Datenschutz bei der Herausgabe von Mitgliederlisten im Verein
Die Datenschutzbehörde wurde von einem Verein mit über 60.000 stimmberechtigten Mitgliedern frühzeitig zu Rate gezogen. So war es zu einem Mitgliederbegehren zwecks Einberufung einer außerordentlichen Mitgliederversammlung gekommen. Hierbei forderten die Antragsteller die Herausgabe einer Liste aller Mitglieder nebst Kontaktdaten, um bei diesen für ihr Begehr werben zu können. Der Verein zog die Datebschutzbehörde hinzu, um eine datenschutzrechtlich einwandfreie Handhabung zu gewährleisten.
Im Rahmen der Beratung kam es hinsichtlich der einzelnen aufgeworfenen Fragen zu folgender Bewertung:
1. Rechtsgrundlage für Herausgabe einer Mitgliederliste
Es ist ständige (höchstrichterliche) Rechtsprechung, dass die Initiatoren einer außerordentlichen Mitgliederversammlung zur praktischen Durchsetzung des Einberufungsverlangens einen Anspruch gegen den Verein haben, die Anschriften der übrigen Mitglieder zu diesem Zweck zu erhalten. Zwar gibt es vereinzelte Diskussionen hinsichtlich des Prozederes und der Voraussetzungen. Unstreitig ist aber ein gegebenenfalls notwendiges berechtigtes Interesse bei der Geltendmachung von Mitgliedschaftsrechten nach § 37 BGB gegeben, weshalb dem Grunde nach der Anspruch besteht.
Nach Auffassung der Datenschutzbehörde ist die Rechtsgrundlage für eine solche Datenübermittlung (zumindest beim verfolgten Zweck der Einberufung einer außerordentlichen Mitgliederversammlung) in Artikel 6 Abs.1 Satz 1 Buchst. b DSGVO i. V. m. § 37 BGB bzw. der Vereinssatzung zu sehen. Artikel 6 Abs. 1 Satz 1 Buchst. b DSGVO spricht zwar von „Vertrag“, erfasst gleichwohl jedenfalls alle rechtsgeschäftlichen oder auch rechtsgeschäftsähnlichen Schuldverhältnisse.
Hierbei ist zunächst zu sehen, dass das Recht zur Einberufung einer außerordentlichen Mitgliederversammlung ein mitgliedschaftliches Recht ist, welches aus der (schuldrechtlichen) Beziehung der Vereinsmitglieder untereinander folgt. Dies kommt besonders deutlich in der (analogen) Rechtsprechung zu Mitgliedschaftsrechten in Gesellschaften hervor, wonach hier ein „Schuldverhältnis“ besteht, mit dem die Mitglieder sich zur Verwirklichung und Förderung eines gemeinsamen Zwecks zusammenschließen. Auch in der ersten zum Einsichtsrecht von Vereinsmitgliedern ergangenen Entscheidung des OLG München ist von einem „vertragsähnlichen Vertrauensverhältnis“ die Rede (OLG München, Schlussurteil vom 15. November 1990 – 19 U 3483/90).
Unter Geltung des früheren BDSG ist die datenschutzrechtliche Frage der Rechtsgrundlage soweit ersichtlich offengelassen worden. In der einzig bekannten Entscheidung nach Inkrafttreten der DSGVO hat das AG Hannover (Urteil vom 13. Februar 2019, Az. 435 C-10856/18) die datenschutzrechtliche Verarbeitungsbefugnis – ohne nähere Begründung – in Artikel 6 Abs. 1 Satz 1 Buchst. f DSGVO gesehen. Dies könnte eventuell damit zusammenhängen, dass in der bisher dazu ergangenen Rechtsprechung die Frage eines „berechtigten Interesses“ an der Herausgabe einer Mitgliederliste und etwaiger entgegenstehender Interessen diskutiert wird. Dies dürfte wohl auf der ersten hier- zu ergangenen Entscheidung des OLG München beruhen (Schlussurteil vom 15. November 1990 – 19 U 3483/90), welche ein berechtigtes Interesse diskutiert, dies aber nicht im daten-schutzrechtlichen Kontext, sondern in Zusammenhang mit der Auslegung von § 37 BGB (ebenso BGH, Beschl. vom 25. Oktober 2010 – II ZR 219/09, MMR 2011, 207: „berechtigtes Interesse (…) außerhalb des Anwendungsbereichs des § 37 BGB“).
Das Einsichtsrecht in die Mitgliederliste zwecks Einberufung einer außerordentlichen Mitgliederversammlung wird aber auch in der Rechtsprechung des BGH in § 37 BGB und damit in der Vereinsmitgliedschaft und dem damit zusammenhängenden vertragsähnlichen Verhältnis der Mitglieder verankert, welches eine Datenverarbeitung gem. Artikel 6 Abs. 1 Satz 1 Buchst. b DSGVO erlaubt. So erkennt der BGH, dass „einem Vereinsmitglied kraft seines Mitgliedschaftsrechts ein Recht auf Einsicht in die Bücher und Urkunden des Vereins zu(steht), wenn und soweit es ein berechtigtes Interesse darlegen kann, dem kein überwiegendes Geheimhaltungsinteresse des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen.“ (BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09; Hervorhebung nicht im Original).
Die Herleitung des Einsichtsrechts/Herausgabeanspruchs wie auch spiegelbildlich der Übermittlungsbefugnis aus § 37 BGB ist auch nicht wegen des Vorrangs des Unionsrechts unvereinbar mit der DSGVO, da Artikel 6 Abs.1 Satz 1 Buchst. b DSGVO Einfallstor für nationale vertragsrechtliche Regelungen wie § 37 BGB ist. Hierdurch wird vereinfacht gesagt eine durch nationales Privatrecht vorgegebene/regulierte Datenverarbeitung europarechtskonform. Aus diesen Gründen ist im Rahmen der datenschutzrechtlichen Bewertung auch den durch die nationale Rechtsprechung zu § 37 BGB ergangenen Vorgaben hinreichend Rechnung zu tragen.
2. Umfang der herauszugebenden Daten (insbesondere E-Mail-Adressen sowie Mitgliedsnummern)
Unabhängig von der konkreten Rechtsgrundlage für die Datenübermittlung ist diese am Maßstab der Erforderlichkeit zu messen. Bei der Herausgabe von E-Mail-Adressen ist zu sehen, dass die Datenweitergabe letztlich der Vernetzung der Mitglieder und der Ausübung von Mitgliederrechten durch diese, konkret der Herbeiführung eines Quorums zur Einladung einer außerordentlichen Mitgliederversammlung, dienen soll. Abhängig von den Umständen kann dies auch die Herausgabe von E-Mailadressen rechtfertigen. So erschien im zugrunde liegenden Fall allein mit Blick auf die Anzahl der (stimmberechtigten) Mitglieder von über 60.000 die Verwendung von E-Mail-Adressen als wesentlich geeigneter als die postalische Anschrift, um den zuvor genannten Zweck zu erreichen. Eine Beschränkung auf postalische Kommunikation könnte, alleine wegen des damit verbundenen Aufwands und der Kosten, als eine unverhältnismäßige Beschränkung von Mitgliederrechten angesehen werden. Im konkreten Fall erlaubte auch die Vereinssatzung die Verwendung von E-Mailadressen zur Kommunikation zwischen Verein und Mitgliedern. Dementsprechend haben auch verschiedene Gerichte in der Vergangenheit einenAnspruch von Vereinsmitgliedern auf Herausgabe von E-Mailadressen bewilligt.
Hinsichtlich der Übermittlung von Mitgliedernummern kann sich dies ggf. anders darstellen, da nicht unmittelbar erkennbar ist, wofür diese im Rahmender Geltendmachung von Minderheitsrechten, konkret der Initiative zur Einberufung einer außerordentlichen Mitgliederversammlung, benötigt werden. Bei entsprechenden Anträgen ist somit vor Übermittlung zu eruieren, wozu die Mitgliedsnummern in diesem Zusammenhang konkret benötigt werden.
3. Herausgabe der Mitgliederdaten elektronisch oder in Papierform
Nach höchstrichterlicher Rechtsprechung können Vereinsmitglieder auch einen Anspruch auf Übersendung der Mitgliederliste in elektronischer Form haben (so bereits BGH, NZG 2010, 1430 Rn. 4). Gegen diesen Anspruch bestehen dem Grunde nach keine datenschutzrechtlichen Bedenken. Abhängig vom Übermittlungsweg unterscheiden sich jedoch die zu ergreifenden technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO. So ist bei einer Übersendung via E-Mail insbesondere auf eine ausreichende Verschlüsselung zu achten (vgl. Orientierungshilfeder Konferenz der unabhängigen Datenschutzauf sichtsbehörden des Bundes und der Länder vom 27. Mai 2021, Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail).
4. Betroffenenrechte (insbesondere Informationspflichten und Widerspruchsrecht)
Hinsichtlich der Betroffenenrechte hängt die datenschutzrechtliche Bewertung ganz entscheidend davon ab, nach welcher Rechtsgrundlage die Daten an den Anspruchsteller übermittelt werden.
Nach hiesiger Ansicht erfolgt die Datenübermittlung nach Artikel 6 Abs. 1 Satz 1 Buchst. b DSGVO zur Erfüllung mitgliedschaftlicher Rechte und damit letztlich zur Durchführung des Mitgliedschaftsverhältnisses. Dieser konkrete Zweck ergibt sich einerseits aus gesetzlichen Vorgaben, hier aus § 37 BGB, andererseits aus der Vereinssatzung. Dieser Zweck sollte in der Datenschutzerklärung eines Vereins benannt werden, eine Nichtbenennungwürde die damit zusammenhängende Datenverarbeitung aber nicht rechtsgrundlos machen. So handelt es sich hierbei um einen aus Gesetz und Satzung folgenden Zweck. Dieser ist vorgegeben, die Datenschutzinformation folgt diesem nur nach und kann ihn vorliegend nicht einschränken. Es wurde unsererseits auch als unschädlich angesehen, dass bei der Datenerhebung keine Information über die konkreten Empfänger oder die Kategorie von Empfängern (z. B. „andere Vereinsmitglieder“) nach Artikel 13 Abs. 1 Buchst. e DSGVO erfolgte. Hierdurch werden die betroffenen Mitglieder auch nicht rechtslos gestellt, da die Information über die Datenübermittlung nach Artikel 14 DSGVO von der empfangenden Stelle (hier dem Anspruchssteller) vorzunehmen ist (vorbehaltlich einer Ausnahme nach Artikel 14 Abs. 5 DSGVO, § 33 BDSG). Allen Vereinen wird empfohlen, die Datenschutzinformation für die Zukunft zwecks Klarstellung hinsichtlich Zweck und Empfänger entsprechend anzupassen (also dergestalt, dass bei einem Begehren nach § 37 BGB eine Übermittlung von Mitgliederdaten an andere Vereinsmitglieder erfolgen kann).
Zu guter Letzt hängt die Frage der Berücksichtigung eines Widerspruchsrechts (durch den Verein) davon ab, ob die Datenübermittlung nach Artikel 6 Abs. 1 Satz 1 Buchst. b DSGVO erfolgt (dann nicht) oder nach Artikel 6 Abs. 1 Satz 1 Buchst. f DSGVO. Hiervon zu unterscheiden wäre die Frage eines etwaigen durch den Anspruchsteller zu berücksichtigenden Widerspruchsrechts bei Erhebung derDaten durch diesen, soweit die Erhebungs- und Verarbeitungsbefugnis aus Artikel 6 Abs. 1 Satz 1 Buchst. f DSGVO folgen würde. Nach hiesiger Auffassung erfolgt aber auch die Erhebung auf Grundlage des Artikel 6 Abs. 1 Satz 1 Buchst. b DSGVO, denn das Mitgliedschaftsrecht wirkt nicht nur zwischen Verein und einzelnem Mitglied, sondern auch zwischen den Mitgliedern untereinander. Bei dem Verein handelt es sich um eine Verbindung einer größeren Anzahl von Personen zur Erreichung eines gemeinsamen Zweckes. Dementsprechend begründet der BGH die Herausgabe von Mitgliederdaten auch wie folgt: „Die Vereinsmitglieder sind mit ihrem Beitritt zum Bekl., der einen bestimmten Zweck verfolgt – insoweit vergleichbar mit dem Beitritt zu einer Publikumspersonengesellschaft (vgl. hierzu BGH, NZG 2010, 61 = NJW 2010, 439 Rn. 9) – in eine gewollte Rechtsgemeinschaft zu den anderen, ihnen weitgehend unbekannten Mitgliedern des Bekl. getreten, zu denen auch die Kl. zählen.“ (Hinweisbeschluss vom 21. Juni 2010 – II ZR 219/09). Mit Blick hierauf dürfte als Rechtsgrundlage auch für die Erhebung durch den Anspruchsteller als Kehrseite zur Datenübermittlung durch den Verein ebenfalls Artikel 6 Abs. 1 Satz 1 Buchst. b DSGVO in Betracht kommen, so dass auch dieser ein Widerspruchsrecht nicht zu berücksichtigen hätte.
Der Verein wurde aber im Rahmen der Beratung darauf hingewiesen, dass sowohl die Auslegung von Artikel 13 Abs. 1 Buchst. e, Abs. 3 DSGVO als auch die Bestimmung der Rechtsgrundlage für Datenübermittlung und -erhebung (mit Auswirkungen für ein etwaiges Widerspruchsrecht) mangels konkretisierender Rechtsprechung (insbesondere nach Inkrafttreten der DSGVO) mit erheblichen Unsicherheiten behaftet sind. Wollte man dieser Unsicherheit begegnen, würde sich – sofern tatsächlich eine Datenübermittlung (an den Antragsteller oder einen von diesem beauftragten Treuhänder) vorgenommen wird – eine Vorabinformation durch den Verein mit Möglichkeit des Widerspruchs anbieten.
5. Herausgabe an Treuhänder
Die Datenschutzbehörde wurde auch gefragt, ob eine Herausgabe an den Anspruchsteller selbst, einem von ihm benannten Treuhänder oder einen vom Verein zu benennenden Treuhänder zu erfolgen hat.
Mit Blick auf die Grundsätze der Erforderlichkeit sowie der Datensparsamkeit wird teilweise vertreten, dass eine Herausgabe nur an einen Treuhänder verlangt werden kann (vgl. Neuhöfer, SpuRt 2012, 115, entgegen LG Köln, Urteil vom 27. September 2011 – 27 O 142/11; OLG Hamburg, Urteil vom 27. August 2009 – 6 U 38/08, BeckRS 2009, 26425,
beck-online, wobei der dahingehende Tenor sich aus einer entsprechenden Beschränkung des Klageantrags im Rahmen der Berufung ergab). Dies dürfte jedoch nicht mit der höchstrichterlichen Rechtsprechung vereinbar sein. So hat der BGH hinsichtlich einer Treuhänderlösung ausgeführt, dass hierdurch die Vereinsmitglieder „in datenschutz-rechtlicher Hinsicht nicht beschwert (sind). Denn es ist den Kl. als Mitgliedern eines Vereins grundsätzlich nicht verwehrt, auch selbst Einsicht in die Mitgliederliste zu nehmen bzw. die Übermittlung der dort enthaltenen Informationen in elektronischer Form an sich selbst zu verlangen.“ (BGH, Hinweisbeschluss vom 21.06.2010 – II ZR 219/09).
Jedoch kann es – abhängig von der konkreten Ausgestaltung der Treuhand – datenschutzrechtlich vorzugswürdig sein, wenn ein Treuhänder einbezogen würde. So wäre hierdurch – auch auf Grund einer berufsrechtlichen oder vertraglichen Schweigepflicht – die (theoretische) Gefahr eines Datenmissbrauchs – also einer zweckwidrigen Verwendung der Daten – erheblich minimiert. Zudem könnte sichergestellt werden, dass die Daten nach Erreichung des Zwecks auch datenschutzkonform gelöscht werden. Dies hängt aber ganz wesentlich von der Ausgestaltung der Treuhand ab, insbesondere davon, für wen der Treuhänder die Daten treuhänderisch hält, also für den Verein oder für den Anspruchsteller (oder in Form einer sogenannten Doppeltreuhand).
Die konkrete Ausgestaltung der Treuhand hätte auch erheblichen Einfluss auf die sonstigen datenschutzrechtlichen Pflichten. So würde in einer Abwicklung über einen für den Verein treuhänderisch haltenden Dritten keine (rechtsfertigungsbedürftige) Datenübermittlung vorliegen (weder Rechtsgrundlage nach Artikel 6 DSGVO noch Informationen nach Artikel 13, 14 DSGVO erforderlich). Eine Datenübermittlung an einen Treuhänder, welcher die Daten treuhänderisch für den Anspruchsteller hält, würde dagegen eine Datenübermittlung an den Anspruchsteller darstellen. So bestimmt der Anspruchsteller über den Treuhandvertrag Zweck und Mittel der Datenverarbeitung und ist damit als Verantwortlicher gem. Artikel 4 Nr. 7 DSGVO anzusehen. Der Treuhänder wäre datenschutzrechtlich insoweit wohl Auftragsverarbeiter für den Anspruchsteller nach Artikel 28 DSGVO. Auch bei einer doppelten Treuhand, welche abhängig von der konkreten Ausgestaltung als gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO anzusehen wäre, könnte eine Datenerhebung auf Seiten des
Anspruchstellers vorliegen.
Abschließend wurde dem Verein dazu geraten, die Versendung der Informationsschreiben für den Anspruchsteller zu übernehmen, so dass keine Daten übermittelt werden mussten. Auf Grund der Versendung via E-Mail konnten die Kosten auch gering gehalten werden. Eine solche Kooperation bietet sich auch für andere Vereine an: Es lauern keine datenschutzrechtlichen Fallstricke, das Vertrauen der Mitglieder in den vertraulichen Umgang mit ihren Daten bleibt erhalten und zu guter Letzt werden (unnötige) Kosten auf allen Seiten gespart.
Quelle: LfDI BW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks