Vereine
Da auch Vereine personenbezogene Daten verarbeiten – die ihrer Mitglieder und auch Daten Dritter – haben sich auch Vereine an die Regelungen der Datenschutz- Grundverordnung (DS-GVO) zu halten.
In unserem Praxisratgeber DS-GVO Anforderungen für Vereine ("Praxisratgeber") findet sich ein kurzer Überblick über die wichtigsten Themen und Vorkehrungen.
Verarbeitung von Mitgliederdaten – nur noch mit Einwilligung?
Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung und sie ergänzende Regelungen (z. B. eine Vereinsordnung) vorgegeben wird. Eine Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten genutzt werden können. Insofern kann die Verarbeitung von personenbezogenen Daten zur Mitgliederverwaltung auf Art. 6 Abs. 1 Buchst. b DSGVO gestützt werden, eine datenschutzrechtliche Einwilligung der Betroffenen ist hierzu nicht notwendig.Eine solche wird nur für Verarbeitungen benötigt, die nicht unmittelbar zur Durchführung des Mitgliedschaftsverhältnisses benötigt werden, z. B. wenn Kontaktlisten unter den einzelnen Mitgliedern ausgetauscht werden.
Wichtig hierbei: Jede Einwilligung muss freiwillig sein und kann vom Betroffenen jederzeit widerrufen werden. Insofern ist eine Einwilligung in die Verarbeitung und Nutzung der Daten zur Mitgliederverwaltung nicht zielführend, da bei einer Zurücknahme der Einwilligung keinerlei Verarbeitung der Mitgliederdaten mehr möglich ist und damit faktisch nur noch ein Austritt aus dem Verein bleibt. Bereits bestehende Mitgliedsverhältnisse behalten natürlich ihre Wirksamkeit.
Informationspflichten nach Art. 13 DS-GVO
Der Verantwortliche muss der betroffenen Person die Informationen gemäß Art. 13 DS-GVO nach dem eindeutigen Wortlaut der Vorschrift zum Zeitpunkt der Datenerhebung erteilen. Personen, deren Daten ein Verein bereits vor dem 25. Mai 2018 erhoben hat, mussten vom Verein seinerzeit anhand des Maßstabs der damals geltenden Informationspflicht (§ 4 Abs. 3 BDSG-alt, d. h. in der bis zum 24. Mai 2018 geltenden Fassung) über die Verarbeitung ihrer Daten informiert werden.
Allerdings muss ein Verein – wie jeder Verantwortliche – betroffene Personen gemäß Art. 13 Abs. 3 bzw. Art. 14 Abs. 4 DS-GVO informieren, wenn er beabsichtigt, ihre Daten für einen anderen Zweck weiterzuverarbeiten als für die Zwecke, für die er die Daten erhoben hat. Wenn ein Verein beispielsweise ab einem bestimmten Zeitpunkt neu beabsichtigt, Mitgliederdaten an einen Dachverband weiterzugeben, weil der Dachverband ab einem bestimmten Zeitpunkt verbandsweit Ehrungen o. ä. gegenüber Mitgliedern der im Verband organisierten Vereine ausspricht, muss der Verein die Mitglieder gemäß diesen Vorschriften über den neuen Verarbeitungszweck und den Verband als neuen Datenempfänger informieren.
Neumitglieder sind zum Zeitpunkt der Datenerhebung über Zwecke der Datenerhebung und -verarbeitung und den weiteren Umgang mit den Daten zu informieren (nach Artt. 12, 13 DSGVO). Diese Information kann entweder durch Aufnahme von Regelungen zum Datenschutz in die Vereinssatzung erfolgen, oder durch eine separate, durch den Vorstand erstellte, Datenschutzordnung/-erklärung, die für die Mitglieder verfügbar sein muss, z. B. durch Einstellen auf die Vereinswebseite, Aushängen am Schwarzen Brett oder Aushändigung einer Druckversion an alle Mitglieder.Die Informationen sollten daher grundsätzlich auf dem Beitrittsformular für Neumitglieder mit aufgedruckt sein bzw. damit ausgehändigt werden oder zumindest einen allgemeinen Hinweis mit dem konkreten Link zu den auf der Webseite hinterlegten Informationen nach Art. 13 DS-GVO enthalten.
Da dies jedoch nur eine Informationspflicht darstellt, ist hierfür keine Unterschrift der Vereinsmitglieder erforderlich und ggf. sogar irreführend, da damit eine Art Einwilligung suggeriert wird, die jedoch weder benötigt wird noch tatsächlich eine datenschutzrechtliche Einwilligung darstellt.
Das DSK-Kurzpapier Nr. 10 zu den Informationspflichten (DSK-Kurzpapier) ist hierfür als Informationsquelle zu empfehlen.
Weitere Informationen können Sie auch in der Informationsbroschüre Datenschutz im Verein nach der DS-GVO vom Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg finden.
Umgang mit Kontaktdaten von Vereinsmitgliedern
Zur Weitergabe der Kontaktdaten wie die E-Mail-Adresse an andere Vereinsmitglieder ist eine Einwilligung erforderlich, sofern ein Vereinszweck nicht primär auf Kontaktpflege gerichtet ist.
Häufig werden wir von den unterschiedlichsten Vereinen gefragt, ob der Verein E-Mail-Adressen oder andere Kontaktdaten von Vereinsmitgliedern an alle Vereinsmitglieder zur Verfügung stellen dürfe.
Grundsätzlich sind die Vereinsmitglieder untereinander Dritte. Es ist mithin keinesfalls selbstverständlich, dass ein Verein die Kontaktdaten von Mitgliedern, über die er selbst verfügt, anderen Vereinsmitgliedern zur Verfügung stellt. Dies ist zur Durchführung des Mitgliedschaftsverhältnisses, jedenfalls in den meisten Vereinen, auch nicht erforderlich.
Die Herausgabe von Mitgliederdaten wie z. B. E-Mail-Adressen zur Kommunikation der Mitglieder untereinander ist daher grundsätzlich nur im Hinblick auf Daten von Mitgliedern zulässig, die hierzu ihre Einwilligung gegeben haben. Es sollte den Mitgliedern die Wahlmöglichkeit gegeben werden, welche Daten für die Kommunikation untereinander genutzt werden dürfen. Hierbei ist darauf zu achten, dass diese Daten zweckgebunden übermittelt wurden und daher grundsätzlich nur zu vereinsinternen Zwecken genutzt werden dürfen. Vereinsmitglieder sind ausreichend über die Zwecke zu informieren und im Zweifel zur Ordnung zu rufen.
Fotos/Filmaufnahmen
Unsere Position und Einschätzung zum Thema Bilder und Vereine, darunter auch bei Betroffenheit von Kindern, finden Sie in unserem Praxisratgeber Bilder und Verein (Praxisratgeber)
Vereinschroniken
Die Erstellung von Vereinschroniken fällt nicht unter das allgemeine Datenschutzrecht, sondern ist als eine Verarbeitung personenbezogener Daten zu literarischen Zwecken einzustufen. Für solche Fälle gelten gemäß Artikel 38 BayDSG erleichterte Anforderungen (sog. Medienprivileg), es gelten nämlich im Wesentlichen nur die Vorschriften zur Datensicherheit (Art. 5 Abs. 1 Buchst. f, Art. 24, Art. 32 DS-GVO). Das bedeutet unter anderem, dass die „normalen“ sich aus der Datenschutz-Grundverordnung (DSGVO) ergebenden datenschutzrechtlichen Anforderungen – etwa, dass für die Datenverarbeitung eine Rechtsgrundlage nach Artikel 6 Abs. 1 DSGVO erforderlich ist und dass die betroffenen Personen die in der DSGVO geregelten Rechte besitzen – nicht zur Anwendung kommen. Stattdessen gelten die Vorschriften des Pressekodex, der vom Deutschen Presserat (https://www.presserat.de/presserat/) überwacht wird. Unser Haus als reguläre Datenschutzaufsichtsbehörde ist insoweit nicht zuständig.
Weitere Informationen / Links