Personenbezogene Daten im Verein

So viel wie nötig, so wenig wie möglich

Dies sollte der Grundsatz sein, wenn es darum geht, personenbezogene Daten der Mitglieder eines Vereins in einer Kartei oder einem anderen System zu führen. Bereits bei der Aufnahme neuer Mitglieder sollte deshalb darauf geachtet werden, nur solche Daten der Personen zu erheben, die für die Mitgliedschaft auch dringend erforderlich sind.

Verwendung personenbezogener Daten laut BDSG

Mit Blick in das Bundesdatenschutzgesetz (BDSG) wird klar:

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“ (§4, Absatz 1)

Zur Nutzung von personenbezogenen Daten ist demnach eine Rechtsvorschrift oder eine persönliche Einwilligung notwendig.

Dieser Schritt erfolgt bereits bei der Aufnahme eines neuen Mitglieds: Hier ist es dringend notwendig, die Personen entsprechend über die Verarbeitung der personenbezogenen Daten zu informieren und vor allem die Kenntnisnahme und Einwilligung mittels einer Unterschrift auch festzuhalten, um sich und den Verein rechtlich abzusichern. Diese Einwilligung basiert auf einer freiwilligen Basis eines jeden Mitglieds. Von Bedeutung ist auch, dass Neuerungen oder Veränderungen in der Verarbeitung von personenbezogenen Daten entsprechend mit den Mitgliedern eines Vereins kommuniziert werden müssen. Auch hier gilt es, eine schriftliche Einwilligung einzuholen. Im Zusammenhang damit sollten die Mitglieder zusätzlich über das Widerrufsrecht der Datenschutzerklärung eines jeden einzelnen ohne Angabe eines Grundes informiert werden.

Achtung! Sonderfall Kinder unter 16 Jahren:

Bei der Verarbeitung von personenbezogenen Daten bei Kindern unter 16 Jahren muss eine Einwilligung der Eltern vorliegen.

Verwendung personenbezogener Daten laut DSGVO

Auch ein Blick in die Datenschutzgrundverordnung (DSGVO) ist notwendig, um sich auf der sicheren Seite zu bewegen:

“Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (“Zweckbindung”).” (DSGVO, Art.5 Abs. 1b)

Der Zweck der Nutzung der personenbezogenen Daten ist in der Vereinssatzung geregelt und darf auch nicht ohne einen konkreten Rechtfertigungsgrund verändert werden. Im Falle einer Zweckänderung in der Nutzung der personenbezogenen Daten bedarf es der Einwilligung der betroffenen Mitglieder.

Ein Beispiel zur Verwendung personenbezogener Daten im Verein

Angenommen, ein Sponsor des Vereins fragt bezüglich der Verwendung der Mitgliederdaten an, mittels derer er gerne eine vergleichende Analyse mit anderen Vereinen, die dieser sponsert, durchführen würde. Da dieser Verwendungszweck der personenbezogenen Daten nicht in der Satzung festgehalten wurde, muss in diesem Fall dringend Rücksprache mit den Mitgliedern gehalten werden. Keinesfalls sollten Personendaten einfach an Unternehmen oder Personen weitergeleitet werden. Auch eine Absprache, welche Daten veröffentlicht werden dürfen, kann notwendig sein.

Mit dem Vereins-Schutzbrief auf der sicheren Seite

Als Mitglied des DEUTSCHES EHRENAMTS und Inhaber des Vereins-Schutzbrief sind Sie rundum abgesichert. Außerdem können Sie sich mit Ihren Fragen zum Datenschutz im Verein kostenlos an uns wenden.

zum Vereins-Schutzbrief

Grenzen & Ausnahmen in der Verwendung personenbezogener Daten im Verein

Vorsicht ist nicht nur dann geboten, wenn es darum geht, personenbezogene Daten mit Dritten zu teilen. Auch innerhalb des Vereins ist es nicht zulässig, dass Mitglieder auf die Daten der anderen zugreifen können. Eine Ausnahme würde dann vorliegen, wenn der Zweck des Vereins es vorsieht, dass die Mitglieder untereinander Kontakt aufnehmen können. In diesem Fall wäre aus datenschutzrechtlicher Perspektive eine Mitgliederliste zulässig. Aber auch in diesem Ausnahmefall darf eine Verbreitung der Mitgliederdaten nicht ohne Zustimmung der einzelnen Mitglieder erfolgen.

Ein weiterer Sonderfall, mit dem sich zahlreiche Vereine konfrontiert sehen, stellen die öffentlichen Aushänge dar. Gerne zeigen Vereine ihre Mannschaftsaufstellungen und teilen Erfolge, wodurch sie  vereinsfremden Personen Einblicke ermöglichen und diese darüber auch Einsicht in persönliche Daten gewinnen können. Entstehen dabei schutzbedürftige Belange der Mitglieder, darf ein solcher öffentlicher Aushang nicht gemacht werden – außerdem bedarf es hier erneut der Zustimmung der abgebildeten oder aufgeführten Mitglieder.

Eine letzte Besonderheit im Zusammenhang mit den personenbezogenen Daten im Verein entsteht durch die Dachverbände. Die Daten des Vereins gehören nicht automatisch auch zum Dachverband, zu welchem ein Verein möglicherweise gehört. Bei der Arbeit mit Personendaten wird der Dachverband wie ein Fremder behandelt, der eine konkrete Aufgabe oder Befugnis braucht, die es notwendig macht, dass der Dachverband Zugriff auf die Daten des Vereins erhält.

Was nicht gebraucht wird, sollte gelöscht werden

Ein jeder Verein, der mit personenbezogenen Daten arbeitet, sollte über eine Datenlöschkonzeption verfügen. Diese wird zur Verwaltung der Mitgliederdaten benötigt, beispielsweise um den Überblick zu behalten, wann welche Daten bei Austritt eines Mitglieds aus dem Verein gelöscht werden können. Prinzipiell dürfen personenbezogene Daten erst dann gelöscht werden, wenn keine Rückfragen der Person mehr zu erwarten sind.

Rechte der betroffenen Personen

Die DSGVO legt für Personen unterschiedliche Rechte bei der Erhebung und Verwendung von personenbezogenen Daten fest, welche von Vereinsseiten aus beachtet werden müssen. Diese lassen sich in fünf Kategorien untergliedern:

Auskunft

Jede Person hat das Recht, vom Verein Auskunft über die von ihm gespeicherten personenbezogenen Daten einzuholen. Sind von dieser Person keine Daten gespeichert, so ist dieser Person eine Negativauskunft mitzuteilen. Liegen dagegen Informationen zu dieser Person vor, so gilt es, vor allem folgende Auskunft über die personenebezogenen Daten und deren Verarbeitung zu geben:

  • Erläuterung des Verarbeitungszwecks
  • Welche personenbezogenen Daten werden verwendet, meist angegeben in Kategorien
  • Der Empfänger der personenbezogenen Daten
  • Die geplante Speicherdauer
  • Das Eröffnen des Rechts der Person zur Löschung, Korrektur oder Einschränkung der Verarbeitung ihrer Daten
  • Das bestehende Recht zur Beschwerde bei einer Aufsichtsbehörde
  • Informationen zur Herkunft der Daten, für den Fall, dass die Angaben nicht von der Person selbst stammen

Die geforderten Auskünfte müssen unverzüglich, aber spätestens innerhalb eines Monats bei der Person angelangt sein.

Transparente Information

Eine jede Auskunft, die über personenbezogene Daten gefordert wird, muss transparent, verständlich und leicht zugänglich sein – so fordert es das Recht der betroffenen Personen in der DSGVO.

Berechtigung, Löschung und Einschränkung der Verarbeitung

Personen haben das Recht, ihre Daten, die nicht korrekt sind, auf Antrag abändern zu lassen. Auch fällt der Anspruch auf eine Löschung der personenbezogenen Daten in das Recht der betroffenen Personen nach DSGVO:

  • Werden die Daten für die Zwecke, für die sie erhoben wurden, nicht länger benötigt, besteht ein Anspruch auf das Löschen dieser Daten
  • Wenn die Person ihr Widerrufsrecht auf die Einwilligung zur Verarbeitung der personenbezogenen Daten in Anspruch nimmt. Damit wird die Rechtsgrundlage zur weiteren Verarbeitung dieser Daten entzogen.
  • Für den Fall, dass Daten unrechtmäßig verarbeitet werden, können die betroffenen Personen ebenfalls Widerspruch einlegen.

Der geforderten Löschung oder Bearbeitung der personenbezogenen Daten ist direkt mit der Forderung durch den Verantwortlichen nachzukommen. Ein Sonderfall wiederum entsteht in der Einschränkung der Verarbeitung der personenbezogenen Daten. Diese tritt dann ein, wenn ein Streit darüber vorliegt, ob die Daten richtig oder falsch sind. Die Daten dürfen dann nur noch gespeichert werden, um die Sachlage zu klären, aber nicht länger in die Verarbeitung einbezogen werden.

Datenübertragbarkeit

Eng verknüpft mit dem Auskunftsrecht ist das neue Recht der Datenübertragbarkeit nach Art. 20 DSGVO.

(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln

Mitglieder haben demnach das Recht, die sie betreffenden personenbezogenen Daten vom Verantwortlichen, also dem Verein, in einem maschinenlesbaren Format anzufordern und an einen anderen Verantwortlichen zu übermitteln. Dieses Recht der betroffenen Person gilt nur, wenn es auch entsprechend in der Satzung des Vereins verankert ist, also die Verarbeitung der personenbezogenen Daten auf Basis einer Einwilligung oder eines Vertrages erfolgt. Dabei müssen die personenbezogenen Daten von dieser Person selbst stammen und auch von ihr an einen Verantwortlichen übergeben worden sein.

Widerspruch gegen die Verarbeitung

Gemäß Art. 21 DSGVO steht den Personen auch ein Recht auf Widerspruch gegen die Verarbeitung ihrer persönlicher Daten zu. Bei der Verarbeitung personenbezogener Daten zur Direktwerbung ist ein Widerspruch immer möglich, ansonsten nur dann, wenn die Datenverarbeitung auf Grundlage einer Interessensabwägung stattfindet.

  • Verwendet ein Verein beispielsweise die Daten zu statistischen Zwecken, hat die betroffene Person das Recht, bei Vorliegen persönlicher Gründe, der Verarbeitung der personenbezogenen Daten zu widersprechen, vorausgesetzt, dem steht keine Aufgabe entgegen, das dem öffentlichen Interesse unterliegt.
  • Die personenbezogenen Daten gilt es nach Einreichen eines Widerspruchs zu löschen, mit Ausnahme dessen, dass der Verein schutzwürdige Gründe für die Verarbeitung vorweisen kann.