Datenschutz aus Vereinsperspektive

Was bedeutet eigentlich Datenschutz? Betrifft das meinen Verein und ist das nicht überhaupt viel zu kompliziert? – Ja, das Thema Datenschutz ist in Deutschland und der Europäischen Union sehr wichtig und die einschlägigen Regelungen dazu erscheinen einem auf den aller ersten Blick mit Sicherheit oft zu unübersichtlich oder zu komplex.

Das Thema Datenschutz ist immer aktuell und gerade auch für die Zukunft von besonderer Bedeutung, denn personenbezogene Daten werden inzwischen fast überall und bei nahezu jeder denkbaren Gelegenheit gesammelt. Auch im Vereinsleben! Umso wichtiger ist es daher, mit den täglich damit einhergehenden Problemstellungen und den dabei einschlägigen Regelungen souverän umzugehen. Aber bitte bloß keine Angst dabei!

Lesehinweis

Dieser umfangreiche Artikel soll Ihnen einerseits einen noch weiter gefächerten Überblick über das Thema Datenschutz insgesamt geben und andererseits ganz konkret und im Detail aufzeigen, welche Problemfelder und rechtlichen Aspekte dabei u.a. eine relevante Rolle spielen können. Er soll nach Möglichkeit auch gleichzeitig einen Beitrag zur Lösung Ihrer individuellen datenschutzrechtlichen Probleme liefern, die in Ihrem Verein ggf. gerade akut auftreten.

Je nach dem, wonach Sie also gerade auf der Suche sind, können Sie sich entweder einen generellen Überblick an Hand einzelner Kapitel verschaffen oder gezielt nach einem vertieften Hinweis zu Ihrer Problemstellung suchen. Öffnen Sie dazu einfach die jeweiligen Details, wenn Sie z.B. den Eindruck haben, dieser Aspekt könnte für Ihre individuelle datenschutzrechtliche Fragestellung besonders relevant sein und werden Sie fündig! Oder springen Sie ganz nach Ihrem Bedarf einfach nur zur stichpunktartigen Zusammenfassung am Ende des Artikels.

Insgesamt lässt sich das Feld auch als eine Art „Querschnittsmaterie“ bezeichnen. Das bedeutet u.a., dass sich die individuell zu beachtenden rechtlichen Grundlagen je nach Konstellation aus ganz unterschiedlichen Gesetzen bzw. europäischen Verordnungen ergeben können, die an vielen Stellen ineinandergreifen und so den Schutz von Persönlichkeitsrechten und geistigem Eigentum umfassend gewährleisten sollen.

Zusammenfassung: Was kann ich als Verein grundsätzlich für Datenschutz tun? 

Dieser Artikel soll nach Möglichkeit einen Beitrag zur Lösung Ihrer individuellen datenschutzrechtlichen Probleme liefern, die in Ihrem Verein ggf. gerade akut auftreten. Je nach dem, wonach Sie auf der Suche sind, können Sie also gezielt nach einem vertieften Hinweis zu Ihrer Problemstellung suchen oder sich einen größeren Überblick verschaffen. 

Stichpunktartig und rudimentär zusammengefasst könnte das für Ihren Verein daher womöglich bedeuten: 

  • Gebot der Datensparsamkeit/Datenminimierung beachten! 
  • Rechte der Vereinsmitglieder (z.B. Auskunftsansprüche, Löschungsverlangen etc.) bedenken! 
  • Informationspflichten gegenüber den jeweils betroffenen Vereinsmitgliedern bei deren Einwilligung, sonstiger Datenverarbeitung und bei Geltendmachung von ihren Rechten nach der DS-GVO bedenken! 
  • Datenschutz-, Widerspruchs- und Widerrufshinweise verwenden und Entgegennahme sicherstellen! 
  • Geeignete Maßnahmen (Datenschutzstrategie mit z.B. Speicher- und Löschfristen, Verzeichnis der Verarbeitungstätigkeiten, Dokumentation von Datenschutzmaßnahmen, ggf. Verpflichtungserklärung für mit Datenschutz betraute Vereinsmitglieder, Aufklärungsarbeit, sorgsames Verhalten bei Datenpannen – z.B. Risikoabwägung und ggf. Meldepflicht u.a.) in Erwägung ziehen! 
  • Nicht zuletzt: vorrangig immer den persönlichen Austausch pflegen! 

Downloadbereich

Weitere Artikel aus der Reihe

Bei spezifisch auf das Urheberrecht bezogenen Fragen (bspw. im Bereich der Öffentlichkeitsarbeit), empfiehlt sich der folgende Artikel:

I. Rechtsgrundlagen

Seit Mai 2018 gilt in der gesamten Europäischen Union die „neue“ EU Datenschutz Grundverordnung (kurz DS-GVO) und ersetzt damit die „alte“ EU Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995.

Während europäische Richtlinien sich ausschließlich an die Europäischen Mitgliedstaaten selbst richten und diese gleichzeitig zu einer Umsetzung in das nationale (also Deutsche) Recht verpflichten, gelten die europäischen Verordnungen quasi als „Gesetze“ der EU unmittelbar auch in jedem Mitgliedsstaat selbst und zwar ohne dass auch hierfür ein Umsetzen in „deutsches“ Recht notwendig wäre.[1]

Die Regelungen der DS-GVO gelten daher auch in Deutschland zwingend und haben zudem auch noch Anwendungsvorrang gegenüber entgegenstehenden Bestimmungen der Datenschutzgesetze des Bundes, sowie der Länder.[2] Im Übrigen gelten das einschlägige Kunsturhebergesetz (kurz KunstUrhG) und Urhebergesetz (UrhG), das Bundesdatenschutzgesetz (BDSG-neu), sowie die entsprechenden Landesgesetze wie etwa das Bayerische Datenschutzgesetz (BayDSG) aber natürlich trotzdem weiter. Es lohnt sich vor diesem Hintergrund umso mehr, einen genaueren Blick in den Regelungskatalog der DS-GVO zu werfen. Auch wenn das auf den ersten Blick evtl. mühevoll erscheint, hilft es allgemein sehr, gut informiert zu sein, denn den Verein treffen – wenn man es denn wirklich genau nimmt – eine ganze Menge an datenschutzrechtlichen Verpflichtungen.

Aber deshalb keine Panik! Auch wenn es der Gesetzgeber eigentlich anders vorgesehen und es dabei natürlich mal wieder ganz besonders gut gemeint hat, werden de facto schon allein aus praktischen Gründen häufig nicht immer alle bestehenden Vorgaben eingehalten werden können. Am Ende entscheiden Sie selbst, in welchem Umfang Sie in Ihrem Verein entsprechende Datenschutzmaßnahmen realisieren können und wollen. Nach der Lektüre dieses Artikels sind Sie außerdem mit ausreichend Informationen versorgt, um nicht mehr völlig „im Dunkeln zu tappen“.

Ganz abgesehen davon gilt natürlich: Wo schon kein Kläger, da auch kein Richter. Suchen Sie im Streitfall deshalb unbedingt zunächst den direkten Kontakt zu Ihrem Gegenüber und versuchen Sie, sich im Guten zu einigen.

II. Zulässige Datenverarbeitung

Auch im Verein werden ständig Daten erhoben und verarbeitet. Wie schon nach „altem“ Recht ist diese Verarbeitung personenbezogener Daten zunächst einmal grundsätzlich rechtswidrig. Der „neue“ Art. 6 Abs. 1 S. 1 DS-GVO sieht jedoch einen Katalog von Ausnahmen vor, in denen die Verarbeitung dennoch zulässig sein kann. Das Gesetz spricht an dieser Stelle von Erlaubnistatbeständen. Vorgesehen sind dabei insgesamt sechs solcher Erlaubnistatbestände.

Für Nicht-Öffentliche Stellen (z.B. Vereine und natürliche Personen) kommen dabei als Erlaubnis in erster Linie

  • die Erhebung von Daten auf Grund von Einwilligungen,
  • auf Grund von Verträgen oder
  • auf Grund von berechtigten Interessen

in Betracht.[3] Von den Vorschriften der DS-GVO abweichende Regelungen (z.B. in der Vereinssatzung) sind indes unwirksam.

1. Datenverarbeitung auf Grund einer Einwilligung

Vom Vorliegen eines solchen „Erlaubnistatbestands“ kann grundsätzlich ausgegangen werden, wenn eine Einwilligung (Art. 7 DS-GVO) der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten (z.B. Bilder, Adressen, etc.) für einen oder mehrere durch den Verein bestimmte Zwecke erteilt wurde.[4]

Die Einwilligung dürfte den vielleicht häufigsten Anwendungsfall darstellen, sie ist schließlich schnell eingeholt. Für die Einwilligung gelten jedoch auch besondere Anforderungen, die nicht immer automatisch und ohne Weiteres erfüllt sind.

Insbesondere ist eine Einwilligung gem. Art. 7 Abs. 3 S. 1 DS-GVO jederzeit widerruflich. Zudem muss eine Einwilligung stets freiwillig und konkret fallbezogen sein, sie muss also erkennen lassen, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden dürfen. Zudem muss sie unmissverständlich und in informierter Art und Weise wiedergeben, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten auch wirklich einverstanden ist.[5]

Einholung der Einwilligung:

Es kommt zwar nicht darauf an, dass die Einwilligung schriftlich erteilt wurde (sie kann also auch mündlich erteilt werden). Allerdings liegt die entsprechende Beweislast hinsichtlich des „Vorhandenseins“ einer Einwilligung, sowie hinsichtlich der Voraussetzungen der Einwilligung beim jeweiligen Verein als Verantwortlichen (Art. 7 Abs. 1 DS-GVO). 

Bei Minderjährigen ist zudem darauf zu achten, ob bereits von einer ausreichenden Einsichts- und damit Einwilligungsfähigkeit ausgegangen werden kann. Dies ist z.B. regelmäßig ab einem Alter von 16 Jahren der Fall, anderenfalls bedarf es der gesetzlichen Vertretung durch die Eltern.[6]

Generell gilt: Je tiefer in das Persönlichkeitsrecht des/der Betroffenen eingegriffen wird, desto konkreter sind auch die inhaltlichen Anforderungen an die Einwilligung. Sie muss also immer bereichsspezifisch und präzise sein.[7]

Auch die Freiwilligkeit der Einwilligung kann durchaus problematisch sein. Zwar muss der/die Betroffene nicht „gerne“ einwilligen, er/sie muss jedoch auch eine echte Wahl haben.[8]

Informationspflicht, Organisatorisches:

Umstritten ist zudem, ob auch das Fehlen einer entsprechenden Widerrufsbelehrung zu einer Unwirksamkeit der gesamten Einwilligung (mangels Freiwilligkeit) führen kann. Auszuschließen ist es leider nicht,[9] daher sollte auf die Möglichkeit des Widerrufs der Einwilligung vorher unbedingt und am besten schriftlich hingewiesen werden.

Beachten Sie auch, dass für verschiedene Vorgänge jeweils gesonderte Einwilligungen einzuholen und nachzuweisen sind. Eine Zusammenfassung der Zustimmungen zu den unterschiedlichen Verarbeitungszwecken in nur einem Dokument ist aber in der Praxis möglich und empfehlenswert.[10]

Die Einwilligung kann dabei auch unproblematisch in Textform, sprich durch einfache Schriftzeichen fixiert, z.B. über ein Formular der Vereinswebsite eingeholt werden. Dabei sollten Sie darauf achten, dass die Zustimmung zur Datenverarbeitung nicht bereits von vornherein vollumfänglich eingestellt ist, sondern erst vom (potentiellen) Vereinsmitglied selbst z.B. durch aktives Anklicken angewählt wird.[11]

2. Datenverarbeitung zur Erfüllung eines Vertrags 

Auch ohne ausdrückliche Einwilligung des/der Betroffenen dürfen Sie Mitgliederdaten verarbeiten, soweit sie nötig sind, um die Erfüllung eines Vertrags sicherzustellen. Dies betrifft auch das Mitgliedsverhältnis an sich, sowie die Kommunikation mit Bewerber*innen und Interessenten hinsichtl. einer Mitgliedschaft. Zum Zwecke eines bestehenden oder noch zu begründenden Beschäftigungsverhältnisses ist eine Datenverarbeitung ebenfalls möglich.[12]

Von einer „Erlaubnis“ nach der DS-GVO kann ausgegangen werden, wenn, die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen (s.o.).[13]

Daten, die für die Vertragserfüllung nicht unbedingt erforderlich sind, dürfen allerdings auch weiterhin nur mit Einwilligung des/der Betroffenen erhoben und verarbeitet werden. 

Die Vereinsmitglieder dürfen sich nämlich im Kern darauf verlassen, dass der Verein ihre Daten nur zur Förderung der Vereinszwecke und nur zur Verwaltung und Betreuung der Mitglieder nutzt.[14]

Grundsätzlich sind die übrigen Vereinsmitglieder als „Dritte“ im Verhältnis zum Verein und zum von der Datenverarbeitung betroffenen Vereinsmitglied anzusehen und deshalb auch nicht ohne Weiteres für fremde Mitgliederdaten einsichtsberechtigt. 

Im Einzelfall kann es aber (auch ohne dass die Verarbeitung explizit zu Vertragszwecken erfolgt) zulässig sein, den übrigen Vereinsmitgliedern die Mitgliederverzeichnisse inkl. ihrer Anschriftsdaten zur Verfügung zu stellen, etwa weil der Austausch von Mitgliedern untereinander z.B. ein Wesensmerkmal Ihres Vereins darstellt und sich so auch in der Satzung niederschlägt.[15]

3. Datenverarbeitung zur Wahrung berechtigter Interessen

Auch zur Wahrung berechtigter Interessen des Vereins oder eines Dritten ist die Datenverarbeitung gem. Art. 6 Abs. 1 S. 1 f) DS-GVO zulässig. Dies gilt jedoch nur unter der Voraussetzung, dass der erforderlichen Datenverarbeitung keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten der jeweils betroffenen Personen entgegenstehen, welche den Schutz ihrer personenbezogenen Daten erfordern, vor allem wenn es sich bei der betroffenen Person um ein Kind handelt. 

Zulässige Beispiele können etwa sein: Veröffentlichung von Daten der Funktionsträger*innen im Verein, öffentliche Veranstaltungen und einschlägige Pressemitteilungen, routinemäßige oder anlassbezogene Aushänge wie Geburtstage oder Beitritte am „Schwarzen Brett“ bzw. im Intranet, ggf. sogar auf der Vereinswebsite, etc. 

Von einer „Erlaubnis“ nach der DS-GVO, kann auch ausgegangen werden, wenn die Verarbeitung zur Wahrung berechtigter Vereinsinteressen oder Drittinteressen erforderlich ist, sofern nicht die Interessen oder (nationale) Grundrechte und (europäische) Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (s.o.).[16]

Beispiele:

Bspw. ist das Zusenden von Vereinszeitschriften ohne Weiteres zulässig, da dem Verein ein berechtigtes Interesse daran zugesprochen wird, seine Mitglieder über Aktivitäten und Angebote zu informieren.[17] Häufig braucht es auch nicht mehr als Namen, Adresse oder Bankverbindung, um die Vereinsmitglieder zu verwalten. Im Einzelfall kann der Verein ggf. aber noch weitere Daten erheben. Wenn ein Verein z.B. häufig Kinderfreizeiten anbietet, ist es mit Sicherheit sinnvoll sich nach Lebensmittelallergien, etc. erkundigen. Es kann je nach Vereinszweck auch hilfreich sein, besondere Kompetenzen einzelner Mitglieder zu erfragen, die für die Vereinsziele nützlich sind. Dabei ist allerdings regelmäßig abzuwägen, wie groß der Nutzen einer solchen Datenerhebung tatsächlich ist und ob bestimmte Informationen nicht auch „informell“ beschafft werden können. 

Interessenabwägung und Informationspflicht:

Die Frage, ob ein ausreichend begründetes Interesse des Vereins vorliegt und / oder ob entgegenstehende Grundrechte der Betroffenen (etwa das in aller Regel einschlägige Grundrecht auf Informationelle Selbstbestimmung) überwiegen, ist jedoch schnell streitig. Es handelt sich dabei um individuelle Einzelfallentscheidungen des Vereins unter jeweiliger Abwägung der gegenläufigen Interessen. Eine falsche Einschätzung seitens des Vereins führt zu einem notfalls sanktionierbaren Verstoß gegen die DS-GVO. 

Bspw. kann es im Vereinsinteresse durchaus erforderlich sein, dass einzelnen Mitgliedern Einsicht in Mitgliederlisten gewährt wird, etwa um die Einberufung einer außerordentlichen Mitgliederversammlung zu ermöglichen, welche gem. § 37 BGB eine Mindestanzahl von 10% der Mitglieder (Abweichungen nach oben durch jeweilige Satzung möglich) erfordert. In diesem Fall überwiegt z.B. in der Regel die Pflicht des Vereins, die Ausübung satzungsmäßiger Rechte zu ermöglichen, gegenüber dem Recht auf informationelle Selbstbestimmung der Mitglieder. 

Sowohl bei der Datenverarbeitung basierend auf einer Einwilligung, als eben auch bei der Erhebung auf der Basis berechtigter Interessen, bestehen für den Verein weitere Informationspflichten. Umstritten ist, ob der/die Verantwortliche dem betroffenen Vereinsmitglied gegenüber sein/ihr berechtigtes Interesse schlicht benennen muss, oder ob die Umstände der Einzelfallabwägung stattdessen nachvollziehbar aufbereitet werden müssen.[18] Eine umfassende Aufbereitung dürfte in der täglichen Vereinspraxis oft nur schwer zu realisieren sein, Sie sollten jedoch zumindest auf die Benennung des spezifischen Vereinsinteresses, welches die Datenerhebung zwingend erforderlich macht, nicht verzichten.

Im Übrigen genügen für das Vorliegen eines der Verarbeitung entgegenstehenden Interesses schon vernünftige Erwartungen der Vereinsmitglieder. Dies kann z.B. bereits der Fall sein, wenn mit einer weiteren Datenverarbeitung nicht mehr gerechnet werden musste, etwa weil die Mitgliedschaft bereits beendet war. Daneben sind jedoch auch allgemeine Grundsätze des Datenschutzes zu berücksichtigen, darunter das (im Grunde natürlich selbsterklärende) Gebot der Datensparsamkeit/Datenminimierung und der Datenrichtigkeit. 

Je weniger Daten insgesamt systematisch in Ihrem Verein gesammelt werden, desto niedriger ist auch das Risiko, gegen Vorschriften der DS-GVO zu verstoßen. 

Zur Zuordenbarkeit und zur Individualisierung von Mitgliedspersonen besteht ein berechtigtes Interesse an der Speicherung wesentlicher Unterscheidungsmerkmale wie etwa Geburtsdaten oder Adressen, ggf. auch Kontoverbindungen.[19]

Die Veröffentlichung personenbezogener Daten in Vereinsblättern oder an einem „schwarzen Brett“ kann ebenfalls berechtigten Vereinsinteressen dienen, allerdings nur, wenn dies für die Erreichung des Vereinszwecks unbedingt erforderlich ist.[20] Dies kann z.B. auch persönliche Nachrichten wie Eintritte, Geburtstage, Jubiläen, Spenden, etc. betreffen, soweit dem Verein keine entgegenstehenden und schutzwürdigen Belange des/der Betroffenen bekannt sind. Unproblematisch sind auch dienstliche Erreichbarkeiten von Funktionsträger*innen und Vorständen. 

Mitgliederlisten hingegen dürfen ohne entsprechende Einwilligung nicht vollkommen anlasslos veröffentlicht werden (s.o.). Auch mit Blick auf Gruppenversicherungsverträge mit Versicherungsunternehmen wird inzwischen die Auffassung vertreten, dass Mitgliederdaten hier nur noch mit schriftlicher Einwilligung der Betroffenen übermittelt werden dürfen. 

Veröffentlichungsformen im Einzelnen

Die Veröffentlichung personenbezogener Daten im Internet ist zunächst grundsätzlich ebenfalls unzulässig, solange sich der/die Betroffene nicht ausdrücklich damit einverstanden erklärt hat (s.o.). Ausnahmen zur Wahrung berechtigter Vereinsinteressen greifen jedoch auch hier, soweit es sich z.B. um die dienstliche Erreichbarkeit von Funktionsträger*innen u.ä. handelt. Auch Informationen über Veranstaltungen oder einzelne Vereinsmitglieder können zeitweise veröffentlicht werden, soweit im Einzelfall keine schutzwürdigen Belange entgegenstehen und die Betroffenen darüber informiert sind. Die Dauer der Veröffentlichung hängt von der Bedeutung des Ereignisses ab, auf das sich die Veröffentlichung bezieht. Entsprechende Veröffentlichungen dürfen sich ohne eine entsprechende Einwilligung jedoch nicht auf rein private Informationen der Mitglieder wie z.B. Geburtsdaten, Adressen, Bankverbindungen, etc. beziehen. 

Für die Veröffentlichung in passwortgeschützten Bereichen (Intranet) können durch individuelle Zugriffsberechtigungen datenschutzkonforme Vorkehrungen deutlich leichter getroffen werden. 

Veröffentlichungen in Zeitschriften und sonstigen Publikationen und Pressemitteilungen dürfen nur dann personenbezogene Daten enthalten, wenn es sich um ein Ereignis von öffentlichem Interesse handelt. Entscheidend ist dabei z.B., ob die Veranstaltung öffentlich war. Ein berechtigtes Vereinsinteresse an einer Veröffentlichung ließe sich etwa annehmen, wenn es um besondere Leistungen der Vereinsmitglieder geht oder wenn die Öffentlichmachung einer Information aus anderem Grund erforderlich erscheint. Dabei kann es aber nur um vereinsbezogene Daten gehen. Auskünfte zu Privatem dürfen nicht ohne die Einwilligung des/der Betroffenen gegeben werden, denn das schutzwürdige Interesse des/der Betroffenen überwiegt an dieser Stelle grundsätzlich dem dagegenstehenden Informationsinteresse der Allgemeinheit.[21]

Auswirkungen des Widerspruchsrechts

Für den Fall, dass die Datenerhebung tatsächlich aus einem berechtigten Vereinsinteresse heraus erfolgt, gibt es seitens des/der Betroffenen zudem ein Widerspruchsrecht aus Gründen, die sich aus der besonderen Situation ergeben müssen.[22] Der/die Betroffene muss dafür individuelle Gründe darlegen, die ihm/ihr die Verarbeitung seiner/ihrer personenbezogenen Daten im Einzelfall unzumutbar machen. Der Verein ist in diesem Fall gezwungen, eine erneute Interessenabwägung durchzuführen und muss dem/der Betroffenen dabei unter Berücksichtigung seiner/ihrer besonderen Situation einen gewissen Abwägungsvorsprung gewähren.[23] Gemeint ist damit, dass sich der Verein selbst nur noch auf „zwingende schutzwürdige Gründe“, sowie die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen berufen kann.[24]

Betreibt Ihr Verein allerdings Direktwerbung, so kann der dafür nötigen Datenverarbeitung gem. Art. 21 Abs. 2 DS-GVO) jederzeit widersprochen werden, ohne dass es auf eine persönliche Situation ankäme.

Geht ein entsprechender Widerspruch in Ihrem Verein ein, hat er die Pflicht, den jeweiligen Datensatz zu sperren, Maßnahmen zu prüfen und den/die Betroffene*n über die auf Antrag ggf. ergriffenen Maßnahmen innerhalb eines Monats zu informieren. Eine Fristverlängerung auf bis zu drei Monate ist aber möglich.

Außerdem schreibt Art. 21 Abs. 5 DS-GVO vor, dass der Widerspruch eines Mitglieds auch im Wege eines automatisierten Verfahrens unter Verwendung technischer Spezifikationen ausgeübt werden kann. Als Verein müssen Sie daher eigentlich eine elektronische Anlaufstelle (z.B. ein entsprechendes Kontaktformular bzw. eine für diesen Fall aufrufbare Internetseite oder E-Mail-Adresse) bereithalten, welche regelmäßig betreut wird. Weisen Sie darauf in ihrem Widerspruchshinweis bestenfalls auch hin.

4. Weitere Erlaubnistatbestände nach der DS-GVO

Neben den für den Bereich von Amateurmusik und Vereinswesen hauptsächlich relevanten Ausnahmen (s.o.) bestehen auch noch weitere zulässige, dabei praktisch aber tendenziell weniger relevante Erlaubnistatbestände.

Erfüllung einer rechtlichen Verpflichtung

Eine „Erlaubnis“ nach der DS-GVO kann angenommen werden, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verein als Verantwortlicher unterliegt.[25] Die Speicherung von Daten etwa zur Erfüllung von gesetzlichen Aufbewahrungsfristen ist ebenfalls zulässig. Entsprechende „gesetzliche Verpflichtungen“ können sich grundsätzlich sowohl aus nationalem Recht, als ggf. auch aus EU-Recht ergeben und können nicht pauschalisiert werden.

Schutz lebenswichtiger Interessen

Eine „Erlaubnis“ nach der DS-GVO kann auch angenommen werden, wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.[26]

Öffentliches Interesse

Außerdem kann eine „Erlaubnis“ nach der DS-GVO angenommen werden, wenn die Verarbeitung im öffentlichen Interesse für die Wahrnehmung einer Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verein als Verantwortlichen ggf. übertragen wurde.[27]

Vorliegen mehrerer Erlaubnistatbestände

Generell können auch mehrere Zulässigkeitsgründe gleichzeitig einschlägig sein, ohne gegenseitig in einem ausdrücklichen Stufen- oder Ausschlussverhältnis zu stehen.[28] Das bedeutet, dass etwa im Fall einer von Beginn an unwirksamen oder auch einer später widerrufenen Einwilligung unter Umständen weiterhin eine Datenverarbeitung (stattdessen aber z.B. aus einem berechtigen Vereinsinteresse heraus) möglich sein kann.

III. Rechte der betroffenen Vereinsmitglieder

Die DS-GVO spricht Personen, die von Datenverarbeitungsprozessen betroffen sind („Betroffene“), explizite Rechte im Hinblick auf den Umgang mit den über sie erhobenen personenbezogenen Daten zu, welche aus der Perspektive des Vereins unbedingt zu kennen sind. Betroffene (z.B.  Vereinsmitglieder) haben dabei u.a. das Recht ihre einmal erteilte Einwilligung zu widerrufen oder einer Verarbeitung ihrer Daten, welche auf Grund von berechtigten Interessen erfolgt, aus Gründen, die sich wiederum aus ihrer Person ergeben müssen, zu widersprechen.

Sie haben außerdem ggf. Ansprüche auf Auskunft, Löschung, Berichtigung und Einschränkung der sie betreffenden Datenverarbeitung, sowie ein Recht auf Datenübertragbarkeit und auf Einzelfallentscheidungen.

Wird z.B. auf ein berechtigtes Auskunftsverlangen seitens des Vereins nicht reagiert, kann dies im Streitfall unter Umständen nicht unbeachtliche Kosten verursachen. Bei jüngster Entscheidung des LAG Schleswig-Holstein betrug etwa der Streitwert eines Auskunftsanspruchs nach Art. 15 DS-GVO pauschal 5.000 €. [29] Das sollten Sie als Verein im Hinterkopf behalten.

Zudem müssen Sie den betroffenen Vereinsmitgliedern gem. Art. 15 Abs. 3 DS-GVO bei einem Auskunftsverlangen neben der eigentlichen Auskunft bzgl. der konkret abgefragten Daten („Welche Daten hat der Verein von mir gespeichert?“) auf Anfrage auch entsprechende Kopien der gespeicherten Daten – ggf. auch elektronisch – zur Verfügung stellen (sog. Zugriffsrecht). Für Zweit- und Drittkopien dürfen Sie allerdings dabei ein dem Verwaltungsaufwand angemessenes Entgelt verlangen.

Weitere Details zu den erwähnten Rechten der betroffenen Vereinsmitglieder finden Sie im Artikel Datenschutz aus Mitgliedsperspektive.

IV. Muster-Hinweis zum Widerspruchsrecht bei Verarbeitung auf Grund von Vereinsinteressen

Ein entsprechender Hinweis auf das Widerrufsrecht, welches dem jeweils betroffenen Mitglied bei Datenverarbeitung auf Grund von Vereinsinteressen zusteht, könnte z.B. folgendermaßen aussehen: 

„Aus Gründen, die sich aus Ihrer persönlichen Situation ergeben können Sie gem. Art. 21 Abs. 1 S. 1 DS-GVO jederzeit Widerspruch gegen die interessenbasierte Verarbeitung (… ggf.  konkret bezeichnen) Ihrer personenbezogenen Daten einlegen. Bitte nutzen Sie folgendes Kontaktformular … (Link).“

V. Braucht der Verein eine*n Datenschutzbeauftragte*n?

1. Allgemeine Maßnahmen zum Datenschutz

Der Verein muss als Verantwortlicher theoretisch geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und zudem den Nachweis dafür erbringen zu können, dass die Verarbeitung der jeweiligen Daten gemäß der Datenschutzgrundverordnung erfolgt und muss dabei insbesondere auch die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung, sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade von Risiken für individuelle Rechte und Freiheiten natürlicher Personen berücksichtigen. 

Auch wenn die Umsetzung in der Praxis verständlicherweise jede Menge Herausforderungen birgt, so will es theoretisch das Gesetz.[30] Um diese unangenehme Aufgabe zu bewältigen, wird es daher nötig sein, eine gezielte Strategie zur Handhabung und Gewährleistung des Datenschutzes im Verein zu entwerfen. Diese wird auch schriftlich niederzulegen sein (sehen Sie dazu im weiteren Verlauf ggf. die einschlägigen Ausführungen zu schriftlichen Vereinsregelungen). 

Beschäftigen sich in Ihrem Verein bspw. regelmäßig mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten, ist zudem zwingend ein Datenschutzbeauftragter zu bestellen. Vermutlich trifft dies auf den typischen „örtlichen Musikverein“ glücklicherweise so erst einmal nicht zu. Ein*e Datenschutzbeauftragte*r ist jedoch auch dann zu ernennen, wenn in Ihrem Verein eine Datenschutz-Folgenabschätzung [31] notwendig wird.

2. Verzeichnis von Verarbeitungstätigkeiten 

Gemäß Art. 30 Abs. 1 DS-GVO ist auch zwingend ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Diese Pflicht gilt zwar grundsätzlich erst ab einer Mitarbeiterstärke von 250 Personen,[32] was auf einen gewöhnlichen Musikverein in der Regel erstmal nicht zutreffen dürfte. Wenn die Verarbeitung personenbezogener Daten in Vereinen aber mehr als „nur gelegentlich“ erfolgt ist ein solches Verzeichnis von Verarbeitungstätigkeiten laut Gesetz auch bei kleineren Vereinen zu führen.

Das Verzeichnis muss dabei in schriftlicher oder elektronischer Form geführt werden und ist der Aufsichtsbehörde auf Anfrage hin auch zur Verfügung zu stellen. Es muss zudem zwingend folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der betroffenen Personenkategorien und Datenkategorien
  • Kategorien von Empfängern, denen gegenüber Daten offengelegt wurden bzw. werden
  • Fristen für die Löschung verschiedener Datenkategorien (soweit möglich)
  • Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DS-GVO (soweit möglich)
  • Angaben über Drittlandtransfers (z.B. USA) einschließlich der Angabe des Drittlandes sowie der Dokumentierung geeigneter Garantien

3. Informationspflichten

Es bestehen für den Verein außerdem einige grundsätzliche Informationspflichten gegenüber Mitgliedern, so z.B. hinsichtlich der jeweiligen individuellen Verarbeitungszwecke der eingeholten personenbezogenen Daten, soweit die Verarbeitung auf Basis einer Einwilligung erfolgt (s.o.). Zudem muss auch auf die Möglichkeit des Widerrufs der jeweiligen Einwilligung hingewiesen werden.

Auch bei der Datenverarbeitung auf Grund von berechtigten Vereinsinteressen bestehen Informationspflichten, jedenfalls hinsichtlich der Benennung des spezifischen Vereinsinteresses, welches die jeweilige Datenerhebung zwingend erforderlich macht (s.o.). 

Es muss zudem ausdrücklich und gesondert spätestens zum Zeitpunkt der ersten Kommunikation darauf hingewiesen werden, dass dem/der Betroffenen überhaupt ein gesondertes Widerspruchrecht gegen die interessenbasierte Datenverarbeitung zusteht (s.o.). 

Soweit ein betroffenes Mitglied ein berechtigtes Löschungsverlangen nach Art. 17 DS-GVO an Ihren Verein gerichtet hat, müssen Dachverbände und sonstige Dritte, an die der Verein die von dem Löschungsverlangen betroffenen Daten bereits übermittelt hatte, ebenfalls über das berechtigte Löschungsverlangen Ihres Vereinsmitglieds informiert werden. 

Generell wichtig: Sowohl bei einem Widerspruch als auch bei einem Löschungsverlangen, sowie bei allen übrigen Betroffenenrechten nach den Art. 15 bis 22 der DS-GVO (Widerspruchsrechte, Auskunftsansprüche, etc.) muss der Verein eigentlich, soweit er beschließt trotz eines Antrags untätig zu bleiben, das betroffene Vereinsmitglied auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde, sowie sogar auf die Möglichkeit des Einlegens eines gerichtlichen Rechtsbehelfs hinweisen. 

Außerdem müssen eigentlich ausreichend Maßnahmen getroffen werden, damit für den Fall einer Datenschutzverletzung (z.B. durch unbefugte Zugriffe auf Mitgliederdaten) alle von der Datenpanne betroffenen Personen unverzüglich in Kenntnis gesetzt werden können, wenn für sie voraussichtlich ein „hohes Risiko“ für persönliche Rechte und Freiheiten besteht.[33]

Dabei kann sich der Verein als Verantwortlicher der Unterrichtungspflicht in der Regel auch nicht durch die schlichte Ablehnung eines solchen „hohen Risikos“ entziehen, da die Anforderungen an ein solches Risiko nicht überspannt werden dürfen.[34]

Eine Benachrichtigung der betroffenen Personen ist allerdings dann nicht erforderlich,[35] wenn:

  • Geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, wodurch die betroffenen Daten unzugänglich gemacht wurden (z.B. Verschlüsselung) 
  • Durch sonstige Maßnahmen sichergestellt ist, dass ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen nicht mehr besteht
  • Die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre (in diesem Fall hat eine öffentliche Bekanntmachung oder eine gleichwirksame Maßnahme zu erfolgen, wodurch die betroffenen Personen informiert werden). 

4. Schriftliche Vereinsregelungen zum Datenschutz (Datenschutzstrategie)

Generell trifft den Verein die Pflicht, die Grundzüge der Datenerhebung und Datenverarbeitung schriftlich festzulegen. Dies kann über die Vereinssatzung selbst oder über ein gesondertes Regelwerk (z.B. eine Datenschutzordnung / -Richtlinie / -Strategie) geschehen. Soweit nicht abweichend in der Satzung geregelt, kann dies vom Vorstand oder der Mitgliederversammlung beschlossen werden. 

Darin muss festgelegt werden, welche Daten von welchen betroffenen Personen (z.B. Vereinsmitgliedern oder Dritten [36]) für welche Zwecke und für welchen Zeitraum (z.B. konkrete Speicher-, Sperr- und Löschfristen) verwendet werden sollen.[37]

Festzulegen ist insbesondere, welche personenbezogenen Daten der Mitglieder für die Verfolgung des Vereinsziels, sowie die Mitgliederbetreuung und Verwaltung definitiv erhoben werden müssen. Dasselbe gilt für Daten, die zu anderen Vereinszwecken oder zur Wahrnehmung der Interessen Dritter erhoben werden sollen. Ebenfalls sollte geregelt werden, welche Funktionsträger*innen zu welchem Zweck Zugang zu welchen Mitgliederdaten erhalten sollen und zu welchem Zweck ggf. eine Auftragsdatenverarbeitung durch Dritte geplant ist.

Die Vereinsziele, für welche Mitgliederdaten generell genutzt werden dürfen, ergeben sich dann wiederum aus der jeweiligen Vereinssatzung selbst.[38]

Es sollte zudem festgehalten werden, welche Daten typischerweise am schwarzen Brett, in Vereinsschriften oder im Internet bzw. Intranet veröffentlicht werden sollen. Gleichzeitig sollte auch geregelt werden, welche Daten zu welchem Zweck und an wen (z.B. an Dritte [39] – gemeint sind damit auch unbeteiligte Vereinsmitglieder) weitergegeben werden dürfen oder so gespeichert werden dürfen, dass Dritte darauf zugreifen können. Der Kreis der zugriffsberechtigten Personen sollte dabei möglichst detailliert beschrieben werden, ebenso wie die Voraussetzungen unter denen welche Datenübermittlungen aus welchen ggf. unterschiedlichen berechtigten Vereins- oder Empfängerinteressen heraus erfolgen dürfen.[40]

VI. Verhalten bei Datenpannen

Im Fall einer Datenpanne ist zunächst unverzüglich eine Risikoabwägung durchzuführen, ob mit einem Risiko für die Rechte (darunter gerade auch das Recht auf informationelle Selbstbestimmung [41] und die Freiheiten natürlicher Personen – sprich Ihrer Vereinsmitglieder – zu erwarten ist.

Sie müssen den Vorgang Ihrer Risikoabwägung, sowie die aus Ihrer Sicht zu erwartenden Folgen und Ihre Bemühungen zu deren Beseitigung bzw. Abmilderung im Falle einer Datenpanne unbedingt dokumentieren (Art. 33 Abs. 5 DS-GVO): Denn theoretisch können sich aus der DS-GVO auch zusätzliche Schadensersatz- und Entschädigungsansprüche für materielle und immaterielle Schäden ergeben.[42] Dabei ist im Übrigen ein aktives Verschulden seitens des Vereins als Verantwortlicher nach europäischem Recht gerade nicht erforderlich. Der Verein kann sich laut Gesetz in einem Schadensfall deshalb nur von seiner Pflicht befreien [43], wenn er nachweisen kann, dass er definitiv „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Sich schlicht auf das Fehlverhalten einzelner Mitglieder zu berufen, reicht leider nicht aus, um nachzuweisen, dass der Verein in keiner Weise für entstandene Schäden verantwortlich ist.[44]

Was im ersten Moment verständlicherweise erschreckend wirkt, zeigt letztendlich nur, dass es aus ganz praktischen Gründen im Schadensfall (der natürlich hoffentlich nie eintritt) sehr wichtig sein kann, aller ergriffenen Maßnahmen zum Datenschutz, sowie den Umgang mit den Mitgliederdaten generell, so detailliert wie möglich und auch über das ohnehin verpflichtende Verzeichnis aller Verarbeitungstätigkeiten hinaus, zu dokumentieren

Mitglieder, die z.B. mit der Verarbeitung von Vereinsdaten betraut sind, sind am besten schriftlich über bedeutende Grundsätze des Datenschutzes aufzuklären und sollten dies am besten mit ihrer eigenhändigen Unterschrift bestätigen. Sie sollten zudem dokumentieren, welches Mitglied mit welchem Bereich der Datenverarbeitung jeweils betraut wird und welche Zugriffsrechte diesbezüglich bestehen. 

Darüber hinaus ist im Fall einer erheblichen Datenpanne unverzüglich, möglichst jedoch innerhalb von 72 Stunden, die zuständige Aufsichtsbehörde (in der Regel der Datenschutzbeauftragte Ihres Bundeslands) umfassend über den Vorfall zu informieren. Sie müssen dabei insbesondere darüber informieren [45]:

  • Wie viele Personen und welche Art von Daten durch die Datenpanne betroffen sind
  • Welche Folgen sich aus der Verletzung des Schutzes personenbezogener Daten wahrscheinlich ergeben
  • Welche Maßnahmen Sie ergriffen haben, um die Folgen der Verletzung zu verhindern bzw. abzumildern.

Eine Übersicht über die Datenschutzinstitutionen aller Bundesländer finden Sie z.B. auf der Seite Datenschutz-Bayern .

VII: Zum Datenschutzhinweis beim Aufnahmeantrag für Mitglieder

Im Folgenden finden Sie ein Beispiel, wie sie bspw. einen Aufnahmeantrag o.Ä. für neue Mitglieder mit einem kurzen und allgemein gehaltenen Hinweis zum Datenschutz versehen könnten: 

„Mit der Speicherung, Übermittlung und Verarbeitung meiner personenbezogenen Daten für Vereinszwecke gemäß den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DS-GVO) bin ich einverstanden. Meine Daten werden nur so lange gespeichert und verarbeitet wie die gesetzlichen Bestimmungen dies erlauben. Ich habe jederzeit die Möglichkeit, vom Verein Auskunft über meine Daten und auch über die diesbezüglich einschlägigen gesetzlichen Bestimmungen zu erhalten. Der Verein kommt seiner Hinweispflicht nach Art. 13 DS-GVO nach. Meine Daten werden nach meinem Austritt aus dem Verein gelöscht. Für Auskünfte und die Inanspruchnahme weiterer mir zustehender Betroffenenrechte erreiche ich den Datenschutzbeauftragten Herrn Mustermann  unter: … / bzw. wende ich mich an folgende Anlaufstelle: …

Weitere Hinweise zum Datenschutz in meinem Verein finde ich unter: www.musterverein.de.“

Bedenken Sie ggf., dass ein allgemeiner Datenschutzhinweis wie dieser den Verein nicht immer vollständig von der Verpflichtung entbindet, im Einzelfall dennoch eine (mündliche oder besser schriftliche) Einwilligung betroffener Mitglieder zur Verarbeitung ihrer personenbezogenen Daten einzuholen, etwa weil die zusätzliche Datenerhebung nicht mehr von der allgemeinen Erklärung/Einwilligung zum Datenschutz (s.o.) gedeckt zu sein scheint. Es ist aber andererseits ggf. auch möglich, dass es sich je nach Ihrer individuellen Situation ohnehin schon um eine bereits zulässige Datenverarbeitung zu Vertragszwecken des Vereins oder wegen berechtigter Interessen (s.o.) handelt, ohne dass es noch auf eine zusätzliche Einwilligung ankäme.  

VIII. Zur Datenschutzerklärung auf Websites

Sollten in Ihrem Verein zudem sehr umfangreiche und komplexe Datenverarbeitungsprozesse stattfinden oder befinden sich solche Vorgänge in Planung (z.B. eine umfangreiche Website mit Features wie Webshop, Online-Mitgliederverwaltung, Bewerbungsportale, Ticket-Service für Konzerte, Einbettungen von Google, Youtube, Social Media, Cookies, etc.) sollten Sie eine umfangreiche Datenschutzerklärung bzgl. des Umgangs mit den dabei zu erhebenden Daten erstellen oder – ggf. auch automatisch – erstellen lassen. 

Sie können sich z.B. an der Datenschutzerklärung des BMCO orientieren.

Haftungsausschluss: Dieser Artikel ist mit Sorgfalt recherchiert, sowie durch Quellennachweise belegt, und soll Ihnen als Orientierungshilfe dienen, indem er Sie bei der Entlastung ihres Ehrenamtes mit grundlegenden rechtlichen Anhaltspunkten unterstützt. Es wird dabei jegliche Form der Haftung bzgl. angesprochener Inhalte ausgeschlossen.

Lukas Amberger
Bundesmusikverband Chor & Orchester e.V (BMCO)
Erstellt: März 2023


Ausgesprochen nützliche und vereinsbezogene Informationen über die bundesweiten datenschutzrechtlichen Rahmenbedingungen im Umgang mit personenbezogenen Daten nach der DS-GVO finden Sie zudem auf der Website der Landesbeauftragten für Datenschutz des Landes Baden-Württemberg .


Fußnoten

[1] Vgl. hierzu die einschlägigen Regelungen der Art. 288 Abs. 2 AEUV (zu Verordnungen), Art. 288 Abs. 3 AEUV (zu Richtlinien), sowie Art. 4 Abs. 3 AEUV (zum sog. „effet utile“).

[2] Vgl. EuGH, NJW 1990, 201; vgl. BVerfGE 75, 223.

[3] ORegR Dr. Winfried Veil – Einwilligung oder berechtigtes Interesse? Datenverarbeitung zwischen Skylla und Charybdis, in: NJW 2018, 3337.

[4] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1. a) DS-GVO.

[5]Definition – EU Datenschutz Richtlinie 95/46/EG v. 24.10.1995.

[6] Prof. Dr. Stefan Ernst – Die Einwilligung nach der Datenschutzgrundverordnung, in: ZD 2017, 110 (111 f.)

[7] BVerfGE 65, 1 (44) = NJW 1984, 419 Rn. 161; vgl. Prof. Dr. Stefan Ernst, in: ZD 2017, 110 (111).

[8] Vgl. hierzu Martens in: Martens, Schuldrechtdigitalisierung 1. Aufl. 2022 Rn. 179 f.

[9] Prof. Dr. Ernst, in: ZD 2017, 110 (112).

[10] Vgl. Erwägungsgrund 32 S. 4 und 5 DS-GVO

[11] Vgl. etwa BGH Urteil vom 28.05.2020 – I ZR 7/16 in: NJW 2020, 2540; sowie Art. 25 Abs. 2 S. 2 DS-GVO.

[12] Beachten Sie diesbezüglich die insoweit einschlägigen Vorschriften der Art. 88 DS-GVO und § 26 BDSG.

[13] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 b) DS-GVO.

[14] Landesbeauftragter für Datenschutz Baden-Württemberg – Datenschutz im Verein nach der DS-GVO S. 22.

[15] Dr. Philip Uecker – Die Einwilligung im Datenschutzrecht und ihre Alternativen in: ZD 2019, 248 (250).

[16] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 f) DS-GVO.

[17] Vgl. Uecker in: ZD 2019, 248 (250).

[18] ORegR Dr. Veil, in: NJW 2018, 3337 (3339).

[19] Vgl. Erwägungsgrund 47 der DS-GVO, sowie Heiko Klages – DS-GVO in Vereinen – So schützen Sie sich vor Abmahnungen, in: Verein&Vorstand aktuell S. 11 (abgerufen am 29.10.22).

[20] Landesbeauftragter für Datenschutz BW – S. 23 f.

[21] Landesbeauftragter für Datenschutz BW – S. 29 f.

[22] Dieses Recht und damit verbundene Hinweispflicht des Vereins folgt aus Art. 21 Abs. 1 und Abs. 4 DS-GVO.

[23] ORegR Dr. Veil, in NJW 2018, 3337 (3341).

[24] Vgl. Art. 21 Abs. 1 S. 2 DS-GVO.

[25] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 c).

[26] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 d).

[27] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs .1 S. 1 e).

[28] Vgl. EuGH, ECLI:EU:C:2017:197 = BeckRS 2017, 103300 Rn. 42 f.; siehe auch BVerfGE 65, 1 (44) = NJW 1984, 419 hinsichtlich des insofern eingeschränkten Rechts auf informationelle Selbstbestimmung.

[29] Art. 24 Abs. 1 iVm Art. 32 Abs. 1 DS-GVO.

[30] Zum Begriff der „Datenschutz-Folgenabschätzung“ lesen Sie bitte den einschlägigen Frag-Amu Artikel zu den Rechten Betroffener nach der DS-GVO – „Wem gehören die Mitgliederdaten des Vereins?“.

[31] Beschluss des LAG Schleswig-Holstein vom 20.07.2022 – 2 Ta 63/22 in: FD-ArbR 2022, 452625 = BeckRS 2022, 28844.

[32] Art. 30 Abs. 5 DS-GVO.

[33] Art. 34 Abs. 1 DS-GVO.

[34] Prof. Dr. Michael Fuhlrott – Data Incident Management, Rechtlicher Umgang mit Datenpannen in: NZA 2019 649 (651) m.w.N.

[35] Art. 34 Abs. 3 DS-GVO.

[36] Der Begriff „Dritte“ meint in diesem Zusammenhang Personen, die nicht Vereinsmitglieder sind oder in einem vergleichbaren Verhältnis zum Verein stehen.

[37] Landesbeauftragter für Datenschutz BW – S. 9.

[38] Landesbeauftragter für Datenschutz BW – S. 8.

[39] An dieser Stelle meint der Begriff „Dritte“ solche natürliche oder juristische Personen, nicht zur regelmäßigen Nutzung der Daten befugt sind.

[40] Dazu insgesamt: Landesbeauftragter für Datenschutz BW – S. 10.

[41] Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz verankert und soll für Jeden die Möglichkeit gewährleisten, selbst darüber zu entscheiden, welche Daten er von sich aus welchem Anlass preisgeben möchte.

[42] Zusätzliche Schadensersatz- und Entschädigungsansprüche für immaterielle und materielle Schäden der Betroffenen ergeben sich aus den Art. 82 und 83 DS-GVO.

[43] Für juristisch besonders Interessierte: Dies geschieht dann gem. Art. 83 Abs. 3 DS-GVO im Wege einer rechtsvernichtenden Einwendung.

[44] Siehe Fuhlrott in: NZA 2019, 649 (652).

[45] Siehe Art. 33 Abs. 1 DS-GVO.