Basisinformationen zur Datenschutzgrundverordnung (DSGVO) für Clubs

von Christian Sch… 10/11/2018
Szenethema
Basisinformationen zur Datenschutzgrundverordnung (DSGVO) für Clubs

Am 25. Mai 2018 traten die Datenschutz-Grundverordnung (DSGVO} und das Datenschutz­Anpassungsgesetz 2018 (DSG} in Kraft. Die DSGVO ist eine unmittelbar in jedem Mitgliedsstaat der EU wirkende Verordnung, das DSG ergänzt diese Verordnung in zahlreichen Punkten, in denen die Verordnung national Ergänzungen erlaubt.

Geschützt sind personenbezogene Daten natürlicher Personen, erfasst sind alle Datenverarbeitungen, die nicht rein privat oder familiär sind. Auch manuelle Datenverarbeitungen sind erfasst, wenn sie strukturiert und durchsuchbar sind. DSGVO und DSG betreffen auch Vereine und Verbände und gelten somit auch für Oldtimer Clubs.

Die einzelnen Clubs der Oldtimerszene verarbeiten ja jedenfalls personenbezogene Daten. Verantwortlich für die Datenverarbeitung sind die vertretungsbefugten Organe der Vereine.

Bei Verarbeitung personenbezogener Daten bedarf es eines „Erlaubnistatbestandes“ zur Datenverarbeitung.

Unproblematisch ist natürlich eine ausdrückliche Einwilligung von Betroffenen. Aber auch ohne ausdrückliche Einwilligung dürfen die Daten von Vereinsmitgliedern für Vereinszwecke verarbeitet werden (da die Vereinsmitgliedschaft quasi ein „Vertragsverhältnis“ und damit einen „Erlaubnistatbestand“ darstellt).

Kurz zu den wesentlichsten Verpflichtungen gemäß DSGVO und DSG; wie mit rechtmäßig verarbeiteten Daten umzugehen ist:

Verzeichnis von Verarbeitungstätigkeiten - ist jedenfalls verpflichtend zu führen, wenn Datenverarbeitungen nicht nur gelegentlich erfolgen. Somit sind auch praktisch alle Oldtimer Clubs und - verbände betroffen.

Datenschutz-Folgeabschätzung - diese ist immer dann verpflichtend, wenn die Datenverarbeitung ein hohes Risiko für betroffene Personen mit sich bringt, z.B. bei Verarbeitung von sensiblen Daten in großem Umfang.

Das Vorliegen einer derartigen Datenverarbeitung ist für Oldtimer Clubs und Verbände zu bezweifeln - die Entscheidung gegen die Datenschutz-Folgeabschätzung sollte aber kurz begründet und dokumentiert werden.

Datenschutzbeauftragter - Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht unabhängig von der Unternehmensgröße, wenn umfangreich, regelmäßig und systematisch betroffene Personen überwacht werden oder umfangreich sensible Daten verarbeitet werden (z.B. Banken, Versicherungen, Krankenhäuser, Security-Firmen o.ä.). Dies kommt üblicherweise für Oldtimer Clubs nicht in Betracht.

Informationspflichten - Diese bestehen bei Erhebung der Daten direkt bei der betroffenen Person (wie bei Clubs / Verbänden) und umfassen

-  Name und Kontaktdaten des Verantwortlichen

-  Zweck der Datenverarbeitung

-  Rechtsgrundlage {Erlaubnistatbestand)

-  Aufklärung über die Rechte der betroffenen

Empfohlen werden entsprechende clubintern vorbereitete Formblätter.

Auskunftspflicht - Über Anfrage der betroffenen Person ist Auskunft zu geben, ob personenbezogene Daten verarbeitet werden. Bejahendenfalls sind alle Informationen, wie im Rahmen der vorgenannten Informationspflicht zu erteilen -  über Anfrage sind auch Kopien der verarbeiteten personenbezogenen Daten auszuhändigen.           

Berichtigungspflicht - Über Anfrage der betroffenen Person sind unrichtige oder unvollständige Daten zu berichtigen.

Technisches - Es sind Maßnahmen zur Sicherstellung eines angemessenen Schutzes der personenbezogenen Daten und der Rechte der betroffenen Personen zu treffen, und zwar organisatorische und technische Maßnahmen. Kurz: Daten dürfen nicht „offen herumliegen".

Datenschutzerklärung – wesentliche Darstellung der betroffenen Personenkategorien, der Verarbeitungszwecke, der Datenarten, der Rechtsgrundlage, etc.

Praktische Umsetzung: Jeder Verein muss sich bezogen auf die jeweiligen Umstände mit der DSGVO beschäftigen. Als Hilfestellung führen wir hier nach intensiver Sichtung des Web-Angebotes drei von uns empfehlenswerte Links an, die praxisorientiert weiterhelfen sollen, die notwendigen bürokratischen Dokumente zu erstellen:

http://www.bso.or.at/de/schwerpunkte/mitgliederservice/information-und-download/rechtsinformationen/datenschutzgrundverordnung/

http://www.vereine-noe.at/content.php?pageId=4606&news_gruppe=0&smarty=detail&news_id=8356

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html

Beispiele - Darüber hinaus wollen wir auch uns übermittelte Beispiele von Oldtimer Clubs und Verbänden auf der Homepage zeigen. Diese können allerdings nur beispielhaft darstellen, wie andere mit dem Thema umgegangen sind und für sich die Aufgaben lösen.

Eine rechtliche wie auch immer geartete Garantie oder Gewährleistung auf Richtigkeit gibt es dabei NICHT. Es zeigt sich nämlich, dass in der bisher kurzen Praxis bereits eine Vielzahl unterschiedlicher und auch im Dokumentenumfang erheblich voneinander abweichende Lösungen gefunden wurden – mangels Judikatur kann aber derzeit niemand verbindlich sagen, welche Modelle bei einem Datenschutzverfahren „halten“ würden und welche nicht.

LINK ZUR SEITE DER ÖMVV-HOMEPAGE MIT CLUBBEISPIELEN: www.oemvv.at

Notwendige Schlussbemerkung - Diese Kurz-Information wurde nach bestem Wissen und Gewissen, aber aufgrund der Komplexität der DSGVO jedenfalls ohne Anspruch auf Vollständigkeit erstellt. Aufgrund des Umfanges der DSGVO und des DSG ist es unmöglich, auf alle Detailfragen im Rahmen einer Kurz-Information einzugehen, umso mehr als jeder Club oder Verband individuelle Notwendigkeiten hat. Daher wird jede Gewähr ausgeschlossen. Die Darstellung der Materie soll aber die Beschäftigung damit etwas erleichtern.