Momentan wird überall viel über das Thema Datenschutz im und außerhalb des Internets berichtet und kommentiert. Oft fällt in diesem Zusammenhang das Wort „DSGVO“ oder Datenschutzgrundverordnung. Diese tritt ab 25. Mai 2018 in Kraft.
Dieser Stichtag ist auch für Vereine enorm wichtig, denn bei Nichteinhaltung der DSGVO drohen empfindliche Strafen. Wir haben in den vergangenen Wochen intensiv an unserem System gearbeitet, damit unser System dich optimal bei der Umsetzung der DSGVO unterstützt. Zudem wollen wir Dir in diesem Newsletter einige Punkte der DSGVO in Bezug auf Deine Homepage erklären.
1. Worum geht es in der DSGVO und was soll sie bezwecken?
Die DSGVO ist eine Vorschrift welche den Umgang mit personenbezogenen Daten (Personenbezogene Daten sind Daten welche eine Person eindeutig identifizieren können – dazu gehört auch schon die IP-Adresse), das Verhalten der Datennehmer (z.B. ein Unternehmen oder Verein) mit diesen Daten und die Rechte der Datengeber (z.B. der Kunde, Spieler, Homepagebesucher) regelt.
Da die Masse an Daten sowohl im Internet, als auch in der realen Welt stark zugenommen hat, will die DSGVO mehr Transparenz bei der Datenverarbeitung schaffen und die Datennehmer zu Sorgfalt anhalten.
An dieser Stelle sei gesagt, dass wir von TeamSports2, immer höchst sensibel, vorsichtig und verantwortungsvoll mit Deinen Daten umgegangen sind und dies auch in Zukunft tun werden. Wir verwenden bereits seit einigen Jahren aktuelle Sicherheitsstandards und halten uns strikt an die gesetzlichen Vorgaben.
2. Auf was müsst ihr als Verein achten?
Die DSGVO greift in vollem Umfang auch für Vereine. Das heißt alles was die DSGVO vorschreibt muss auch von euch als Verein umgesetzt werden.
Im Folgenden werden wir die wichtigen Punkte hervorheben, erklären und zuletzt eine kurze Checkliste zusammenstellen, damit du weißt was alles für die DSGVO zu erledigen ist.
2.1 Anforderungen der DSGVO an die Homepage:
Grundsätzlich gilt, dass Du bzw. dein Verein als Betreiber der Homepage für den Inhalt verantwortlich bist. Dazu gehört nach DSGVO ein Hinweis auf Cookies genau so wie ein ordnungsgemäßes Impressum und eine Datenschutzerklärung.
Was musst du auf deiner Homepage also konkret tun?
2.1.1 Datenschutzerklärung aktualisieren:
Die Datenschutzerklärung soll den Nutzer darüber aufklären wie seine Daten verwendet und gespeichert werden.
Neben den ohnehin gesetzlich festgelegten Paragraphen ist es notwendig alle weiteren Aufzeichnungen von Daten offen zu legen, wie zum Beispiel die Verwendung von Cookies.
Als kleines Beispiel: Wenn ihr Google-Analytics nutzt, muss das dezidiert in eurer Datenschutzerklärung stehen. Alle weiteren Cookies die ihr eventuell durch eigenen Code einbindet müssen ebenfalls genannt werden.
Hierfür gibt es unter https://www.e-recht24.de/muster-datenschutzerklaerung.html einen kostenlosen Generator.
2.1.2 Cookie-Hinweis:
Wenn deine Seite Cookies verwendet, ist ein Hinweis beim erstmaligen Aufruf der Seite verpflichtend. Dies kannst du durch einen einfachen Klick im System aktivieren (siehe Punkt 3).
2.1.3 Impressum:
„Jede Website, die nicht rein privat ist, benötigt ein Impressum“ (Sören Siebert – Rechtsanwalt, eRecht24). Das Impressum soll gewährleisten, dass der Nutzer der Website weiß wer die Seite betreibt und wie er ihn im Zweifelsfall kontaktieren kann. Auch hierfür gibt es einen guten Generator unter https://www.e-recht24.de/impressum-generator.html.
2.2 Anforderungen der DSGVO an den Verein:
Als Verein habt ihr natürlich auch außerhalb der Homepage mit personenbezogenen Daten, wie beispielsweise Adress- und Kontodaten zu tun.
Aus diesem Grund müsst ihr auch außerhalb der Homepage auf die DSGVO achten. Im Folgenden haben wir für euch die wichtigsten Punkte im Überblick zusammen gestellt.
2.2.1 Auskunftspflicht:
Die DSGVO besagt, dass die Person von der Daten gespeichert werden, jederzeit eine Auskunft anfordern kann. Diese Auskunft muss alle Daten umfassen die von der Person gespeichert werden.
Als Verein solltet ihr somit in der Lage sein ein Dokument generieren zu können das alle Daten der Person erfasst hat. Die Auskunft darf ab Zeitpunkt der Anfrage nicht länger als einen Monat dauern und soll kostenlos sein.
2.2.2 Bestellung eines Datenschutzbeauftragten:
Sobald in eurem Verein 10 oder mehr Personen regelmäßig mit personenbezogenen Daten arbeiten ist ein Datenschutzbeauftragter erforderlich. Der Begriff „arbeiten mit personenbezogenen Daten“ ist leider je nach Quelle anders definiert. Wir empfehlen euch daher im Zweifelsfall einen Datenschutzbeauftragten zu benennen.
Konkret muss eine Person benannt werden, welche sich mit dem Thema auskennt und im Verein für die Einhaltung der Vorschriften sorgt. Der Datenschutzbeauftragte muss in der Datenschutzerklärung genannt werden. Er muss nicht zwingend aus eurem Verein kommen und kann somit auch extern bestellt werden.
2.2.3 Meldung des Datenschutzbeauftragten bis zum 25.05.2018
Nachdem Ihr euren Datenschutzbeauftragten gefunden habt, solltet Ihr umgehend dessen Kontaktdaten an die für euch zuständige Behörde melden. In Bayern wäre dies z.B. das Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) (https://www.lda.bayern.de/de/index.html ). Das Fehlen eines Datenschutzbeauftragten ist ein leicht feststellbarer Formalverstoß.
2.2.4 Einwilligungen richtig einholen:
Wenn ihr personenbezogene Daten verarbeitet, muss dafür eine Einwilligung durch die Person erfolgen. Dies gilt sowohl auf der Homepage, als auch in der realen Welt. Diese Einwilligung muss leicht verständlich und in der Landessprache dargeboten werden.
Die Einwilligung ist erst ab einem Alter von 16 Jahren rechtskräftig möglich. Bei Personen unter 16 Jahren muss immer eine Zustimmung durch die Eltern erfolgen.
Konkret bedeutet dies für euch als Verein, dass ihr diese Einwilligung spätestens parallel zum Aufnahmeantrag für jedes Mitglied einholen solltet. Dann seid ihr hier auf der sicheren Seite.
2.2.5 Sofortiges Handeln bei Datenverlust und Datenschutzverstoß:
Wenn Daten verloren gehen, egal ob USB-Stick, Laptop oder Dateien auf dem PC muss jeder Datenverlust und Datenschutzverstoß bei der zuständigen Datenschutzbehörde und der betroffenen Person gemeldet werden.
2.2.6 Verzeichnis der Verarbeitungstätgkeiten:
Hiermit möchte die DSGVO für eine höhere Dokumentationspflicht sorgen. Dieses Verzeichnis muss auf Anfrage der Datenschutzbehörde vorgelegt werden können.
Damit Du Dir ungefähr vorstellen kannst, wie so ein Verzeichnis auszusehen hat, listen wir nachfolgend die wichtigsten Punkte auf:
- Grundangaben zum Verein (Name, Adresse, Abteilungsleiter usw.)
- Wo werden die Daten verarbeitet?
(Homepage, Werbung, Daten im Auftrag Dritter z.B. Buchhaltungssoftware usw.) - Einzelne Verarbeitungstätigkeiten näher beschreiben – welche Art von Daten?
(Kontodaten, Bewerberdaten, Meta- und Kommunikationsdaten (IP, Standort, …) usw.) - Technische und organisatorische Maßnahmen – wie werden die Daten geschützt?
(Zutrittskontrollen, Zugriffskontrollen usw.)
Hierzu haben wir in unser System einen kleinen Generator integriert. Mehr dazu unter Punkt 3.
2.2.7 Weitergabe von Daten an Dritte:
Bedenke, dass Daten unter Umständen an Dritte weitergegeben werden. Für diesen Fall muss die Datenschutzerklärung entsprechend darauf abgestimmt werden und Du musst prüfen, ob der Dritte die DSGVO-Grundsätze beachtet.
Beispiel: Ihr nutzt eine Online-Buchhaltungssoftware. Diese bekommt somit auch die Daten von euren Mitgliedern.
Außerdem ist wichtig, dass viele ausländische Unternehmen – beispielsweise in den USA – die DSGVO aus Sicht der EU nicht erfüllen. Dafür wurde eine Zwischenlösung, das sogenannte EU-Privacy-Shield entworfen. Dies ist eine Liste mit Unternehmen, welche das Thema Datenschutz DSGVO konform behandeln. Wenn ein Unternehmen auf dieser Liste steht oder es Sonderausnahmen für das betroffene Unternehmen gibt, ist die Datenverarbeitung zulässig. Die Liste des EU-Privacy-Shields kannst du hier einsehen: https://www.privacyshield.gov/list.
Eine gute Zusammenfassung der wichtigsten Punkte findest du auch noch einmal unter diesem Link: https://www.lda.bayern.de/media/muster_1_verein.pdf
Ein Muster für ein minimales Verzeichnis von Verarbeitungstätigkeiten für einen Verein findest du hier: https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf
3. Wo unterstützt dich TeamSports2?
3.1 Cookies:
Wie beschrieben ist in der DSGVO auch geregelt, dass Internetseiten über eine Nutzung von Cookies informieren müssen, wenn diese verwendet werden. Cookies sind kleine Datenpakete, über die Einstellungen von Websites gespeichert und/oder wiederkehrende User identifiziert werden. Insgesamt sorgen Cookies für den User meist für einen höheren Surf-Komfort.
TeamSports2 nutzt für den normalen Besucher der Seite erst einmal keine Cookies. Wenn Du aber beispielsweise ein Tracking-Skript wie Google Analytics aktiviert hast, setzt deine Homepage Cookies. Darüber musst du den Besucher informieren.
Hierfür kannst du ab jetzt ein so genanntes Cookie-Banner aktivieren, welches beim erstmaligen Aufruf der Seite angezeigt wird. Dieses Banner kann der Nutzer durch einen Klick auf den OK-Button verschwinden lassen. Gleichzeitig wird in diesem Banner auf die Datenschutzerklärung von Deiner Seite verweisen. Gehe dazu im Bereich „Administration“ unter „Einstellungen“ auf „Datenschutz“. Dort findest du die passende Checkbox.
3.2 Recht auf Auskunft:
Die DSGVO regelt auch, dass deine Nutzer ab 25. Mai jederzeit die Möglichkeit haben sollen ihre Daten, welche von ihnen gespeichert sind einsehen zu können.
Dies Informationen kann jeder Nutzer ab jetzt im Backend einsehen. Dazu muss er sich am System anmelden und im Bereich „Mein Teamsports“ den Punkt Datenschutzauskunft anwählen. Durch den passwortgeschützten Backendbereich ist gleichzeitig auch gewährleistet, dass die Datenauskunft nur für die Person einsehbar ist, die dazu berechtigt ist.
Bitte beachte, dass diese Auskunft in den meisten Fällen nicht vollständig ist. Wenn ihr weitere Daten speichert (z.B. Mitgliederverwaltung oder Ähnliches), so müsst ihr diese Informationen auf Nachfrage ergänzen.
3.3 Impressum und Datenschutzerklärung
Wir haben die Einbindung des Impressums und der Datenschutzerklärung vereinfacht. Im Bereich „Administration“ kannst du nun „Einstellungen“ die Punkte „Impressum“ und „Datenschutz“ aufrufen. Dort kannst du das jeweilige Dokument hinterlegen. Die Seite wird – sobald sie befüllt ist – automatisch im Footer deiner Seite verlinkt.
3.4 Datenschutz Report (Verzeichnis der Verarbeitungstätigkeit)
Im Bereich Administration findest du ab jetzt unter Einstellungen auch den Punkt Datenschutz Report. Hier kannst du dir ein PDF generieren, welches als Auskunft gegenüber der Datenschutzbehörde verwendet werden kann. Wichtig ist, dass du die Felder hier vorab ausfüllst und überprüfst. Standardmäßig sind die Felder vorkonfiguriert, du solltest aber überprüfen, ob dies auch für deinen Verein zutrifft. Der Generator generiert dir dann ein recht ausführliches Verzeichnis der Verarbeitungstätigkeit, welches den Anforderungen der Datenschutzbehörde in jedem Fall genügen sollte.
3.5 Ausblick in die Zukunft
Wir arbeiten gerade daran, eine komplette Mitgliederverwaltung in TeamSports2 zu integrieren. Sobald wir hiermit fertig sind, brauchst du in deinem Verein neben TeamSports2 kein weiteres System mehr, mit dem personenbezogene Daten verarbeitet werden. Somit kannst du dann allen Verpflichtungen (Auskunft, Löschung etc.) die in der DSGVO definiert sind automatisch nachkommen. Solltest du bezüglich der Mitgliederverwaltung noch wünsche oder Input haben, kannst du uns diesen gerne an support@tewesol.de senden.
Falls du noch kein TeamSports2 Kunde bist und auch in den Genuss unserer Beratung und Unterstützung kommen möchtest, dann kannst du dir ganz einfach unter https://www.teamsports2.de eine Homepage generieren. Wenn du Fragen hast oder Unterstützung dabei benötigst, kannst du dich auch gerne an unseren Support unter support@tewesol.de wenden.
4. Checkliste – was müsst ihr bis zum 25.05.2018 tun?
- Vorbereiten auf die Auskunftspflicht (überprüfen ob Daten außerhalb von TeamSports 2 gehalten werden)
- Impressum und Datenschutzerklärung in TeamSports2 eintragen (Administration – Einstellungen – Impressum/Datenschutz)
- Datenschutzbeauftragten bestimmen und in die Datenschutzerklärung eintragen
- Prüfen ob Einwilligungen richtig eingeholt wurden/werden – eventuell nachholen
- Verzeichnis der Verarbeitungstätigkeiten erstellen
- Prüfen ob Daten an Dritte weitergegeben werden
Abschließend bleibt abzuwarten, wie sich die Anforderungen zur Umsetzung der DSGVO entwickeln. Diese Informationen sind momentan der aktuelle Stand, dieser kann sich aber auch wieder ändern. Insgesamt steht das Grundgerüst unserer Meinung nach nun aber und voraussichtlich wird es nur an kleineren Ausführungen noch Änderungen geben.
Wir wissen, dass die DSGVO sehr umfangreich ist und einen erheblichen Verwaltungsaufwand mit sich bringt. Trotzdem appellieren wir an Dich/Euch sich mit dem Thema gut auseinander zu setzen, da bei Verstoß gegen die DSGVO hohe finanzielle Strafen verhängt werden können.
Natürlich stehen wir euch auch bei diesem Thema mit Rat und Tat beiseite.
Die Informationen dieses Beitrags gibt es auch als PDF zum Download: DSGVO – Ein kurzer Guide für Sportvereine
Schöne Grüße aus München
Dein TeamSports2-Team
tewesol UG (haftungsbeschränkt)
Rudolfstraße 34
82152 Planegg
+49 176 – 31 55 69 58
Germany
TeamSports2 ist ein Produkt der
tewesol UG (haftungsbeschränkt)
Copyright © 2018 tewesol UG, All rights reserved.
Erklärung:
Wir von TeamSports2 wollen Dich mit diesem Blogeintrag auf die DSGVO vorbereiten und unterstützen. Darüber hinaus stehen wir Dir für Fragen jederzeit zur Verfügung. Dieser Guide ist in Kooperation mit einem Wirtschaftsprüfer entstanden.
Wir weisen aber ausdrücklich drauf hin, dass wir keine Rechtsberatung durchführen können und dürfen.
Unsere Aussagen, sowohl schriftlich, als auch mündlich, sind lediglich die Auffassungen und Meinungen unsererseits zur DSGVO. Sie stellen keinen rechtssicheren Rahmen dar, geschweige denn eine Basis um Ansprüche gegen uns geltend zu machen.
Für Inhalte, Aussagen, sowie Links von Dritten auf die wir verweisen übernehmen wir keinerlei Garantie oder Haftung.
Zudem stellt dieser Blogeintrag nicht den vollen Umfang der DSGVO dar, sondern gibt lediglich einen komprimierten und übersichtlichen Überblick, von dem wir der Meinung sind, dass dieser für Vereine wichtig ist. Ausnahmen oder besondere Umstände sind davon nicht ausgeschlossen.
Wir behalten uns Irrtum und Änderungen vor.
Quellen:
- DSGVO für Unternehmer – ein verständlicher Ratgeber von Dr. Thomas Schenke
(in Zusammenarbeit mit t3n) - eRecht24.de (Sören Siebert)
- diverse Internetseiten zum Thema DSGVO