Was die Datenschutzverordnung für Capoeiravereine bedeutet

Am 25.05.2018 tritt die Europäische Datenschutzverordnung in Kraft. Darin gibt es zwar insgesamt kaum neue Vorgaben, allerdings gelten höhere Strafen für die Nichtumsetzung als bisher.

Einige der Vorgaben müssen auch von Vereinen und Gruppen eingehalten werden, besonders auf Webseiten gibt es ein paar Fallen, die allerdings mit etwas Aufwand behoben werden können.

Weil ich die ganze Prozedur mit meinen Seiten natürlich auch durchgehen muss, habe ich hier mal die wichtigsten Punkte für Vereine gesammelt.

 

1. Datenschutzerklärung

 

Im Verein braucht ihr die Datenschutzerklärung für zwei Dinge.

 

Einmal, wenn sich ein Mitglied bei euch anmeldet. Dem Anmeldebogen muss also auch eine einfache Datenschutzerklärung beigelegt werden, in der steht, was mit den persönlichen Daten der Mitglieder passiert und ob bzw. wie sie an Dritte (Bsp. Sportbund etc) weitergegeben werden. Dabei könnt ihr auch direkt die Veröffentlichung von Fotos der Mitglieder klären.

 

Außerdem ist eine Datenschutzerklärung nötig, wenn eure Webseite in irgendeiner Form Daten speichert oder verarbeitet, und das ist fast immer der Fall.

 

Sobald irgendein Dienst genutzt wird, der

  • Besucherstatistiken und Ähnliches anzeigt
  • einen Log-In-Bereich ermöglicht
  • Kommentare zulässt
  • Spamschutz aktiviert oder
  • Social-Media-Buttons anzeigt

    braucht ihr eine Datenschutzerklärung.

Darin muss aufgeführt werden, wann Daten erhoben werden und wie sie genutzt werden. Die Datenschutzerklärung muss einfach zu finden sein und auf einer eigenen Seite (also nicht im Impressum) stehen.

Hier findet ihr ein Muster, und hier kann die Erklärung automatisch generiert werden. Für die Richtigkeit gibt’s natürlich keine Gewähr.
(In der Erklärung wird teilweise ein Datenschutzbeauftragter genannt, der ist aber nur nötig, falls in eurem Verein mehr als 10 Leute mit den personenbezogenen Daten arbeiten, was in der Regel nicht der Fall sein dürfte.)

 

2. Cookies

 

Fast jede Webseite speichert Cookies ihrer Nutzer, um damit den Ablauf für Betreiber oder Nutzer einfacher zu gestalten. Um damit auf der sicheren Seite zu sein, muss der Benutzer darüber informiert werden, beispielsweise über eine Cookie-Warnung, in der beim Klicken die Einwilligung gegeben wird. Dazu gibt es für fast jedes System Plugins. Auch in der Datenschutzerklärung müssen diese Cookies erwähnt werden.

 

Falls ihr nicht sicher seid, ob eure Seite Cookies speichert, könnt ihr das über den Browser heraus finden oder hier testen.

 

3. SSL Verschlüsselung

 

Falls man sich auf eurer Seite einloggen kann oder in einer anderen Form Daten eingeben kann (Bsp. Kommentare), sollte die Seite ein SSL Zertifikat haben. Das erkennt man an dem s in https in der Adresszeile. Ein SSL Zertifikat bekommt ihr am einfachsten über euren Hoster oder ein Plugin.

 

4. E-Mail-Verteiler

 

Falls ihr einen E-Mail-Verteiler nutzt, um Mitglieder und Interessierte über eure Aktionen zu informieren, müsst ihr im Zweifelsfall nachweisen können, dass die Leute euch die Erlaubnis dazu gegeben haben, dass ihr sie anschreiben dürft.

 

Bei professionellen E-Mail-Anbietern erfolgt das durch eine Mail mit Bestätigungslink, der geklickt werden muss, bevor die Adresse in den Verteiler aufgenommen wird. Verwendet ihr ein normales E-Mail-Programm, der dieses Double-Opt-In nicht ermöglicht, solltet ihr eine kurze Mail an euren Verteiler schicken, in der ihr um Bestätigung bittet.

 

5. Auftragsdatenverarbeitung

 

Wenn über eure Seite personenbezogene Daten gesammelt und von anderen Diensten gespeichert oder verarbeitet werden, braucht ihr mit diesen Anbietern einen Auftragsdatenverarbeitungsvertrag. Damit stellt ihr sicher, dass ihr nicht haftbar gemacht werdet, falls mit den Daten von eurer Seite beim genutzten Dienst irgendein Missbrauch passiert.

 

Das gilt zum Beispiel, wenn ihr über euren Hoster auch E-Mails verschickt oder Google Analytics (oder andere Dienste) für Statistiken nutzt.
Diese Verträge bieten die meisten Anbieter für Internetdienstleistungen mittlerweile automatisch im Kundenbereich an, falls nicht, solltet ihr euch unbedingt danach erkundigen.

 

Der Vertrag ist außerdem nicht nur für eure Webseite nötig, sondern immer dann, wenn externe Firmen Dienste für euch übernehmen, bei denen personenbezogene Daten genutzt werden (also beispielsweise, wenn ihr für euer Event Tickets über externe Anbieter verkaufen lasst).

 

6. Kritische Dienste

 

Social-Media-Buttons und das Einbetten von Videos sind datenschutzrechtlich bedenklich, weil sie auch dann Daten an Facebook, Youtube und Co weiterleiten, wenn der Besucher gar nicht drauf klickt.

Daher solltet ihr sehen, ob sie notwendig sind und gegebenenfalls Alternativen suchen. Statt direkter Buttons könnt ihr beispielsweise Bilder mit dem Link zu Facebook versehen oder spezielle Plugins (besonders für WordPress) nutzen.

 

Fazit

 

Insgesamt gilt der Grundsatz, so wenig personenbezogene Daten zu erheben und zu speichern, wie irgendwie möglich.

 

Es gibt zwar sehr viele Kleinigkeiten, die man eigentlich beachten sollte, allerdings führen diese nur zu Problemen, wenn jemand es darauf anlegt, gegen eure Seite vorzugehen, und das darf nicht jeder. So lange ihr also die wichtigsten Punkte wie Datenschutzerklärung und Cookie-Info umstellt, seid ihr schon ganz gut vorbereitet.

 

Noch detailliertere Infos findet ihr übrigens auf dieser Seite.

Xitara

Xitara

Xitara ist nicht nur leidenschaftliche Capoeirista, sondern auch Autorin und Bloggerin. Auf Gingado unterstützt sie andere Capoeiristas mit Trainingstipps und Hintergründen rund um Capoeira.
Xitara

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*