Informationen des CV zum Datenschutz

Liebe Cartellbrüder,


in den letzten zwei Wochen erreichten mich etliche Anfragen von Verbindungen und Zirkeln dazu, wie man sich denn ab Inkrafttreten der neuen Vorschriften zum Datenschutz verhalten müsse. Aus diesem Grunde möchte die Verbandsführung zumindest ein paar Hinweise und Handreichungen geben, um den Verbindungen und Zirkeln die erforderlichen Maßnahmen zu erleichtern.

Ich betone dazu ganz ausdrücklich, dass es sich bei diesen Hinweisen nicht um eine echte juristische Beratung handelt und dass keinerlei Haftung, ganz gleich welcher Art, für irgendetwas übernommen werden kann, was die einzelne Verbindung oder der Zirkel aufgrund dieser Vorschläge dann tut. Allerdings gehe ich davon aus, dass die nachfolgend dargestellten Punkte vielleicht doch den Umgang mit den neuen Vorschriften und die insoweit erforderlichen Maßnahmen etwas erleichtern. Trotzdem stelle ich noch einmal sehr deutlich klar, dass jede einzelne Verbindung aufgrund der vorhandenen juristisch vorgebildeten Mitglieder sicherlich mehr Sachverstand in ihren Reihen hat, als der gesamte Vorstand des Cartellverbandes und dessen Amtsträger.

1. Zunächst erscheinen mir folgende Hinweise angebracht: „Wer eine reine Weste hat, braucht vor der DSGVO nicht in Panik zu verfallen" und „Datenschützer warnen vor Panikmache" (vgl. eGovernment-computing). Vielfach werden hier Probleme aufgebauscht, weil sich entsprechende Berufsgruppen lukrative Beratungsmandate erhoffen.
Die Datenschutzgrundverordnung und die damit in Zusammenhang stehenden Vorschriften sind in einer Art und Weise formuliert, die für Auslegungsmöglichkeiten viel Raum gibt. Es wird sich also in der nächsten Zeit noch etliches klären und manches wird verdeutlicht werden. Dies zeigt sich schon daran, dass beispielsweise der berühmte Zettel für den Torwart, auf dem vermerkt ist, welcher Spieler der gegnerischen Mannschaft eher in die rechte Ecke schießt und welcher eher in die linke, als Weitergabe von persönlichen Daten wohl der Datenschutz-Grundverordnung unterfiele, also den jeweils betroffenen Elfmeterschützen hätte zur Kenntnis gebracht werden müssen. Im Endeffekt wird also manches etwas praktikabler betrachtet werden müssen, als es derzeit aussieht, weshalb bis zur nächsten Cartellversammlung in Münster noch genauere Klarstellungen erfolgen werden.

2. Hilfreich für das allgemeine Verständnis der Datenschutz-Grundverordnung und damit auch für die Tatsache, dass zwar manches formeller gehandhabt werden muss, dass die Probleme aber nicht überbewertet werden sollen, ergibt sich aus einer entsprechenden Veröffentlichung des Bayerischen Landesamtes für Datenschutzaufsicht. Durch dieses Merkblatt wird auch schon geklärt, dass Verbindungen und Zirkel keinen Datenschutzbeauftragten benötigen: Merkblatt downloaden
Für die derzeitige Situation sollte aber bedacht werden, dass Verbindungen und von ihnen initiierte Stiftungen oder Vereine, also z. B. Hausvereine, getrennt zu betrachten sind. Beide müssen die Erfordernisse des Datenschutzes erfüllen und die Verantwortung dafür liegt beim jeweiligen Vorstand.

3. Der meines Erachtens wichtigste Punkt, der auch am ehesten öffentlich wird, ist die für Verbindungs- oder Zirkel- oder Hausvereins-Homepages erforderliche Datenschutzerklärung. Hierzu gibt es im Internet eine Unzahl von automatisierten Vorgaben, die für die jeweilige Verbindung bzw. den Zirkel angepasst werden können. Noch einfacher kann man es sich machen, wenn man in die CV-Homepage schaut. Die dortige Datenschutzerklärung lässt sich ohne Probleme an die jeweiligen Gegebenheiten anpassen.

4. Für alle Verbindungen und Zirkel etc. ist darüber hinaus ein Verzeichnis der Verarbeitungstätigkeiten erforderlich. Es muss also eine entsprechende Liste erstellt werden im Hinblick auf die Daten, die in irgendeiner Weise gespeichert und gegebenenfalls genutzt werden. Sie muss erkennen lassen, in welcher Art und zu welchem Zweck mit den vorhandenen Daten umgegangen wird. Dies ist jeweils verbindungsspezifisch bzw. auch hausvereinsspezifisch darzustellen. Gute Hinweise zu einer solchen Liste gibt es wiederum vom Bayerischen Landesamt für Datenschutzaufsicht. Eine solche Liste muss existieren, damit sie gegebenenfalls vorgelegt werden kann. Sie muss zusätzlich eine Beschreibung der Sicherheitsmaßnahmen enthalten wie bei der Vorlage des BayLDA: Musterliste downloaden
Zusätzlich zeigt auch eine Excel-Datei von Bbr Manfred Speck, wie vorgegangen werden kann: Excel-Musterliste

5. Da durch jede Auftragsverarbeitung, also durch die Einschaltung dritter Personen bzw. Unternehmen in die Verarbeitung der Daten, dritte Personen Einblick in Daten erhalten, muss ein entsprechender Vertrag zur Auftragsverarbeitung existieren. Das beginnt schon mit dem Hosting-Anbieter und dem Ersteller der Homepage und betrifft dann alle Änderungen und Wartungen bzw. die Pflege. Alle solche Verarbeitungsaufträge sind also schriftlich abzufassen und zu archivieren, damit gegebenenfalls ein Nachweis geführt werden kann. Die Verträge müssen dann auch Hinweise auf den Datenschutz enthalten. Als Formulierungshilfe ist wiederum die Ausarbeitung des Bay. Landesamtes für Datenschutzaufsicht zu empfehlen, die allerdings sehr umfangreich ist und deshalb nicht beigelegt wird. Sie ist im Internet bei den Formularen des BayLDA zu finden: www.lda.bayern.de/de/datenschutz_eu.html

6. Nachdem bei Verbindungen und Zirkeln am ehesten ehrenamtliche Personen sich mit den vorhandenen Daten beschäftigen, dürfte es sich empfehlen, für diese mit den Daten arbeitenden Cartellbrüder (also Vorstände, GVBs etc.) eine spezielle Verpflichtungserklärung für Ehrenamtliche zum Datenschutz unterzeichnen zu lassen und zu den Akten zu nehmen. Ein Entwurf kann hier heruntergeladen werden: Beispiel Schriftl. DS-Verpflichtung.docx
Wichtig ist eigentlich nur, dass die Erklärung tatsächlich bei den Akten vorhanden ist. Sie muss jederzeit vorgelegt werden können.

7. Hinsichtlich der Informations- und Auskunftspflichten gegenüber denjenigen, deren Daten gespeichert sind, haben wir es im CV etwas leichter als andere Vereine, Immerhin hat der CV den Datenschutz schon immer ernst genommen, weshalb jeder, über den Daten gespeichert sind, diese selbst einsehen, überprüfen und auch ändern kann, und zwar zu jeder Zeit. Das ist bei den meisten sonstigen Vereinen nicht der Fall. Es ist allerdings z. B. in den Satzungen der Verbindungen zu überprüfen, inwieweit dort die Erfassung entsprechender Daten festgelegt und dargestellt wird. Sicherheitshalber sollte insoweit möglicherweise eine Ergänzung erfolgen, um keinen Ansatzpunkt für irgendwelche Beanstandungen zu liefern.

8. Welche Daten erhoben werden, ist im CV seit Jahren festgelegt. Es gibt ein entsprechendes Formular, das auf der Basis der Satzung entstanden ist und das (eigentlich) seitdem bei der Erhebung von Daten der Neumitglieder ausgefüllt und unterzeichnet werden sollte. In ihm wird auch die Zustimmung gegeben, dass alle vom jeweiligen Verbindungsmitglied eingegebenen Daten von anderen Cartellbrüdern eingesehen, also veröffentlicht werden können. Sollte eine Verbindung dieses Formblatt trotzdem nicht nutzen, so wird empfohlen, dieses Verhalten sofort zu ändern. Das Formblatt kann hier heruntergeladen werden. Es wird, um allen denkbaren formalen Angriffen standhalten zu können, in der nächsten Zeit noch einmal überarbeitet werden insbesondere durch Unterscheidung zwischen Daten, ohne deren Bekanntgabe eine Mitgliedschaft in der Verbindung überhaupt nicht möglich ist, und darüber hinausgehende sonstigen Angaben. Die Vorlage erfolgt nicht schon jetzt, weil nach der Satzung des CV der CV-Rat darüber zu befinden hat.

9. Sollten von einer Verbindung bislang entsprechende Formulare überhaupt nicht genutzt worden sein bei der Aufnahme der Mitgliedsdaten und sollte damit das schriftliche Einverständnis der Cartellbrüder zur Speicherung ihrer Daten nicht vorliegen, so empfehle ich ein Schreiben/eine E-Mail an die Bundesbrüder der jeweiligen Verbindung bzw. an die Mitglieder des jeweiligen Hausvereins oder des Zirkels etc. herauszugeben, in dem auf die Speicherung der von den Mitgliedern mitgeteilten Daten hingewiesen wird und auf die Möglichkeit der Einsichtnahme durch die Mitglieder und der entsprechenden Änderung und Anpassung oder auch der Löschung von Daten. Immerhin ist dies alles im CV schon vorgesehen, sodass weitere Darstellungen meines Erachtens gar nicht erforderlich sind. Das Muster eines solchen Rundschreibens findet ihr unter diesem Link, wobei ich noch einmal ausdrücklich darauf aufmerksam mache, dass dies nur als eine Art „Handreichung" zu verstehen ist ohne jegliche Übernahme einer Haftung. Jede Verbindung sollte also die Situation durch ein sachverständiges Mitglied ihrer Verbindung überprüfen lassen.

10. Hinsichtlich der Vereinbarungen zur Erhebung, Speicherung und Veröffentlichung (denn ein Mitgliederverzeichnis ist eine Veröffentlichung) der persönlichen Daten der Verbindungsmitglieder verweise ich auf die in der CV-Satzung schon enthaltenen Vorschriften der §§ 279 ff. In diesen wird auch klargestellt, dass die Verbindungen dazu verpflichtet sind, die datenschutzrechtlich erforderlichen Einwilligungen zur Führung dieses Verzeichnisses einzufordern. Diese Satzung ist daher die Rechtsgrundlage für die Weitergabe der Daten von den einzelnen Verbindungen an den CV. Die Paragrafen werden sicherlich in der nächsten Zeit noch etwas angepasst bzw. auf der Grundlage der dann vorhandenen Kenntnisse den Formulierungserfordernissen angepasst. Es liegt durch die Satzungsvorschriften aber zunächst schon einmal eine Rechtsgrundlage vor, die über die Satzungen der einzelnen Verbindungen auch für die einzelnen Cartellbrüder gilt.

11. Wie oben schon dargestellt, müssen allerdings die einzelnen Verbindungen/Zirkel/Vereine dafür sorgen, dass in ihren Satzungen ebenfalls Vorschriften zum Meldewesen bzw. zur Speicherung personenbezogener Daten vorhanden sind. Dies galt auch schon vor der Existenz der EU-Datenschutz-Grundverordnung. Durch diese wird das bislang schon vorhandene Erfordernis einer Rechtsgrundlage für die Erhebung und Speicherung der Daten nur noch einmal wiederholt und formalisiert. Der CV-Rat wird insoweit den Verbindungen auch noch einen Vorschlag zur Formulierung entsprechender Satzungsbestimmungen machen, selbst wenn sich in ihm nur ein einziges im juristischen Bereich versiertes Mitglied befindet.


Liebe Cartellbrüder, Ihr seht, dass die Anforderungen nach der Datenschutzgrundverordnung und nach dem Bundesdatenschutzgesetz gar nicht so problematisch sind, wie sie derzeit von vielen Seiten dargestellt werden. Teilweise liegt dies wohl auch daran, dass es doch etliche Personen gibt, die der Ansicht sind, aufgrund der Sorgen der Bürger unseres Landes mit den neuen Vorschriften Geld verdienen zu können. Vielleicht hat Euch aber diese E-Mail schon ein wenig helfen können, die Situation realistischer zu betrachten, wobei ich allerdings noch einmal darauf hinwiesen muss, dass für alle Darstellungen in dieser E-Mail einschließlich der entsprechenden Vorschläge keine Haftung übernommen werden kann, dass sie vielmehr nur als Handreichung für Euch zu betrachten ist, die von den in Euren Verbindungen/Zirkeln/Vereinen vorhandenen Juristen zu überprüfen wäre.

Zur Erleichterung findet Ihr eine Zusammenstellung aller o.a. Hinweise und Formularvorschläge auf dieser Webseite unserer Homepage.

Mit herzlichen cartellbrüderlichen Grüßen

Heiner Emrich (Nv, TsM, GrL, Cp, E-Rh)