Der VDST bietet eine Mitgliederverwaltung der VDST-Vereine direkt im VDST-System an. Diese gemeinsame Verarbeitung der Mitgliederdaten von VDST und Verein gem. Art. 26 DSGVO ist nicht ganz unproblematisch und wird nicht von jedem Verein begrüßt. Lothar Becker, DSZ Datenschutzauditor und Datenschutzauditor TÜV Rheinland, hat sich mit dieser Problematik auseinandergesetzt:
In früheren Zeiten haben die Vereine Ihre Mitgliederdaten per Datei an den VDST geschickt und der hat damit die Auslieferung des Sporttauchers und die Taucherhotline mit den dazugehörigen Versicherungen betrieben. Das war damals Auftragsdatenverarbeitung gem. § 11 BDSG (alt) und hätte damals schon einen AV-Vertrag benötigt. Allerdings war das BDSG zum damaligen Zeitpunkt eher ein zahnloser Tiger.
Das hat sich grundsätzlich mit dem Inkrafttreten der DSGVO geändert. Es wurden neue Sachverhalte eingeführt (wie z.B. die „gemeinsame Verantwortlichkeit“) und die Bußgelder wurden so angepasst, dass das Thema Datenschutz ernst genommen wird (… eine Regelung anwenden, die wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht.). Daraus folgt, Verstöße werden nicht mehr nur zu einer Ermahnung führen.
Durch die Einführung der Web basierten Mitgliederverwaltung hat sich der Sachverhalt einer Auftragsverarbeitung (AV) gem. Art. 28 DSGVO (für die ebenfalls ein Vertrag notwendig wäre) in den einer „Gemeinsamten Verantwortlichkeit“ (GV) gem. Art. 26 DSGVO gewandelt, d.h. sowohl Verein als auch VDST sind jetzt für die Daten verantwortlich (vorher war es nur der Verein). Wer was in diesem Zusammenhang tut, muss in einem Vertrag geregelt werden. Wichtig dabei ist, dass beide Parteien hierzu einen Vertag abschließen. Der muss folgendes regeln:
- Wer darf was mit den Mitgliederdaten machen
- Der VDST gibt die Mitgliederdaten an eine Druckerei (AV-Vertrag gem. Art. 28 DSGVO) weiter, übermittelt die Daten an die Assistance, an Versicherungen etc.
- Der VDST nutzt die Daten zur Abwicklung der Brevetierungen, zur Ausbilderverwaltung etc.
- Der VDST benötigt die Daten zur Beitragserhebung
- Der Verein gibt die Daten in die Datenbank ein (in dem Augenblick ist nicht mehr der Verein, sondern auch der VDST für die Mitgliederdaten verantwortlich)
- Der Verein kann die Daten dann auch wiederum aus der Mitgliederdatenbank exportieren und für verschiedene eigene Anwendungen nutzen (z.B. Versand der Vereinszeitschrift, Beitragseinzug etc.). Ob der Verein das nutzt oder hier seine eigene Datenquelle nutzt ist unerheblich, wichtig dabei ist die Möglichkeit (kann)
- Der Verein könnte mit den Download Daten dann auch eigene Auftragnehmer (z.B. Lettershop zum Versand der Vereinszeitung), ist aber verpflichtet, ebenfalls einen AV-Vertrag abzuschließen.
- Beide Parteien teilen dem Vertragspartner die AVs im Vertrag mit
- Pflichten der Verantwortlichen
- Anfragen gem. Art. 15 – 18 DSGVO können von Betroffenen sowohl an den Verein als auch an den VDST gerichtet sein. Wie hiermit zu verfahren ist, wird dann ebenfalls im GV-Vertrag geregelt
- Datenschutzverletzungen betreffen jetzt nicht mehr nur den Verein, sondern auch den VDST (vorher war hier nur der Verein verantwortlich). Hier ist wichtig, dass beide Parteien aktiv werden und evtl. Meldungen an die Aufsichtsbehörden machen. Wird das unterlassen, drohen erhebliche Geldbußen. Dabei ist die Einhaltung der 72-Std.-Frist wichtig und es sollten hier entsprechende Workflows definiert sein.
- Beide Parteien haben gleichermaßen für die Datensicherheit zu sorgen.
- Der VDST für die Sicherheit der Mitgliederdatenbank
- Auswahl von Datenschutz konformen Dienstleistern, die per Vertrag zur Einhaltung des Datenschutzes verpflichtet werden
- Der Verein für die Sicherheit beim Zugang zur Mitgliederdatenbank (z.B. Nur Zugriff von ausreichend gesicherten Rechnern)
- Sicherer Umgang mit Mitgliederdaten, die von der Datenbank heruntergeladen wurden (für eigen verantwortete Daten ist der Verein alleine verantwortlich, d.h. hier haftet der Vorstand des Vereins)
- Sachverhalte ohne Vertrag
- Der VDST darf ohne den Vertrag die Daten weder an Dritte noch an Auftragnehmer weitergeben, da er hierfür die vertraglich Erlaubnis des Vereins benötigt, es wäre also eine unerlaubte Datenweitergabe. Das wurde bisher aus Kulanz nicht umgesetzt, d.h. die Vereinsmitglieder haben den „Sporttaucher“ erhalte und sind in den Genuss der Leistungen der Taucherhotline gekommen, obwohl der VDST diese Daten eigentlich nur von den Vereinen hätte übermitteln dürfen, die dem Vertrag beigetreten sind.
- Die Folge wäre, dass die Vereinsmitglieder der Vereine, die den Vertrag nicht unterzeichnet haben, diese Leistungen eigentlich nicht mehr erhalten dürften!
- Die Vereine begehen eine unerlaubte Datenweitergabe an Dritte (VDST ist ohne Vertrag noch nicht „Verantwortlicher), die zu einem Bußgeld für den Verein führen würde, wofür die Vorstände vermutlich mit ihrem Privatvermögen haften müssten (z.B. keine Entlastung bei der MV)
- Bei Tätigkeiten für Vereinsmitglieder (z.B. Brevetierungen), dürfte der VDST nicht auf die Daten zugreifen, d.h. er müsste die Daten für weitere Verarbeitungen sperren
- Welche Alternativen gibt es?
- Jedes Vereinsmitglied gibt dem VDST einzeln seine Einwilligung zur Verarbeitung seiner Daten. Das ist allerdings bei fast 80.000 Mitgliedern nicht verwaltbar und wäre mit ehebliche Kosten verbunden, was zu Beitragserhöhungen führen würde
- Der Verein holt sich die Einwilligung von ihren Mitgliedern zur Datenweitergabe und schickt die Adressen monatlich direkt an die Druckerei und die Beteiligten der Hotline. Das würde für diese Verein zu höheren Kosten führen, da die Beteiligten das jeweils für kleine Gruppen durchführen müsste. Die Zeitschrift Tauchen hätte dann nicht mehr die notwendig Auflage und müsst teurer werden, d. h. weniger Beiträge, schlechter Optik, die Versicherungsleistungen müssten dann mit dem Verein zu vermutlich schlechteren Konditionen ausgehandelt werden
Der VDST bietet seinen Mitgliedern verschiedene Services an, zu denen er die Mitgliederdaten benötigt. Ob diese Daten im Rahmen einer Auftragsverarbeitung (hier trägt der Verein alleine die Verantwortung) oder als gemeinsame Verantwortung (hier sind beide Parteien verantwortlich) verarbeitet werden ist erst einmal egal, da beide Varianten ohne Vertrag (AV-Vertrag oder GV-Vertrag) nicht möglich sind. Die frühere Lösung der Datenübermittlung war sehr personal- und kostenintensiv. Der VDST ist aber gegenüber den Mitgliedern verpflichtet Kosten und Beiträge so gering als möglich zu halten. Um Beitragserhöhungen zu vermeiden, wurden durch die gemeinsame Verarbeitung, Tätigkeiten zum Verein hin verlagert.
Hätten wir also die „gemeinsame Verantwortlichkeit“ nicht, wäre zumindest ein AV-Vertrag notwendig, deren Nichtabschluss die gleichen Folgen hätte.
Lothar Becker
Dipl. Betriebswirt
DSZ Datenschutzauditor - Datenschutzauditor TÜV Rheinland