frag-amu.de

Startseite Datenschutz aus Mitgliedsperspektive

Datenschutz aus Mitgliedsperspektive

Dieser Beitrag richtet sich an Mitglieder und vergleichbar Betroffene, deren Daten im Verein bzw. Ensemble verarbeitet werden und kann bei individuellen datenschutzrechtlichen Probleme unterstützen. Es erfolgt eine Übersicht zu den datenschutzrechtlichen Ansprüchen.

Lesehinweis

Dieser Artikel richtet sich in erster Linie an Mitglieder und vergleichbar Betroffene, deren Daten im Verein bzw. Ensemble verarbeitet werden. Er soll einen Beitrag zur Lösung Ihrer individuellen datenschutzrechtlichen Probleme leisten, indem er Ihnen zu einem kurzen Überblick über Ihre datenschutzrechtlichen Ansprüche gegenüber der Stelle verhilft, welche Ihre Daten verarbeitet (z.B. gegenüber dem Verein).

Einen detaillierteren Überblick über das Thema Datenschutz im Verein insgesamt, sowie wichtige datenschutzrechtliche Gebote, die es wiederum insbesondere aus der Perspektive des Vereins zu beachten gilt, finden sich zusätzlich in weiteren Artikeln:

Inhalt

Wem gehören die Mitgliederdaten Ihres Vereins bzw. Ensembles?

Das Urheberrecht (z.B. § 22 KunstUrhG – Recht am eigenen Bild) im Allgemeinen und die Europäische Datenschutzgrundverordnung (DS-GVO) im Speziellen sprechen Personen, die von Datenverarbeitungsprozessen betroffen sind („Betroffenen“), explizite Rechte im Hinblick auf den Umgang mit den über sie erhobenen personenbezogenen Daten zu. Die DS-GVO sieht einen Katalog von Ausnahmen vor, in denen die grundsätzlich verbotene Verarbeitung personenbezogener Daten dennoch zulässig sein kann. Das Gesetz spricht an dieser Stelle von Erlaubnistatbeständen. Grundsätzlich gehören Ihre Daten also Ihnen selbst, Sie haben deshalb eine ganze Reihe von Rechten und Ansprüchen gegenüber Ihrem Verein.

Als Erlaubnis seitens des Vereins bzw. Ensembles um Daten zu erheben, kommt dabei in erster Linie die Erhebung von Daten auf Grund von Einwilligungen, auf Grund von Verträgen oder auf Grund von berechtigten Interessen des Vereins oder von Dritten in Betracht.

Betroffene wiederum haben u.a. das Recht, ihre ggf. erteilte Einwilligung zu widerrufen oder einer Verarbeitung ihrer Daten, welche auf Grund von berechtigten Interessen des Vereins erfolgte, aus Gründen, die sich wiederum aus ihrer Person selbst ergeben müssen, zu widersprechen.

Sie haben außerdem ggf. Ansprüche auf Auskunft, Löschung, Berichtigung und Einschränkung der sie betreffenden Datenverarbeitung, sowie ein Recht auf Datenübertragbarkeit und Einzelfallentscheidungen. Auch Nicht-Mitgliedern, deren Daten durch Verarbeitungsvorgänge des Vereins ebenfalls betroffen sind, können diese Rechte zustehen.

Die Kurzzusammenfassung: Als Vereinsmitglied dürfen Sie sich im Kern darauf verlassen, dass der Verein ihre Daten nur zur Förderung der Vereinszwecke und nur zur Verwaltung und Betreuung der Mitglieder nutzt [1] und bekommen diverse Rechte dafür an die Hand.

Ihre Rechte im Einzelnen

Widerrufs- und Widerspruchsrechte

Den von der jeweiligen Datenverarbeitung betroffenen Vereinsmitgliedern stehen grundsätzlich Widerrufs- und Widerspruchsrechte zu. Sie bestehen zum einen für den Fall einer Datenverarbeitung für die bereits zuvor eine Einwilligung erteilt wurde, sowie zum anderen für den Fall, dass eine Datenverarbeitung (unabhängig vom Vorliegen einer Einwilligung) aus berechtigten Vereinsinteressen erfolgte. Häufig genügt es bspw. zur Mitgliederverwaltung, die Geburtsdaten, Adressen oder Bankverbindungen der Mitglieder zu speichern. Im Einzelfall kann jedoch auch durchaus ein berechtigtes Vereinsinteresse an der Erhebung weiterer Daten bestehen.

Widerrufsrecht

Im Fall einer Datenverarbeitung basierend auf einer dafür erteilten Einwilligung steht dem/der Betroffenen das Recht zu, die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu wiederrufen. Dabei muss die Möglichkeit des Widerrufs so einfach gestaltet sein wie die Erteilung der Einwilligung selbst.[2] Sie dürfen sich also darauf verlassen, dass Sie Ihre erteilte Einwilligung auch unproblematisch wiederrufen können. Auf die Widerruflichkeit Ihrer Einwilligung [3] müssen Sie zudem nicht zuletzt auch mit Blick auf die notwendige „Freiwilligkeit“ Ihrer Einwilligung vorab ausdrücklich hingewiesen werden. Zwar müssen Sie eine vom Verein begehrte Einwilligung nicht „gerne“ erteilen, Sie müssen diesbezüglich aber zumindest eine echte Wahlmöglichkeit haben. Auf eine schriftliche Einwilligung kommt es im Übrigen ebenfalls nicht an. Allerdings werden Ihrem Verein dadurch Beweis und Dokumentation der Einwilligung erleichtert.

Widerspruchsrecht

In dem Fall, dass berechtige Vereins- oder Drittinteressen die Datenverarbeitung erfordern, steht Ihnen als Betroffene*r jederzeit ein Widerspruchrecht gegen die Verarbeitung zu.[4] Der Widerspruch kann jedoch nur aus Gründen erfolgen, die sich „aus der besonderen Situation“ des/der Betroffenen, mithin aus Ihrer persönlichen Situation ergeben.

Die explizit erforderliche Begründung macht das Widerspruchsrecht damit praktisch zu einer Härtefallregelung auf die Sie sich in Ausnahmesituationen berufen können.

Der/die Betroffene muss dafür individuelle Gründe darlegen, die ihm/ihr die Verarbeitung seiner/ihrer personenbezogenen Daten im Einzelfall unzumutbar machen. Der Verein ist in diesem Fall gezwungen, noch einmal eine Interessenabwägung durchzuführen und muss dem/der Betroffenen dabei unter Berücksichtigung der geltend gemachten besonderen Situation einen gewissen Abwägungsvorsprung gewähren.[5]

Gemeint ist damit, dass sich der Verein ggf. Ihnen gegenüber dann nur noch auf „zwingende schutzwürdige Gründe“, sowie die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen berufen kann.[6] Betreibt Ihr Verein allerdings Direktwerbung, so kann der dafür nötigen Datenverarbeitung jederzeit widersprochen werden, ohne dass es auf Ihre persönliche Situation ankäme.[7]

Geht ein entsprechender Widerspruch beim Verein ein, hat dieser die Pflicht, den jeweiligen Datensatz zu sperren, Maßnahmen zu prüfen und den/die Betroffene*n über die auf Antrag ggf. ergriffenen Maßnahmen innerhalb eines Monats zu informieren. Eine Fristverlängerung auf bis zu drei Monate ist für ihn allerdings möglich.

Beschließt der Verein entgegen Ihres Antrags, nicht tätig zu werden, dann haben Sie als betroffene Person das Recht, innerhalb eines Monats über die Gründe der Entscheidung unterrichtet zu werden und müssen eigentlich auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde, sowie auf die Möglichkeit des Einlegens eines gerichtlichen Rechtsbehelfs hingewiesen werden.[8] 

Diese Informationspflichten des Vereins gelten im Übrigen für alle Maßnahmen hinsichtlich der hier veranschaulichten Betroffenenrechte nach den Art. 15 bis 22 der DS-GVO (Widerspruchsrechte, Auskunftsansprüche, etc.). Sie dürfen von Ihrem Verein diesbezüglich also auch umfassende Informationen einholen.

Die DS-GVO schreibt außerdem vor, dass der Widerspruch (s.o.) auch im Wege eines automatisierten Verfahrens unter Verwendung technischer Spezifikationen ausgeübt werden kann.[9] Ihr Verein muss daher eigentlich eine elektronische Anlaufstelle (z.B. ein entsprechendes Kontaktformular bzw. eine für diesen Fall aufrufbare Internetseite und/oder E-Mail-Adresse) für Sie bereithalten.

Ihr Verein muss im Übrigen grundsätzlich einen Datenschutzbeauftragten bestellen, soweit sich in Ihrem Verein in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.[10] Auf den typischen „örtlichen Musikverein“ dürfte das allerdings in der Regel nicht zutreffen.

Anspruch auf Auskunft

Vereinsmitglieder haben grundsätzlich das Recht, Auskunft über die zu ihrer Person verarbeiteten Daten zu erhalten.[11]

Es besteht dabei u.a. ein Anspruch auf Informationen zu:

  • Verarbeitungszwecken
  • Kategorien verarbeiteter personenbezogener Daten
  • Empfängern gegenüber denen Daten offengelegt wurden
  • Dauer und die Kriterien der Speicherung
  • Herkunft der Daten (z.B. bei Ankauf von Adressdaten zu Werbezwecken durch den Verein)
  • Bestehen automatisierter Datenverarbeitungsvorgänge
  • Bestehen eines Rechts des Betroffenen auf Berichtigung, Löschung, Einschränkung von Daten
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.[12]

Auf Verlangen müssen den Betroffenen gem. Art. 15 Abs. 3 DS-GVO zudem auch Kopien der gespeicherten Daten – ggf. auch elektronisch – zur Verfügung gestellt werden (sog. Zugriffsrecht). Für Zweit- und Drittkopien darf von Ihnen ein dem Verwaltungsaufwand angemessenes Entgelt verlangt werden.

Anspruch auf Berichtigung

Bei Verarbeitung unrichtiger personenbezogener Daten, steht den Betroffenen ein Recht auf Berichtigung der Daten gegenüber dem Verein zu.[13] Teilen Sie Ihrem Verein z.B. etwaige Adressänderungen auch selbstständig mit.

Anspruch auf Löschung und Einschränkung der Verarbeitung

Mitglieder haben unter Umständen auch einen Anspruch darauf, dass ihre Daten gelöscht werden oder deren Verarbeitung eingeschränkt wird.

Anspruch auf Löschung

Wir alle hinterlassen in der Regel an verschiedenster Stelle Spuren in Form von Daten, welche jeweils Rückschlüsse auf unsere Person zulassen, so auch im Verein. Diese Daten dürfen dabei aber nicht unbegrenzt aufbewahrt werden, sondern müssen unter Umständen auch wieder gelöscht werden. Man spricht in diesem Zusammenhang auch vom sog. Recht auf Vergessenwerden. Von der Datenerhebung betroffene Personen haben im Wesentlichen also einen Anspruch darauf, „vergessen zu werden“.

Dies kann z.B. der Fall sein, wenn:

  • erhobene Daten für den ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind (etwa bei Vereinsaustritt, Beendigung des Arbeitsverhältnisses)
  • eine ursprüngliche erteilte Einwilligung widerrufen wird (s.o.)
  • erfolgreich Widerspruch gegen die Verarbeitung eingelegt wurde (s.o.)
  • Daten generell unrechtmäßig (d.h. ohne gesetzlichen Erlaubnistatbestand – s.o.) erhoben wurden

Im Übrigen haben Sie auch ein Recht darauf, dass Dachverbände und sonstige Dritte, an die der Verein von Ihrem berechtigten Löschungsverlangen betroffene Daten bereits übermittelt hatte, ebenfalls über Ihr Löschungsverlangen informiert werden.

In einigen Fällen besteht jedoch auch keine Pflicht zur Löschung:

Dies ist etwa der Fall, wenn die Verarbeitung für den Verein wegen der Geltendmachung von Rechtsansprüchen oder für die Ausübung des Rechts auf freie Meinungsäußerung [15] (weiterhin) erforderlich ist. Dasselbe kann insbesondere gelten, wenn die Aufbewahrung der Daten auf Grund einer rechtlichen Verpflichtung (auch nach dem Ausscheiden des jeweiligen Mitglieds oder Arbeitnehmers), z.B. aus steuerlichen oder anderen Gründen, erforderlich ist.

Soweit vereinsinterne Regelungen beispielsweise zu Speicherfristen, Sperrungen und Löschungen bestehen, finden Sie diese regelmäßig in der Vereinssatzung selbst oder ggf. auch einer gesonderten Datenschutzordnung bzw. einer Datenlöschrichtlinie,[16] die Sie bei Ihrem Verein anfragen können.

Anspruch auf Einschränkung

Zudem besteht die Möglichkeit, von dem/der Verantwortlichen (Verein) die Einschränkung der Verarbeitung zu verlangen [17], z.B. wenn:

  • die Richtigkeit der Daten bestritten wird (Einschränkung dann auf Dauer der Prüfung befristet)
  • die Verarbeitung unrechtmäßig erfolgt ist und eine Löschung durch den/die Betroffene*n nicht verlangt wird
  • der Verarbeitungszweck sich bereits erledigt hat, der/die Betroffene die Daten aber für die Geltendmachung von Rechtsansprüchen benötigt
  • wenn gegen die Verarbeitung Widerspruch (s.o.) eingelegt wurde (Einschränkung dann für die Dauer des Abwägungsvorgangs).

Recht auf Datenübertragbarkeit

In der Vereinspraxis dürfte dieser Anspruch zwar eine eher untergeordnete Rolle spielen. Nichtsdestotrotz haben Sie als Mitglied grundsätzlich ein Recht auf die Übertragung ihrer Daten in einem maschinenlesbaren Format (automatisierte Übertragung), sofern die Verarbeitung selbst mithilfe automatisierter Verfahren erfolgt bzw. auf einer Einwilligung oder einem vertragszweckbedingten Erlaubnistatbestand beruht [18] und sofern Rechte und Freiheiten anderer Personen dadurch nicht beeinträchtigt werden.[19]

Im Kern soll dadurch die einfache Datenweitergabe durch Ihren Verein an eine*n andere*n Verantwortliche*n (etwa bei einem Anbieterwechsel, Vereinswechsel, etc.) gewährleistet werden. Diese im ersten Moment eher sperrig anmutende Formulierung des Gesetzgebers kann insbesondere mit Blick auf etwaige Service-Anbieter des Vereins eine Rolle spielen.[20] Nutzt Ihr Verein beispielsweise einen Cloud-Dienst, werden damit automatisch Dritte zur Weiterverarbeitung Ihrer Mitgliedsdaten angewiesen.[21] Sie müssen sich dabei jedoch glücklicherweise nicht um die Sicherheit Ihrer Daten sorgen. Für europäische Cloud-Dienstleister gilt die DS-GVO wegen ihres räumlichen Anwendungsbereichs innerhalb der gesamten EU ebenfalls unmittelbar. Die Sicherheit Ihrer Daten ist also gewährleistet.[22]

Recht auf Einzelfallentscheidung

Zudem haben Sie als Mitglied in der Regel einen gesetzlichen Anspruch darauf, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu sein, die Ihnen gegenüber eine rechtliche Wirkung entfaltet oder sie in ähnlicher Weise beeinträchtigt.[23] Sie dürfen also in der Regel darauf vertrauen, dass Sie in für Sie rechtlich bedeutsamen Angelegenheiten auch tatsächlich mit einem Menschen als „Entscheider“ zu tun zu haben.

Haftungsausschluss: Dieser Artikel ist im Auftrag des BMCO mit Sorgfalt recherchiert, sowie durch Quellennachweise belegt, und soll Ihnen als Orientierungshilfe dienen, indem er Sie bei der Entlastung ihres Ehrenamtes mit grundlegenden rechtlichen Anhaltspunkten unterstützt. Es wird dabei jegliche Form der Haftung bzgl. angesprochener Inhalte ausgeschlossen und es kommt insbesondere auch kein Vertrag mit dem BMCO zu Stande.

Lukas Amberger
Bundesmusikverband Chor & Orchester (BMCO)
Erstellt: März 2023

Fußnoten

[1] Landesbeauftragter für Datenschutz Baden-Württemberg – Datenschutz im Verein nach der DS-GVO S. 22.

[2] Siehe Art. 7 Abs. 3 S. 1 und S. 4 DS-GVO.

[3] Siehe zum Begriff der „Freiwilligkeit“ sowie zum Begriff der Einwilligung selbst den diesbezüglich einschlägigen frag-amu-Artikel „Keine Angst vor Datenschutz! – Wie gehe ich datenschutzsicher mit Mitgliederdaten um?“.

[4] Art. 21 Abs. 1 S. 1 DS-GVO

[5] ORegR Dr. Veil, in NJW 2018, 3337 (3341).

[6] Vgl. Art. 21 Abs. 1 S. 2 DS-GVO.

[7] Art. 21 Abs. 2 DS-GVO

[8] Diese Verpflichtung ergibt sich aus Art. 12 Abs. 3 und Abs. 4 DS-GVO.

[9] Art. 21 Abs. 5 DS-GVO

[10] § 38 Abs. 1 S. 1 und 2 BDSG

[11] Art. 15 Abs. 1 HS 1 DS-GVO

[12] Diese Aufzählung ist nicht abschließend, Einzelheiten lassen sich Art. 15 Abs. 1 HS 1 DS-GVO entnehmen.

[13] Art. 16 S.1 und S.2 DS-GVO
Zu den Grundprinzipien des Datenschutzes wie Datenrichtigkeit und Datensparsamkeit siehe den frag-amu-Artikel „Keine Angst vor Datenschutz!“.

[14] Art. 17 Abs. 1 und 2 DS-GVO

[15] Art. 17 Abs. 3 DS-GVO
Die Grundrechte der einschlägigen Meinungs- und Informationsfreiheit ergeben sich aus Art. 5 Abs. 1 S. 1 HS 1 und 2 GG.

[16] Siehe hierzu im Detail den frag-amu-Artikel „Keine Angst vor Datenschutz!“.

[17] Art. 18 Abs. 1 DS-GVO

[18] Art. 6 Abs. 1 S. 1 b) DS-GVO.

[19] Dieser Anspruch ergibt sich insgesamt aus Art. 20 Abs. 1 bzw. Abs. 4 DS-GVO.

[20] Vgl. Heiko Klages, in: Verein&Vorstand aktuell, S. 5 (abgerufen am 29.10.2022).

[21] Art. 29 DS-GVO.

[22] Für besonders Interessierte: Eine Weitergabe an Auftragsverarbeiter außerhalb der EU ist nach der DS-GVO zwar einerseits zulässig, gleichzeitig darf aber auch hier das europäische Schutzniveau nicht unterlaufen werden. Daher gelten zusätzliche Anforderungen an die Sicherstellung des Datenschutzniveaus (Art. 28 Abs. 1, Art. 44, Art. 45 ff. DS-GVO).

[23] Dieses Betroffenenrecht ergibt sich aus Art. 22 Abs. 1 DS-GVO.