Zum Hauptinhalt springen

Besonders gemeinnützige Vereine genießen viele Vorteile. Anders aber im Datenschutzrecht. Hier müssen sie sich den Herausforderungen des Datenschutzes ebenso wie alle anderen Verantwortlichen stellen und den Schutz personenbezogener Daten gewährleisten. In diesem Artikel werden die für Vereine geltenden datenschutzrechtlichen Grundlagen näher erläutert und häufige Fragestellungen aus der Vereinspraxis behandelt.

Anwendbarkeit des Datenschutzes         
Auch für Vereine gelten die einschlägigen Datenschutzgesetze, insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Wenn ein Verein personenbezogene Daten erhebt, nutzt, weitergibt oder sonst verarbeitet, müssen die datenschutzrechtlichen Anforderungen beachtet werden. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die „betroffene Person“) beziehen. Davon sind nicht nur die zur Identifizierung einer Person erforderlichen Daten wie der Name und das Geburtsdatum umfasst, sondern auch Angaben zum Familienstand, die Adresse, der Beruf, Telefonnummern, E-Mail-Adressen, Interessen, Mitgliedschaften in Organisationen, Wettkampfergebnisse usw. fallen ebenfalls hierunter.

Verarbeitung von Beschäftigtendaten im Verein
Die rechtmäßige Verarbeitung von Beschäftigtendaten im Verein richtet sich nach den speziellen Rechtsgrundlagen aus Art. 88 DSGVO und § 26 BDSG. Beschäftigte in diesem Sinne sind die Angestellten des Vereins – also die haupt- und ehrenamtlichen Mitarbeiter und Mitarbeiterinnen.

Personenbezogene Daten von Beschäftigten dürfen erhoben und verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Der Verein als Arbeitgeber darf z.B. im Rahmen eines Fragebogens nur bestimmte Informationen von seinen Mitarbeitern abfragen. Fragen nach der Schwangerschaft oder nach der politischen oder religiösen Gesinnung sind tabu, es sei denn, diese Angaben sind für die zu besetzende Stelle unerlässlich. Im Rahmen von Bewerbungen per E-Mail muss der Verein darauf achten, dass die Bewerber ihre Bewerbung verschlüsselt verschicken können.

Alle Personen, die innerhalb des Vereins Zugang zu Mitgliederdaten haben, sind schriftlich auf die Verschwiegenheit zu verpflichten, um die Vertraulichkeit von personenbezogenen Daten i.S.d. Art. 5 Abs. 1 lit. f DSGVO zu gewährleistet. Der Zugang zu den Daten ist auf diejenigen Daten zu beschränken, die von der Person unmittelbar für die Verarbeitung zu Vereinszwecken benötigt werden.

Verarbeitung von Mitgliederdaten im Verein      
Die Mitgliedschaft in einem Verein ist ein Vertragsverhältnis. Rahmen und Inhalt dieses Verhältnisses werden im Wesentlichen durch die Vereinssatzung und durch die Vereinsordnung definiert.

Rechtsgrundlage für die Verarbeitung von Daten der Mitglieder ist daher regelmäßig die Erfüllung des Vertrages gem. Art. 6 Abs. 1 lit. b DSGVO. Danach sind alle Datenverarbeitungen zulässig, die unmittelbar mit dem Vereinszielen zusammenhängen. Diese Ziele sollten möglichst detailliert und konkret in der Satzung beschrieben werden (Die Landesbeauftragte für den Datenschutz Niedersachsen „Datenschutz im Verein – Überblick„).

Vereinsziele können unter anderem die Folgenden sein:

  • Mitgliederverwaltung (einschließlich Beitragsverwaltung),
  • Vereinsprotokolle,
  • Mitgliederlisten und -einsichtnahmen im Zusammenhang mit Mitgliederversammlungen (z.B. für die Mindestzahl bei Abstimmungen),
  • Durchführung von Wettbewerben,
  • Anschreiben (z.B. Einladung zur Mitgliederversammlung),
  • Erreichbarkeit von Funktionsträgern
    • Weitergabe von Daten der Funktionsträger an die Mitglieder,
    • Darstellung von Daten der Funktionsträger z.B. auf der Webseite des Vereins.

Von den unmittelbaren Vereinszielen zu trennen sind solche personenbezogenen Daten der Mitglieder, die für den Verein lediglich nützlich sind. Bei einem Aufnahmeantrag muss das potentielle neue Mitglied erkennen können, bei welchen Informationen es sich um freiwillige und bei welchen um Pflichtangaben handelt. Bei den freiwilligen Angaben sollte der Hinweis erteilt werden, zu welchem Zweck diese Daten erhoben und genutzt werden. Die Rechtsgrundlage hierfür kann die Einwilligung des Betroffenen gem. Art. 6 Abs. 1 lit. a DSGVO oder das überwiegende berechtigte Interesse des Vereins gem. Art. 6 Abs. 1 lit. f DSGVO sein. Aber Vorsicht: bei Kindern unter 16 Jahren überwiegen häufig deren schutzwürdige Interessen, sodass die Datenverarbeitung unterbleiben sollte, wenn keine wirksame Einwilligung vorliegt. Für unter sechzehnjährige besteht darüber hinaus ein zusätzliches Einwilligungs-, bzw. Zustimmungserfordernis durch die Erziehungsberechtigten.

Verarbeitung von Nicht-Mitgliederdaten des Vereins    
Auch die Daten von Nicht-Mitgliedern des Vereins wie z.B. Spendern und Förderern sind nur zu dem Zweck zu verwenden, zu dem sie erhoben wurden. So sollten Name und Kontonummer z.B. nur verarbeitet werden, wenn dem Verein Spenden zugeführt wurden. Namen und andere Angaben von Gästen und Wettkampfteilnehmern müssen ebenfalls auf das notwendige Ausmaß beschränkt werden. Um den Spendern oder Förderern nachträglich Spendenwerbung oder Informationen zu dem Verein zuschicken zu können, sollte die vorherige Einwilligung eingeholt werden.

Was es noch zu beachten gibt      
Neben den Kerngebieten der Verarbeitung zu Vereinszwecken gibt es weitere typische Vereinsangelegenheiten, bei denen die Anforderungen des Datenschutzes beachtet werden müssen.

Veröffentlichung von Fotos und Videoaufnahmen        
Viele Vereine machen auf ihren Veranstaltungen Fotos oder Videos, um den Verein beispielsweise im Internet zu präsentieren. Rechtsgrundlage für die Veröffentlichung von Fotos und Videos im Internet bildet neben dem Datenschutzrecht auch das Kunsturhebergesetz (KUG).

Nach § 22 Abs. 1 KUG dürfen Fotos und Videoaufnahmen von natürlichen Personen grundsätzlich nur mit Einwilligung des Abgebildeten veröffentlicht werden. Die Einwilligung soll aus Gründen der Beweisbarkeit schriftlich erteilt werden. In der vorformulierten Einwilligung (i.d.R. Formularblatt) ist anzugeben, welches Foto oder welche Videoaufnahme auf welcher Internetseite zu welchem Zweck veröffentlicht wird. Darüber hinaus muss die Einwilligungserklärung einen Hinweis enthalten, dass die Einwilligung verweigert oder mit Wirkung für die Zukunft jederzeit widerrufen werden kann. Wird die Einwilligung verweigert oder widerrufen, so darf das Foto oder die Videoaufnahme in der Regel nicht (mehr) auf der Webseite veröffentlicht werden.

Daneben können Fotos ohne die Einwilligung veröffentlicht werden, wenn die Voraussetzungen des § 23 KUG vorliegen. Dieser erfordert (ebenso wie Art. 6 Abs. 1 lit. f DSGVO) vor der Veröffentlichung immer eine Abwägung der schutzwürdigen Interessen des Abgebildeten mit den Interessen des Fotografen. Beispiele, wie eine solche Abwägungen vorgenommen werden kann, gibt es in den FAQ des LfDI Baden-Württemberg zur Veröffentlichung von Fotos für Vereine.

Anforderungen an die Vereins-Webseite
Auch Vereine müssen die eigene Webseite rechtssicher gestalten und hierfür die Anforderungen der §§ 5 und 13 Telemediengesetz (TMG) ebenso beachten wie die datenschutzrechtlichen Informationspflichten gem. Art. 12 f. DSGVO. Daneben gibt es auch weitreichende Anforderungen an den Einsatz von Cookies und Tracking-Technologien nach den Rechtssprechungen des EuGH, BGH und der zugrundeliegenden „Cookie-Richtlinie“ (EG/2002/58), die im Bedarfsfall umzusetzen sind.

Rechtmäßigkeit von E-Mail-Werbung      
Möchte ein Verein durch Werbung den eigenen Bekanntheitsgrad erhöhen, muss er sich sowohl an datenschutz- als auch wettbewerbsrechtliche Regeln halten. Bei E-Mail-Werbung, wie z.B. durch einen Newsletter oder die Bewerbung von Veranstaltungen, muss der Empfänger grundsätzlich eine Einwilligung in den Erhalt der Werbung erteilt haben. Die Zusendung von Werbung ohne eine entsprechende Einwilligung und auf Grundlage des berechtigten Interesses ist an die strengen Voraussetzungen des § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) gebunden und nur in Ausnahmefällen möglich. Näheres dazu erfahren Sie in unserem Beitrag E-Mail-Werbung nach DSGVO und UWG: Was ist erlaubt?

Einsatz von externen Dienstleistern        
Setzt ein Verein externe Dienstleister ein, die personenbezogene Daten für den Verein verarbeiten, so hat er daran zu denken, dass er mit dem Dienstleister einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO schließen muss. In der Regel ist der Abschluss eines AVV erforderlich, wenn Dienstleister im Bereich IT, Marketing und Werbung für den Verein tätig werden.

Bestellung eines Datenschutzbeauftragten       
Ob ein Verein gesetzlich dazu verpflichtet ist einen Datenschutzbeauftragten zu bestellen, richtet sich nach Art. 37 DSGVO und § 38 BDSG.

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht in der Regel, wenn

„bei einem automatisierten Verfahren mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.“

Der Datenschutzbeauftragte unterstützt bei der Einhaltung des Datenschutzes und der Gewährleistung von Schutzzielen zugunsten der Vereinsmitglieder.

Bei Zweifeln helfen die Aufsichtsbehörden        
Im Vereinsbetrieb gibt es eine Vielzahl von datenschutzrechtlichen Fragestellungen. Zum Zeitpunkt des Inkrafttretens der DSGVO standen besonders kleine und mittelständische Vereine vor einem Berg bürokratischen Aufwands und befürchteten, bei der Umsetzung datenschutzrechtlicher Anforderungen Fehler zu machen, die zu Bußgeldern führen könnten.

Die datenschutzrechtlichen Aufsichtsbehörden sind mehr als eine Bußgeldstelle. Sie haben auch die Aufgabe, die Öffentlichkeit und insbesondere datenschutzrechtliche Verantwortliche aufklären. Bei offenen Fragen können sich Vereine über die Webseite ihrer zuständigen Datenschutzbehörde an diese als erste Anlaufstelle wenden.

Hinweis: Dieser Artikel wurde aufgrund der DSGVO komplett überarbeitet. Die Kommentare beziehen sich teilweise auf die alte Rechtslage.

Quelle: https://www.dr-datenschutz.de/datenschutz-im-verein/

 

 

Ansprechpartner

Datenschutz@rttvr.info

Weitere Infos

Link zur neuen DSGVO

Downloads