Menü
Menü
Menü
Blog
04
05
2018

Landessportbund Berlin - Logo

Datenschutz und Social Media – SPORT in BERLIN

By GRR 0

Viele Berliner Sportvereine und –verbände präsentieren sich und ihr Engagement für den Berliner Sport im Internet. Über bunte Webseiten und diverse Auftritte in den sozialen Netzwerken lassen sich erfolgreich neue Mitglieder akquirieren, über sportliche Erfolge berichten oder Eindrücke des letzten Sportfestes teilen.

Oft ist uns gar nicht bewusst, wo und in welchem Umfang dabei personenbezogene Daten verarbeitet, gespeichert und genutzt werden.

Dieser Artikel richtet sich an hauptamtliche und ehrenamtliche Führungskräfte von Sportvereinen, sowie an Mitarbeiterinnen und Mitarbeiter, die regelmäßig personenbezogene Daten, z. B. auch für ihren Internetauftritt nutzen und veröffentlichen.

I. Die DSGVO

Am 25. Mai 2018 ist es soweit – die EU-Datenschutzgrundverordnung (DSGVO) tritt in Kraft.

Damit wird das Thema Datenschutz auch für Vereine und Verbände aktueller denn je.

Wo und wie die neuen Vorgaben der Verordnung in der Vereinspraxis anzuwenden sind, soll Ihnen dieser Artikel näher bringen.

Dabei soll vor allem auf die Herausforderungen eingegangen werden, die mit der Verwendung und Veröffentlichung von personenbezogenen Daten im Internet einhergehen.

1. Einwilligungserklärung

Grundsätzlich gilt jetzt und in Zukunft: Die Veröffentlichung von personenbezogenen Daten ist verboten, wenn sie nicht ausdrücklich erlaubt ist oder eine Einwilligung des Betroffenen vorliegt.

Das heißt, möchten Sie die personenbezogenen Daten (auch Fotos!) ihrer Vereinsmitglieder zukünftig für den Online-Auftritt des Vereins verwenden, sollten Sie vor der Veröffentlichung eine schriftliche Einwilligungserklärung des Betroffenen einholen.

Die Einwilligung muss freiwillig, ausdrücklich, informiert und für den konkreten Fall erteilt werden. Der Inhalt muss dabei so ausführlich wie möglich sein. Das bedeutet, dass Mitgliederdaten nur veröffentlicht werden dürfen, wenn das betroffene Mitglied genau weiß, wer die Daten für welchen konkreten Zweck verwendet.

Die Erklärung soll folgende Fragen beantworten können:

  • Wer soll die Daten nutzen dürfen?
  • Welche Daten soll er nutzen dürfen?
  • Zu welchem Zweck erfolgt die Nutzung?
  • Darf der Verwender die Daten weitergeben? Und wenn ja, an wen genau?
  • Wie lange darf die Nutzung andauern?

Wichtig: Die Einwilligungserklärung muss einen Hinweis enthalten, dass die Einwilligung verweigert oder mit Wirkung für die Zukunft widerrufen werden kann.

Die DSGVO geht davon aus, dass auch Jugendliche ihre Einwilligung zur Datenverarbeitung geben können, sofern sie die erforderliche Einsichtsfähigkeit besitzen.

Bei der Datenerhebung von Kindern und Jugendlichen sollten jedoch die gesetzlichen Vertreter ihre Zustimmung erklären.

2. Wichtige Neuerungen

Mit dem In Kraft treten der DSGVO werden einige wichtige und relevante Neuerungen zu beachten sein.

Zum einen ist jetzt das sogenannte Recht auf Vergessen werden gesetzlich normiert. Daten, deren Zweck erfüllt ist und bei denen keine gesetzliche Aufbewahrungspflicht besteht, sind zu löschen.

Damit im Zusammenhang steht das Recht auf Datenportabilität. Ab Mai 2018 sind auch Vereine dazu verpflichtet, die von ihren Mitgliedern bereitgestellte Daten an diese in strukturierter und maschinenlesbarer Form zurückzugeben, etwa bei einem Vereinswechsel.

Die Pflicht zum Abschluss von Auftragsverarbeitungsverträgen besteht weiterhin fort (Art. 28 DSGVO). In Zukunft können diese Verträge aber nicht nur schriftlich, sondern auch elektronisch abgeschlossen werden.

Was die umfangreichen Dokumentationspflichten betrifft, müssen sich die Vereine künftig auf höhere Anforderungen einstellen. Laut DSGVO muss auch ein Verein ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen (Art. 30 DSGVO).

In diesem sogenannten Verarbeitungsverzeichnis müssen sämtliche Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten bestehen, aufgeführt und genau beschrieben werden.

Dies ist jedoch kein „Jedermannsverzeichnis“ mehr, sondern muss nur noch auf Verlangen der Aufsichtsbehörde vorgelegt werden.

Bei einem Verstoß gegen diese neuen datenschutzrechtlichen Bestimmungen werden nun nicht mehr wie vorher Bußgelder zwischen 50.000€ und 300.000€ fällig. Sondern die Strafzahlungen erhöhen sich um mindestens 2% des weltweiten Jahresumsatzes und können bei großen Unternehmen bis zu 10 Mio. € betragen.

3. Datenschutzbeauftragter

Wenn mindestens 10 Personen regelmäßig personenbezogene Daten im Verein verarbeiten, müssen Sie nun zwingend einen Datenschutzbeauftragten ernennen. Dieser muss dem Berliner Beauftragten für Datenschutz und Informationsfreiheit als die dafür zuständige Aufsichtsbehörde gemeldet  und dessen Kontaktdaten zur Erreichbarkeit über den Verein auf der vereinseigenen Homepage veröffentlicht werden. Für die Benennung bei der Aufsichtsbehörde wurde in Aussicht gestellt,  ab Mai 2018 eine möglichst unbürokratische Meldung einzurichten.

Denken Sie daran, dass nach der DSGVO auf jeden Fall auch ein Datenschutzbeauftragter bestellt werden muss, wenn die Kerntätigkeit des Vereins in der Verarbeitung von besonderen Kategorien personenbezogener Daten besteht. Relevant für Vereine ist dabei insbesondere der Umgang mit Gesundheitsdaten (häufig im Rahmen von Reha-Sport-Maßnahmen).

Nach der DSGVO muss eine Person zum Datenschutzbeauftragten bestellt werden, die die berufliche Qualifikation und insbesondere das Fachwissen dafür besitzt. Das heißt, dass die Person Kenntnisse in Datenschutzrecht und -praxis haben muss. Je sensiblere Daten der Verein verarbeitet, desto tiefer gehende Fachkenntnisse muss der Datenschutzbeauftragte besitzen.

II. Homepage

Die Vereinshomepage ist eine nützliche Plattform, um den Verein und seine sportliche Arbeit zu präsentieren. Ihre Gestaltung sollte daher rechtssicher sein.

1. Impressum

Nicht neu, aber häufig vergessen ist die Impressumspflicht nach § 5 Telemediengesetz. Auch Vereine müssen auf ihrer Homepage ein Impressum führen.

Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein.

Am besten gelingt das, wenn die Angaben in einem eigenen Menüpunkt in der Navigation auch als „Impressum“ bezeichnet werden. Es sollte von jeder Unterseite aus zu erreichen sein und bestenfalls im direkten Sichtbereich der Seite sein, wenn diese geöffnet wird. Es gilt die sogenannte „Zwei-Klick-Regel“: Der Nutzer darf nicht mehr als 2x auf einen Link oder Button klicken müssen, um die Impressum-Seite aufzurufen.

Das Impressum muss jederzeit über einen dauerhaft funktionstüchtigen Link aufgerufen werden können.

Es muss den vollständigen Vereinsnamen, die Rechtsform, Adresse, Vertretung nach § 26 BGB, Kontaktdaten, Registereintrag und Umsatzsteuer-ID enthalten.

Bei journalistisch-redaktionellen Inhalten (z.B. Newsmeldungen, Berichten, etc.) kommt noch die Angabe eines inhaltlich Verantwortlichen mit Name und Anschrift hinzu.

Ist der Verein auch in anderen sozialen Netzwerken wie Facebook, Instagram & Twitter vertreten, sollte im Impressum der Homepage auch ein Hinweis erscheinen, dass dieses auch für Profile in sozialen Netzwerken gilt.

Was viele vielleicht gar nicht wissen: auch auf die Facebook-Seite des Vereins gehört ein Impressum. Dort sollte es gut sichtbar gemacht werden – entweder als eigener Reiter oder als Direktlink auf das Impressum der Homepage.

Sogenannte Impressum-Generatoren können bei der Erstellung eines rechtssicheren Impressums helfen.

2. Datenschutzerklärung

Zudem sollte auf jeder Homepage eine jederzeit abrufbare Datenschutzerklärung zu finden sein.

Verwenden Sie Google Maps auf der Homepage oder verwenden Sie Programme mit Google Analytics, muss darauf in der Datenschutzerklärung hingewiesen werden.

Die Besucher der Webseite sind in der Datenschutzerklärung umfassend und verständlich darüber zu informieren, welche Daten zu welchem Zweck erhoben und ggf. weitergegeben werden.

Auch dafür gibt es kostenlose Generatoren, mit denen eine rechtssichere Datenschutzerklärung zusammengestellt werden kann.

III. Fotos

Besonders ansprechend wirken Internetauftritte mit bunten Bildern von Veranstaltungen und zufriedenen Mitgliedern.

1. Veröffentlichung

Doch natürlich dürfen auch Abbildungen von Personen nicht einfach so veröffentlicht werden.
Jeder Mensch hat das Recht am eigenen Bild, das durch die DSGVO und das Kunsturhebergesetz geschützt ist. Das heißt, dass Fotos (auch Gruppenfotos) nur mit Einwilligung der abgebildeten Personen verbreitet werden dürfen.

Davon gibt es nur ein paar strenge Ausnahmen:

  • Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft zu sehen sind,
  • Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (z.B. Vereinsfeste, Sportveranstaltungen als aktiver Teilnehmer oder passiver Zuschauer),
  • die abgebildete Person ist eine Person der Zeitgeschichte (z.B. bekannte Sportler).

Bedenken Sie: Wenn von einer Person ohne Erlaubnis ein Bild veröffentlicht wird, hat diese stets einen Unterlassungsanspruch nach § 1004 Abs. 1 BGB und darf zur Entfernung des Bildes auffordern. Dieser Aufforderung muss der Verein Folge leisten.

2. Minderjährige

Bei der fotografischen Abbildung von Minderjährigen zählt bei Kindern unter 14 Jahren die Einwilligung der gesetzlichen Vertreter. Ab 14 Jahren sollte auch das Kind selber der Abbildung zustimmen.

IV. Social Media

Neben der Vereinshomepage nutzen viele Vereine auch soziale Netzwerke wie Facebook, WhatsApp und Doodle. Speziell bei diesen, meist im Ausland angesiedelten, Anbietern ist besondere Vorsicht geboten.

1. Facebook

Kernproblem bei Facebook ist, dass  Nutzer über sämtliche Daten, die bei Facebook landen, faktisch keine Kontrolle mehr haben. Facebook interessiert sich nicht für eine zweckgebundene Verarbeitung der Daten und hält sich auch jede Art der Weitergabe offen.

Gehen Sie daher sparsam mit der Veröffentlichung von personenbezogenen Daten um. Konzentrieren Sie sich auf die allgemeine Präsentation des Vereins, statt auf die Verbreitung persönlicher Daten.

Wenn solche dennoch veröffentlicht werden sollen, denken Sie an eine Einwilligungserklärung!

2. WhatsApp

Wir kommunizieren wie ganz selbstverständlich über kostenlose Nachrichten-Apps, vor allem WhatsApp. Für den schnellen Informationsaustausch wird häufig eine WhatsApp-Gruppe gegründet.

Die Firma, mit Sitz in Kalifornien, entlockt uns mit unserer Zustimmung zu den AGB die Erlaubnis für Unternehmen, Medien der Nutzer zu kommerziellen Zwecken und Kontaktdaten aus dem Telefon-Adressbuch zu nutzen.

Zudem sollten die Teilnehmer auf die Reichweite der Weitergabe über WhatsApp an Dritte informiert werden. Erklären Sie daher vor der Nutzung, dass bei der Installation der App um die Erlaubnis zur Adressbuchabfrage gebeten wird und WhatsApp gemäß seinen Nutzungsbedingungen gesendete, empfangene, gespeicherte und übermittelte Daten an andere Unternehmen innerhalb und außerhalb der Facebook-Unternehmensgruppe weitergeben kann.

Neben dem datenschutzrechtlichen Verstößen, kann ein weiteres lizenzrechtliches Problem für den Verein hinzukommen. Denn Whatsapp verbietet in seinen AGB ausdrücklich die nicht-private Nutzung des Messengers. Ohne eine ausdrückliche Genehmigung vom Anbieter verstößt der Verein damit gegen die Nutzungsbedingungen von WhatsApp.

Es gibt jedoch auch alternative Anbieter wie z. B. Threema, der die Gruppen und Kontaktlisten nur auf dem Gerät verwaltet und nicht auf dem Server des Unternehmens. Verwendet wird eine Ende-zu-Ende-Verschlüsselung und auch die Nachrichten der Nutzer werden nach der Zustellung gelöscht.

3. Doodle

Doodle ist eine webbasierte Online-Plattform der Schweizer Doodle AG für Terminabsprachen und Umfragen.

Doodle verwendet durchweg das unverschlüsselte http statt des verschlüsselten https. Dadurch werden die Daten für andere transparent über das Internet übermittelt. Aus datenschutzrechtlicher Sicht wäre jedoch sicherzustellen, dass personenbezogene Daten beim Transport nicht unbefugt gelesen, kopiert oder verändert werden können. Da jedoch die Abstimmung und dabei der Name des Teilnehmers unverschlüsselt über das Internet übertragen werden, kann diese Anforderung gerade nicht sichergestellt werden.

Die Seite verwendet zudem Google Analytics. Dieses Programm dient dazu, Surfverhalten von Nutzern zu analysieren. Das bedeutet, dass Google die Möglichkeit hat, Nutzerprofile anzulegen und die Nutzungsdaten von Doodle mit anderen Seiten, die Google Analytics einsetzen, zu verknüpfen und/oder mit Daten weitere Google-Dienste zusammenzuführen (z.B. Google Suche, Gmail, YouTube oder GoogleEarth).

4. PlugIns

Sehen Sie von der Verwendung von sogenannten Social Media PlugIns (insbesondere „Gefällt mir“-Buttons von Facebook) ab!

Das LG Düsseldorf hat nämlich im Jahre 2016 entschieden, dass die Einbindung derartiger Facebook-Tools, die die Daten der Besucher einer Website ungefragt an Facebook übertragen, nicht erlaubt sind. Hintergrund ist, dass Facebook über PlugIns millionenfach Nutzerdaten von den Besuchern (insbesondere IP-Adressen) abgreift, die den Like Button eingebunden haben – ohne dass die Nutzer das wissen und ohne dass sie dem zugestimmt hätten.

Daher ist es zu empfehlen, nur sog. Social Bookmarks auf der Webseite einzubinden.

5. Anmelde- und Kontaktformular

Haben Sie ein Anmelde- oder Kontaktformular auf Ihrer Webseite, dann müssen Sie insbesondere darauf achten, dass die Daten verschlüsselt übermittelt werden. Es besteht die Pflicht eines Webseitenbetreibers, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren.

V. Zusammenfassung

Wichtig ist, dass Sie im Verein nicht plötzlich in einen Aktionismus verfallen. Nehmen Sie sich lieber die Zeit, die internen Prozesse zu beleuchten und fehlende oder gar nur anzupassende Instrumente zum Datenschutz sukzessive anzugehen. Natürlich gibt es gewisse Dinge, die hierbei oberste Priorität besitzen und möglichst zeitnah umgesetzt werden sollten. Allerdings gibt es auch in diesen Bereichen Hilfestellungen oder Muster, die Ihnen in der täglichen Vereinsarbeit auch kurzfristig Abhilfe schaffen können.

Zusammenfassend sollte der Vorstand beim Umgang mit personenbezogenen Daten vor allem folgendes beachten:

  • Verwenden Sie personenbezogene Daten nur für vereinsinterne Zwecke gemäß der Vereinssatzung.
  • Geben Sie die Daten nicht an Dritte weiter – es sei denn, Sie haben die schriftliche Einwilligung der betroffenen Person.
  • Beschränken Sie den internen Zugriff auf personenbezogene Daten.
  • Halten Sie die IT aktuell und orientieren Sie sich an den üblichen Sicherheitsstandards.

Was bleibt noch bis zum 25. Mai 2018 zu tun?

Eine kleine Checkliste soll Ihnen bei der Umsetzung der Vorgaben helfen:

  • Datenschutzbeauftragte/-r (bei Datenverarbeitung von mind. zehn Personen)
  • Prüfung, ob ein Verfahrensverzeichnis anzulegen ist
  • Einwilligungserklärung für die Datenverarbeitung einholen
  • Kontrolle der Internet-Präsenzen: Datenschutzerklärung, Impressum, Plugins, etc.
  • Auftragsdatenverarbeitung: Prüfung der Outsourcing-Verträge

Cornelia Köhncke in SPORT in BERLIN – März – April 2018

Datenschutz im Verein – Die neue Datenschutzgrundverordnung und der Umgang mit personenbezogenen Daten – SPORT in BERLIN

https://germanroadraces.de/?p=99719

 

 

 

 

 

 

 

 

 

author: GRR