Hinweis: Der nachfolgende Text ist nur rein zu Informationszwecken. Er stellt keine Beratung dar, sondern ist eine Zusammenstellung verschiedener Quellen aus Sicht eines Nicht-Juristen.
Vorwort
Hat ein Verein Mitglieder, werden in der Regel zumindest der Namen und die Adresse, aber auch Geburtsdatum und Telefonnummer, der Mitglieder erfasst und verwaltet. Bereits hier muss der Datenschutz berücksichtigt werden, wobei es unwichtig ist, ob es sich um einen Verein für Kaninchenzüchter, ein Bürgerbegehren oder einen Jagdverein handelt. Beim Datenschutz gilt der Grundsatz, dass nur das erlaubt ist, dem das Mitglied ausdrücklich zugestimmt hat.
Ist das notwendig?
Sobald personenbezogene Daten der Mitglieder eines Vereins in irgendeiner Form erfasst und festgehalten/gespeichert werden, sind die entsprechend Regeln des Datenschutzes einzuhalten. Das gilt unabhängig von der Form der Datenspeicherung. Also auch bei einer handschriftlich erstellten Liste oder Karteikärtchen.
LfD Niedersachsen: Datenschutz im Verein [6]
Sofern ein Verein die Daten seiner Mitglieder und sonstiger Personen mit Hilfe der automatisierten Datenverarbeitung oder in herkömmlichen Mitgliederkarteien erheben, verarbeiten oder nutzen will, ist dies nur zulässig, wenn das Bundesdatenschutzgesetz oder eine sonstige Rechtsvorschrift dies erlaubt oder soweit der Betroffene eingewilligt hat.
Häufig wird davon ausgegangen, dass die Mitglieder durch die Angabe ihrer Daten von einer Datenspeicherung wissen und somit quasi stillschweigend ihre Zustimmung gegeben haben. Genau das wird aber durch das Bundesdatenschutzgesetz BDSG ausgeschlossen. Nur die Daten, für die es eine Rechtsvorschrift gibt oder für die das Mitglied oder ein Antragsteller seine Zustimmung gegeben hat, dürfen gespeichert werden.
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 1.3 Seite 7 [4]
Datenschutzrechtlich ist nicht etwa alles erlaubt, was nicht ausdrücklich verboten ist. Umgekehrt bedarf jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage in Form einer Rechtsvorschrift oder Einwilligung.
Für Verstorbene gelten die Datenschutzbestimmungen hingegen nicht, eine Einwilligung der Angehörigen ist nicht erforderlich.
LfD Baden-Württemberg: Datenschutz im Internet, Nr. 1.2 Seite 5 [4]
Nicht vom Bundesdatenschutzgesetz geschützt werden Angaben über Verstorbene (beispielsweise in einem Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf einer Liste der Verstorbenen).
Für welche Vereine gilt das?
Das Datenschutzgesetz regelt die Erfassung und Verarbeitung von Daten im allgemeinen. Daher gilt das Gesetz immer und unabhängig von der Geschäftsform oder der Vereinsart.
LfD Niedersachen, Datenschutz im Verein, Nr. 1 Seite 3 [3]
Dabei ist es unerheblich, ob der Verein ins Vereinsregister eingetragen ist und eine eigene Rechtspersönlichkeit besitzt oder ob es sich um einen nicht rechtsfähigen Verein handelt.
Begriffe
Personenbezogen Daten
Zu den personenbezogenen Daten gehören nicht nur die Daten, die zu einer Identifizierung erforderlich sind, wie etwa Name, Anschrift, Geburtsdatum, sondern sämtliche Informationen einer bestimmten oder bestimmbaren Person, wie beispielsweise Eigentumsverhältnisse, Mitgliedschaften, Teilnahme oder Platzierungen bei Veranstaltungen, Fotos etc.
Besondere Arten personenbezogener Daten
Dazu zählen, laut BDSG §3, Abs. 9 [1], weitergehende Angaben zu einer Person, wie rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Meiner Meinung nach kann somit auch die reine Vereinszugehörigkeit eine derartige Angabe sein, da sich daraus eine Überzeugung durchaus ableiten lässt.
Erhebung
Darunter wird die Beschaffung der Daten verstanden, z.B. mit Hilfe eines elektronischen oder eines Papier-Formulars bei der Anmeldung oder einer Teilnehmerliste, aber auch eine mündliche Befragung.
Verarbeitung
Zum Vorgang der Datenverarbeitung gehören das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten.
Speicherung
Die Datenspeicherung umfasst das Erfassen, Aufnehmen oder Aufbewahren von personenbezogegene Daten auf einem Datenträger mit dem Ziel der weiteren Verarbeitung oder Nutzung. BDSG §3 Abs. 4 Nr. 1 [1]
Veränderung
Unter Verändern versteht man das inhaltliche Umgestalten gespeicherter Daten. BDSG §3 Abs. 4 Nr. 2 [1]
Übermittlung
Unter Datenübermittlung vesteht man das Bekanntgeben gespeichterter oder durch Datenverarbeitung gewonnener, personenbezogener Daten an einen Dritten. Die Übermittlung kann durch Weitergabe der Daten oder Einsicht oder Abruf von bereitgestellten Daten erfolgen. BDSG §3 Abs. 4 Nr. 3 [1]
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 1.2 Seite 6 [4]
Dagegen stellt die Datenweitergabe an eigene Vereinsmitglieder [Anm.: die keine Funktionsträger des Vereins sind,] oder einen Dachverband im Verhältnis zum Verein eine Datenübermittlung [Anm.: an Dritte] dar.
Sperrung
Eine Sperrung liegt vor, wenn die Daten derart gekennzeichnet werden, dass ihre Verarbeitung oder Nutzung eingeschränkt wird.
Löschung
Löschen ist das Unkenntlichmachen von personenbezogenen Daten. BDSG §3 Abs. 4 Nr. 5 [1]
Nutzung
Unter Nutzen versteht man jede Verwendung der personenbezogenen Daten soweit es sich nicht um Verarbeitung der Daten, also nicht die Vorgänge Speichern, Verändern, Übermitteln, Sperren und Löschen, handelt. BDSG §3 Abs. 5 [1]
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 1.2 Seite 6 [4]
Darunter fällt etwa die Verwendung der postalischen Anschrift oder der E-Mail-Adresse von Vereinsmitgliedern zum Versand von Briefen oder der E-Mails durch Funktionsträger des Vereins. Eine Datennutzung liegt auch vor, wenn die Daten von einem Funktionsträger des Vereins an einen anderen desselben Vereins weitergegeben werden.
Automatisierte Verarbeitung
Als automatisierte Verarbeitung wird die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Verwendung von digitalisierten oder programmgesteuerten Datenverarbeitungsanlagen. BDSG §3 Abs. 2 Satz 1 [1]
Verantwortliche Stelle
Darunter wird jede Person oder Institution verstanden, die personenbezogene Daten erhebt, verarbeitet oder nutzt oder dies durch andere in ihrem Auftrag vornehmen lässt.
Muss das Mitglied einwilligen?
Nach BDSG §4 Abs.1 erfordert ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn dies ein Gesetz oder eine Rechtsvorschrift erlaubt oder der Betroffene einwilligt.
Zwingend erforderliche Daten
§28 Abs. 1 Nr. 1 des BDSG regelt die Verwendung von personenbezogenen Daten zu Satzungszwecken durch den Verein. Danach ist die Verwendung von Mitgliederdaten der sich durch die Satzung und den Vereinszweck definierten Mitgliedschaft zulässig, sofern es sich um Daten handelt, deren Vewendung für den Verein zwingend erforderlich sind.
Daher sollte der Betroffene in den Fällen nicht um eine Einwilligung gebeten werden, in denen dies durch das Gesetz oder Rechtsvorschriften zulässig ist, da damit der Eindruck erweckt wird, es handele sich dabei um freiwillige Angaben.
Weitere personenbezogene Daten
Neben den zwingend erforderlichen Daten werden meistens auch weitere personenbezogene Daten, wie z.B. die Telefonnummer beim Mitgliedsantrag, oder auch im späteren Vereinsleben, wie etwa die Teilnahme an Veranstaltungen, erhoben und verarbeitet. Dabei handelt es sich dann aber um personenbezogen Daten, für eine Einwilligung des Betroffenen erforderlich ist.
Einwilligung
Die Einwilligung bedarf stets der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (BDSG §4a Abs. 1 Satz 3).
Ein Umkehrschluss der Einwillung - also eine Verwendung von personenbezogenen Daten, da kein Widerspruch vorhanden ist - ist nicht zulässig.
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 1.3.2 Seite 10 [4]
Eine sogenannte „Widerspruchslösung“, wonach die Einwilligung unterstellt wird, wenn der Betroffene einer Datenverarbeitungsmaßnahme - etwa der Veröffentlichung seiner Personalien im Internet - nicht ausdrücklich widerspricht, stellt keine wirksame Einwilligung dar.
Wer ist verantwortlich?
Das Bundesdatenschutzgesetz bezeichnet jede Personen, die "personenbezogene Daten für sich erhebt, verarbeitet oder nutzt oder dies durch Auftrag vornehmen lässt" als verantwortliche Stelle (BDSG §3 Abs. 7). An der Spitze der Verantwortlichkeit steht in einem Verein logischerweise immer der 1. Vorsitzende.
Datenschutzbeauftragter
Nach BDSG §4f [1] haben sowohl öffentliche als nicht-öffentliche Stelle, die personenbezogen Daten automatisiert verarbeiten, eine Datenschutzbeauftragten zu bestellen, sofern dies mehr als 9 Personen sind. Unter 10 Personen wird die Funktion durch den Vereinsvorsitzenden besetzt.
LfD Niedersachsen: Datenschutz im Verein, Nr. 9 Seite 40 [3]
Nach § 4f Abs. 1 BDSG hat ein Verein, bei dem mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten schriftlich zu bestellen. Er kann auch auf freiwilliger Basis einen Datenschutzbeauftragten bestellen.
Dabei umfasst der Begriff der mit der Datenverarbeitung beschäftigten Personen nicht nur jene, welche in einem Arbeitsverhältnis zu ihrem Verein stehen, sondern darüber hinaus auch alle Personen, die im Rahmen einer Vertragsbeziehung Leistungen für den Verein erbringen; unerheblich ist dabei, ob die Tätigkeit vergütet wird oder ehrenamtlich erfolgt. Daher zählen auch die ehrenamtlich tätigen Vorstandsmitglieder, Abteilungs- und Übungsleiter dazu.
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 7.1 Seite 32 [4]
Besteht keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, muss sich der Vereinsvorstand selbst um die Einhaltung des Datenschutzes durch den Verein kümmern (§ 4g Abs. 2a BDSG).
Weitergabe von Daten
Weitergabe an andere Mitglieder
Werden die personenbezogenen Daten innerhalb des Vereins an Mitglieder weitergegeben, so muss unterschieden werden, ob es sich um Funktionsträger handelt, die auf das Datengeheimnis verpflichtet wurden oder um gewöhnliche Mitglieder.
Im ersten Fall handelt es sich um eine Datennutzung, für die es keiner gesonderten Einwilligung bedarf. Der zweite Fall ist aber eine Datenübermittlung, für die in jedem Fall eine Einwilligung erforderlich ist.
Veröffentlichung personenbezogener Daten
? ... ?
Aushang am schwarzen Brett
Viele Vereine haben ein Vereinsheim oder können eine Gaststätte als Treffpunkt nutzen. Um die anderen Mitglieder zu informieren oder auf etwas Werbung für die Aktivitäten des Vereins zu machen, werden dort beispielsweise Ranglisten und Berichte über erfolgreiche Wettbewerbsteilnahmen veröffentlich.
Da in der Regel zumindest die Teilnehmer namentlich und/oder mit einem Foto genannt oder abgebildet werden, ist dies eine Veröffentlichung von personenbezogenen Daten.
Pressemitteilungen
Es ist heute üblich, dass nach einer Veranstaltung kurze Pressemitteilungen an die lokale Presse weitergegeben werden. Viele der Mitglieder freuen sich etwas über ihren Verein in der Presse zu lesen, die Sieger eines Wettbewerbs sollen damit geehrt werden oder der Verein nutzt die erfolgreiche Teilnahme von Mitgliedern an einem Wettkampf.
Werden dabei Namen oder Bilder veröffentlich, so ist das eine Veröffentlichung von personenbezogenen Daten, die eine vorherige Einwilligung erfordern.
Besonders bei Kinderveranstaltungen ist darauf zu achten, dass die Erziehungsberechtigten dazu im Vorfeld, am besten auf dem Anmeldeformular, einwilligen. Sehr häufig sind sie später bei der Veranstaltung und z.B. dem üblichen Gruppenfoto nicht dabei und dann kann keine Einwilligung für die Datenerhebung (=Fotoaufnahme) eingeholt werden.
Internetauftritt
Eine Bekanntmachung von Informationen via Homepage / Website stellt ebenfalls eine Veröffentlichung dar.
Weitergabe an Dritte
Dachverbände
Dachverbände sind in jedem Fall als Dritte im Sinne des BDSG zu betrachten, da es sich um eigene Institutionen handelt.
? ... ?
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 5.4 Seite 23 [4]
Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorganisation - beispielsweise einem Bundes- oder Landesverband - zu übermitteln (etwa in Form von Mitgliederlisten), sollte dies in der Vereinssatzung geregelt werden.
LfD Baden-Württemberg: Datenschutz im Verein [7]
Die Mitgliederdaten eines Vereins sind nicht automatisch auch Daten eines Dachverbandes, dem der Verein angehört. Vielmehr ist der Dachverband datenschutzrechtlich wie eine „fremde“ Stelle zu behandeln. Personenbezogene Daten der Vereinsmitglieder dürfen dem Dachverband nur zur Verfügung gestellt werden, wenn dieser eine Aufgabe erfüllt, die letztlich auch im berechtigten Interesse des übermittelnden Vereines liegt.
Hegegemeinschaften
? ... ?
Hegegemeinschaft
BJV: Muster einer Hegegemeinschaftsordnung, §1 Abs. 5 [12]
Auf die Hegegemeinschaft finden die Bestimmungen des BGB über den nichtrechtsfähigen Verein Anwendung.
Wie unter "Für welche Vereine gilt das?" bereits geklärt wurde, ist die Rechtsform, also ob es sich um einen eingetragenen Verein oder einen nichtrechtsfähigen Verein handelt, unerheblich.
Hochwildringe
Schwarzwildringe
Vereinszeitschrift
Die meisten Vereinsmitglieder erhalten eine Mitgliederzeitschrift, die zentral durch den Dachverband versendet wird. Dazu müssen die Mitgliederdaten an den Dachverband übermittelt werden.
In der Regel setzt der Dachverband wiederum ein Dienstleistungsunternehmen ein, das für ihn den Versand übernimmt. Zu diesem Zweck werden die Mitgliederdaten von an der Dienstleister übermittelt.
Somit ist für die Nutzung dieser Leistungen eine zweifache Weitergabe der Mitgliedsdaten, nämlich an den Dachverband und an den Dienstleister notwendig. Beide sind als fremde Organisation zu betrachten.
Versicherungen
Viele Vereine haben die Möglichkeit ihren Mitgliedern zusätzliche Leistungen oder vergünstigte Tarife ihren Mitgliedern anzubieten. In der Regel wurden die Verträge durch die Dachverbände ausgehandelt und die Abwicklung erfolgt auch über die Dachverbände.
? ... ?
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 5.5 Seite 25 [4]
Die Datenschutzaufsichtsbehörden vertreten hierzu inzwischen die Auffassung, dass ein Verein im Rahmen eines Gruppenversicherungsvertrags dem Versicherungsunternehmen bzw. dem Versicherungsvertreter die Daten seiner Mitglieder nur übermitteln darf, wenn das betreffende Mitglied eine ausdrückliche und informierte schriftliche Einwilligung erteilt hat. Dies gilt für Neu- und für Altmitglieder, die bei Abschluss des Gruppenversicherungsvertrags bereits Vereinsmitglieder waren, gleichermaßen.
Datenverarbeitung und Zustimmung
Datenschutzregelung
? ... ?
Der Verein hat die Pflicht die Grundzüge der Datenerhebung, -verarbeitung und -nutzung auf Basis des in der Vereinssatzung festgelegten Vereinszwecks schriftlich festzulegen. Die erforderlichen Regelungen können in der Vereinssatzung oder einem gesonderten Regelwerk niedergelegt werden.
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 7.3 Seite 33 [4]
Entsprechende Datenschutzregelungen können entweder in die Vereinssatzung aufgenommen oder in einem gesonderten Regelwerk niedergelegt werden. Für Letzteres gibt es keine feste Bezeichnung; am gebräuchlichsten sind noch die Begriffe „Datenschutzordnung“, „Datenschutzrichtlinie“ oder „Datenverarbeitungsrichtlinie“.
Wie Mitglieder einbeziehen?
? ... ?
LfD Baden-Württemberg: Datenschutz im Verein, Nr. 7.3 Seite 33 [4]
Die Datenschutzordnung kann, wenn die Vereinssatzung nichts anderes bestimmt, vom Vorstand oder von der Mitgliederversammlung beschlossen werden und muss nicht die Qualität einer Satzung haben.
Mitgliedsantrag
- Einwilligungserklärung ? ... ?
- Datenschutzerklärung ? ... ?
Anmeldung zu Veranstaltungen
In der Regel werden für die Anmeldung zu Veranstaltungen Formulare verwendet. Dort gibt der Interessent ebenfalls wieder personenbezogen Daten (zumindest seinen Namen) an. Somit müssen auch diese Formulare eine Belehrung zum Datenschutzes, wie beispielsweise die Information verwendet werden und welche Angaben freiwillig sind, enthalten.
LfD Niedersachsen: Datenschutz im Verein, Nr. 2 Seite 6 [3]
Daraus folgt, dass der Verein in jedes Formular, das er zur Erhebung personenbezogener Daten nutzt, eine entsprechende datenschutzrechtliche Belehrung aufzunehmen hat, aus der sich ergeben muss, für welchen Zweck welche Daten (möglichst einzeln aufgezählt) vom Verein erhoben, gespeichert und genutzt werden, welche Angaben freiwillig erfolgen und welche Nachteile dem Betroffenen drohen, wenn er einzelne Angaben nicht macht, und/oder an wen (z.B. an eine Versicherung, an den Dachverband, an Vereinsmitglieder, im Internet) welche Daten für welche Zwecke übermittelt werden sowie wann welche Daten gelöscht bzw. gesperrt werden.
Mit Datenverarbeitung beschäftigte Personen
Alle Personen, die mit der Datenverarbeitung beschäftigt sind, unabhängig ob sie ihre Tätigkeit entgeltlich oder ehrenamtlich erbringen, zählen zur Gruppe "mit Datenverarbeitung beschäftigte Personen". Beispiele dafür sind die Vorstandsmitglieder, Bereichs- und Gruppen- oder auch Übungsleiter.
Verpflichtung auf das Datengeheimnis
Das BDSG verlangt, dass die mit der Datenverarbeitung beschäftigen Personen auf das Datengeheimnis verpflichtet werden. Die Verpflichtung auf das Datengeheimnis muss bei Aufnahme der Tätigkeit erfolgen. Zuständig für die Verpflichtung ist der Vorstand, die Aufgabe kann aber auch an den Datenschutzbeauftragten übertragen werden, sofern vorhanden.
LfD Niedersachsen: Datenschutz im Verein, Nr. 8.2 Seite 38 [3]
Alle Personen, die Zugang zu Mitgliederdaten haben, d.h. insbesondere die Funktionsträger des Vereins, welche für ihre Aufgaben Mitgliederdaten erhalten, sind schriftlich auf die Wahrung des Datengeheimnisses zu verpflichten
Zur Verpflichtung gehört auch eine Belehrung über die sich daraus ergebenden Pflichten.
BayLDA, Verpflichtung auf Datengeheimnis, Seite 3 [9]
Der neue Mitarbeiter muss darüber informiert werden, was er in datenschutzrechtlicher Hinsicht bei seiner täglichen Arbeit beachten muss.
Um die zur Verpflichtung gehörenden Schritte nachweisen zu können, wird eine schriftliche Bestätigung empfohlen. Gesetzlich vorgeschrieben ist sie jedoch nicht. Ein Muster dazu findet sich in Anlage I der Quelle [8].
BayLDA, Verpflichtung auf Datengeheimnis, Anlage I [9]
Verpflichtung gemäß § 5 BDSG (Datengeheimnis). Frau/Herr _________________ wurde heute darüber belehrt, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis)...
- Merkblatt zu Datengeheimnis ? ... ?
BayLDA, Verpflichtung auf Datengeheimnis, Seite 3 [9]
Der neue Mitarbeiter muss darüber informiert werden, [...] Zur Abrundung sollte ihm ein Merkblatt an die Hand gegeben werden, aus dem einige einschlägige Rechtsvorschriften des BDSG entnommen werden können.
Quellen