Geisenfeld (GZ) Für manchen Vereinsvertreter ist die neue EU-Datenschutz-Grundverordnung ein "Tsunami", in dem das Ehrenamt unterzugehen droht. Da wirkten die konkreten Tipps, die Kevin Sternkopf bei einem Fachvortrag auf Einladung der USB Geisenfeld mitbrachte, ein wenig wie Rettungsbojen.
Über 60 Zuhörer waren am Montagabend im Gasthaus Glas erschienen, um sich schlau zu machen - eine "riesige Resonanz", die Paul Weber von den Unabhängigen Sozialen Bürgern in seiner Begrüßungsrede als Beleg für die Bedeutung des Themas wertete.
Sternkopf konzentrierte sich in seinem Vortrag speziell auf jene Punkte der am 25. Mai in Kraft getretenen Verordnung , die für Vereine von Bedeutung sind. Dass dafür rund drei Stunden nötig waren, mag allein schon ein Indiz für die Komplexität der Materie sein, die der Datenschutzbeauftragte mit einer Zusammenfassung gesetzlicher Grundlagen eröffnete. Ziel der "EU DS-GVO" sei es unter anderem, ein einheitliches Datenschutzniveau in Europa zu erreichen, das dem Verbraucherschutz verstärkt Rechnung trägt. Dabei werde der Datenschutz "als Prozess gedacht", an dem immer wieder nachjustiert werden muss, so der Mitbegründer der Fullhouse-IT-Services AG.
Zu den konkreten Tipps des Abends zählte - vereinfacht zusammengefasst - die Erstellung eines Verzeichnisses, das aufführt, wer für den Verein in welcher Form und zu welchem Zweck mit personenbezogenen Daten zu tun hat (intern etwa der Kassier, extern ein Steuerberater) und wie lange diese Daten aufbewahrt werden. Maßnahmen zum Schutz vor Daten-Missbrauch (automatische Updates von Betriebssystem und Browser, aktuelle Virenscanner und die Papier-Aktenvernichtung mit Standard-Schredder) sind ebenso zu dokumentieren, wie wöchentliche Backups auf eine externe Festplatte.
Vor ausländischen Cloudlösungen warnte der Experte hingegen. Sternkopf empfahl zudem die Anschaffung eines vereinseigenen Laptops für die Verarbeitung sensibler Daten und die Unterzeichnung einer Verschwiegenheitserklärung für alle daran Beteiligten. Mit externen Dienstleistern (wie zum Beispiel dem Host der vereinseigenen Website) ist ein Vertrag zur Auftragsverarbeitung abzuschließen.
Die gute Nachricht für die meisten Vereine: Einen Datenschutz-Beauftragten braucht es nur dann, wenn im Verein "mindestens zehn Personen mit der Bearbeitung von personenbezogenen Daten beschäftigt sind" - und das regelmäßig. Zu den Pflichten des Vereins gehört es überdies, die Mitglieder über den Umgang mit ihren Daten und ihre Rechte zu informieren und für bestimmte Nutzungsvarianten (Newsletter, Veröffentlichung von Fotos und ähnliches) die schriftliche Einwilligung einzuholen, die dann bis auf Widerruf gilt.
Die Mammutaufgabe gleiche einem "Tsunami" - mit diesem Bild umschrieb Peter Krah von der Initiative Lebendiges Miteinander (ILM) das Gefühl, das wohl so manchen in der Runde angesichts des Gehörten beschlich. Die Sorge vor Sanktionen infolge einer fehlerhaften Umsetzung der Vorgaben, die in vielen Zwischenfragen deutlich wurde, konnte der Referent unter Verweis auf Musterformulare und -verträge (die teils bereits von Dachverbänden zur Verfügung gestellt werden) ein Stück weit nehmen. Er empfahl zudem einen Blick auf den vom Land Baden-Württemberg speziell für Vereine verfassten Leitfaden und versprach eine Zusammenfassung der wichtigsten Informationen sowie hilfreiche Links auf der Homepage der USB (www.usb-g.de) für die Dauer von 14 Tagen bereit zu stellen.
Paul Weber dankte dem Experten im Namen der USB abschließend für seinen detailreichen Vortrag und gestand, trotz allem angesichts solch umfangreicher Vorschriften "etwas erschrocken" zu sein. Bisher habe man ja nur geahnt, was da auf die Vereine zukommt, "jetzt ist es Gewissheit", so Werner Thorwarth vom FC Geisenfeld. Sein Verein hat schon ein Team gebildet, das sich mit dem Thema Datenschutz beschäftigt. Dank des "sehr anschaulichen Vortrags, ist da viel Rechtsunsicherheit weggenommen", gibt sich der zweite Vorsitzende erleichtert, der allerdings jetzt eine "immense Arbeit vor uns" sieht.
Maggie Zurek
