Rechtsgrundlagen
Im Berichtszeitraum haben die Datenschutzaufsichtsbehörden viele Anfragen von Vereinen zur Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) erreicht, die für eine gewisse Unsicherheit beim Umgang mit Mitgliederdaten sprachen.
Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten im Verein nur dann zulässig ist, wenn sie für die Begründung und die Durchführung eines Vertragsverhältnisses (Buchhaltung, Mitgliederverwaltung oder Durchführung von Vereinsaktivitäten) erforderlich ist. Ein solches Vertragsverhältnis geht das Mitglied mit seinem Beitritt in den Verein ein. Verantwortlicher im Sinne der DSGVO ist immer der Verein, also der Vorstand.
Die Rechtsgrundlagen für die Verarbeitung von Mitgliederdaten finden sich in Art. 6 DSGVO. Unter diese Rechtsvorschrift fallen alle Verarbeitungen der Mitgliederdaten, die für die Verwaltung und Betreuung der Mitglieder und die Verfolgung der Vereinsziele erforderlich sind. Wenn also beispielsweise das Ziel des Vereins unter anderem darin besteht, seine Mitglieder untereinander in Kontakt zu bringen (z. B. bei Ehemaligenvereinen) sowie bei Vereinen, deren Ziel in der Vernetzung seiner Mitglieder besteht, ist die Zulässigkeit gemäß Art. 6 Abs. 1 lit. b DSGVO leicht ersichtlich. In diesem Fall wäre das Verteilen von Mitgliederlisten in der Regel durch diese Bestimmung gedeckt. Vereinsziele müssen aber in der Satzung definiert sein, damit sie als Rechtfertigungsgrund dienen können. Die einzelnen Verarbeitungen müssen hier mit ihrem konkreten Zweck transparent aufgeführt werden.
Einwilligung
Sollen personenbezogene Daten zu Zwecken verarbeitet werden, die in der Satzung nicht erwähnt sind, ist als gesetzliche Grundlage eine Einwilligung der Mitglieder erforderlich. Eine Einwilligung kann beispielsweise in Teilnahmeanträgen enthalten sein.
Die Einwilligung ist nicht zwingend schriftlich einzuholen. Auch mündliche Erklärungen sind wirksam. Da das Vorliegen von Einwilligungen im Zweifelsfall jedoch nachgewiesen werden muss, sind schriftliche Einwilligungen vorzuziehen, denn im Fall von Unstimmigkeiten führen sie für den Verein immer zu Rechtssicherheit.
Eine starre Altersgrenze in Bezug auf die Einwilligungsfähigkeit kennt die DSGVO außerhalb des Art. 8 DSGVO (hier 16 Jahre, diese Vorschrift gilt nur im Zusammenhang mit kindorientierten Telemedien, wie z. B. an Kinder gerichtete Onlineshops und -spiele) nicht. Bei Kindern unter 13 Jahren ist jedoch regelmäßig davon auszugehen, dass sie die Konsequenzen der Verwendung ihrer Daten noch nicht übersehen können. Ist die Einsichtsfähigkeit zu verneinen, ist die Verarbeitung der Daten nur mit Einwilligung der Personensorgeberechtigten zulässig.
Herausgabe von Mitgliederlisten an die Vereinsmitglieder
Bei Vereinsmitgliedern untereinander handelt es sich im Datenschutzrecht um Dritte. Vereinsmitglieder dürfen also nicht einfach auf die Daten der anderen Mitglieder zugreifen. Mitgliederlisten dürfen daher nicht ohne weiteres herausgegeben werden. Die Weitergabe der Mitgliederliste wäre durch Art. 6 Abs. 1 lit. b DSGVO lediglich dann gedeckt, wenn das Ziel des Vereins darin besteht, seine Mitglieder untereinander in Kontakt zu bringen oder der Vernetzung seiner Mitglieder dient. Anderenfalls wäre die Einwilligung der Mitglieder einzuholen.
Leitfaden für Vereine
Da seit dem Inkrafttreten der DSGVO viele Fragen zum Umgang mit Mitgliederdaten gestellt wurden, har die Aufsichtsbehörde einen „Leitfaden Datenschutz – Orientierungshilfe für Vereine“, gemeinsam mit der Stiftung für Ehrenamt und bürgerschaftliches Engagement in Mecklenburg-Vorpommern erarbeitet. Dieser enthält auch Muster für eine Einwilligungserklärung für die Veröffentlichung von Mitgliederdaten im Internet sowie ein Muster für die Erfüllung der Informationspflicht bei der Erhebung von personenbezogenen Daten gemäß Art. 13 DSGVO. Auch auf der Internetseite des Landessportbundes Mecklenburg-Vorpommern e. V. gibt es unter der Überschrift „Datenschutz – Erste Hilfe zur Datenschutz-Grundverordnung für Sportvereine“ entsprechende Hinweise.
Quelle: LfDI M-V
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks