DSGVO oder nichts wird so heiß gegessen…

[Werbung | Sponsored Post | enthält Produkt- und Namennennung]

Ihr wisst, wie dieser Spruch weitergeht. Vor fast zwei Jahren ist die Datenschutzgrundverordnung, kurz DSGVO, verbindlich geworden. Es grenzte nicht nur bei den Musikvereinen in den ersten fünf Monaten des Jahres 2018 fast schon an Panik vor dem „magischen“ Datum 25. Mai 2018.

Dabei gab es bereits Monate davor schon genügend Informationen und Hinweise, wie diese Verordnung durchgeführt werden muss. Viele stellten sich davor schon auf den korrekten Datenschutz, nicht nur im Internet ein. Beispielsweise mit den Datenschutz-Hinweisen auf der Website, mit der Doppel-Opt-In-Methode bei den Newslettern, mit dem Einholen von Genehmigungen für Foto und Video, usw.

In vielen meiner Workshops kommt natürlich auch die DSGVO, neben anderen „bürokratischen“ Themen, regelmäßig auf den Tisch. Ich merke, dass noch immer eine große Unsicherheit bei den Musikvereinen herrscht. Manche erzählen gar, dass sie die Website erst einmal offline gesetzt haben – wegen der DSGVO. Für mich sieht das so aus: Sie verzichten auf ihre wichtige Visitenkarte im Netz.

Da ich selbst zur Zeit nicht in der Vorstandschaft eines „normalen“ Musikvereins bin und selbst im Musikverein nicht aktiv an der Durch- bzw. Einführung der DSGVO mitgearbeitet habe, habe ich auf der Facebook-Seite des Blasmusikblogs gefragt, wer denn einmal aus Musikvereins-Sicht von der Einführungszeit und den letzten Monaten berichten möchte. Spontan haben sich vier Leute gemeldet. Deren Erfahrungen darf ich nachfolgend mit Euch teilen.

Konkret habe ich folgende Fragen gestellt:

  1. DSGVO – Noch immer ein aktuelles Thema in Eurem Verein?
  2. Was hat sich in der Vereinsführung/Verwaltung seit Einführung geändert?
  3. Welche Maßnahmen habt Ihr konkret / praktisch zur Umsetzung ergriffen?
  4. Vor welchen Herausforderungen standet Ihr und wie habt Ihr diese gelöst?
  5. Wie geht Ihr bezüglich DSGVO mit Eurer Website um?

Beantwortet haben die Fragen

Martin Haensel, 1. Vorsitzender des Musikvereins Effeltrich e. V.

MV Effeltrich
Musikverein Effeltrich

Joachim Hofmann, 1. Vorsitzender des Musikvereins Röllbach

Musikverein Röllbach
Musikverein Röllbach

Astrid Kienle, Verantwortliche für Marketing und Öffentlichkeitsarbeit im Musikverein Essingen

Musikverein Essingen
Musikverein Essingen

Katharina Schiweck, Vorstand Marketing MUSAS – Musik aus Seevetal (im Turnverein Meckelfeld).

MUSAS - Musik in Seevetal
MUSAS – Musik in Seevetal

DSGVO – Noch immer ein aktuelles Thema in Eurem Verein?

Martin Haensel: „An sich nicht, außer dass es Ende März 2020 ein erstes „internes Audit“ gibt, wo alle Verfahren und Papiere usw. ein erstes Mal überprüft und ggf. überarbeitet werden.“

Joachim Hofmann: „(Gott sei Dank) Nein! Ich habe unsere getroffenen Maßnahmen in meinem Geschäftsbericht für das Jahr 2018 in der Mitgliederversammlung 2019 vorgestellt. Bis heute kamen keinerlei Rückfragen oder gar Auskunftsersuchen aus dem Kreis der Mitglieder.“

Astrid Kienle: „Ja. Auch fast zwei Jahren nach Inkrafttreten der DSGVO ist und bleibt diese ein Thema für uns. Das ist mit anderen Gesetzen oder Vorschriften aber ja genauso (z. B. Jugendschutz). Bei jedem neuen Projekt, jeder Veranstaltung oder Veröffentlichung stellt man sich wieder die Frage, in wie weit der Datenschutz berücksichtigt werden muss.

Außerdem sind wir immer noch dabei, die Anforderungen der DSGVO in unserem Verein angemessen umzusetzen. Viele Punkte konnten wir bereits abhaken – andere sind aber auch noch offen. Die offenen Punkte werden Schritt für Schritt weiter abgearbeitet.“

Katharina Schiwek: „Das Thema DSGVO ist ein Dauerbegleiter bei uns im Verein. Durch unsere starke Öffentlichkeitsarbeit achten wir sehr darauf, dass alles der DSGVO entspricht. Aber auch durch den regelmäßigen Zuwachs von neuen Musikern kümmern wir uns kontinuierlich darum.“

Was hat sich in der Vereinsführung/Verwaltung seit Einführung geändert?

Martin Haensel: „Wir haben bei allen Entscheidungen ggf. verifiziert, ob wir da auf etwas achten müssen und es ggf. angepasst. Die Aufmerksamkeit diesbezüglich ist jetzt ein Vielfaches höher. (Wann hat wer welche Daten und muß das so sein?) 
Die ohnehin zu erneuernde Mitgliederverwaltung wurde daher z. B. auf das System des NBMB (Nordbayrischer Musikbund) umgestellt.

Mailinglisten werden komplett als Gruppen/Maillisten innerhalb des OFFICE 365 Systems gehalten und daher ist sichergestellt, adß nicht versehentlich in CC statt in BCC versandt wird usw..

Bildernutzung wird auf einen Erlaubnistatbestand hinterfragt und dann verwendet (oder eben nicht).“

Joachim Hofmann: „Nicht viel! Wir hatten bereits zuvor Commusic genutzt. Zu dem Programm und damit den Mitgliedsdaten hatten auch zuvor nur mein Kassier und ich einen Zugang. Man geht nun vielleicht etwas sensibler/vorsichtiger z.B. mit Geburtstagslisten oder auch Bildern um.“

Astrid Kienle: „Unsere Vereinsführung ist in den letzten Jahren insgesamt digitaler geworden. Das lag nicht unbedingt an der DSGVO, kam ihr aber durchaus zugute.
Seit März 2018 nutzen wir zur Kommunikation und Zusammenarbeit die Google G Suite als virtuelle (cloudbasierte) Arbeitsplattform. Gemeinnützige Organisationen können die “G Suite for Nonprofits” nämlich kostenlos nutzen und sie ist DSGVO-konform einsetzbar.“

Katharina Schiwek: „Nach der Einführung der DSGVO haben wir uns von jedem Mitglied Einwilligungen eingeholt, um uns abzusichern bzgl. Fotos, Videos und auch Nennung von einzelnen Personen. Vor der Einführung der neuen DSGVO wurden immer aktualisierte Mitgliederlisten an alle Mitglieder der Sparte verschickt. Diese Listen werden nicht mehr verschickt, sondern nur noch Vorstandsintern genutzt für die interne Kommunikation und Verwaltung der Sparte.“

Welche Maßnahmen habt Ihr konkret / praktisch zur Umsetzung ergriffen?

Martin Haensel: „Erstellung Verfahrensverzeichnis (Tabellarisch); Erstellung einer Datenschutzordnung / mit Info für Mitglieder (nur neue, alle anderen auf Anfrage); Niederschrift der Mindestanforderungen an genutzte PC, (TOM) Datensicherungsverfahren.
Überarbeitung der Verträge mit Lehrern und Dirigent; Verpflichtungserklärungen für Nutzer von Daten (innerhalb des Vorstandes ) im enger  begrenztem Personenkreis (ohnehin kleiner 10); Umstellung der Mitgliederverwaltung; Überarbeitung der Mitgliedsanträge; Überarbeitung der Schülerverträge; Einführung einer Software für Info / Terminplanung  im Orchester.“

Joachim Hofmann: „Wir haben ein Datenschutzverzeichnis erstellt, Verpflichtungserklärungen eingeholt und eine Datenschutzordnung als Anlage zur Satzung beschlossen. Dabei sind wir im Zweifel großzügig vorgegangen. D.h. lieber eine Verpflichtungserklärung zu viel, als eine zu wenig. Weiterhin haben wir einen Fremdanbietervertrag mit der Firma Commusic geschlossen, die unsere Vereins- und Mitgliederdaten ausschließlich auf Servern in Deutschland verarbeitet. Der Zugang zu Commusic war bereits zuvor und ist natürlich immer noch passwortgeschützt. Den Aufnahmeantrag für neue Mitglieder haben wir entsprechend der Vorgaben der DSGVO überarbeitet und ergänzt. Mehr konnten und wollten wir nicht tun. Viel private Zeit ging drauf für Dinge, die wir vermutlich nie wirklich brauchen werden. Einen Datenschutzbeauftragten haben wir nicht installiert.“

Astrid Kienle: „Neben der genannten Umstellung auf die G Suite wurde unsere Satzung um einen Datenschutzparagraphen erweitert. Die Satzungsänderung war eigentlich aus einem ganz anderen Grund notwendig geworden – entsprechend den Empfehlungen des hinzugezogenen Juristen haben wir aber den Bereich Datenschutz gleich mit abgedeckt.
Außerdem haben wir einige Formulare und Dokumente an die neue Rechtslage angepasst. So wurde z. B. die Beitrittserklärung um Datenschutzhinweise und die nun notwendigen Informationspflichten erweitert. 
Vor der Veröffentlichung von Fotos oder Videos minderjähriger Mitglieder holen wir uns generell eine schriftliche Einwilligung ein (von den sorgeberechtigten Personen wie auch von den Kindern selbst). Das haben wir zwar auch schon vor der DSGVO so gemacht – das Formular dafür wurde aber aktualisiert. Für unsere Veranstaltungen wurde ein Aushang erarbeitet, der neben dem Hinweis, dass Fotos oder Videos erstellt und ggf. veröffentlicht werden auch die weiteren Informationen bereitstellt.

Lücken haben wir noch in unserer Auflistung der sogenannten Verarbeitungstätigkeiten. Wir haben ein Verzeichnis erstellt, dieses muss aber in einigen Punkten vervollständigt werden.
Außerdem soll noch eine Datenschutzordnung verfasst werden, die konkrete Regelungen zur Verarbeitung personenbezogener Daten im Musikverein enthält.“

Katharina Schiwek: „Wir als Sparte eines Turnvereins haben als erstes ein eigenes DSGVO-Formular entworfen, wofür wir eine Vorlage vom Land Baden-Württemberg genutzt haben. Auf dem Formular kann jedes Mitglied entscheiden, welche Daten wir als Sparte verarbeiten, speichern und veröffentlichen dürfen, und ob wir Fotos und Videos verwenden dürfen für Social Media, Homepage und Printmedien. Jedes Mitglied hat das Formular ausgefüllt und unterschrieben. Die Formulare werden vom Vorstand sicher aufbewahrt, so dass Dritte keinen Zugriff darauf haben.“

Vor welchen Herausforderungen standet Ihr und wie habt Ihr diese gelöst?

Martin Haensel: „Größtes Problem war, zu erkennen was ist wirklich nötig, was könnte und Probleme machen und wie aufwändig oder umfangreich macht man es dann wirklich. (was trifft und als Verein, wie ist es z interpretieren, was bedeuten die Vereinfachungen ggf.in Bayern..  usw.. ) gelöst  über: 
– eigenes Know How über meine Firma, (die es ja auch betroffen hat und es dann sehr professionell mit einem sehr pragmatischen Berater umgesetzt hat, das konnte ich zumeist  „skalieren für uns“ ) 

  • Infomaterial in Bayern war recht gut für Vereine
  • Schulung beim Bayrischen Musikrat (Veranstaltung in Nürnberg, mit RA Richard Didyk -> Extrem gut und hilfreich !!)
  • Info vom NBMB (etwas spät, dann aber recht brauchbar)
  • Zusätzliche Infoveranstaltung unsres Kreisverbandes zum Thema mit dem Datenschutzbeauftragen des NBMB (zu diesem Zeitpunkt für mich zwar nichts mehr Neues, aber trotzdem sehr gut, und eine gewisse Bestätigung, das es so stimmt…)“

Joachim Hofmann: „Hauptproblem war die knappe Zeit und die wenigen, teils widersprüchlichen Informationen, die damals zur Verfügung standen. Glücklicherweise hat auch unser Dachverband Musikverband Untermain die große Unsicherheit in seinen Mitgliedsvereinen erkannt und kurzfristig Infoveranstaltungen mit kompetenten Referenten organisiert. Einer meiner Vertreter und ich haben uns auch durch Fachliteratur gegraben, so dass wir bis Ende Mai 2018 zumindest mal einen groben Plan hatten, was zu tun ist. Die oben angeführten Dokumente haben wir dann in einer kleinen Arbeitsgruppe ausgearbeitet. Unsere Homepage und auch unsere Facebook-Seite hatten wir mit Inkrafttreten der DSGVO vorübergehend aus dem Netz genommen, da damals noch das Schreckgespenst des Abmahnanwalts, der nur auf den Stichtag wartet, umging.“

Astrid Kienle: „In der anfänglichen “DSGVO-Panik” war die größte Herausforderung erst einmal herauszufinden, welche Änderungen überhaupt und mit welcher Priorität notwendig sind.
Wir hatten als Vorstandschaft das Glück, dass ich durch meinen Beruf als Datenschutzbeauftragte eines Klinikums entsprechendes Fachwissen einbringen konnte. Trotzdem haben wir uns in weiten Teilen anfangs zurückgehalten und auf Stellungnahmen und Empfehlungen der Aufsichtsbehörden gewartet. Mittlerweile gibt es vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg einen Praxisratgeber für Vereine sowie weitere sehr hilfreiche Informationen und Veröffentlichungen. Diese bilden für uns die Arbeitsgrundlage und wir sind daran, die Empfehlungen umzusetzen.“

Katharina Schiwek: „Für uns war die erste große Herausforderung sich einzuarbeiten in die Materie. Was bedeutet die neue DSGVO für uns im Verein und was müssen wir zukünftig alles beachten und wie regeln? Nach dem Lesen der Ordnung ist man als Laie auch nicht viel schlauer, daher waren einige Informationen von Verbänden oder Ländern sehr hilfreich, auch die Landesdatenschutzbeauftragte von Niedersachsen konnten wir telefonisch erreichen um Fragen zu klären. Eine weitere Herausforderung war unsere Mitglieder zu sensibilisieren für das Thema und warum wir von ihnen eine solche Vereinbarung benötigen. Natürlich hatten sie alle von der DSGVO gehört, aber einigen war nicht bewusst was das auch für uns bedeutet. Durch Informationszettel und Gespräche konnten wir hier die Fragen und Verwirrungen klären.“

Wie geht Ihr bezüglich DSGVO mit Eurer Website um?

Martin Haensel: „Hauptmerkmale: eine angepasste Datenschutz-Info-Seite  und Deaktivierung aller direkt interaktiven Elemente. 
Ansonsten keine weiteren Anpassungen. Bilder werden mit dem Erlaubnistatbestand der eigenen Werbung und Außen-Darstellung und dem Informationsanspruch unseres Vereins genutzt. 

Insgesamt ist die Internetseite zwar relativ neu, aber derzeit nicht sehr aktiv genutzt. Das ist bei uns im Dorf kaum eine notwenige Informationsquelle. Daher unkritisch.“

Joachim Hofmann: „Für unsere Homepage haben wir eine Datenschutzerklärung erstellt. Glücklicherweise stellt ein Fachanwalt für Internetrecht einen Datenschutz-Generator für Vereine u.a. kostenlos zur Verfügung. Dieses Monstrum hat einen Umfang von fast zweitausend Worten. Ich bezweifle, dass dieses Monument der europäischen Bürokratie jemals irgendwer komplett lesen wird. Das Gegenstück auf der Facebook-Seite, das dort oben fixiert ist, ist deutlich kürzer und besteht „nur“ aus knapp 600 Worten. Unser Webmaster hat auf der Homepage noch den heutzutage üblichen Hinweis auf die Verwendung von Cookies eingebaut.“

Astrid Kienle: „Unsere Website läuft auf der Plattform eines Dienstleisters. Dieser ist für den technischen Betrieb und für die Einhaltung der Datenschutzbestimmungen bei der Nutzung der Plattform verantwortlich. Wir selbst verarbeiten keine Daten, die beim Besuch unserer Website entstehen. In unseren Datenschutzhinweisen informieren wir die Besucher darüber; die Datenschutzhinweise entsprechen den datenschutzrechtlichen Anforderungen.

In Bezug auf unsere Website sind wir daher relativ entspannt – vor ein ernstes Problem stellt uns allerdings die Nutzung der Sozialen Medien, insbesondere unserer Facebook-Seite. Ich halte für eine zeitgemäße Öffentlichkeitsarbeit die Nutzung sozialer Medien für unverzichtbar, die derzeitige Rechtslage steht dem aber entgegen. Hier beobachten wir die weitere Entwicklung und die Reaktion der Aufsichtsbehörden.“

Katharina Schiwek: „Wir haben uns in allererster Linie erkundigt, was unsere Website erfüllen muss, damit alles noch DSGVO getreu ist. Danach haben wir unsere Homepage überarbeitet, was jedoch grundsätzlich nötig war. Da haben wir die Chance genutzt und unsere Homepage nicht nur mit https versorgt oder einem Impressum mit entsprechenden Hinweisen auf die DSGVO, sondern auch in ein neues Layout und neuen Glanz gebracht. Wir haben mögliche Facebook Verlinkungen und Instagram Verlinkungen von unserer Homepage genommen, um zusätzliche Hinweise und Pop-Up Fenster vermeiden zu können. Ebenfalls haben wir die Chance genutzt und unsere Vereins-Mailadressen mehr in den Vordergrund gestellt anstatt privater Mailadressen von den Vorstandsmitgliedern.“

Herzlichen Dank an Martin Haensel, Joachim Hofmann, Astrid Kienle und Katharina Schiwek! Sehr klasse, dass Ihr Eure Erfahrungen mit uns teilt!

Im Rahmen meiner Zusammenarbeit mit dem Marketing-Verantwortlichen der Buchhaltungssoftware lexoffice, der zufällig auch Blasorchester-Dirigent ist, sind wir auch auf das Thema DSGVO gekommen. Er gab letztendlich auch den Anstoß zu diesem Beitrag. Wir waren uns einig, dass es interessant wäre zu sehen, wie die Musikvereine ganz konkret mit diesem „bürokratischen Monstrum“ DSGVO umgegangen sind. Wir hoffen, mit diesem Beitrag Euch nochmals wichtige Informationen zur Handhabung gegeben haben.

Lexoffice ist zwar eine Buchhaltungssoftware spezialisiert auf Einzel- und Kleinunternehmen, also zum Beispiel selbstständige Musiklehrer und Dirigenten, aber für Musikvereine gelten ja die gleichen Regeln. Lexoffice hält sehr viele Informationen zur DSGVO auf der Website bereit. Leserlich und verständlich aufgearbeitet in die verschiedenen Kapitel

Außerdem gibt es ein kostenfreies eBook zum Download: Gratis-Download „Premium eBook DSGVO“ starten

Wenn auch Ihr von Euren Erfahrungen aus dem „täglichen Musikvereins-Leben“ mit der DSGVO berichten wollt, dann nutzt gerne das Kommentarfeld weiter unten auf dieser Seite.

Nochmals ein herzliches Dankeschön an Martin Haensel, Joachim Hofmann, Astrid Kienle und Katharina Schiwek. Auch an lexoffice ein Dankeschön für die Kooperation.

Alexandra Link

Musik ist ein sehr wichtiger Bestandteil meines Lebens. Musizierende Menschen zusammen zu bringen meine Leidenschaft.

    One thought on “DSGVO oder nichts wird so heiß gegessen…

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert