Zurück zur Übersicht

Der Schutz personenbezogener Daten in der Vereins- und Verbandsarbeit

Wenn personenbezogene Daten verarbeitet werden – und das tun in der Regel alle Vereine und Verbände –, müssen Maßnahmen getroffen werden, um Risiken für Betroffene auszuschließen bzw. zu minimieren. Genau dazu dienen die sog. TOMs – die technischen und organisatorische Maßnahmen. 

Um die Verarbeitung personenbezogener (pb.) Daten so sicher wie möglich zu gestalten, sollen die TOMs folgende Grundsätze nach Art. 5 der Datenschutzgrundverordnung (DSGVO) erfüllen:

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Was sind technische und organisatorische Maßnahmen

Die einzusetzenden TOMs können ganz unterschiedlich aussehen und reichen von abschließbaren Aktenschränken bis hin zu Löschkonzepten. 

Technische Maßnahmen stammen dabei häufig aus der Daten- und Informationssicherheit – z. B. Verschlüsselung von E-Mails oder der Einsatz von Firewall- und Virenschutzlösungen. 
Organisatorische Maßnahmen hingegen sind Regelungen wie z.B. die Clean-Desk-Policy oder die Erstellung eines Löschkonzeptes.

Welche Maßnahmen zum Schutz welcher Daten eingesetzt werden, ist eine individuelle Abwägung. Grundsätzlich gilt gem. Art. 32 DSGVO, dass die TOMs

  • dem Stand der Technik entsprechen,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und die Schwere des Risikos für Betroffene angemessen berücksichtigen müssen.

Wichtig ist, dass Sie die Maßnahmen bewusst einsetzen, um die richtigen Fäden zu ziehen. Dafür müssen Sie die individuellen – vereins-, verbands- und sportartspezifischen – Risikofaktoren ermitteln, da sie nur daraus ableiten können, wie Sie den Schutz von Daten und Betroffenen optimal erhöhen können. Gibt es beispielsweise für die Verwaltung kein eigenes abschließbares Büro, können Sie für die Aufbewahrung personenbezogener oder sensibler Daten einen abschließbaren Stahlschrank einsetzen. Welche der o.g. Maßnahmen notwendig sind, hängt immer von den jeweiligen Verarbeitungen und Risiken ab.

Beispiel: Teilnahmelisten

Nun etwas konkreter: Die meisten Sportvereine führen Teilnahmelisten im Rahmen ihrer Kurse und verarbeiten dafür personenbezogene Daten. Die Rechtsgrundlage ist bei angemeldeten Personen recht eindeutig. Hier gibt es nämlich einen Vertrag. Trotzdem müssen Sie sicherstellen, dass nur so viele Daten wie nötig erhoben und so wenig wie möglich verarbeitet werden.

Die Verwaltung benötigt z. B. andere Daten als eine Kursleitung. Für die Abrechnung ist eine Rechnungsadresse nötig, für die Anwesenheitsprüfung im Kurs allerdings nicht. Begrenzen Sie also die Daten auf das für den jeweiligen Zweck erforderliche Maß. Halten Sie zweckbezogen fest, wer wann auf welche Daten Zugriff erhält und definieren Sie die Verantwortlichkeiten.

Auch bei der Übermittlung der Teilnahmelisten sollten Sie entsprechende TOMs einsetzen. Vor allem sensible Daten sollten nicht unverschlüsselt per E-Mail versandt werden. Prüfen Sie immer, ob es auch mildere Mittel gibt, um den gleichen Zweck zu erfüllen. Kursleitungen könnten sich beispielsweise eine ausgedruckte Liste auch in der Verwaltung abholen. Da dieses jedoch häufig "unpraktisch" ist und als zu aufwendig angesehen wird, können andere Möglichkeiten genutzt werden, wobei allerdings darauf zu achten ist, dass die Kommunikationswege sicher sind und die pb. Daten nicht in falsche Hände geraten. 

Eine mögliche Gefahrenquelle ist z.B., dass Kursleiter*innen in manchen Fällen – gerade auch, wenn sie ehrenamtlich arbeiten – keinen eigenen Systemzugang haben. Zuweilen werden die Daten dann (durch Verwendung privater E-Mail-Adressen oder durch die Nutzung von Social-Media-Plattformen) aus dem Verantwortungsbereich des Vereins oder des Verbands herausgetragen. Dies führt aber dazu, dass die Vertraulichkeit nicht mehr sichergestellt werden kann. 

Aus diesem Grunde ist bei diesen Schnittstellen ein besonderes Augenmerk darauf zu legen, wie die Daten ausgetauscht werden und wie die Sicherheit der Daten gewahrt bleibt. 
In der Regel bedeutet das, dass die Verwendung von privaten E-Mail-Adressen und die Nutzung von Social-Media-Plattformen für diese Zwecke ungeeignet sind – außer dieses wird durch technische und organisatorische Maßnahmen gewährleistet. Dieses dürfte jedoch nur sehr schwer erfüllbar sein.
Somit ist zu klären, wie der gesicherte Datenaustausch mit Kursleitern stattfinden und organisiert werden kann.

Gleiches gilt für die Aufbewahrung von Daten. Legen Sie fest, welche Schutzmaßnahmen zu ergreifen sind – z. B. Clean-Desk-Policy oder Passwortrichtlinien. Dazu gehören auch Festlegungen, wann Daten gelöscht bzw. archiviert werden müssen. Trainer*innen benötigen beispielsweise nach Kursende keine Teilnahmeliste mehr. Hier können Sie vertraglich regeln, dass Teilnahmelisten nach Kursende abgegeben und datenschutzkonform entsorgt werden müssen.

Fazit

Die eingesetzten TOMs können je nach Organisation ganz unterschiedlich aussehen. Um angemessene Maßnahmen festzulegen, müssen Sie zunächst wissen, welche Verarbeitungen es bei Ihnen gibt (Ausgangspunkt sollte hier ein Verzeichnis von Verarbeitungstätigkeiten sein), wie die Verarbeitungen aktuell ablaufen, wie sie zukünftig ablaufen sollen und welche Risiken damit einhergehen. Auf Basis dieser Informationen können Sie dann die Verarbeitungen personenbezogener Daten technisch und organisatorisch so risikoarm wie möglich gestalten.


(Quelle: Auszug aus dem monatlich erscheinenden Datenschutz Info-Brief der Führungs-Akademie; Nr. 110, Nov. 2022, S. 3-5, Gastbeitrag von Datenschutzexperte Claus Wissing)

Sie interessieren sich für den Datenschutz Info-Brief? Hier gehts zum FA-Datenschutz Portal