Deutsches Musikfest 2019

Tipp zur EU-Datenschutzgrundverordnung: Jeder Verein muss mit der Umsetzung beginnen - dann kann kaum etwas passieren!

Mit dem „Bayerischen Weg“ zum Thema Datenschutzgrundverordnung wurden die zentralen Forderungen der Online-Petition des Bayerischen Blasmusikverbandes umgesetzt. Der von der Bayerischen Staatskanzlei beschlossene „Bayerische Weg“, der im Vereinsbereich keinen Datenschutzbeauftragten und bei Erstverstößen keine Bußgelder vorsieht, sei auch mit seiner Behörde abgestimmt und spiegelt die geplante Vollzugspraxis des Landesamtes wieder, versicherte Thomas Kranig, Präsident des Landesamtes für Datenschutz in Bayern. Ziel des Landesamtes ist es, Vereinen möglichst umfangreiche Beratungsmöglichkeiten zu bieten. Dieses Ergebnis ist mitunter auch der öffentlichen Aufmerksamkeit zu verdanken, die dem Thema durch die vielen Unterstützer der Petition und der dadurch erfolgten Medienberichterstattung geschenkt wurde. „Ich danke allen, die zum großen Erfolg der Petition beigetragen haben“, so BBMV-Präsident Peter Winter. „Das ist ein Erfolg unserer gemeinsamen Bemühungen, möglichst praktikable Lösungen für das wichtige Thema Datenschutz zu finden und unsere Vereinsvorsitzenden vor der Sorge von hohen Bußgeldern zu befreien.“

Dass das Thema DSGVO nicht nur die bayerischen Laienmusikvereine betroffen und verunsichert hat, zeigte sich bei einem „Runden Tisch Datenschutz“, zu dem der Leiter der Bayerischen Staatskanzlei Dr. Florian Herrmann Vertreter der bayerischen Spitzenverbände in die Staatskanzlei eingeladen hat. Ziel war es, im direkten Kontakt mit dem Präsidenten des Landesamtes für Datenschutzaufsicht Thomas Kranig offene Fragen zur DSGVO zu klären und damit die Unsicherheit und die Verunsicherung im Ehrenamtsbereich weiter zu minimieren.

In seinem Eingangsstatement betonte Kranig, dass die ehrenamtlich geführten Vereine nicht im Fokus von Prüfungen und Sanktionen stehen, die für die Vereine zuständige Behörde muss jedoch Beschwerden nachgehen. 3 % aller beim Landesamt eingehenden Beschwerden betreffen den Vereinsbereich betreffen und sind zum allergrößten Teil durch ehemalige Vereinsmitglieder initiiert, die noch eine Rechnung mit dem Verein begleichen wollen. Deswegen mahnt der LDA-Präsident alle Vereine, mit der Umsetzung der Datenschutzgrundverordnung zu beginnen!

Um die Umsetzung zu erleichtern gibt es auf der Homepage des Landesamtes (www.lda.bayern.de) zahlreiche Informationen, die in den nächsten Wochen noch um FAQs und auch Informationen zur Fotonutzung ergänzt werden. Zudem soll eine spezielle Hotline für Vereine eingerichtet werden.

Facebook
Auch zum Thema „Facebook-Fanpages“ hat sich der Präsident des Landesamtes geäußert. Er empfiehlt allen Vereinsvorsitzenden, Geduld zu üben und die Entwicklung der nächsten Wochen abzuwarten: „Nutzen Sie weiterhin Ihre Fanpages, da wir aktuell auch nicht wüssten, was wir Ihnen bzgl. Facebook raten sollen. Seien Sie aber insgesamt achtsam mit dem, was Sie auf Facebook posten“. Kranig geht davon aus, dass Facebook auf das Urteil des EU-GH reagieren wird. Sobald es hier Neuerungen wird das Landesamt entsprechend informieren und die Verbände diese Informationen zeitnah weiterleiten.

Technische und organisatorische Maßnahmen
Besonderes Augenmerk sollten die Vereine aber auf den Zugangsschutz der personenbezogenen Vereinsdaten legen. Hier ist ein “Zugangsschutz“ (= Passwort) auch gegenüber Familienmitgliedern zu gewährleisten. Dies kann durch einen zweiten Nutzer oder durch Passwortschutz des Vereinsverwaltungsprogramms und einzelner Dateien gewährleistet werden. Je sensibler die gespeicherten Daten sind, um so höher sollte der Schutz gewährt werden.
Zwingende Voraussetzung für den Schutz von personenbezogenen Vereinsdaten ist die Nutzung eines Antivirenprogramms und einer Firewall!

Löschfristen/Chronik
Aufgrund der Aufbewahrungspflicht von Buchhaltungsunterlagen von 10 Jahren empfiehlt das Landesamt für Datenschutzaufsicht nun, die Löschfristen allgemein auf 10 Jahre festzulegen. Dies soll demnächst auch im Muster „Verarbeitungsverzeichnis“ des Landesamtes angepasst werden (aktuell stehen dort 2 Jahre).
Namen von Vereinsmitglieder und statistische Daten (Eintritt, Austritt) können für Zwecke der Chronik auch über die 10 Jahre hinaus genutzt werden. Sollten darüber hinausgehend Daten für Chronikzwecke gespeichert bleiben müssen, kann dafür in der Satzung eine Grundlage geschaffen werden.

Datenaustausch zwischen den Mitgliedern
Sollte für den Vereinsbetrieb ein Austausch der Mitgliederdaten untereinander notwendig sein (z.B. Mitgliederlisten aller Aktiven) kann hier ebenfalls auf Basis der Satzung eine Grundlage geschaffen werden.

Vereinsnewsletter
Die derzeitige Praxis vieler Vereine und Firmen im Bereich des Newsletter bezeichnet der LDA-Präsident als „unsinnig und überflüssig“. Der Altbestand der Newsletter-Adressen kann problemlos weitergenutzt werden. Neue Newsletter-Abonnenten müssen jedoch über Double-Opt-In in den Newsletter aufgenommen werden oder anderweitig entsprechend informiert werden, wenn die Daten „über Papier“ in den Newsletter-Verteiler aufgenommen werden sollen. 

Datenschutzverletzungen
Als heftige Form einer Datenschutzverletzung bezeichnet Präsident Kranig den Verlust von ungeschützten und nicht-verschlüsselter USB-Sticks, Handys, Tablets oder LapTops oder das Wegwerfen von solchen Geräten und PC, bei denen die Festplatte nicht fachgerecht gelöscht wurde! Zudem ist es ein Datenschutzverstoß, wenn Mitgliederdaten unverschlüsselt an falsche Empfänger versendet wurden.
Auch wenn der reine Versand unverschlüsselter Mitgliederlisten kein Verstoß gegen die DSGVO ist, empfiehlt der LDA-Präsident Mitgliederlisten nur noch verschlüsselt zu versenden oder über DSGO-konforme Clouds auszutauschen!

Der Bayerische Blasmusikverband wird in Kürze gemeinsam mit dem Bayerischen Musikrat Mustertexte für die o.g. Ergänzung der Satzung erarbeiten und den Musikvereinen zur Verfügung stellen.


Meldung vom 28.06.2018