Datenschutz im Verein
1. Mitgliederdaten - Mit Augenmaß nutzen!
Ein Verein darf aufgrund des Art. 6 Abs. 1 lit. b) DSGVO beim Vereinsbeitritt (Aufnahmeantrag oder Beitrittserklärung) und während der Vereinsmitgliedschaft nur solche Daten von Mitgliedern erheben und verwenden, die für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind. Damit dürfen gleichzeitig alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder notwendig sind, wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum, ferner Bankverbindung Bank und Kontonummer.
Bei Veranstaltungen wie Schießtraining und Meisterschaften dürfen die Daten erhoben und verarbeitet werden, die vom daran teilnehmenden Mitglied benötigt werden um eine Durchführung zu ermöglichen; Namen und Waffen für die Schießkladde, Geburtsjahrgang und Schießergebnis für die Wettkampfauswertung und so weiter.
Anmerkung: Hierfür ist keine Einwilligung erforderlich! Der Verein darf zur Erfüllung seiner Vereinszwecke alles an Daten verwenden, was er verwenden muss. Er muss nur begründen können, auf Nachfrage oder vorab ausdrücklich in der Satzung/Datenschutzordnung oder Wettkampfausschreibung, warum wer welche Daten benötigt.
2. Einwilligungen - Nicht übertreiben!
Deshalb ist aufgrund des Medienrummels zur DSGVO der vergangene Tage verständlich, aber unnötig und sogar schädlich, sich für jeden Vorgang möglichst viele Einwilligungen zur Datenverarbeitung von möglichst vielen geben zu lassen. Denn Einwilligungen sind nicht immer wirksam (Formmängel, Minderjährige,...) und können daneben jederzeit widerrufen werden. Eine Einwilligung ist daher nur einzuholen, wenn sie erforderlich ist und das ist wie angesprochen im Schützenverein oft nicht der Fall
Nochmal: Eine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist dann und nur dann erforderlich, soweit der Verein in weitergehendem Maße personenbezogene Daten verarbeitet, als er aufgrund Satzung oder Vertrag ohnehin bereits befugt ist. Es empfiehlt sich nicht, Einwilligungen für Datenverarbeitungsmaßnahmen einzuholen, die bereits aufgrund einer gesetzlichen Erlaubnis möglich sind. Denn dadurch wird beim Betroffenen auch der Eindruck erweckt, er könne mit der Verweigerung der Einwilligung oder ihrem späterem Widerruf die Datenverarbeitung verhindern. Hat der Verein aber von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zurückzugreifen, wird der Betroffene getäuscht, wenn man ihn erst nach seiner ausdrücklichen Einwilligung fragt, dann aber doch auf gesetzliche Ermächtigungen zurückgreift.
3. Informieren - Viel hilft viel!
Anders sieht es aus mit den Informationspflichten aus. Zu viel Information für Mitglieder, Internetznutzer etc. gibt es kaum. Die Informationspflichten muss jeder Verein oder Landesverband (Einzelmitglieder!), nicht aber der Bundesverband gegenüber den jeweiligen Mitgliedern erfüllen. Es ist allgemein oder anlassbezogen zu informieren über:
- Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten, soweit einer bestellt ist
- Zwecke der Verarbeitung (bitte im Einzelnen aufzählen)
- Rechtsgrundlage der Verarbeitung (oft: Erfüllung der Satzungszwecke)
- berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DSGVO
- Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, im Internet,...)
- Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in der Cloud), sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
- Speicherdauer der personenbezogenen Daten
- Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
- Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
Dies alles kann auch in einer "Datenschutzordnung" des Vereins erfolgen.
4. Jedem das Seine - Verantwortlichkeiten auf allen Ebenen
Zu denken ist von unten nach oben: Der Bundesverband bekommt Mitgliedsdaten nie direkt, sondern von den Landesverbänden und diese zumeist wiederum von Vereinen. D.h. die Rechtsgrundlage der Datenübermittlung an den Landesverband muss der Verein, die Rechtsgrundlage für die Übermittlung an den BDS muss der Landesverband schaffen. Auch die Hinweispflichten liegen bei den Vereinen und Landesverbänden.
Dachverbände, bei denen ein Verein Mitglied ist, sind im Verhältnis zu seinen Mitgliedern datenschutzrechtlich Dritte. Personenbezogene Daten der eigenen Mitglieder dürfen an andere Vereine und Verbände im Rahmen der Erforderlichkeit nur übermittelt werden, soweit diese dort benötigt werden, um die Vereinsziele des übermittelnden Vereins oder um die Ziele des anderen Vereins zu verwirklichen, etwa bei der überregionalen Organisation eines Wettkampfs, und sofern keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. b) und lit f) DSGVO. Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorganisation - beispielsweise einem Bundes- oder Landesverband - zu übermitteln (etwa in Form von Mitgliederlisten), sollte dies in der Vereinssatzung geregelt werden. Dadurch wird klargestellt, dass die Übermittlung im Vereinsinteresse erforderlich ist und keine Interessen oder Grundrechte und Grundfreiheiten der Vereinsmitglieder überwiegen (Art. 6 Abs. 1 lit. f) DSGVO). Fehlt eine Satzungsregelung, sollten die Mitglieder (Neumitglieder möglichst bereits im Aufnahmeverfahren) über die Übermittlung ihrer Daten an die Dachorganisation und den Übermittlungszweck informiert und ihnen Gelegenheit zu Einwendungen gegeben werden. Der Verein ist darüber hinaus verpflichtet, dafür Sorge zu tragen, dass die von ihm weitergegebenen Mitgliederdaten vom Dritten nicht zweckentfremdet genutzt werden (etwa kein Verkauf der Mitgliederadressen für Werbezwecke) oder dies allenfalls mit Einverständnis des Vereins und Einwilligung der betroffenen Mitglieder geschieht.
Sollen Mitgliederlisten oder im Einzelfall sonstige Mitgliederdaten auf freiwilliger Basis ohne vertragliche oder sonstige Verpflichtung an Dachverbände oder andere Vereine weitergegeben werden, ist dies nur unter den oben genannten Voraussetzungen zulässig. Soweit die Weitergabe im berechtigten Interesse des Vereins oder des Empfängers erfolgen soll, empfiehlt es sich in Zweifelsfällen, die Mitglieder vor der beabsichtigten Datenübermittlung zu informieren und ihnen die Möglichkeit zu geben, Einwendungen gegen die Weitergabe ihrer Daten geltend zu machen.
Bietet der Dachverband eine Versicherung für die Mitglieder eines Vereins an, die in erster Linie dem Verein dient, um sich gegen Haftungsansprüche seiner Mitglieder zu schützen, wenn diese beim Sport oder bei vergleichbar gefahrgeneigten Tätigkeiten verunglücken, hat der Verein ein berechtigtes Interesse, die für die Begründung des Versicherungsverhältnisses erforderlichen Daten seiner Mitglieder dem Dachverband zuzuleiten, es sei denn, das Mitglied hat ein überwiegendes schutzwürdiges Interesse, dass dies unterbleibt, wenn es etwa selbst bereits gegen dieses Risiko versichert ist. Will aber der Dachverband nur erreichen, dass sich die Vereinsmitglieder in eigenem Interesse bei ihm oder bei einer von ihm vermittelten Versicherung versichern können, darf der Verein deren Daten nur mit ihrer Einwilligung an den Dachverband übermitteln.
D.h. die Vereine müssen in ihren Satzungen oder Aufnahmeanträgen oder in jedem Einzelfall regeln, welche Daten an den Landes-/Bundesverband weitergegeben werden.
Zusammengefasst mit freundlicher Unterstützung durch den Datenschutzbeauftragten des BDS Helmut Glaser.
|