Gemeint sind Sie, lieber Leser, besonders dann, wenn Sie Mitglied in einem Sportverein sind. Sportvereine werden sich nämlich in Zukunft mit der neuen Datenschutz-Grundverordnung beschäftigen müssen. Und die hat es in sich.
Das kann doch nicht so schlimm sein
DSGVO heißt sie bei uns, auf Englisch nennt sich die Verordnung GDPR (General Data Protection Regulation). Die Europäische Union will den Bürgern mehr Rechte geben, um sich gegen Datenmissbrauch durch Global Player wie Facebook und Google wehren zu können.
Doch was in aller Welt hat das mit Sportvereinen zu tun? Eine Menge!
Tatsächlich glauben einige immer noch, dass es sich bei der DSGVO um ein plötzlich auftauchendes Phänomen handelt, das alle überrollt wie ein Tsunami, den man leider nicht kommen sah. Das ist falsch. Die Europäische Union hat das Gesetz bereits vor zwei Jahren verabschiedet – es trat am 24. Mai 2016 in Kraft. Konsequent angewendet wird es ab dem 25. Mai 2018. Es drohen harte Sanktionen, sie sollen bei Verstößen empfindlich treffen.
Warum der zeitliche Vorlauf von zwei Jahren? Nun, die EU wollte allen Betroffenen zwei Jahre Zeit geben, sich mit den Konsequenzen der neuen Datenschutz-Verordnung auseinanderzusetzen und sich entsprechend neu aufzustellen. Das war fair, doch die hektischen Reaktionen, die man im Moment in den Online-Foren beobachten kann, deuten an, dass einige die Zeit dazu genutzt haben, um den Kopf in den Sand zu stecken und möglichst effizient alles zu verdrängen. Doch ein Gespenst verschwindet nicht, wenn man sich weigert, es anzuschauen.
Im Geschäft mit den Big Data, so scheint’s, haben sich die Bürger ohnehin als sehr anpassungsfähig erwiesen. Gelinde gesagt. Verdrängung gehört dazu. Viele von uns nutzen Facebook und WhatsApp, obwohl der Messenger-Dienst als Erstes unsere Adressbücher hochlädt (1).
Viele suchen bei Google nach Informationen, obwohl die Suchmaschine des Anbieters jeden Schritt protokolliert, den sie jemals unternommen haben. Vielleicht ärgern sich einige gelegentlich über das Aufpoppen von Werbung auf einer Webseite, aber vielleicht nur, weil die Seite eine Zeitlang hin und her ruckelt. Und womöglich glauben die meisten, dass die Auswertung ihrer Aktivitäten durch immer intelligenter werdende Algorithmen nicht so schlimm sein kann.
Nun soll die DSGVO den Bürgern mehr Rechte geben. Das ist zu begrüßen. Andererseits befürchten nicht wenige IT-Journalisten, dass die EU ein Regulierungs-Monster erschaffen hat. Die Warnungen werden aber immer lauter. Erst neulich erklärte Erfolgsautor Frank Schätzing („Die Tyrannei des Schmetterlings“) in einer Talkrunde, dass die persönlichen Daten die Schlüsselwährung der Gegenwart und auch der Zukunft sind. Neu ist diese Erkenntnis nicht.
Und ja: auch der Verfasser dieser Zeilen nutzt (eingeschränkt) WhatsApp, weil immer weniger Menschen E-Mails lesen, er hat einen Google-Account und kann nachschauen, welche Aktivitäten er vor zehn Jahren unternommen hat.
Paradox? So ist es halt: ein Leben im Internet ist ohne Widersprüche nicht möglich.
Nun spendiert uns die EU mehr Rechte
Die neue Datenschutz-Grundverordnung soll dem teilentmündigten Bürger nun seine Rechte zurückgeben. Allerdings überrollt im Moment eine Welle der Angst und der Panik unsere Republik. Die Auswirkungen der DSGVO auf die Arbeit von Unternehmen sind gewaltig, denn es geht ab dem 25. Mai 2018 um die rechtskonforme Verarbeitung der sogenannten „personenbezogenen Daten.“
Mittelständische Betriebe und Kleinunternehmer, die sich keinen Datenschutzbeauftragten leisten können, ächzen unter der Last der neuen Bestimmungen. Die Großen, die eine IT- und Rechtsabteilung haben, werden schneller und erfolgreicher damit umgehen. Tröstend ist das nicht.
Und die Sportvereine? Sie müssen sich neu aufstellen, vieles ändern, denn auch sie (gerade sie!) verarbeiten enorm viele personenbezogenen Daten, etwa in Datenbanken, in denen akribisch Ein- und Austritte und die Mitgliedsbeiträge verwaltet werden. Sie informieren ihre Mitglieder online über Termine und Events, publizieren vielleicht auch Newsletter und werben auf ihre Website mit aussagekräftigen Bildern für ihre breiten Angebote, etwa Kinderturnen.
Bilder mit Kinder? Darf man das? Nein, nicht ohne Vertrag. Fotos vom letzten Schachwettkampf? Am besten mit schriftlicher Erlaubnis der Abgebildeten – und die kann jederzeit und ohne Angabe von Gründen widerrufen werden. Schön, dann ist man halt angehalten, in alten Beiträgen die Fotos zu löschen oder den Betreffenden zu verpixeln.
Sind Newsletter unverfänglich? Nein, es sei denn, man informiert die Abonnenten darüber, welche Daten bei der Bestellung erfasst und gespeichert werden und wann man sie im Falle einer Kündigung löscht. Und Events? Darf ein Verein im Archiv seiner Website jahrelang die Information vorhalten, dass ein gewisser XYZ im Jahre 2005 ein Vereinsfest organisiert hat oder hat XYZ ein „Recht auf Vergessen“? Hat er.
Nur am Rande: mich würde interessieren, wer sich schon einmal mit seinen alten Rechten beschäftigt hat und wer nun weiß, was ihm der neue Datenschutz verspricht. Meine Meinung ist belanglos. Sie bezieht sich auf ein unwiderstehliches Bauchgefühl. Aber diejenigen, die wissen, was ihnen zusteht, sei Mäßigung und praktische Vernunft ans Herz gelegt.
Vermutlich ein aussichtsloser Apell, da bereits jetzt ein sogenannter „Alptraum-Brief“ im Netz kursiert, mit dem man Ehrenamtliche in den Vereinen mühelos an den Rand des Wahnsinns treiben kann. Um so wichtiger ist, dass sich die Verantwortlichen informieren – und dann richtig handeln.
Himmel, was hat das mit uns tun?
Wie gesagt: das hätte man alles schon vor zwei Jahren wissen können. Aber auch der Verfasser dieser Zeilen wusste es nicht, obwohl er beim Relaunch unserer Website umfangreiche Materialien für die Datenschutzerklärung zusammengetragen hat.
Doch nun „Butter bei die Fische“. Ich bin kein Anwalt, auch kein IT-Spezialist, und kann daher keine rechtssichere Auskunft geben. Im Zweifelsfall sollten sich Einzelpersonen und/oder Vereinen bei einem Fachanwalt für IT-Recht rechtssichere Empfehlungen einholen. Aber ich möchte quellenbasiert skizzieren, mit welchen praktischen Problemen wir uns möglicherweise auseinsetzen müssen. Und das gilt auch die sehr erfolgreiche Website unserer Schachabteilung.
In Baden-Württemberg hat der Landesbeauftragte für Datenschutz eine vorbildliche Einführung in den „Datenschutz im Verein“ vorgelegt (ff. Zitate beziehen sich auf diese Quelle).
Einleitend wird zu Recht darauf hingewiesen, dass die nationalen Gesetzgeber ermächtigt sind, die neuen Regelungen konkreter zu formulieren oder zu ergänzen. „Öffnungsklauseln“ nennt man dies. Pessimisten warnen davor, dass erst eine Reihe von Prozessen dazu führen wird, dass Gerichte mit belastbaren Urteilen dem Gesetzgeber auf die Sprünge helfen können. Dabei wird es wohl auch um Prozesse gegen Abmahnanwälte gehen, die laut Einschätzung einiger überregionaler Blätter wie der SUEDDEUTSCHEN offenbar schon jetzt mit den Füßen scharren. Anders formuliert: Die DSGVO wird in einen Praxistest geschickt, man schaut sich an, was passiert, und möglicherweise müssen erst viele leiden, damit man herausfinden kann, was da konkret in die Hose gegangen ist.
Was haben Vereine zu leisten?
Vereine verarbeiten personenbezogene Daten, und dazu gehören nicht nur Name und Anschrift eines Mitglieds, sondern auch sportliche Leistungen, etwa die Platzierung in unserer Vereinsmeisterschaft. Egal ist, ob es sich um Schrift, Bild oder Ton handelt.
Es entsteht auf diese Weise ein Dateisystem, zu dem – aufgepasst – auch analoge Papierakten gehören.
Es gibt Verantwortliche, die über die Verarbeitung dieser Daten entscheiden, und es gibt Auftragsverarbeiter, die im Auftrag der Verantwortlichen ebenfalls diese Daten weiterverarbeiten. Dies kann eine Werbeagentur sein oder der Provider der Vereins-Website.
Und die Rechte der Betroffenen? Grundsätzlich hat der Verein die Verpflichtung, auf Nachfrage alle Betroffenen detailliert darüber zu informieren, welche Daten er auf welche Weise verarbeitet: Erheben, Erfassen, Verwenden, Offenlegen, Verbreiten, Abgleichen, Löschen und Vernichten.
Er muss zum Zeitpunkt der Datenerhebung eine „datenschutzrechtliche Unterrichtung“ vornehmen, die aus elf Einzelpunkten besteht. Diese Unterrichtung drückt man z.B. einem Neumitglied zusammen mit dem Mitgliedsantrag in die Hand. Tut man dies nicht, ist dies bußgeldbewehrt.
Über die eigenen Datenschutzrichtlinien muss der Verein natürlich auch informieren, etwa in seiner Satzung. Dazu gehören auch Informationen über die Art und Weise der Auftragsdatenverarbeitung und wie z.B. mit schriftlichen Einwilligungen der Betroffenen umzugehen ist.
Viele Dinge der täglichen Praxis sind unstrittig, solange sie zu den berechtigten Interessen eines Vereins gehören. Trotzdem muss jeder Verein wissen, welche kritischen Aspekte der DSGVO zu beachten sind und unter welchen Bedingungen er einen eigenen Datenschutzbeauftragten zu benennen hat („wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“), welche Qualifikation der Datenschutzbeauftragte nachzuweisen hat und auf welche Weise er den Datenschutz kommuniziert.
Zu regeln ist folglich:
- Die Erhebung personenbezogener Daten durch den Verein
- Speicherung personenbezogener Daten (dazu gehört auch die Auftragsdatenverarbeitung durch Dritte, mit denen laut DSGVO nunmehr ein bindender Vertrag abgeschlossen werden muss)
- Nutzung von personenbezogenen Daten
- Verarbeitung von personenbezogenen Daten (hierzu gehört auch die Erstellung von Mitgliederlisten, die nicht ohne Weiteres anderen Mitgliedern zur Verfügung gestellt werden dürfen, aber auch Mitteilungen in Aushängen und Vereinspublikationen – und natürlich Veröffentlichungen im Internet).
o Das kann heikel werden. So weist der Landesbeauftragte für Datenschutz in Baden-Württemberg auf Folgendes hin: „So besitzt die Information, dass jemand z.B. eine bestimmte Sportart ausübt, einer bestimmten Altersgruppe zuzurechnen ist oder ein unfallträchtiges Hobby hat, u.U. auch für andere Stellen Relevanz (Arbeitgeber, Werbeindustrie).“
o Interessant ist auch der Umgang mit Wettkampfergebnissen: „Informationen über Vereinsmitglieder (z.B. Spielergebnisse und persönliche Leistungen, Mannschaftsaufstellungen, Ranglisten, Torschützen usw.) oder Dritte (z.B. Spielergebnisse externer Teilnehmer an einem Wettkampf) können ausnahmsweise auch ohne Einwilligung kurzzeitig ins Internet eingestellt werden, wenn die Betroffenen darüber informiert sind und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der Veröffentlichung im Einzelfall überwiegen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DS-GVO. Die zulässige Dauer der Veröffentlichung hängt von der Bedeutung des Ereignisses (…) ab“ (Hervorhebungen durch mich).
- Recht auf Löschung und Einschränkung personenbezogener Daten
Dies ist natürlich eine Menge und es nicht anzunehmen, dass sich jeder Ehrenamtliche nun über Nacht profunde Kenntnisse im IT-Recht verschafft. Leider ist das nicht alles, es gibt noch weitere Verpflichtungen, etwa ein „Verzeichnis der Verarbeitungstätigkeiten“, das gemäß Art. 30 der DSGVO von Vereinen zwingend zu führen ist.
Hier muss man u.a. die Art und Weise kennen, mit der der Verein seine Daten verarbeitet, die Ausnahmeregelungen kennen und natürlich auch, was ggf. an Dritte weitergegeben wird. Es sind auch computertechnische Details explizit zu beachreiben und dies alles ist unerlässlich, weil die verantwortliche Aufsichtsbehörde jederzeit dieses Verzeichnis abrufen kann.
Der Teufel liegt im Detail. Was geschieht mit unseren Fotos?
Dass auf jeden Verein einiges zukommt, ist unstrittig. Aber auch Abteilungen wie unsere Schachabteilung, die in eigener Regie eine Website führen, müssen sich Kenntnisse über eventuelle Änderungen verschaffen. Nachdenklich hat mich gemacht, dass zum Beispiel die SF Hannover bereits eine DSGVO-konforme Datenschutzerklärung besitzen.
Die to-do-Liste ist nicht gerade kurz. Sie spiegelt nicht meine persönliche Meinung wider, sondern ergibt sich aus den Recherchen, die ich in den letzten Wochen zusammengetragen habe. Ich kann nur hoffen, dass ich mich geirrt habe.
Wir müssen auch herausfinden, ob wir in Zukunft uneingeschränkt Fotos erstellen, speichern und veröffentlichen dürfen. Glaubt man dem IT-Fachanwalt Benjamin Horvath, so ist dies nicht mehr ohne Weiteres möglich.
„Das Recht auch Fotoaufnahmen im Rahmen der allgemeinen Meinungsfreiheit verbreiten und veröffentlichen zu dürfen, dient somit dabei nicht lediglich dem Informationsinteresse der Informationsgesellschaft, sondern stellt das Öl im Getriebe einer Demokratie dar.
Gerade dieses Recht droht jedoch durch die drohende Untätigkeit des Gesetzgebers im Lichte der vorrangigen Geltung der Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 stark eingeschränkt und für den größten Teil der Bevölkerung faktisch abgeschafft zu werden. Denn Ausnahmen von der vorrangigen Geltung der DSGVO gegenüber dem KUG (Kunsturhebergesetz, Anm. d. Red.) sind bislang nur für die institutionalisierte Presse vorgesehen. Der Segelclub oder der Ortsverein, der mit Fotos von seiner Jahresfeier auf die Vereinstätigkeit aufmerksam machen möchte, aber auch der Landrat, der ungestellte Bilder von Spielplätzen mit Kindern auf seine Homepage stellt, um für seinen Landkreis zu werben, verhalten sich ab dem 25. Mai 2018 im Zweifel datenschutz- und damit rechtswidrig.“
Horvath macht darauf aufmerksam, dass auch das Einholen von Einwilligungen nicht weiterhilft, da Einwilligungen nach dem DSGVO jederzeit widerrufen werden können.
Fazit: „Die Nutzung von Bildaufnahmen ohne Einwilligung im Rahmen des KUG dürfte nach dem 25. Mai 2018 jedoch nur noch für die „institutionalisierte“ Presse und den Rundfunk und die für sie arbeitenden Journalisten und Unternehmen gelten.“
Das sind handfeste Probleme und Benjamin Horvath ist zuzustimmen, wenn er die Informationsfreiheit und die Vielfalt der Meinungsbildung gefährdet sieht.
Geteilt wird Horvaths Interpretation der DSGVO aber längst nicht von allen. Zumindest nicht von jenen, die sich auf das das Kunsturhebergesetz (KUG) berufen. Dieses fordert zwar auch eine Einwilligung der Abgebildeten, räumt aber ein, dass bei „Personen der Zeitgeschichte“ keine Einwilligung erforderlich ist, wenn es sich z.B. um ein Bild von einem „bedeutsamen Wettkampf“ handelt. Doch was ist bedeutsam? Gilt dies auch für einen Wettkampf auf Bezirksebene?
Immerhin hat das Bundesministerium des Inneren eine interessante Auslegung formuliert: „Die Ansicht, das Kunsturhebergesetz werde durch die DS-GVO ab dem 25. Mai 2018 verdrängt, ist falsch. Das Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DS-GVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet.“
In diesem Fall könnte man also weiterhin auf § 23 KUG beziehen, der es gestattet, ohne Einwilligung des/der Abgebildten Bildnisse aus dem Bereich der Zeitgeschichte zu veröffentlichen.
Wie zu erwarten war, wurde das Dilemma auch auf der Seite der gut informierten SF Hannover kommentiert. So schreibt Gerhard Streich (auch in Hinblick auf den Vortrag des DSB-Präsidenten Ullrich Krause „Die Vereinshomepage – Wie bringt sie den Verein nach vorne?“, Bundesvereinskonferenz 2018): „Ein Problemfall, der am 25. Mai 2018 durch die neue Datenschutzgrundverordnung (DSGVO) in Kraft tritt, kommt mir in der schriftlichen Darstellung jedoch zu kurz: Es geht um die Veröffentlichung von Bildern auf einer Homepage. Hochwertige Bilder hält Ullrich Krause für wünschenswert, wären da nicht die ab 25. Mai dräuenden Konsequenzen. (..) Leider sieht es derzeit so aus, dass bis auf Pressefotografen niemand befugt sein wird, digitale Fotos zu veröffentlichen, auf denen Menschen zu erkennen sind. Schriftliche Einwilligungen einzuholen, ist nahezu unmöglich. Der Hinweis in Turnierausschreibungen, dass sich ein Teilnehmer mit der Veröffentlichung seines unverhüllten Gesichts im Internet einverstanden erklärt, reicht ab dem 25. Mai nicht mehr aus.“
SF Streich verweist dabei auf den Artikel von Lars Rieck, s.a. Quellen.
Wie konfus es im Augenblick in der Politik zugeht, zeigt auch folgender Auslegungsstreit: Vor einigen Tagen hatte Bundeskanzlerin Angela Merkel angekündigt, die DSVGO zu entschärfen, weil sie befürchtet, dass sie eine Überforderung darstellt.
Dies wurde nun eilig dementiert. Regierungssprecher Steffen Seibert stellte am 14. Mai fest: „Wir planen als Bundesregierung derzeit keine kurzfristigen Änderungen.“ Man wolle abwarten, genau hinschauen, Erfahrungen sammeln. Dann sieht man, wer mit der DSGVO zurechtkommt und wer nicht. Auch das ist nicht tröstend.
Warum bleibt aber nach all diesem Hin und Her immer noch ein Gefühl der Unsicherheit zurück?
Ganz einfach: Weil man sich halt nicht sicher fühlt!
Um so bedenklicher ist der Umstand, dass längst nicht alle Landessportbünde und Schachverbände den Vereinen beratend zu Seite stehen. Dies ist aber notwendig, auch weil der Deutsche Schachbund auf der unlängst stattgefundenen Bundesvereinskonferenz in punkto Öffentlichkeitsarbeit im Internet den Vereinen besonders den Einsatz aussagekräftiger Fotos ans Herz gelegt hat.
Ja gerne, das wollen wir ja auch. Wie das aber möglich sein soll, wenn man gerade in diesem Punkt in einer nicht endgültig geklärten Situation agiert, würde ich gerne wissen.
Wünschenswert wäre also eine verbindliche Rechtsauskunft zu einem klar definierten Einsatzgebiet, nämlich der Abbildung von Schachsportlern während Mannschaftswettkämpfen und Vereinsturnieren.
Weiterhin wäre abzuklären, ob man unproblematisch Nutzungsrechte für Bilder beantragen kann, die z.B. von Ausrichtern größere Veranstaltungen (Open etc.) für die eigene Öffentlichkeitsarbeit online gestellt werden.
Und last but not least wäre zu klären, was mit Bildern geschieht, die vor dem 25. Mai online veröffentlicht wurden.
Eine generelle Anfrage an den Deutschen Schachbund zu diesem Thema blieb bislang unbeantwortet. Aber möglicherweise gibt es auch hier eine einfache Lösung:
Anmerkungen
(1) Wenn Unternehmen nach dem 25. Mai weiterhin WhatsApp nutzen, so ist dies illegal. WhatsApp lädt die Adressbücher der Nutzer auf seine Server in den USA hoch. Der neue Datenschutz verlangt aber, dass der Smartphone-Besitzer von jedem seiner Kontakte die Einwilligung zur Datenübertragung an Dritte (in diesem Fall ins Ausland) einholt. Zudem muss das Unternehmen einen Vertrag zur Auftragsdatenverarbeitung mit WhatsApp, einer Facebook-Tochter, abschließen. Wer diese Auflagen umgeht, handelt illegal.
Wer WhatsApp ausschließlich für rein persönliche Zwecke nutzt, muss allerdings keine Sorgen haben. Er darf WhatsApp weiterhin nutzen. Da aber auf vielen Smartphones berufliche und private Daten verwaltet werden, ist davon auszugehen, dass WhatsApp-Nutzer ab dem 25. Mai Rechtsverstöße begehen. Der der thüringische Landesdatenschutzbeauftragte Dr. Lutz Hasse geht davon aus, dass 99% aller WhatsApp-Nutzer nach dem Stichtag den Schritt in die Illegalität vollziehen. Wer sein Adressbuch über die Cloud synchronisiert, muss seine beruflichen Kontakte daher löschen und gesondert verwalten. Ich empfehle ein analoges Notizbuch.
Quellen
Datenschutz-Grundverordnung
Abgerufen: 9. März 2018.
Bundesministerium des Innern: FAQ Datenschutzverordnung
Abgerufen: 9. März 2018.
Benjamin Horvath: Das Ende der freien Veröffentlichung von Personenbildnissen – für die meisten von uns.
Abgerufen: 9. März 2018
Der Landesbeauftragte für den Datenschutz Baden-Württemberg: Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)
Abgerufen: 9. März 2018.
Schachfreunde Hannover: Schach als Investition.
Abgerufen: 9. März 2018.
Lars Rieck: Wissen zur DSVGO – 7 Tipps für Fotografen.
Abgerufen: 9. März 2018.