IP-Adresse des Aufrufenden aufzeichnen.

Am Tückischsten sind “Tools”,  die als “Plugins” von Content-Management-Systemen arbeiten. Diese senden – oft für nicht immer durchsichtige Zwecke – alle mögliche Daten in alle möglichen Länder. Hier muss man selbst oder aber der Seitenprogrammierer Vorsicht walten lassen, zumal es viele falsche Tips gibt. Ein paar Beispiele:

• Die US-Firma Automattic Inc., die das beliebte Content-Management-System “Wordpress” entwickelt, liefert ein umfassendes Plugin namens “Jetpack” mit. Dieses liefert Komfortfunktionen wie Abonnementfunktionen oder die Aussonderung von “Spam” von Kommentaren, die aber bedingen, dass Nutzerdaten an Automattic gesendet werden.  Vertragspartner europäischer Kunden ist die irische Tochtergesellschaft.
• Die Original-“Teilen”-Buttons von sozialen Netzwerken wie Facebook, Google usw. senden bei jedem Aufruf einer Seite, die den Button enthält, Daten an das soziale Netzwerk.
• Werbe-Banner senden zahlreiche Daten an den Betreiber des Banners.
• Auch die wirklich schöne “Teilen”-Leiste “AddThis” von Oracle sendet Daten an Oracle in die USA.
• Dass Analysetools wie Google Analytics Daten sammeln, ergibt sich bereits aus ihrer Funktion.

6. Bestellung einer für den Datenschutz beauftragten Person?

Unter Umständen muss – nach neuen Regeln – eine Person als Beauftragte oder Beauftragter für den Datenschutz bestellt werden.  Dies ist nicht immer Pflicht, und auf die meisten Vereine im Bereich des Wassersports wird es nicht zutreffen.

Die europaweit gültige Regelung des Artikels 37 der Datenschutz-Grundverordnung dürfte auf Wassersport-Vereine wohl in aller Regel nicht zutreffen. Der Artikel enthält aber eine Öffnungsklausel für die Mitgliedstaaten. Das heißt, die Mitgliedstaaten der EU, auch Deutschland, dürfen weiter gehende Fälle regeln. In Deutschland ist dies durch § 38 des neuen Bundesdatenschutzgesetzes geschehen. Für Wassersport-Vereine kommt hier wohl nur der Fall in Betracht, “dass sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.” Dies wird wohl nur auf sehr große Vereine zutreffen. Da diese Vereine wohl anderweitig beraten sind, erspare ich mir hier nähere Ausführungen zu Bestellung, Stellung und Aufgaben des Datenschutzbeauftragten.

Weiter zu Teil 2: Wassersport-Vereine und das neue Datenschutz-Recht – Anpassungen prüfen