Die DSGVO und der Verein

Grafik: maxkabakov_-_Fotolia.com

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen Europäischen Mitgliedstaaten in Kraft. Die DSGVO regelt die Verarbeitung von personenbezogenen Daten. Auch Vereine erheben und verarbeiten personenbezogene Daten und sind daher von der DSGVO betroffen.

Die folgenden Punkte erheben keinen Anspruch auf Vollständigkeit, sondern stellen nur die wichtigsten Aspekte der DSGVO für Vereine dar. Ausführlichere und vertiefende Informationen können dem Leitfaden DSGVO für Vereine entnommen werden.

Welche Vereinsprozesse sind besonders betroffen?

Ein Verein kommt immer dann mit der DSGVO in Kontakt, wenn personenbezogene Daten verarbeitet werden. Dies betrifft besonders folgende Prozesse der Vereinsarbeit:

  • Datenerhebung von Vereinsmitgliedern
  • Cloud-Mitgliederverwaltungsdienste
  • Datenübermittlung an Vereinsmitglieder
  • Bekanntgabe von satzungsmäßiger Mitgliedsrechte
  • Mitteilungen in Aushängen und Vereinspublikationen
  • Datenübermittlung an andere Vereine, Sponsoren und Firmen
  • Veröffentlichungen im Internet und Intranet
  • Personenbezogene Auskünfte an die Presse
  • Übermittlung von Mitgliederdaten an die Gemeindeverwaltung
  • Datenübermittlung an Versicherungen

Was sind personenbezogene Daten?

Personenbezogene Daten sind nicht nur Daten, die zur unmittelbaren Identifizierung einer
natürlichen Person erforderlich sind wie etwa Name, Anschrift und Geburtsdatum, sondern darüber hinaus auch alle Informationen, die sich auf eine in sonstiger Weise identifizierte oder identifizierbare natürliche Personen beziehen (Art. 4 Nr. 1 DSGVO) wie beispielsweise:

  • Familienstand
  • Zahl der Kinder
  • Beruf
  • Telefonnummer
  • E-Mail-Adresse
  • Anschrift
  • Eigentums- oder Besitzverhältnisse
  • persönliche Interessen
  • Mitgliedschaft in Organisationen
  • Datum des Vereinsbeitritts
  • sportliche Leistungen
  • Platzierung bei einem Wettbewerb
  • usw.

Die DSGVO unterteilt nicht in Erhebung, Verarbeitung oder Nutzung der Daten, sondern verwendet den Begriff der Verarbeitung. Der Begriff ist sehr weit gefasst und umfasst jeden Vorgang oder jede Vorgangsreihe in Zusammenhang mit personenbezogenen Daten. Als Verarbeitungsarten nennt die DSGVO (Art. 4 Nr. 1 DSGVO):

  • Erheben
  • Erfassen
  • Verwenden
  • Offenlegen
  • Verbreiten
  • Abgleichen
  • Löschen
  • Vernichten

Rechtfertigung und Rechtsgrundlage der Datenverarbeitung

Damit personenbezogene Daten rechtmäßig verarbeitet werden können, muss zuvor eine Einwilligung der betroffenen Person eingeholt werden oder auf einer anderen zulässigen Rechtsgrundlage beruhen. Eine Rechtfertigung für die Erhebung von personenbezogenen Daten liegt vor:

  • zur Erfüllung eines Vertrags
  • zur Erfüllung einer rechtlichen Verpflichtung
  • für die Wahrung lebenswichtiger Interessen
  • zur Ausübung öffentlicher Gewalt/öffentlichen Interesses
  • bei einer Auftragsdatenverarbeitung
  • bei einer Einwilligung

Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung und die ergänzende Regelungen (z.B. eine Vereinsordnung) vorgegeben wird. Eine Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten genutzt werden können. Erhebt ein Verein personenbezogene Daten von einer betroffenen Person (z. B. Vereinsmitglied, Teilnehmer an einem Wettbewerb oder Lehrgang), so sind die Zwecke, für welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (Art. 5 Abs. 1 lit. b) DSGVO).

Einwilligung

Eine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener
Daten ist erforderlich, soweit der Verein in weitergehendem Maße personenbezogene Daten verarbeitet, wenn er aufgrund der Regelungen dazu befugt ist.

Es empfiehlt sich nicht, Einwilligungen für Datenverarbeitungsmaßnahmen einzuholen, die bereits aufgrund einer gesetzlichen Erlaubnis möglich sind. Denn dadurch wird beim Betroffenen der Eindruck erweckt, er könne die Datenverarbeitung mit der Verweigerung der Einwilligung oder ihrem späteren Widerruf verhindern. Hat der Verein aber von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zurückzugreifen, wird der Betroffene getäuscht, wenn man ihn erst nach seiner ausdrücklichen Einwilligung fragt, dann aber doch auf gesetzliche Ermächtigungen zurückgreift.

Eine Einwilligung ist datenschutzrechtlich nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht und dieser zuvor ausreichend und verständlich darüber informiert worden ist, welche Daten aufgrund der Einwilligung für welchen Zweck vom Verein verarbeitet werden sollen, insbesondere darauf aufmerksam gemacht wird, welche verschiedenen Verarbeitungsvorgänge i.S. des Art. 4 lit. a) DSGVO vorgesehen sind, unter welchen Voraussetzungen die Daten an Dritte weitergegeben werden, dass die Erklärung freiwillig ist, wie lange die Daten bei wem gespeichert sein sollen und was die Einwilligung rechtlich für die betroffene Person bedeutet.

Soweit es nach den Umständen des Einzelfalles erforderlich ist, oder wenn die betroffene Person das verlangt, soll sie auch über die Folgen der Verweigerung der Einwilligung belehrt werden (§ 51 Abs. 4 Sätze 3 und 4 BDSG-neu). Auch soll die betroffene Person vor der Abgabe der Einwilligung darauf aufmerksam gemacht werden, dass sie diese stets widerrufen kann (§ 51 Abs. 3 Satz 3 BDSG-neu).

Eine Dokumentation dieser Informationen ist nicht vorgeschrieben, doch ist der Erklärungsempfänger ggf. beweispflichtig, dass bzw. mit welchem Inhalt die Hinweise erfolgt sind. Die Aufnahme in einem Verein darf grundsätzlich nicht von der Einwilligung in die Datenverarbeitung für vereinsfremde Zwecke abhängig gemacht wer-den (Art. 7 Abs. 4 DSGVO).

Erhebung von Daten der Vereinsmitglieder

Ein Verein darf aufgrund des Art. 6 Abs. 1 lit. b) DSGVO beim Vereinsbeitritt (Aufnahmeantrag oder Beitrittserklärung) und während der Vereinsmitgliedschaft nur solche Daten von Mitgliedern erheben, die für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind. Damit dürfen alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder notwendig sind - wie:

  • Name
  • Anschrift
  • in der Regel auch das Geburtsdatum
  • Bankverbindung (Bankleitzahl und Kontonummer)

Informationspflichten

Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Person, so hat der Verein aus Gründen der Transparenz von Datenverarbeitungsprozessen zum Zeitpunkt der Datenerhebung eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (Art. 13 Abs. 1 und Abs. 2 DSGVO). Daraus folgt, dass der Verein in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt, auf Folgendes hinweisen muss:

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung (bitte im Einzelnen aufzählen)
  • Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DSGVO
  • Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, im Internet)
  • Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in der Cloud), sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
  • Speicherdauer der personenbezogenen Daten
  • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
  • Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde

Teilt der Verantwortliche die vorgesehenen Informationen nicht, nicht vollständig oder
inhaltlich unrichtig mit, so verletzt er seine Informationspflichten. Das ist gemäß Art.
83 Abs. 5 lit. b) DSGVO bußgeldbewehrt.

Werden personenbezogene Daten auf andere Weise als bei der betroffenen Person
erhoben, so richten sich die Informationspflichten nach Art. 14 Abs. 1 und Abs. 2 DSGVO. Die meisten der Informationspflichten aus Art. 14 Abs. 1 und Abs. 2 DSGVO haben denselben Inhalt wie Art. 13 Abs. 1 und Abs. 2 DSGVO. Zusätzlich muss der Verein die betroffene Person über die Kategorie der verarbeiteten personenbezogenen Daten und über die Quelle der erhobenen Daten informieren. Der Verein muss diese Informationen innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats nach der Erhebung, erteilen (Art. 14 Abs. 3 lit a) DSGVO). Ein Verstoß gegen die Informationspflicht kann eine Geldbuße gemäß Art. 83 Abs. 5 lit. b) DSGVO zur Folge haben.