Datenschutz in der DLRG

Am 25. Mai tritt die Datenschutz-Grundverordnung (DS-GVO) sowie das Bundesdatenschutz-Gesetz neu (BDSG-neu) in Kraft. In allen 16 Bundesländern gibt es Aufsichtsbehörden und Landesdatenschutzbeauftragte, die Hinweise zur Auslegung geben. Eine Übersicht über die Behörden gibt es hier.

Die Auslegungen der Landesdatenschutzbeauftragten sind meist abgestimmt, müssen jedoch nicht immer im Detail übereinstimmen. Da es hierzu auch noch keine aktuelle Rechtsprechung gibt, bestehen bei den EU-Vorgaben noch gewisse Unsicherheiten in Bezug auf die Auslegung. Einige Landesverbände haben deshalb - teilweise mit Hilfe externer Experten - eigene Wege beschritten, um den Gliederungen bei der Umsetzung der DS-GVO zu helfen. Gliederungen, die den Empfehlungen ihrer Landesverbände folgen, machen auf keinen Fall etwas falsch.

Bei der DLRG werden auf allen Ebenen die personenbezogenen Daten von Mitgliedern und Teilnehmenden von Lehrgängen, Schulungen und Veranstaltungen verarbeitet. Dies ist selbstverständlich auch weiterhin erlaubt. Zu beachten ist, dass der Gesetzgeber dabei insbesondere Anforderungen an die Information der Betroffenen, die Dokumentation der Verarbeitung und die Datensicherheit stellt. Der Gesetzgeber fordert ein „angemessenes Schutzniveau“, d.h. im Verein reichen in der Regel Standardmaßnahmen (z.B. Nutzung eines Virenscanners) aus.

Wir möchten darüber hinaus versuchen, allen Gliederungen einen Überblick über die Neuerungen der DS-GVO sowie deren Umsetzung zu geben:

1) Einwilligung oder gesetzliche Erlaubnis
Die Verarbeitung personenbezogener Daten bedarf auch künftig immer einer Einwilligung oder gesetzlichen Erlaubnis. Für die tägliche Arbeit in der DLRG ist die Erlaubnis nach Art. 6 Abs. 1 lit. b DS-GVO besonders wichtig. Diese Vorschrift erlaubt insbesondere eine Datenverarbeitung, wenn „die Verarbeitung … für die Erfüllung eines Vertrags … erforderlich (ist)“. D.h., dass z.B. Mitglieder oder Lehrgangsteilnehmer nicht in die Verarbeitung ihrer Daten für Zwecke der Mitgliederverwaltung und Lehrgangsabrechnung einwilligen müssen. Die Betroffenen sind allerdings über die Datenverarbeitung zu informieren (s. u.).

2) Datenschutzordnung der DLRG
Um den Datenschutz in der DLRG formell zu verankern, hat der Präsidialrat im April 2018 für die DLRG eine eigene Datenschutzordnung verabschiedet. Sofern Gliederungen, Bezirke oder Landesverbände nicht eigene, spezielle Regelungen für Ihren Bereich getroffen haben, entfaltet die Datenschutzordnung auch Wirkung für Untergliederungen. Sie wird im Internet-Service-Center (ISC) ab der 21. KW abrufbar sein.

3) Datenschutzbeauftragter
In Art. 37 Abs. 1 DS-GVO ist geregelt, wann ein Datenschutzbeauftragter in jedem Fall zu bestellen ist. Nach derzeitiger Einschätzung fallen unsere Datenerhebungen nicht in diesen Bereich, denn die „umfangreiche oder systematischer Überwachung von Personen oder die umfangreicher Verarbeitung besonders sensibler Daten“ sind nicht unsere „Kerntätigkeit" (siehe hierzu z.B.: www.lda.bayern.de/media/dsk_kpnr_12_datenschutzbeauftragter.pdf), so dass sich hieraus keine Verpflichtung zur Bestellung ergibt. Gem. Art. 37 Abs. 4 DS-GVO in Verbindung mit § 38 Abs. 1 BDSG-neu ist darüber hinaus ein Datenschutzbeauftragter immer dann zu bestellen, wenn „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“ sind. Zu diesen Personen zählen u.a. der Schatzmeister, aber auch Personen, die am Computer regelmäßig mit der vollständigen Verwaltung der Daten von Teilnehmenden an Schwimmkursen betraut sind. Nicht „ständig beschäftigt“ ist nach Angaben des
Bayerischen Landesamtes für Datenschutzaufsicht dagegen "wer als Übungsleiter nur mit den Namen seiner Mannschaft umgeht" (https://www.lda.bayern.de/media/muster_1_verein.pdf). Allen Gliederungen können wir daher nur raten, ihre Vereinsprozesse und Datenverarbeitungen zu überprüfen und maximal neun Personen mit solchen Aufgaben zu betrauen und entsprechenden Rechten auszustatten (z.B. bei Mitgliederverwaltungsprogrammen, bzw. auf den Apps im Internet-Service-Center). Wenn in der Gliederung tatsächlich zehn oder mehr Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, dann ist durch die Gliederung ein Datenschutzbeauftragter zu bestellen. In diesem Fall muss der Vorstand der Gliederung sicherstellen, dass der Datenschutzbeauftragte in der Lage ist, die sich aus Art. 29 DS-GVO ergebenen Aufgaben zu erfüllen und leicht erreichbar zu sein. Es ist möglich, einen internen oder externen Datenschutzbeauftragten zu ernennen.
Der Vollständigkeit halber sei noch erwähnt, dass auch ohne die Verpflichtung zur Benennung eines Datenschutzbeauftragten die Datenschutzgesetze natürlich eingehalten werden müssen.

4) Auftragsverarbeitung
Wenn Gliederungen ihre Daten nicht selbst verarbeiten, sondern sich hierfür der Hilfe von Dienstleistern bedienen (z.B. HiOrg-Server.de), dann handelt es sich um eine Auftragsverarbeitung. Diese ist geregelt in Art. 28 DS-GVO. Die DLRG-Gliederung ist die „Verantwortliche“ und der Dienstleister der „Auftragsverarbeiter“. Zur Regelung dieser Form der Datenverarbeitung bedarf es dem Abschluss eines Auftragsverarbeitungsvertrages.
Innerhalb der DLRG selbst bedarf es grundsätzlich zur Verwaltung der Mitgliederdaten u. ä. zwischen den einzelnen Gliederungsebenen keinen Auftragsdatenverarbeitungsvertrag. Die DLRG ist als Gesamtverein organisiert, so dass unsere Mitglieder gleichzeitig Mitglied in der örtlichen Gliederung und auch im Bezirk, Landes- und Bundesverband werden. Jede Gliederungsebene verarbeitet daher in eigener Verantwortung die jeweiligen Mitgliederdaten und nicht als verarbeitender „Dritter“. Um jedoch in möglichen Grenzbereichen den Gliederungen Sicherheit zu geben, haben wir uns entschlossen zwischen der Gliederung und der Bundesebene als Betreiber des Internet-Service-Centers (ISC) einen Auftragsdatenverarbeitungsvertrag abzuschließen. Der Vertrag wird den Gliederungsverantwortlichen in der nächsten Zeit über das ISC (https://dlrg.net) in einem elektronischen Format zur Verfügung gestellt. Der Abschluss des Vertrages wird papierlos über das ISC erfolgen. Ebenfalls wird ein Auftragsdatenverarbeitungsvertrag automatisch mitabgeschlossen, wenn sich die Gliederung zur Nutzung des Programms SEWOBE entscheidet. Bei einer Zusammenarbeit der DLRG Gliederung mit anderen Dienstleistern muss die Gliederung in eigener Verantwortung darauf achten, dass entsprechende Auftragsdatenverarbeitungsverträge abgeschlossen werden.

5) Verarbeitungsverzeichnisse
Mit der neuen europäischen DS-GVO sind nunmehr gem. Art. 30 DS-GVO durch jeden Verantwortlichen sogenannte Verarbeitungsverzeichnisse zu erstellen. Dies betrifft nach gegenwärtiger Einschätzung auch die Gliederungen, da die Ausnahme gem. Art. 30 Abs. 5 DS-GVO hier nicht einschlägig sein dürfte. Nach Information der Datenschutzkonferenz dient "das Verzeichnis von Verarbeitungstätigkeiten als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar." In dem Verarbeitungsverzeichnis sind sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, aufzunehmen. Die Verantwortung für die Erstellung liegt beim Vorstand der Gliederung. Zur Unterstützung bei dieser von Euch vorzunehmenden Tätigkeit haben wir Mustervorlagen zu den typischen DLRG-Verarbeitungstätigkeiten erstellt und werden diese ebenfalls in der 21. KW im Internet-Service-Center bereitstellen. Bitte überprüft in Eurer Gliederung sorgsam, ob ihr weitere Verarbeitungstätigkeiten dort habt. Die Erstellung des Verzeichnisses kann, neben der gesetzlichen Nachweispflicht, für Euch auch später eine Hilfe sein, wenn jemand von Euch wissen will, welche Daten ihr von Ihm gespeichert habt und ihr verpflichtet seid hierüber Auskunft zu geben.

6) Informationspflichten
Die neue europäische DS-GVO stellt im Weiteren auch Anforderungen an die Information der Betroffenen, deren Daten erhoben und verarbeitet werden. Zukünftig sind Betroffene bei der Erhebung von Daten über diesen Vorgang zu informieren, also z.B. beim Mitgliedsantrag, bei Anmeldungen zu Lehrgängen oder auch bei Anfragen über ein Kontaktformular auf der Homepage. Soweit die Gliederungen hier Angebote des Bundesverbandes, z.B. bei der Homepage-Erstellung wahrnehmen, stehen hierzu Hilfestellungen bereit. Die Gliederungen können ein Plug-In nutzen, um die notwendigen Datenschutzerklärungen die auf den Webseiten einzubinden. Das Plug-In bietet Standardtexte, die von den Gliederungen aktiviert werden können. Die angebotenen Texte (z.B. zur Einbindung von Facebook) müssten für die meisten Gliederungen ausreichen. Wer in der Gliederung eigene Formulare oder ungewöhnlichere Social-Media-Angebote nutzt, muss jedoch ggfs. selbständig ergänzend tätig werden. Weiter haben die ehrenamtlichen Entwickler vom Arbeitskreis Internet in der Seminar-App und im DLRG-Kontaktformular Datenschutzerklärungen implementiert.
Ein Mitgliedsantrag, der den neuen Anforderungen Rechnung trägt, ist über die Materialstelle verfügbar.

7) "Verpflichtungserklärungen"
Nach dem alten bis zum 24. Mai 2018 gültigen Datenschutzrecht besteht gem. § 5 BDSG eine Pflicht, Personen, die personenbezogene Daten verarbeiten, auf das „Datengeheimnis“ zu verpflichten. Nach dem neuen Recht müssen Verantwortliche (also die jeweiligen Gliederungen) Schritte unternehmen, die sicherstellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese ordnungsgemäß verarbeiten (Art. 32 Abs. 4 DS-GVO). Wir haben uns auf Bundesebene entschlossen, auch in diesem Bereich die Verantwortlichen in den Gliederungen zu unterstützen. Demnächst werden alle Nutzer des ISC mit einer entsprechenden Belehrung über den Datenschutz informiert. Mit der Kenntnisnahme dieser „Verpflichtungserklärung“ sind dann bereits bis zu 23.000 Personen auf allen Gliederungsebenen entsprechend belehrt. Die Gliederungen selbst müssen dann eigenständig ggf. noch weitere Personen belehren, sofern diese die personenbezogene Daten verarbeiten aber nicht das ISC nutzen und somit nicht zentral erreicht werden konnten.

8) Technische und organisatorische Maßnahmen (TOM)
Mit der DS-GVO sind die Verantwortlichen gehalten, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 31 Abs. 1 DS-GVO). In den meisten Gliederungen dürften kaum Daten mit einem erhöhten Schutzbedarf verarbeitet werden, so dass Standardmaßnahmen in der Regel ausreichen. Dazu gehört z.B. dass das Passwort für SEWOBE nicht im Browser eines im Vereinsheim jedermann zugänglichen Computers gespeichert wird, oder dass man die Software auf seinen Computer auf dem aktuellen Stand hält. Eine Muster-Übersicht über mögliche TOMs wird ebenfalls für die Gliederungen über das ISC ab der 21. KW bereitgestellt.

9) Betroffenenrechte
Schon nach dem bisher geltenden Recht haben die von der Datenverarbeitung betroffenen Personen unterschiedliche Rechte, die in der Vergangenheit gegenüber DLRG-Gliederungen selten geltend gemacht wurden. Auch die DS-GVO sieht Betroffenenrechte vor. Hierzu zählen etwa das Auskunftsrecht (Art. 15 DS-GVO) oder Berichtigungs- oder Löschungsansprüche (Art. 16 ff DS-GVO). Wenn derartige Rechte geltend gemacht werden, muss – wie bisher auch -im Einzelfall das weitere Vorgehen geprüft werden. In konfliktträchtigen Einzelfällen sollten Untergliederungen sich hilfesuchend an die jeweiligen Landesverbände oder den Bundesverband wenden.

10) Meldepflicht
Art. 33 DS-GVO verlangt, dass die „Verletzung des Schutzes personenbezogener Daten“ unverzüglich der zuständigen Aufsichtsbehörde gemeldet wird, „es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Die „Verletzung des Schutzes personenbezogener Daten“ ist in Art. 4 Nr. 12 DS-GVO als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung, beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Zum Beispiel könnte der Diebstahl eines Laptops, auf dem die Mitgliederdaten der Gliederung gespeichert sind, die Meldepflicht auslösen. Ob tatsächlich eine Meldepflicht besteht, muss im Einzelfall geprüft werden. Ggfs. sollte auch in einem solchen Fall Rücksprache mit den jeweiligen Landesverbänden genommen werden.

11) Presse- und Öffentlichkeitsarbeit
Gerade in jüngster Vergangenheit haben sich Unsicherheiten im Bereich der Presse- und Öffentlichkeitsarbeit durch das Inkrafttreten der DS-GVO gezeigt. Nach derzeitiger Einschätzung wird sich durch die DS-GVO keine veränderte Rechtslage ergeben. Hierauf deuten zumindest aktuelle Stellungnahmen öffentlicher Stellen hin.
Wir hoffen, dass Ihr mit diesen Informationen einen Überblick über das neue Datenschutzrecht erhalten habt, die Euch bei der konkreten Umsetzung helfen. Sofern sich nach Inkrafttreten der DS-GVO erhebliche Veränderungen bei der Auslegung der Normen ergeben, werden wir Euch hierüber natürlich informieren. Bitte informiert Euch regelmäßig im ISC über etwaige Neuerungen.

Für weitere, vertiefende Informationen können wir die Broschüre "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Verein" aus dem Beck-Verlag (ISBN 978-3-406-71662-1) oder auch die Handreichung "Datenschutz in Paritätischen Mitgliedsorganisationen – Ausgewählte Fragen zum Umgang mit personenbezogenen Daten und Geheimnisschutz" des Paritätischen Gesamtverbandes (im Internet abrufbar), sowie insbesondere weitergehende Informationen der Landesverbände empfehlen.