180 lines
9.7 KiB
Markdown
180 lines
9.7 KiB
Markdown
# Die Datenschutzgrundverordnung im Sport
|
|
|
|
## Was ist die DSGVO?
|
|
|
|
Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung des europäischen
|
|
Rechts. Sie gilt daher, anders als eine Richtline, unmittelbar, und muss nicht
|
|
durch nationale Gesetze umgesetzt werden. Das Ziel der Verordnung ist eine
|
|
einheitliche Regelung zum Datenschutz im gesamten EU-Gebiet, sodass die Daten
|
|
der Bürger in allen EU-Staaten das gleiche hohe Schutzniveau der ihrer Daten
|
|
erwarten können.
|
|
|
|
Die meisten Regelungen der DSGVO waren im deutschen Datenschutzrecht schon vor
|
|
Inkrafttreten verankert.
|
|
|
|
### Wen schützt die DSGVO?
|
|
|
|
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher
|
|
Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
|
|
|
|
So heißt es in Artikel 1 Abs.2. Es geht also nicht um öffentliche oder
|
|
unternehmensbezogene Daten, sondern in erster Line um personenbezogene Daten.
|
|
Ein Unternehmen, dass z.B. unternehmensinterne Daten veröffentlicht sieht (wie
|
|
z.B. bei den "Cum-Ex" Ermittlungen), kann sich nicht auf die DSGVO berufen!
|
|
|
|
In erster Line geht es natürlich um die Verarbeitung personenbezogener Daten
|
|
mittels elektronischer Datenverarbeitung. Also weniger um den Zettelkasten zu
|
|
Hause, als um das Sammeln und Auswerten von Daten in Computersystemen durch
|
|
interessierte Parteien. Grund dafür ist, dass insbesondere durch die
|
|
Zusammenführung verschiedener Daten viel über eine Person erfahren kann,
|
|
eventuell auch Dinge, die diese Person lieber für sich behalten möchte
|
|
(Beispiel: sexuelle Orientierung).
|
|
|
|
### Wann ist die DSGVO zu beachten?
|
|
|
|
Art. 2 Abs. 1 DSGVO:
|
|
|
|
„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
|
|
sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem
|
|
Dateisystem gespeichert sind oder gespeichert werden sollen.“
|
|
|
|
Also immer, wenn Dinge automatisch verarbeitet oder in einem Computer
|
|
verarbeitet werden.
|
|
|
|
Es gilt auch eine sog. *Haushaltsausnahme*. Das heißt, private Daten, z.B. auf
|
|
dem heimischen PC, sind davon ausgenommen. Aber Achtung: Das ändert sich, sobald
|
|
die Daten öffentlich im Internet geteilt werden.
|
|
|
|
### Was müssen Vereine beachten?
|
|
|
|
Für Vereine gelten erstmal die gleichen Regeln wie für Unternehmen. Das ist
|
|
Absicht, damit Unternehmen nicht einfach Vereine gründen können, um
|
|
Datenschutzvorschriften zu umgehen. In der Praxis darf ein Verein natürlich alle
|
|
personenbezogene Daten verarbeiten, die der Erfüllung des Vereinziels dienen.
|
|
Also, Mitgliederverwaltung aber auch solche Dinge wie Informationen
|
|
Wettkampfteilnehmende und so weiter.
|
|
|
|
Ein gängiges Missverständnis ist, dass für die Datenverarbeitung immer die
|
|
Einwilligung der Betroffenen eingeholt werden muss, was dazu führt, dass viele
|
|
Vereine aber auch Schulen und Kindergärten sich selbst mit einer überbordeneden
|
|
Bürokratie zummüllen, und die Mitglieder mit mit seitenweisen
|
|
Einwilligungserklärungen nerven. Das ist in der Regel nicht nötig. Wenn eine
|
|
Datenverarbeitende Stelle, also der Verein, ein berechtigtes Interesse hat, die
|
|
Daten zu erheben, ist ein extra Einverständnis nicht erforderlich. Was ein
|
|
berechtigtes Interesse ist, hat der Gesetzgeber festgelegt. Die Verwaltung von
|
|
Mitgliedern eines Vereins zum Beispiel. Aber auch die Übertragung von Daten von
|
|
Wettkampfteilnehmenden an den ausrichtenden Verband fält darunter. Der Verkauf
|
|
der Daten an einen Sponsor hingegen nicht.
|
|
|
|
### Kann ich eine Mitgliederliste im Verein veteilen?
|
|
|
|
Hier ist mit einem klaren "Jein" zu antworten. Die Verteilung dieser Daten kann
|
|
ein berechtigtes Interesse sein, z.B. bei Vereinen deren primärer Zweck die
|
|
Vernetzung iher Mitglieder ist. Bein einem Sportverein ist das eher nicht der
|
|
Fall. In so einem Fall kann eine Einwilligung der Mitglieder eingeholt werden.
|
|
|
|
### Was ist mit Fotos auf dem Sommerfest?
|
|
|
|
Eine häufige Streitfrage ist, was mit Fotos auf Vereinsfesten und
|
|
Sportveranstaltungen sei. Manche Vereine machen sich auch hier die Mühe überall
|
|
um Einwilligungen zu bitten. Das ist im Regelfall ebenfalls nicht nötig. Eine
|
|
öffentliche Sportveranstaltung ist natürlich immer mindestens von lokalem
|
|
öffentlichen Interesse, und somit eine Veranstaltung der Zeitgeschichte. Als
|
|
solche darf sie natürlich auch fotografisch dokumentiert werden. Die DSGVO
|
|
greift hier nicht, stattdessen das Kunsturheberrechtsgesetz, das das Recht am
|
|
eigenen Bild regelt. Hier ist die goldene Regel: Bilder der Veranstaltung an
|
|
sich sind OK, wenn ihr Portraits einzelner Sportler:innen schießen wollt, müsst
|
|
ihr fragen.
|
|
|
|
Komplizierter ist die Verbreitung der Bilder in sozialen Medien. Während ihr die
|
|
Bilder problemlos in der Lokalpresse oder auf der Vereinswebseite
|
|
veröffentlichen könnt, ist der Status der sozialen Medien rechtlich nocht
|
|
ungeklärt. Da hier die Daten in der Regel gerade benutzt werden um Personen zu
|
|
identifizieren (Facebook, zum Beispiel lässt seine Gesichtserkennung über alle
|
|
hochgeladenen Fotos laufen). Abschließende Urteile stehen hier noch aus, aber
|
|
ich würde sagen, dass es mit Unternehmen, die sich grundsätzlich nicht an
|
|
europäisches Datenschutzrecht halten schwierig wird, im Streitfall das Argument
|
|
zu gewinnen.
|
|
|
|
Mein Vorschlag ist, ähnlich wie der CCC dies macht, bereits vor der
|
|
Veranstaltung eine Fotopolicy zu veröffentlichen, sodass die Teilnehmenden sich
|
|
entscheiden können, ob und unterwelchen Umständen sie auf Fotos mit drauf sein
|
|
möchten. Wichtig ist dabei, denen, die nicht fotografiert werden möchten, immer
|
|
eine Gelegenheit zu geben, aus dem Bild zu gehen. Das ist höflich und spart eine
|
|
Menge Ärger.
|
|
|
|
### Was ist mit WhatsApp, Insta, Microsoft?
|
|
|
|
Die meisten von euch nutzen vermutlich WhatsApp um innerhalt eurer Gruppen, z.B.
|
|
Termine zu kommunizieren, aber auch um euch untereniander auszutauschen. Da
|
|
WhatsApp so verbreitet ist, macht es das ja auch sehr einfach, eine
|
|
Vereinsgruppe zu erstellen. Da nach einer Erhebung 95% aller Menschen in
|
|
Deutschland, die ein Smartphone haben, WhatsApp zumindest installiert haben, ist
|
|
die Abdeckung riesig. Insofern spricht einiges dafür, WhatApp im Verein zu
|
|
benutzen. Und jetzt kommt das große *Aber*:
|
|
|
|
- WhatsApp lagert alle Daten ausserhalb der EU. Was dort damit geschieht ist
|
|
unklar.
|
|
- Die Ende-zu-Ende-Verschlüsselung ist nicht absolut (sonst könntet ihr eure
|
|
Daten auf einem neuen Telefon nicht sehen).
|
|
- WhatsApp liest alle Kontakte aus eurem Adressbuch und sendet die Daten an die
|
|
Betreiberfirma Meta. Auch die Daten von nicht WhatsApp-Nuztern. Das verstößt
|
|
einddeutig gegen die DSGVO
|
|
- Eine nach der DSGVO gültige Auftragsdatenverarbeitung liegt nicht vor. Dieser
|
|
Vertrag zwischen den Nutzenden einer Software, und der Firma, die die Daten
|
|
verarbeitet muss von der verarbeitenden Firma vorgelegt werden. Sie dient als
|
|
Beleg, dass die Firma sich an bestehende Datenschutzgesetze hält. Der Vorteil
|
|
ist: Hat die Firma so eine Auftragsdatenverarbeitung, und hält sich nicht
|
|
daran, seid ihr aus der Haftung für Schäden, die durch den Datenmisbrauch
|
|
entstehen raus.
|
|
- Privats und Vereinsrelevantes lassen sich schwer trennen. Wer eine Gruppe auf
|
|
WhatsApp betreibt, hat das bestimmt schon erfahren: Wenn die Gruppe nicht auf
|
|
"nur senden" steht, kommen immmer wieder Beiträge rein, die gar nichts mit dem
|
|
Verein zu tun haben. Mit unter auch private Bilder, die dann wiederum aus
|
|
Sicht des Vereins, der als Betreiber der Gruppe ja verantwortlich ist,
|
|
datenschutzrechtlich problematisch sein können (z.B. Kinderbilder die von
|
|
Eltern verschickt werden).
|
|
|
|
#### Alternativen zu WhatsApp
|
|
|
|
WhatsApp ist grundsätzlich nicht konform mit der DSGVO zu nutzen. Letztlich
|
|
müssen die Einzelnen entscheiden, ob sie das benuzten wollen oder nicht. Ich
|
|
weiß, dass es schwer sein kann, andere -vor allem technisch nicht so
|
|
interessierte Menschen- davon zu überzeugen einen datenschutzfreundlichern
|
|
Messenger zu verwenden. Holt euch aber zumindest das Einverständnis von allen
|
|
Beteiligten. Außerdem müsst ihr eine Alternative anbieten, um Mitgliedern die
|
|
Datenschutz bewusster sind wenigstens die wichtigsten Ereignisse ankündigen zu
|
|
können (z.B. " Training fällt wegen Krankheit heute aus."). Hier sozialen Druck
|
|
aufzubauen ist der falsche Weg!
|
|
|
|
Es gibt andere Messenger, die sich deutlich besser mit der DSGVO vereinigen
|
|
lassen. Allen voran sei hier Signal genannt, der als einziges personenbezogens
|
|
Datum die Telefonnummer des Teilnehmenden speichert (um die Verbindung zwischen
|
|
Usern herzustellen), und konsequent Ende-zu-Ende verschlüsselt ist. Andere
|
|
kompatible Messenger sind Threema (kostet aber einmalig €3.99 pro Installation)
|
|
und Matrix.
|
|
|
|
Matrix ist ein dezentrales System des sog. Fediverse, bei dem man die Server
|
|
auch selber betreiben kann. Die Goldlösung hier wäre, wenn der Verein einen
|
|
solchen Server anbieten könnte. Damit wären alle datenschutzrechtlichen Probleme
|
|
gelöst.
|
|
|
|
#### Microsoft Office und Co.
|
|
|
|
Auch bei der Verarbeitung der Mitgliedsdaten (z.B. der Anwesenheitslisten) ist
|
|
einiges zu beachten. Die meisten werden das mit Excel machen. Microsoft Office
|
|
kann, laut dem Bundesdatenschutzbeauftragen Ulrich Kelber, aber nicht
|
|
datenschutzkonform eingesetzt werden. Untenehmen, die die Enterprise-Version
|
|
haben können das theoretisch ändern, Privatpersonen eher nicht.
|
|
|
|
Der Hauptgrund ist, dass mit dem Modell Office als *Software-As-A-Service*
|
|
anzubieten, alles was ihr mit Office macht in die Azure-Cloud von Microsoft
|
|
übertragen wird, die wiederum nicht europäischen Datenschutzstandards
|
|
entspricht. Wir wissen das Microsoft den Inhalt der von euch erstellten
|
|
Dokumente von Microsoft auch analysiert wird. Unabhängig von den
|
|
Datenschutzproblemen, die das für den Verein bringen kann, rate ich
|
|
grundsätzlich davon ab MS Office 365 zu benutzen. Freie Alternativen wie
|
|
LibreOffice und OpenOffice speichern keine Daten bei Dritten, und sind obendrein
|
|
auch noch kostenlos. Im Funktionsumfang unterscheiden sie sich auch nicht von
|
|
den Microsoft-Produkten
|