Schrobenhausen (SZ) Wie ein Damoklesschwert schwebt die DSGVO, die am 25. Mai in Kraft trifft, über den Vereinen der Region.
Das neue Datenschutzgesetz stellt Firmen wie Interessensgemeinschaften vor eine große Herausforderung. Die Sparkasse Schrobenhausen-Aichach hat zu diesem schwierigen Thema die Vereine der Region eingeladen. Der Spiegelsaal war komplett gefüllt und die Veranstaltung ausgebucht. Aufgrund des großen Andrangs gibt es noch einen weiteren Vortrag in Aichach. Referent des Abend war Hans-Jürgen Schwarz vom Bundesverband der Vereine und des Ehrenamts (bvve).
Aber zurück zum Damoklesschwert: Nicht nur Facebook und Co. finden den Weg zum Thema Datenschutz in die Medien. Auch das ältestes Netzwerk der Welt, sprich das Ehrenamt, steht vor einer großen Herausforderung. Wer darf denn jetzt Teilnehmerlisten sehen. Wer darf sie daheim auf einem Computer haben. Was passiert, wenn so ein Liste, sei es auf Papier oder auf dem USB-Stick, mal verloren geht. Wenn dieser Fall eingetreten ist, hat man 72 Stunden Zeit, diese Datenpanne dem Landesdatenschutzbeauftragten zu melden und die Betroffenen zu informieren.
Aber auch ohne Datenpanne müssen Vereine Einiges beachten. Eine einfache E-Mail an die Vereinsmitglieder kann da schon mal zur Wissenschaft werden. Die Absenderadresse muss die Domain des Vereines haben. Private E-Mail-Adressen sind nicht erlaubt, wenn man im Sinne des Vereins handelt. Mehrere Empfänger müssen immer und ausschließlich in das bcc-Feld geschrieben werden. Außerdem ist, wie bei einer Firma, eine korrekte Signatur Pflicht.
Richtig knifflig wird es, wenn Daten erhoben werden. Das ist nämlich schon dann der Fall, wenn man eine E-Mail bekommt. Da stehen die personenbezogenen Daten wie die E-Mail-Adresse drin. Alle Daten, mit denen man Rückschlüsse auf die reale Person ziehen kann, sind mit Vorsicht zu genießen. Wenn mehr als neun Personen einer Interessensgemeinschaft Zugriff auf diese Daten haben, ist ein Datenschutzbeauftragter zu benennen. Auch wenn man Gesundheitsdaten erfasst, muss es einen Datenschutzbeauftragten geben. "Wie ist das bei der Feuerwehr. Wir kennen ja den Gesundheitszustand unserer Mitglieder", kam die Frage aus der Zuhörerschaft. "Ja, Sie brauchen dann einen Datenschutzbeauftragten", war die klare Antwort von Referent Schwarz. "Aber wir sind doch eine Freiwillige Feuerwehr", kam ein kleiner Einwand.
Ob Freiwillige Feuerwehr, evangelische Jugend oder Sportverein, wenn man auch nur eine Allergie eines Mitglieds wissen möchte, damit man das Mittagessen einer Tagesveranstaltung entsprechend anpassen kann, oder auf Kinderfreizeit oder Trainingslager die Medikamenteneinnahme der Teilnehmer erfragt, dann fällt das unter die Pflicht des Datenschutzbeauftragten. Diese Position darf aber wiederum keiner aus dem Vorstand übernehmen und es darf auch nicht der Webmaster sein.
Damit nicht genug. Ehrungen von langjährigen Vereinsmitgliedern dürfen nur an aktiver Einwilligung der zu Ehrenden stattfinden. Fotos von Veranstaltungen dürfen nur mit Zustimmung gemacht werden. Einer Veröffentlichung muss für jedes Medium separat zugestimmt werden, sei es das Vereinsheft, die Tageszeitung, die Social-Media-Kanäle oder die Homepage.
Da allein durch den Besuch einer Homepage die eigene IP-Adresse übermittelt wird, müssen alle Webseiten mit einem SSL-Zertifikat versehen sein. Bei Kontaktformularen darf als Pflichtfeld nur festgesetzt sein, was man zum Zwecke des Vereins wirklich wissen muss. Alle anderen Felder müssen als optionale Felder gekennzeichnet werden. Dies ist nur ein kleiner Auszug dessen, worüber Hans-Jürgen Schwarz zum neuen Datenschutzgesetz referierte. Vor allem: Die Strafen sind drakonisch. Da gebe es eine Bandbreite von 5000 bis zwei Millionen Euro sowie bis zu drei Jahren Haft.
Sabine Olfen
