Keine Angst vor Datenschutz!

Table of contents

Was bedeutet eigentlich Datenschutz? Betrifft das meinen Verein und ist das nicht überhaupt viel zu kompliziert? – Ja, das Thema Datenschutz ist in Deutschland und der Europäischen Union sehr wichtig und die einschlägigen Regelungen dazu erscheinen einem auf den aller ersten Blick mit Sicherheit oft zu unübersichtlich oder zu komplex.

Nichtsdestotrotz ist das Thema Datenschutz im Grunde immer aktuell und gerade auch für die Zukunft von besonderer Bedeutung, denn personenbezogene Daten werden inzwischen fast überall und bei nahezu jeder denkbaren Gelegenheit gesammelt. Auch im Vereinsleben!

Umso wichtiger ist es daher, mit den täglich damit einhergehenden Problemstellungen und den dazu einschlägigen Regelungen souverän umzugehen. Aber bitte bloß keine Angst dabei!

Rechtsgrundlagen #

Seit Mai 2018 gilt in der gesamten Europäischen Union die „neue“ EU Datenschutz Grundverordnung (kurz DS-GVO) und ersetzt damit die „alte“ EU Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995.

Während europäische Richtlinien sich gemäß den Verträgen zur Arbeitsweise der Europäischen Union ausschließlich an die Europäischen Mitgliedstaaten selbst richten und diese gleichzeitig zu einer neuerlichen Umsetzung in nationales Recht verpflichten, gelten europäische Verordnungen quasi als „Gesetze“ der europäischen Gemeinschaft unmittelbar in jedem Mitgliedsstaat selbst und zwar ohne dass auch hierfür ein neuerlicher innerstaatlicher Transformationsakt notwendig wäre.[1]

Die Regelungen der DS-GVO gelten daher auch in Deutschland zwingend und haben zudem auch noch Anwendungsvorrang gegenüber entgegenstehenden Bestimmungen der Datenschutzgesetze des Bundes, sowie der Länder.[2] Im Übrigen gelten das Bundesdatenschutzgesetz (kurz BDSG), sowie die entsprechenden Landesgesetze wie etwa das Bayerische Datenschutzgesetz (kurz BayDSG) aber natürlich trotzdem weiter.

Es lohnt sich vor diesem Hintergrund also definitiv, einen genaueren Blick in den Regelungskatalog der DS-GVO zu werfen. Keine Panik! De facto ist es nicht so kompliziert wie es auf den ersten Blick vielleicht scheint. Es hilft sehr, gut informiert zu sein.

Lesehinweis #

Der folgende Artikel soll deshalb einerseits einen Überblick über das Thema Datenschutz insgesamt geben und andererseits aufzeigen, welche Problemfelder und rechtlichen Aspekte dabei u.a. eine relevante Rolle spielen können. Er soll nach Möglichkeit aber auch gleichzeitig einen Beitrag zur Lösung Ihrer individuellen datenschutzrechtlichen Probleme liefern, die in Ihrem Verein ggf. gerade akut auftreten.

Je nach dem, wonach Sie gerade auf der Suche sind, müssen Sie also vielleicht nicht den ganzen Artikel lesen, sondern können sich entweder einen generellen Überblick verschaffen oder gezielt nach einem Hinweis zu Ihrer Problemstellung suchen. Öffnen Sie dazu einfach die jeweiligen Details bzgl. der einzeln angesprochenen Teilaspekte, wenn Sie z.B. den Eindruck haben, diese könnten für Ihre Fragestellung besonders relevant sein.

Zulässige Datenverarbeitung #

Im Verein werden – wie im täglichen Leben und auch an andere Stelle der Fall – in aller Regel ständig Daten erhoben und verarbeitet. Wie schon nach „altem“ Recht ist diese Verarbeitung personenbezogener Daten zunächst einmal grundsätzlich rechtswidrig. Der „neue“ Art. 6 Abs. 1 S. 1 DS-GVO sieht jedoch einen Katalog von Ausnahmen vor, in denen die Verarbeitung dennoch zulässig sein kann. Das Gesetz spricht an dieser Stelle von Erlaubnistatbeständen. Vorgesehen sind dabei insgesamt sechs solcher Erlaubnistatbestände.

Für Nicht-Öffentliche Stellen (z.B. Vereine und natürliche Personen) kommen dabei als Erlaubnis in erster Linie die Erhebung von Daten auf Grund von Einwilligungen, auf Grund von Verträgen oder auf Grund von berechtigten Interessen in Betracht.[3] Von den Vorschriften der DS-GVO abweichende Regelungen (z.B. in der Vereinsatzung) sind indes unwirksam.

Datenverarbeitung auf Grund einer Einwilligung #

Vom Vorliegen eines solchen „Erlaubnistatbestands“ kann grundsätzlich ausgegangen werden, wenn, eine Einwilligung (Art. 7 DS-GVO) der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt wurde.[4]

Die Einwilligung dürfte den vielleicht häufigsten Anwendungsfall darstellen, sie ist schließlich schnell eingeholt. Für die Einwilligung gelten jedoch besondere Anforderungen, die nicht immer automatisch und ohne Weiteres erfüllt sind.

Insbesondere ist eine Einwilligung gem. Art. 7 Abs. 3 S. 1 DS-GVO jederzeit widerruflich und damit per se fehleranfällig. Zudem muss eine Einwilligung stets freiwillig und konkret fallbezogen sein, sie muss also erkennen lassen, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden dürfen. Zudem muss sie unmissverständlich und in informierter Art und Weise wiedergeben, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten auch wirklich einverstanden ist.[5]

Gemäß neueren EU-Recht kommt es nicht darauf an, ob die Einwilligung schriftlich erteilt wurde. Allerdings liegt die entsprechende Beweislast hinsichtlich des Vorliegens (also des „Vorhandenseins“) an sich, sowie hinsichtlich der Voraussetzungen der Einwilligung beim jeweiligen Verein als Verantwortlichen (Art. 7 Abs. 1 DS-GVO). Bei Minderjährigen ist zudem darauf zu achten, ob bereits von einer ausreichenden Einsichts- und damit Einwilligungsfähigkeit ausgegangen werden kann. Dies ist z.B. regelmäßig ab einem Alter von 16 Jahren der Fall, anderenfalls bedarf es der gesetzlichen Vertretung durch die Eltern.[6]

Generell gilt: je tiefer in das Persönlichkeitsrecht des Betroffenen eingegriffen wird, desto konkreter sind auch die Anforderungen an die Einwilligung, und vor allem muss sie dabei immer bereichsspezifisch und präzise sein.[7]

Auch die Freiwilligkeit der Einwilligung kann durchaus problematisch sein. Zwar muss der Betroffene nicht „gerne“ einwilligen, er muss jedoch eine echte Wahl haben. Dieser Aspekt kann vor dem Hintergrund von Überrumpelungssituationen, Abhängigkeitslagen, evtl. Ankündigungen von Nachteilen bei Verweigerung, sowie bei unzulässigen Koppelungen durchaus zum Problem werden.[8]

Umstritten ist zudem, ob auch das Fehlen einer entsprechenden Widerrufsbelehrung zur Unwirksamkeit der gesamten Einwilligung (mangels Freiwilligkeit) führen kann. Auszuschließen ist es leider nicht,[9] daher sollte auf die Möglichkeit des Widerrufs vorher unbedingt und am besten schriftlich hingewiesen werden.

Beachten Sie auch, dass für verschiedene Vorgänge jeweils gesonderte Einwilligungen einzuholen und nachzuweisen sind. Eine Zusammenfassung der Zustimmungen zu den unterschiedlichen Verarbeitungszwecken in nur einem Dokument ist aber möglich und empfehlenswert.[10]

Die Einwilligung kann auch unproblematisch in Textform, sprich durch einfache Schriftzeichen fixiert, z.B. über ein Formular der Vereinswebsite eingeholt werden. Dabei ist allerdings unbedingt darauf zu achten, dass die Zustimmung zur Datenverarbeitung nicht bereits von vorne herein vollumfänglich eingestellt ist, sondern erst vom (potentiellen) Vereinsmitglied selbst z.B. durch aktives Anklicken angewählt wird.[11]

Datenverarbeitung zur Erfüllung eines Vertrags  #

Auch ohne ausdrückliche Einwilligung des Betroffenen dürfen Sie Mitgliederdaten verarbeiten, soweit sie nötig sind, um die Erfüllung eines Vertrags sicherzustellen. Dies betrifft auch das Mitgliedsverhältnis an sich, sowie die Kommunikation mit Bewerbern und Interessenten hinsichtl. einer Mitgliedschaft. Zum Zwecke eines bestehenden oder noch zu begründenden Beschäftigungsverhältnisses ist eine Datenverarbeitung ebenfalls möglich.[12]

Von einer „Erlaubnis“ nach der DS-GVO kann ausgegangen werden, wenn, die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.[13]

Daten, die für die Vertragserfüllung nicht unbedingt erforderlich sind, dürfen allerdings auch weiterhin nur mit Einwilligung des Betroffenen erhoben und verarbeitet werden. Die denkbaren Konstellationen sind allerdings sehr vielfältig.

So kann es beispielsweise im Einzelfall auch ohne vertragsbedingte Verarbeitung zulässig sein, den Vereinsmitgliedern die Mitgliederverzeichnisse inkl. ihrer Anschriftsdaten zur Verfügung zu stellen, etwa weil der Austausch von Mitgliedern untereinander z.B. ein Wesensmerkmal Ihres Vereins darstellt und sich so auch in der Satzung niederschlägt.[14] Viele weitere Beispiele sind an dieser Stelle selbstverständlich denkbar.

Grundsätzlich sind die übrigen Vereinsmitglieder jedoch als „Dritte“ im Verhältnis zum Verein und zum betroffenen Vereinsmitglied anzusehen und deshalb auch nicht ohne Weiteres einsichtsberechtigt für fremde Mitgliederdaten. Vereinsmitglieder dürfen sich also im Kern darauf verlassen, dass der Verein ihre Daten nur zur Förderung der Vereinszwecke und nur zur Verwaltung und Betreuung der Mitglieder nutzt.[15] Ausnahmen bestätigen allerdings auch in diesem Fall die Regel.

Datenverarbeitung zur Wahrung berechtigter Interessen #

Auch zur Wahrung berechtigter Interessen des Vereins oder eines Dritten ist die Datenverarbeitung gem. Art. 6 Abs. 1 S. 1 f) DS-GVO zulässig. Dies gilt jedoch nur unter der Voraussetzung, dass der erforderlichen Datenverarbeitung keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten der jeweils betroffenen Personen entgegenstehen, welche den Schutz ihrer personenbezogenen Daten erfordern, vor allem wenn es sich bei der betroffenen Person um ein Kind handelt.

Von einer „Erlaubnis“ nach der DS-GVO, kann auch ausgegangen werden, wenn die Verarbeitung zur Wahrung berechtigter Vereinsinteressen oder Drittinteressen erforderlich ist, sofern nicht die Interessen oder (nationale) Grundrechte und (europäische) Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.[16]

Beispielsweise ist das Zusenden von Vereinszeitschriften nach dieser Vorschrift ohne Weiteres zulässig, da dem Verein ein berechtigtes Interesse daran zugesprochen wird, seine Mitglieder über Aktivitäten und Angebote zu informieren.[17] Auch hier sind wieder viele weitere Beispiele denkbar.

Die Frage, ob ein ausreichend begründetes Interesse des Vereins vorliegt und / oder ob entgegenstehende Grundrechte der Betroffenen (etwa das in aller Regel einschlägige Grundrecht auf Informationelle Selbstbestimmung aus den Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG) überwiegen, ist jedoch schnell streitbar. Es handelt sich dabei um individuelle Einzelfallentscheidungen unter jeweiliger Abwägung der gegenläufigen Interessen. Eine falsche Einschätzung seitens des Vereins führt zu einem Verstoß gegen die DS-GVO, welcher unter Umständen mit Bußgeldern sanktioniert werden kann.

Beispielsweise kann es aber im Vereinsinteresse erforderlich sein, dass einzelnen Mitgliedern Einsicht in Mitgliederlisten gewährt wird, etwa um die Einberufung einer außerordentlichen Mitgliederversammlung zu ermöglichen, welche gem. § 37 BGB eine Mindestanzahl von 10% der Mitglieder (Abweichungen nach oben durch jeweilige Satzung möglich) erfordert. In diesem Fall überwiegt in der Regel die Pflicht des Vereins, die Ausübung satzungsmäßiger Rechte zu ermöglichen.

Sowohl bei der einwilligungs- als auch bei der interessenbasierten Datenverarbeitung bestehen für den Verein zudem Informationspflichten.

Umstritten ist allerdings, ob der Verantwortliche sein berechtigtes Interesse schlicht benennen muss, oder ob die Einzelfallabwägung für den Betroffenen nachvollziehbar aufbereitet werden muss.[18] Letztere Herangehensweise dürfte in der täglichen Vereinspraxis ohnehin nur schwer zu realisieren sein, Sie sollten jedoch zumindest auf die Benennung des spezifischen Vereinsinteresses, welches die Datenerhebung zwingend erforderlich macht, keinesfalls verzichten.

Für das Vorliegen eines entgegenstehenden Interesses genügen indes vernünftige Erwartungen der Vereinsmitglieder. Dies kann z.B. bereits der Fall sein, wenn mit einer weiteren Datenverarbeitung nicht mehr gerechnet werden musste, etwa weil die Mitgliedschaft bereits beendet war. Daneben sind jedoch auch allgemeine Grundsätze des Datenschutzes zu berücksichtigen, darunter das Gebot der Datensparsamkeit und der Datenrichtigkeit. Zwar besteht beispielsweise zur Zuordenbarkeit und zur Individualisierung von Mitgliedspersonen sicherlich ein berechtigtes Interesse an der Speicherung wesentlicher Unterscheidungsmerkmale wie etwa Geburtsdaten oder Adressen.[19]

Je weniger Daten insgesamt systematisch gesammelt werden, desto niedriger ist auch das Risiko, gegen Vorschriften der DS-GVO zu verstoßen.

Die Veröffentlichung personenbezogener Daten in Vereinsblättern oder an einem „schwarzen Brett“ kann ebenfalls berechtigten Vereinsinteressen dienen, allerdings nur, wenn dies für die Erreichung des Vereinszwecks unbedingt erforderlich ist.[20] Dies kann z.B. auch persönliche Nachrichten wie Eintritte, Geburtstage, Jubiläen, Spenden, etc. betreffen, soweit dem Verein keine entgegenstehenden und schutzwürdigen Belange des Betroffenen bekannt sind. Unproblematisch sind auch dienstliche Erreichbarkeiten von Funktionsträgern und Vorständen.

Mitgliederlisten hingegen dürfen ohne entsprechende Einwilligung nicht anlasslos veröffentlicht werden (s.o.). Auch mit Blick auf Gruppenversicherungsverträge mit Versicherungsunternehmen wird inzwischen überwiegend die Auffassung vertreten, dass Mitgliederdaten hier nur noch mit schriftlicher Einwilligung der Betroffenen übermittelt werden dürfen.

Die Veröffentlichung personenbezogener Daten im Internet ist zunächst grundsätzlich unzulässig, solange sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat.

Ausnahmen zur Wahrung berechtigter Vereinsinteressen greifen jedoch auch hier, soweit es sich z.B. um die dienstliche Erreichbarkeit von Funktionsträgern u.ä. handelt. Auch Informationen über Veranstaltungen oder Vereinsmitglieder können zeitweise veröffentlich werden, soweit im Einzelfall keine schutzwürdigen Belange entgegenstehen und die Betroffenen darüber informiert sind. Die Dauer der Veröffentlichung hängt von der Bedeutung des Ereignisses ab, auf das sich die Veröffentlichung bezieht.

Entsprechende Veröffentlichungen dürfen sich ohne eine entsprechende Einwilligung jedoch nicht auf rein private Informationen der Mitglieder wie z.B. Geburtsdaten, Adressen, Bankverbindungen, etc. beziehen. Für die Veröffentlichung in passwortgeschützten Bereichen (Intranet) können durch individuelle Zugriffsberechtigungen datenschutzkonforme Vorkehrungen allerdings leichter getroffen werden.

Veröffentlichungen in Zeitschriften und sonstigen Publikationen und Pressemitteilungen dürfen nur dann personenbezogene Daten enthalten, wenn es sich um ein Ereignis von öffentlichem Interesse handelt. Entscheidend ist dabei z.B., ob die Veranstaltung öffentlich war. Ein berechtigtes Vereinsinteresse an einer Veröffentlichung ließe sich etwa annehmen, wenn es um besondere Leistungen der Vereinsmitglieder geht oder wenn die Öffentlichmachung einer Information aus anderem Grund erforderlich erscheint. Dabei kann es aber nur um vereinsbezogene Daten gehen. Auskünfte zu Privatem dürfen nicht ohne die Einwilligung des Betroffenen gegeben werden, denn das schutzwürdige Interesse des Betroffenen überwiegt an dieser Stelle grundsätzlich dem dagegenstehenden Informationsinteresse der Allgemeinheit. [21]

Für den Fall, dass die Datenerhebung aus einem berechtigten Interesse heraus erfolgt, gibt es seitens des Betroffenen zudem ein Widerspruchsrecht aus Gründen, die sich aus der besonderen Situation ergeben müssen. Auf dieses Recht muss spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich und gesondert hingewiesen werden.[22]

Weitere Erlaubnistatbestände nach der
DS-GVO #

Drei weitere Erlaubnistatbestände sind relevant für die Amateurmusik und das Vereinswesen.

Erfüllung einer rechtlichen Verpflichtung #

Eine „Erlaubnis“ nach der DS-GVO kann angenommen werden, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verein als Verantwortlicher unterliegt.[23]

Die Speicherung von Daten etwa zur Erfüllung von gesetzlichen Aufbewahrungsfristen ist ebenfalls zulässig. Entsprechende „gesetzliche Verpflichtungen“ im Sinne der Norm können sich aus sowohl aus nationalem Recht, als auch ggf. aus EU Recht ergeben und können nicht pauschalisiert werden.

Schutz lebenswichtiger Interessen #

Eine „Erlaubnis“ nach der DS-GVO kann auch angenommen werden, wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.[24]

Öffentliches Interesse #

Als drittes kann eine „Erlaubnis“ nach der DS-GVO angenommen werden, wenn die Verarbeitung im öffentlichen Interesse für die Wahrnehmung einer Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verein als Verantwortlichen übertragen wurde.[25]

Wichtig: Generell können laut EuGH auch mehrere Zulässigkeitsgründe gleichzeitig einschlägig sein, ohne gegenseitig in einem ausdrücklichen Stufen- oder Ausschlussverhältnis zu stehen.[26] Das bedeutet, dass etwa im Fall einer von Beginn an unwirksamen oder auch einer später widerrufenen Einwilligung unter Umständen weiterhin eine Datenverarbeitung (stattdessen z.B. aus einem berechtigen Interesse heraus) möglich sein kann.

Rechte der betroffenen Vereinsmitglieder #

Die DS-GVO spricht Personen, die von Datenverarbeitungsprozessen betroffen sind („Betroffene“), explizite Rechte im Hinblick auf den Umgang mit den über sie  erhobenen personenbezogenen Daten zu, welche aus der Perspektive des Vereins unbedingt zu beachten sind. Betroffene haben dabei u.a. das Recht ihre ein Mal erteilte Einwilligung zu widerrufen oder einer Verarbeitung ihrer Daten, welche auf Grund von berechtigten Interessen erfolgt, aus Gründen, die sich wiederum aus ihrer Person ergeben müssen, zu widersprechen.

Sie haben außerdem ggf. Ansprüche auf Auskunft, Löschung, Berichtigung und Einschränkung der Datenverarbeitung, sowie ein Recht auf Datenübertragbarkeit und Einzelfallentscheidungen.

Wichtig: Den Verein treffen hinsichtlich der Rechte Betroffener umfassende Informations- und Hinweispflichten, sowie eine Reihe weiterer relevanter Verpflichtungen.

Muster-Hinweis zum Widerspruchsrecht bei interessenbasierter Datenverarbeitung #

Ein entsprechender Hinweis auf das Widerrufsrecht könnte z.B. folgendermaßen aussehen:

„Aus Gründen, die sich aus Ihrer persönlichen Situation ergeben können Sie gem. Art. 21 Abs. 1 S. 1 DS-GVO jederzeit Widerspruch gegen die interessenbasierte Verarbeitung (… ggf.  konkret bezeichnen) Ihrer personenbezogenen Daten einlegen. Bitte nutzen Sie folgendes Kontaktformular … (Link).“

Braucht der Verein einen Datenschutzbeauftragten? #

Allgemeine Maßnahmen zum Datenschutz #

Der Verein muss als Verantwortlicher grundsätzlich geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und zudem den Nachweis dafür erbringen zu können, dass die Verarbeitung der jeweiligen Daten gemäß der Datenschutzgrundverordnung erfolgt und muss dabei insbesondere auch die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung, sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade von Risiken für individuelle Rechte und Freiheiten natürlicher Personen berücksichtigen.

So will es das Gesetz,[27] und um diese Aufgabe zu bewältigen, wird es (jedenfalls ab einer gewissen Mitgliederstärke) daher nötig sein, eine gezielte Strategie zur Handhabung und Gewährleistung des Datenschutzes im Verein zu entwerfen.

Beschäftigen sich im Verein beispielsweise regelmäßig mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten oder ist eine Datenschutz-Folgenabschätzung[28] notwendig, ist zwingend ein Datenschutzbeauftragter zu bestellen.

Wichtig: Gem. Art. 30 Abs. 1 DS-GVO ist auch zwingend ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Diese Pflicht gilt zwar grundsätzlich erst ab einer Mitarbeiterstärke von 250 Personen.[29] Da die Verarbeitung personenbezogener Daten in Vereinen aber mehr als „nur gelegentlich“ erfolgt ist ein solches Verzeichnis von Verarbeitungstätigkeiten laut Gesetz auch bei kleineren Vereinen zu führen.

Das Verzeichnis muss dabei in schriftlicher oder elektronischer Form geführt werden und ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Es muss zudem zwingend folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der betroffenen Personenkategorien und Datenkategorien
  • Kategorien von Empfängern, denen gegenüber Daten offengelegt wurden bzw. werden
  • Fristen für die Löschung verschiedener Datenkategorien (soweit möglich)
  • Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DS-GVO (soweit möglich)
  • Angaben über Drittlandtransfers (z.B. USA) einschl. der Angabe des Drittlandes, sowie der Dokumentierung geeigneter Garantien

Es bestehen für den Verein außerdem einige grundsätzliche Informationspflichten gegenüber Mitgliedern, so z.B. hinsichtlich der jeweiligen individuellen Verarbeitungszwecke der eingeholten personenbezogenen Daten, soweit diese auf Basis einer Einwilligung erfolgt (s.o.). Zudem muss auch auf die Möglichkeit des Widerrufs der jeweiligen Einwilligung hingewiesen werden.

Auch bei der interessenbasierten Datenverarbeitung bestehen Informationspflichten, jedenfalls hinsichtlich der Benennung des spezifischen Vereinsinteresses, welches die jeweilige Datenerhebung zwingend erforderlich macht (s.o.).

Es muss außerdem darauf hingewiesen werden, dass dem Betroffenen ein gesondertes Widerspruchrecht gegen die interessenbasierte Datenverarbeitung zusteht.

Generell wichtig: Sowohl bei einem Widerspruch als auch bei alle übrigen Betroffenenrechten nach den Art. 15 bis 22 der DS-GVO muss der Verein, soweit er beschließt trotz eines Antrags untätig zu bleiben, auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde, sowie auf die Möglichkeit des Einlegens eines gerichtlichen Rechtsbehelfs hinweisen.

Es müssen außerdem ausreichend Maßnahmen getroffen werden, damit für den Fall einer Datenschutzverletzung (z.B. durch unbefugte Zugriffe auf Mitgliederdaten) alle von der Datenpanne Betroffenen Personen unverzüglich in Kenntnis gesetzt werden können, wenn für sie voraussichtlich ein „hohes Risiko“ für persönliche Rechte und Freiheiten besteht.[30]

Achtung (!): Dabei kann sich der Verein als Verantwortlicher der Unterrichtungspflicht in der Regel auch nicht durch die schlichte Ablehnung eines solchen „hohen Risikos“ entziehen, da die Anforderungen für das Vorliegen eines solchen Risikos nicht überspannt werden dürfen.[31]

Eine Benachrichtigung der betroffenen Personen ist allerdings dann nicht erforderlich,[32] wenn:

  • Geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, wodurch die betroffenen Daten unzugänglich gemacht wurden (z.B. Verschlüsselung)
  • Durch sonstige Maßnahmen sichergestellt ist, dass ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen nicht mehr besteht
  • Die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre (in diesem Fall hat eine öffentliche Bekanntmachung oder eine gleichwirksame Maßnahme zu erfolgen, wodurch die betroffenen Personen informiert werden).

Schriftliche Vereinsregelungen zum Datenschutz (Datenschutzstrategie) #

Generell trifft den Verein die Pflicht, die Grundzüge der Datenerhebung und Datenverarbeitung schriftlich festzulegen. Dies kann über die Vereinssatzung oder über ein gesondertes Regelwerk (z.B. eine Datenschutzordnung / -Richtlinie / -Strategie) geschehen. Soweit nicht abweichend in der Satzung geregelt, kann dies vom Vorstand oder der Mitgliederversammlung beschlossen werden.

Darin muss festgelegt werden, welche Daten von welchen betroffenen Personen (z.B. Vereinsmitglieder oder Dritte[33]) für welche Zwecke verwendet werden sollen.[34]

Achtung (!): Das Wiederholen des Wortlauts der einschlägigen Bestimmungen der DS-GVO allein reicht dabei nicht aus. Vorgaben und Abläufe sollten soweit wie möglich konkretisiert und eindeutig an die individuellen Abläufe des Vereins angepasst werden.

Festzulegen ist insbesondere, welche personenbezogenen Daten der Mitglieder für die Verfolgung des Vereinsziels, sowie die Mitgliederbetreuung und Verwaltung definitiv erhoben werden müssen. Dasselbe gilt für Daten, die zu anderen Vereinszwecken oder zur Wahrnehmung der Interessen Dritter erhoben werden sollen. Ebenfalls sollte geregelt werden, welche Funktionsträger zu welchem Zweck Zugang zu welchen Mitgliederdaten erhalten soll und zu welchem Zweck ggf. eine Auftragsdatenverarbeitung durch Dritte geplant ist.

Die Vereinsziele, für welche Mitgliederdaten generell genutzt werden dürfen, ergeben sich wiederum aus der jeweiligen Vereinsatzung selbst.[35]

Es sollte zudem festgehalten werden, welche Daten typischerweise am schwarzen Brett, in Vereinsschriften oder im Internet bzw. Intranet veröffentlicht werden sollen. Gleichzeitig sollte auch geregelt werden, welche Daten zu welchem Zweck und an wen (z.B. an Dritte[36] – darunter auch unbeteiligte Vereinsmitglieder) weitergegeben werden dürfen oder so gespeichert werden dürfen, dass Dritte (s,o.) darauf zugreifen können. Der Kreis der zugriffsberechtigten Personen sollte dabei möglichst detailliert beschrieben werden, ebenso wie die Voraussetzungen unter denen welche Datenübermittlungen aus welchen berechtigten Vereins- oder Empfängerinteressen heraus erfolgen dürfen.[37]

Verhalten bei Datenpannen #

Im Fall einer Datenpanne müssen Sie zunächst unverzüglich eine Risikoabwägung durchführen, ob mit einem Risiko für die Rechte (darunter eben auch das Recht auf informationelle Selbstbestimmung[38]) und die Freiheiten natürlicher Personen, sprich Ihrer Vereinsmitglieder, zu erwarten ist.

Sie müssen den Vorgang Ihrer Risikoabwägung, sowie die aus Ihrer Sicht zu erwartenden Folgen und Ihre Bemühungen zu deren Beseitigung bzw. Abmilderung im Falle einer Datenpanne unbedingt dokumentieren (Art. 33 Abs. 5 DS-GVO): Denn es ergeben sich auch zusätzliche Schadensersatz- und Entschädigungsansprüche für immaterielle und materielle Schäden, welche neben den regulären Ansprüchen aus nationalem Recht (z.B. aus dem BGB) unmittelbar auch für Ihren Verein gelten.[39] Seien Sies deshalb vorbeugend möglichst sparsam mit dem Sammeln von Daten in Ihrem Verein.

Der Umgang mit personenbezogenen Daten birgt für den Verein daher auch immer eingewisses Haftungsrisiko. Dieses besteht nicht zuletzt auch deshalb, weil ein aktives Verschulden seitens des Vereins als Verantwortlicher dabei nach europäischem Recht gar nicht erforderlich ist. Der Verein kann sich in einem Schadensfall allenfalls noch von seiner Einstandspflicht befreien[40], wenn er nachweisen kann, dass er definitiv „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Vorsicht (!): Sich schlicht auf das Fehlverhalten einzelner Mitglieder zu berufen, reicht jedoch nicht aus, um nachzuweisen, dass der Verein nicht für entstandene Schäden verantwortlich ist.[41]

Es ist daher wichtig, sämtliche übrigen Maßnahmen zum Datenschutz, sowie den Umgang mit Mitgliederdaten generell, so gut wie möglich und auch über das ohnehin verpflichtende Verzeichnis aller Verarbeitungstätigkeiten hinaus, zu dokumentieren.

Mitglieder, die z.B. mit der Verarbeitung von Vereinsdaten betraut sind, sind am besten schriftlich über bedeutende Grundsätze des Datenschutzes aufzuklären und sollten dies am besten mit ihrer eigenhändigen Unterschrift bestätigen. Sie sollten zudem dokumentieren, welches Mitglied mit welchem Bereich der Datenverarbeitung jeweils betraut wird und welche Zugriffsrechte diesbezüglich bestehen.

Hier finden Sie ein Beispiel für eine mögliche Muster-Verpflichtungserklärung zum Datenschutz.

Darüber hinaus muss im Fall einer erheblichen Datenpanne unverzüglich, möglichst jedoch innerhalb von 72 Stunden, die zuständige Aufsichtsbehörde (in der Regel der Datenschutzbeauftragte Ihres Bundeslands) umfassend über den Vorfall informiert werden. Sie müssen dabei insbesondere darüber informieren[42]:

  • Wie viele Personen und welche Art von Daten durch die Datenpanne betroffen sind
  • Welche Folgen sich aus der Verletzung des Schutzes personenbezogener Daten wahrscheinlich ergeben
  • Welche Maßnahmen Sie ergriffen haben, um die Folgen der Verletzung zu verhindern bzw. abzumildern.

Eine Übersicht über die Datenschutzinstitutionen aller Bundesländer finden Sie z.B. auf der Seite Datenschutz-Bayern.

Zum Datenschutzhinweis beim Aufnahmeantrag für Mitglieder #

Im Folgenden finden Sie ein Beispiel, wie sie beispielsweise einen Aufnahmeantrag o.Ä. für neue Mitglieder mit einem kurzen und allgemein gehaltenen Hinweis zum Datenschutz versehen können:

„Mit der Speicherung, Übermittlung und Verarbeitung meiner personenbezogenen Daten für Vereinszwecke gemäß den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DS-GVO) bin ich einverstanden. Meine Daten werden nur so lange gespeichert und verarbeitet wie die gesetzlichen Bestimmungen dies erlauben. Ich habe jederzeit die Möglichkeit, vom Verein Auskunft über meine Daten und auch über die diesbezüglich einschlägigen gesetzlichen Bestimmungen zu erhalten. Der Verein kommt seiner Hinweispflicht nach Art. 13 DS-GVO nach. Meine Daten werden nach meinem Austritt aus dem Verein gelöscht. Für Auskünfte und die Inanspruchnahme weiterer mir zustehender Betroffenenrechte erreiche ich den Datenschutzbeauftragten Herrn Mustermann  unter: … / bzw. wende ich mich an folgende Anlaufstelle: …

Weitere Hinweise zum Datenschutz in meinem Verein finde ich unter: www.musterverein.de.”

Beachten Sie allerdings, dass ein allgemeiner Datenschutzhinweis wie dieser den Verein noch nicht zwangsläufig von der Verpflichtung entbindet, unter Umständen dennoch im Einzelfall eine explizite Einwilligung betroffener Mitglieder zur Verarbeitung ihrer personenbezogenen Daten einzuholen, etwa weil die neuerliche Datenerhebung nicht mehr von der allgemeinen Erklärung/Einwilligung zum Datenschutz (s.o.) gedeckt ist. Es ist aber andererseits ggf. auch möglich, dass es sich je nach Lage der Dinge ohnehin schon um eine bereits gleichermaßen zulässige interessen- oder vertragsbasierte Datenverarbeitung (s.o.) handelt.

Zur Datenschutzerklärung auf Websites #

Sollten in Ihrem Verein zudem sehr umfangreiche und komplexe Datenverarbeitungsprozesse stattfinden oder befinden sich solche Vorgänge in Planung (z.B. eine umfangreiche Website mit Features wie Webshop, Online-Mitgliederverwaltung, Bewerbungsportale, Ticket-Service für Konzerte, Einbettungen von Google, Youtube, Social Media, Cookies, etc.) sollten Sie eine umfangreiche Datenschutzerklärung bzgl. des Umgangs mit den dabei zu erhebenden Daten erstellen.

Sie können sich z.B. an der Datenschutzerklärung des BMCO orientieren.

Weiterführende Links #

Ausgesprochen nützliche und vereinsbezogene Informationen über die bundesweiten datenschutzrechtlichen Rahmenbedingungen im Umgang mit personenbezogenen Daten nach der DS-GVO finden Sie zudem auf der Website der Landesbeauftragten für Datenschutz des Landes Baden-Württemberg.

Weitere Inhalte auf frag-amu.de

Wir kennen uns: Datenschutz im Verein

Fotos und Videos rechtssicher bei der Öffentlichkeitsarbeit verwenden

Mustervorlage Einverständniserklärung zu Foto- und/oder Filmaufnahmen

Mustervorlage für die Einverständniserklärung zur Veröffentlichung von Aufnahmen mit Minderjährigen

 

Lukas Amberger
Bundesmusikverband Chor & Orchester (BMCO)
15.12.2022

Haftungsausschluss: Dieser Artikel ist mit Sorgfalt recherchiert, sowie durch Quellennachweise belegt, und soll Ihnen als Orientierungshilfe dienen, indem er Sie bei der Entlastung ihres Ehrenamtes mit grundlegenden rechtlichen Anhaltspunkten unterstützt. Es wird dabei jegliche Form der Haftung bzgl. angesprochener Inhalte ausgeschlossen.

 

[1] Vgl. hierzu die einschlägigen Regelungen der Art. 288 Abs. 2 AEUV (zu Verordnungen), Art. 288 Abs. 3 AEUV (zu Richtlinien), sowie Art. 4 Abs. 3 AEUV (zum sog. „effet utile“).

[2] Vgl. EuGH, NJW 1990, 201; vgl. BVerfGE 75, 223.

[3] ORegR Dr. Winfried Veil – Einwilligung oder berechtigtes Interesse? Datenverarbeitung zwischen Skylla und Charybdis, in: NJW 2018, 3337.

[4] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1. a) DS-GVO.

[5]Definition – EU Datenschutz Richtlinie 95/46/EG v. 24.10.1995.

[6] Prof. Dr. Stefan Ernst – Die Einwilligung nach der Datenschutzgrundverordnung, in: ZD 2017, 110 (111 f.)

[7] BVerfGE 65, 1 (44) = NJW 1984, 419 Rn. 161; vgl. Prof. Dr. Stefan Ernst, in: ZD 2017, 110 (111).

[8] Vgl. hierzu Martens in: Martens, Schuldrechtdigitalisierung 1. Aufl. 2022 Rn. 179 f.

[9] Prof. Dr. Ernst, in: ZD 2017, 110 (112).

[10] Vgl. Erwägungsgrund 32 S. 4 und 5 DS-GVO

[11] Vgl. etwa BGH Urteil vom 28.05.2020 – I ZR 7/16 in: NJW 2020, 2540; sowie Art. 25 Abs. 2 S. 2 DS-GVO.

[12] Beachten Sie diesbezüglich die insoweit einschlägigen Vorschriften der Art. 88 DS-GVO und § 26 BDSG.

[13] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 b) DS-GVO.

[14] Dr. Philip Uecker – Die Einwilligung im Datenschutzrecht und ihre Alternativen in: ZD 2019, 248 (250).

[15] Landesbeauftragter für Datenschutz Baden-Württemberg – Datenschutz im Verein nach der DS-GVO S. 22.

[16] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 f) DS-GVO.

[17] Vgl. Uecker in: ZD 2019, 248 (250).

[18] ORegR Dr. Veil, in: NJW 2018, 3337 (3339).

[19] Vgl. Erwägungsgrund 47 der DS-GVO, sowie Heiko Klages – DS-GVO in Vereinen – So schützen Sie sich vor Abmahnungen, in: Verein&Vorstand aktuell S. 11 (abgerufen am 29.10.22).

[20] Landesbeauftragter für Datenschutz BW – S. 23 f.

[21] Landesbeauftragter für Datenschutz BW – S. 29 f.

[22] Dieses Recht und damit verbundene Hinweispflicht des Vereins folgt aus Art. 21 Abs. 1 und Abs. 4 DS-GVO.

[23] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 c).

[24] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs. 1 S. 1 d).

[25] Diese Formulierung entspricht im Wesentlichen dem Wortlaut des Art. 6 Abs .1 S. 1 e).

[26] Vgl. EuGH, ECLI:EU:C:2017:197 = BeckRS 2017, 103300 Rn. 42 f.; siehe auch BVerfGE 65, 1 (44) = NJW 1984, 419 hinsichtlich des insofern eingeschränkten Rechts auf informationelle Selbstbestimmung.

[27] Art. 24 Abs. 1 iVm Art. 32 Abs. 1 DS-GVO.

[28] Zum Begriff der „Datenschutz-Folgenabschätzung“ lesen Sie bitte den einschlägigen Frag-Amu Artikel zu den Rechten Betroffener nach der DS-GVO – „Wem gehören die Mitgliederdaten des Vereins?“.

[29] Art. 30 Abs. 5 DS-GVO.

[30] Art. 34 Abs. 1 DS-GVO.

[31] Prof. Dr. Michael Fuhlrott – Data Incident Management, Rechtlicher Umgang mit Datenpannen in: NZA 2019 649 (651) m.w.N.

[32] Art. 34 Abs. 3 DS-GVO.

[33] Der Begriff „Dritte“ meint in diesem Zusammenhang Personen, die nicht Vereinsmitglieder sind oder in einem vergleichbaren Verhältnis zum Verein stehen.

[34] Landesbeauftragter für Datenschutz BW – S. 9.

[35] Landesbeauftragter für Datenschutz BW – S. 8.

[36] An dieser Stelle meint der Begriff „Dritte“ solche natürliche oder juristische Personen, nicht zur regelmäßigen Nutzung der Daten befugt sind.

[37] Dazu insgesamt: Landesbeauftragter für Datenschutz BW – S. 10.

[38] Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz verankert und soll für Jeden die Möglichkeit gewährleisten, selbst darüber zu entscheiden, welche Daten er von sich aus welchem Anlass preisgeben möchte.

[39] Zusätzliche Schadensersatz- und Entschädigungsansprüche für immaterielle und materielle Schäden der Betroffenen ergeben sich aus den Art. 82 und 83 DS-GVO.

[40] Für juristisch besonders Interessierte: Dies geschieht dann gem. Art. 83 Abs. 3 DS-GVO im Wege einer rechtsvernichtenden Einwendung.

[41] Siehe Fuhlrott in: NZA 2019, 649 (652).

[42] Siehe Art. 33 Abs. 1 DS-GVO.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert