DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ
Datenschutz im Verein nach der Daten-schutzgrundverordnung (DS-GVO)
Informationen über die datenschutzrechtlichen
Rahmenbedingungen beim Umgang mit
personenbezogenen Daten in der Vereinsarbeit
- Gültig ab 25. Mai 2018 -
Seite 2
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Telefon 0711/615541-0
Telefax 0711/615541-15
E-Mail: poststelle@lfdi.bwl.de
(Schutzbedürftige Daten sollten nicht unverschlüsselt per E-Mail oder via Telefax übertragen werden.)
PGP-Fingerprint: E4FA 428C B315 2248 83BB F6FB 0FC3 48A6 4A32 5962
Homepage: www.baden-wuerttemberg.datenschutz.de
Seite 3
Inhaltsübersicht
1. Rechtsgrundlagen für den Umgang mit personenbezogenen Daten von Mitgliedern und sonstigen Personen ........................................................ 5
1.1 Datenschutzgrundverordnung und Bundesdatenschutzgesetz-neu als Rechtsgrundlage .......................................................................................... 5
1.2 Begriffsbestimmungen ................................................................................. 5
1.3 Rechtmäßigkeit der Verarbeitung ................................................................ 6
1.3.1 Rechtsgrundlagen ............................................................................... 6
1.3.2 Informationspflichten ........................................................................... 7
1.3.3 Schriftliche Regelungen zum Datenschutz: Datenschutzordnung ........................................................................... 8
1.3.4 Einwilligung ....................................................................................... 10
2. Erhebung personenbezogener Daten durch den Verein .............................. 12
2.1 Erhebung von Daten der Vereinsmitglieder ............................................... 12
2.2 Erhebung von Daten Dritter ....................................................................... 13
2.3 Erhebung von Personaldaten der Beschäftigten des Vereins .................... 14
2.4 Hinweispflicht bei Datenerhebung ............................................................. 14
3. Speicherung personenbezogener Daten ........................................................ 15
3.1 Sicherheit personenbezogener Daten ....................................................... 15
3.2 Datenverarbeitung im Auftrag .................................................................... 15
3.3 Cloud-Mitgliederverwaltungsdienste .......................................................... 18
4. Nutzung von personenbezogenen Daten ....................................................... 19
4.1 Nutzung von Mitgliederdaten ..................................................................... 19
4.2 Nutzung von Daten Dritter ......................................................................... 19
4.3 Nutzung der Daten des Vereins für Spendenaufrufe und Werbung ........... 19
5. Verarbeitung personenbezogener Daten durch den Verein, insbesondere Übermittlung an Dritte ............................................................. 20
5.1 Datenübermittlung an Vereinsmitglieder .................................................... 21
5.2 Bekanntgabe zur Wahrnehmung satzungsmäßiger Mitgliederrechte ........ 22
5.3 Mitteilungen in Aushängen und Vereinspublikationen ............................... 22
5.4 Datenübermittlung an Dachverbände und andere Vereine ........................ 24
5.5 Datenübermittlung an Sponsoren und Firmen zu Werbezwecken (insbesondere Versicherungen) ................................................................. 25
5.6 Veröffentlichungen im Internet ................................................................... 27
5.7 Veröffentlichungen im Intranet ................................................................... 28
5.8 Personenbezogene Auskünfte an die Presse und sonstige Massenmedien .......................................................................................... 29
Seite 4
5.9 Übermittlung für Zwecke der Wahlwerbung ............................................... 29
5.10 Übermittlung von Mitgliederdaten an die Gemeindeverwaltung ................. 29
5.11 Datenübermittlung an den Arbeitgeber eines Mitglieds und an die Versicherung .............................................................................................. 30
6. Recht auf Löschung und Einschränkung personenbezogener Daten ......... 30
7. Organisatorisches ............................................................................................ 31
7.1 Benennung eines Datenschutzbeauftragten .............................................. 31
7.2 Verzeichnis von Verarbeitungstätigkeiten .................................................. 33
7.3 Datenschutz-Folgeabschätzung ................................................................ 34
8. Anhang .............................................................................................................. 35
Seite 5
1. Rechtsgrundlagen für den Umgang mit personenbezogenen Daten von Mitgliedern und sonstigen Personen
1.1 Datenschutzgrundverordnung und Bundesdatenschutzgesetz-neu als Rechtsgrundlage
Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (DS-GVO) in Deutsch-land und in allen anderen Mitgliedstaaten der Europäischen Union geltendes Recht. Die DS-GVO ist ab diesem Zeitpunkt
unmittelbar anwendbar und verdrängt die bis-her geltenden datenschutzrechtlichen Regelungen. An einigen Stellen der Grundver-ordnung ist der nationale Gesetzgeber ermächtigt, die Regelungen der
Verordnung zu konkretisieren und zu ergänzen (sogenannte Öffnungsklauseln). Hiervon hat der Gesetzgeber durch die Schaffung des BDSG-neu Gebrauch gemacht. Rechtsgrund-lage für die Verarbeitung
personenbezogener Daten sind daher ab dem 25. Mai 2018 die DS-GVO (mitsamt ihren „Erwägungsgründen“) und das BDSG-neu.
Verarbeitet ein Verein (Verband) ganz oder teilweise automatisiert personenbezoge-ne Daten seiner Mitglieder und sonstiger Personen oder erfolgt eine nichtautomati-sierte Verarbeitung
personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, ist nach Art. 2 Abs. 1 DS-GVO deren Anwen-dungsbereich eröffnet.
Unerheblich ist dabei, ob der Verein ins Vereinsregister eingetragen ist und damit eine eigene Rechtspersönlichkeit besitzt, oder ob es sich um einen nicht rechtsfähi-gen Verein handelt.
Da die DS-GVO nicht mehr zwischen öffentlichen und nicht-öffentlichen Stellen un-terscheidet, gelten für Vereine grundsätzlich sämtliche Vorschriften der DS-GVO.
1.2 Begriffsbestimmungen
Personenbezogene Daten sind nicht nur die zur unmittelbaren Identifizierung einer natürlichen Person erforderlichen Angaben, wie etwa Name, Anschrift und Geburts-datum, sondern darüber hinaus alle
Informationen, die sich auf eine in sonstiger Weise identifizierte oder identifizierbare natürliche Personen beziehen (Art. 4 Nr. 1 DS-GVO), wie beispielsweise Familienstand, Zahl der Kinder, Beruf,
Telefonnummer, E-Mail-Adresse, Anschrift, Eigentums- oder Besitzverhältnisse, persönliche Interes-sen, Mitgliedschaft in Organisationen, Datum des Vereinsbeitritts, sportliche Leistun-gen,
Platzierung bei einem Wettbewerb und dergleichen. Dies gilt für Informationen jedweder Art, also für Schrift, Bild oder Tonaufnahmen. Nicht von der DS-GVO ge-schützt werden Angaben über Verstorbene,
wie etwa in einem Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf einer Liste der Verstorbenen (Erwägungsgrund 27 DS-GVO).
Seite 6
Statt einer Unterteilung in die Erhebung, Verarbeitung oder Nutzung der Daten wie bisher wird in der DS-GVO einheitlich der Begriff Verarbeitung verwendet. Der Be-griff ist sehr weit gefasst und
umfasst jeden Vorgang oder jede Vorgangsreihe in Zu-sammenhang mit personenbezogenen Daten. Als Verarbeitungsarten nennt die DS-GVO neben dem Erheben, Erfassen, Verwenden, Offenlegen, Verbreiten,
Abglei-chen das Löschen sowie das Vernichten (Art. 4 Nr. 1 DS-GVO).
Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder nach funktionalen oder
geographischen Gesichtspunkten geordnet geführt wird (Art. 4 Nr. 6 DS-GVO). Dazu zählen auch Papier-Akten.
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung o-der andere Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mit-tel der Verarbeitung von
personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Dem Verein (Verband) sind seine unselbständigen Untergliederungen wie Ab-teilungen, Ortsvereine oder Ortsgruppen sowie seine
Funktionsträger, Auftragneh-mer (s. u. Nr. 3.2), und seine Mitarbeiter, soweit diese im Rahmen der Aufgabenerfül-lung für den Verein tätig werden, zuzurechnen. Die Vereinsmitglieder einerseits so-wie
die Dachverbände andererseits, in denen der Verein selbst Mitglied ist, sind da-gegen als außerhalb des Vereins stehende Stellen und damit als Dritte anzusehen.
Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS-GVO).
Eine Auftragsverarbeitung spielt beispielsweise bei der Verlagerung der Mitgliederverwaltung in eine Cloud eine wichtige Rolle (s. u. Nr. 3.3), auch bei der EDV-Wartung und der
Aktenvernichtung.
1.3 Rechtmäßigkeit der Verarbeitung
Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten richtet sich nach Art. 6 Abs. 1 DS-GVO. Damit eine Verarbeitung rechtmäßig ist, müssen personenbe-zogene Daten mit Einwilligung der
betroffenen Person oder auf einer sonstigen zu-lässigen Rechtsgrundlage, die sich aus der DS-GVO, aus dem sonstigen Unions-recht oder dem Recht der Mitgliedsstaaten ergibt, verarbeitet werden (Art. 6
Abs. 1 DS-GVO; Erwägungsgrund 40 DS-GVO). Datenschutzrechtlich ist nicht etwa alles erlaubt, was nicht ausdrücklich verboten ist. Vielmehr bedarf umgekehrt jede Verar-beitung personenbezogener Daten
einer Rechtsgrundlage.
1.3.1 Rechtsgrundlagen
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommen insbe-sondere Art. 6 Abs. 1 lit. b) und lit. f) DS-GVO in Betracht (Näheres dazu unter 2.1).
Seite 7
Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitglie-dern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereins-satzung und sie ergänzende Regelungen
(z.B. eine Vereinsordnung) vorgegeben wird. Eine Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mit-gliederdaten genutzt werden können.
Erhebt ein Verein personenbezogene Daten von einer betroffenen Person (z. B. Ver-einsmitglied, Teilnehmer an einem Wettbewerb oder Lehrgang), so sind die Zwecke, für welche die Daten verarbeitet oder
genutzt werden sollen, konkret festzulegen (Art. 5 Abs. 1 lit. b) DS-GVO).
Hierbei ist jedoch zu beachten, dass die Vereinssatzung einer Inhaltskontrolle nach § 242 des Bürgerlichen Gesetzbuches (BGB) unterliegt. Das Vereinsmitglied ist vor unbillig überraschenden
Bestimmungen und Belastungen zu schützen, mit denen es beim Vereinsbeitritt nicht rechnen konnte. Regelungen in der Vereinssatzung, die verfassungsrechtlich geschützte Positionen der Mitglieder
beeinträchtigen, sind da-her unwirksam. Dies kann etwa dann der Fall sein, wenn der Verein durch die Sat-zung eine Verarbeitung personenbezogener Daten vorsieht, die weder für die Be-gründung und
Durchführung des zwischen Mitglied und Verein durch den Beitritt zu-stande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses noch für die Er-reichung des Vereinszwecks erforderlich ist.
Auch später darf die Vereinsatzung in Bezug auf die Verarbeitung personenbezoge-ner Daten nicht einfach durch Mehrheitsbeschluss geändert werden. Erfordert der neue Vereinszweck eine weitergehende
Verarbeitung personenbezogener Daten, darf die Satzung nur insoweit geändert werden, wie der neue Verarbeitungszweck mit dem ursprünglichen in einem Zusammenhang steht (vgl. Art. 6 Abs. 4 lit. a)
DS-GVO, Erwägungsgrund 50). Aus dem Vertragsverhältnis folgt, dass der Verein bei der Erhebung, Verarbeitung und Nutzung von Daten die Datenschutzgrundrechte seiner Mitglieder angemessen
berücksichtigen muss.
1.3.2 Informationspflichten
Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Per-son, so hat der Verein aus Gründen der Transparenz von Datenverarbeitungspro-zessen zum Zeitpunkt der Datenerhebung eine
entsprechende datenschutzrechtli-che Unterrichtung vorzunehmen (Art. 13 Abs. 1 und Abs. 2 DS-GVO). Daraus folgt, dass der Verein in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt,
auf Folgendes hinweisen muss:
Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
Kontaktdaten des Datenschutzbeauftragten
Zwecke der Verarbeitung (bitte im Einzelnen aufzählen)
Seite 8
Rechtsgrundlage der Verarbeitung
berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO
Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezo-gener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmit-glieder, im Internet)
Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in der Cloud), so-wie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
Speicherdauer der personenbezogenen Daten
Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Ein-schränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
Teilt der Verantwortliche die vorgesehenen Informationen nicht, nicht vollständig oder inhaltlich unrichtig mit, so verletzt er seine Informationspflichten. Das ist gemäß Art. 83 Abs. 5 lit. b)
DS-GVO bußgeldbewehrt.
Werden personenbezogene Datei auf andere Weise als bei der betroffenen Person erhoben, so richten sich die Informationspflichten nach Art. 14 Abs. 1 und Abs. 2 DS-GVO. Die meisten der
Informationspflichten aus Art. 14 Abs. 1 und Abs. 2 DS-GVO haben denselben Inhalt wie Art. 13 Abs. 1 und Abs. 2 DS-GVO. Zusätzlich muss der Verein die betroffene Person über die Kategorie der
verarbeiteten personenbezoge-nen Daten und über die Quelle der erhobenen Daten informieren. Der Verein muss diese Informationen innerhalb einer angemessenen Frist, spätestens jedoch inner-halb eines
Monats nach der Erhebung erteilen (Art. 14 Abs. 3 lit a) DS-GVO). Ein Verstoß gegen die Informationspflicht kann eine Geldbuße gemäß Art. 83 Abs. 5 lit. b) DS-GVO zur Folge haben.
1.3.3 Schriftliche Regelungen zum Datenschutz: Datenschutzordnung
Den Verein trifft die Pflicht, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich festzulegen. Entsprechende Datenschutzregelungen können entweder in die Vereinssatzung
aufgenommen oder in einem gesonderten Regel-werk niedergelegt werden. Für Letzteres gibt es keine feste Bezeichnung; am ge-bräuchlichsten sind noch die Begriffe „Datenschutzordnung“,
„Datenschutzricht-linie“ oder „Datenverarbeitungsrichtlinie“. Die Datenschutzordnung kann, wenn die Vereinssatzung nichts anderes bestimmt, vom Vorstand oder von der Mitglieder-versammlung
beschlossen werden und muss nicht die Qualität einer Satzung haben.
Es ist empfehlenswert, sich beim Aufbau der Datenschutzregelungen am Weg der Daten von der Erhebung über die Speicherung, Nutzung, Verarbeitung (insbesonde-re Übermittlung) bis zu ihrer Sperrung und
Löschung zu orientieren. Dabei ist jeweils
Seite 9
konkret festzulegen, welche Daten (z.B. Name, Vorname, Adresse, E-Mail-Adresse usw.) welcher Personen (z.B. Vereinsmitglieder, Teilnehmer an Veranstal-tungen oder Lehrgängen, Besucher von
Veranstaltungen) für welche Zwecke ver-wendet werden, ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen. Die bloße Wiedergabe des Wortlauts der Bestimmungen der DS-GVO bzw. des BDSG-neu sind
in keinem Fall ausreichend. Die DS-GVO bzw. das BDSG-neu machen die Zulässigkeit der Verarbeitung von Daten vielfach von Interessenabwägungen abhän-gig oder stellt sie unter den Vorbehalt der
Erforderlichkeit. Im Interesse der Rechtssi-cherheit sollten diese abstrakten Vorgaben soweit irgend möglich konkretisiert und durch auf die Besonderheiten und Bedürfnisse des jeweiligen Vereins
angepasste eindeutige Regelungen ersetzt werden.
Der Verein sollte insbesondere schriftlich festlegen, welche Daten beim Vereinsein-tritt für die Verfolgung des Vereinsziels und für die Mitgliederbetreuung und -verwaltung notwendigerweise erhoben
werden. Auch sollte geregelt werden, wel-che Daten für welche andere Zwecke des Vereins oder zur Wahrnehmung der Inte-ressen Dritter bei den Mitgliedern in Erfahrung gebracht werden. Ferner muss
gere-gelt werden, welche Daten von Dritten erhoben werden, wobei hier auch der Erhe-bungszweck festzulegen ist. Auch sollte erkennbar sein, welche Angaben für Leis-tungen des Vereins erforderlich
sind, die nicht erbracht werden können, wenn der Betroffene nicht die dafür erforderlichen Auskünfte gibt.
Der Verein sollte außerdem regeln, welcher Funktionsträger zu welchen Daten Zu-gang hat und zu welchem Zweck er Daten von Mitgliedern und Dritten verarbeiten und nutzen darf. Ferner sollte geregelt
werden, welche Daten zu welchem Zweck im Wege der Auftragsdatenverarbeitung (s. u. Nr. 3.2) verarbeitet werden.
Des Weiteren sollte der Verein festlegen, zu welchem Zweck welche Daten von wem an welche Stellen (das können auch Vereinsmitglieder sein) übermittelt werden bzw. welche Daten so gespeichert werden
(dürfen), dass Dritte - also Personen, die die nicht zur regelmäßigen Nutzung der Daten befugt sind (s. u. Nr. 4.1) - darauf Zu-griff nehmen können. Der Kreis dieser Zugriffsberechtigten muss genau
beschrieben sein. Auch muss geregelt werden, unter welchen Voraussetzungen welche Daten-übermittlung erfolgen darf, insbesondere welche Interessen des Vereins oder des Empfängers dabei als berechtigt
anzusehen sind. Auch sollte festgelegt werden, zu welchem Zweck die Empfänger die erhaltenen Daten nutzen dürfen und ob sie sie weitergeben können. Ferner sollte geregelt sein, welche Daten
üblicherweise am „Schwarzen Brett“ oder in den Vereinsnachrichten offenbart und welche in das Internet oder Intranet eingestellt werden.
Diese Datenschutzordnung sollte von der Mitgliederversammlung beschlossen wer-den. Wegen einer späteren Änderung s.o. Nr. 1.3.1.
Seite 10
1.3.4 Einwilligung
Eine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist erforderlich, soweit der Verein in weitergehendem Maße personenbezoge-ne Daten verarbeitet, als er aufgrund der
unten unter Nr. 2, 4 und 5 dargestellten Regelungen befugt ist. Es empfiehlt sich nicht, Einwilligungen für Datenverarbei-tungsmaßnahmen einzuholen, die bereits aufgrund einer gesetzlichen Erlaubnis
möglich sind. Denn dadurch wird beim Betroffenen der Eindruck erweckt, er könne mit der Verweigerung der Einwilligung oder ihrem späterem Widerruf die Datenverar-beitung verhindern. Hat der Verein
aber von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zu-rückzugreifen, wird der Betroffene getäuscht, wenn man ihn erst nach
seiner aus-drücklichen Einwilligung fragt, dann aber doch auf gesetzliche Ermächtigungen zu-rückgreift.
Eine Einwilligung ist datenschutzrechtlich nur wirksam, wenn sie auf der freien Ent-scheidung des Betroffenen beruht und dieser zuvor ausreichend und verständlich darüber informiert worden ist,
welche Daten aufgrund der Einwilligung für welchen Zweck vom Verein verarbeitet werden sollen. Insbesondere soll darauf aufmerksam gemacht werden, welche verschiedenen Verarbeitungsvorgänge i.S. des
Art. 4 lit. a) DS-GVO vorgesehen sind, unter welchen Voraussetzungen die Daten an Dritte wei-tergegeben werden, dass die Erklärung freiwillig ist, wie lange die Daten bei wem gespeichert sein sollen
und was die Einwilligung rechtlich für die betroffene Person bedeutet. Soweit es nach den Umständen des Einzelfalles erforderlich ist, oder wenn
die betroffene Person das verlangt, soll sie auch über die Folgen der Verweigerung der Einwilligung belehrt werden (§ 51 Abs. 4 Sätze 3 und 4 BDSG-neu). Auch soll die betroffene Person vor der Abgabe
der Einwilligung darauf aufmerksam gemacht werden, dass sie diese stets widerrufen kann (§ 51 Abs. 3 Satz 3 BDSG-neu). Eine Dokumentation dieser Informationen ist nicht vorgeschrieben, doch ist der
Erklä-rungsempfänger ggf. beweispflichtig, dass bzw. mit welchem Inhalt die Hinweise er-folgt sind. Die Aufnahme in einem Verein darf grundsätzlich nicht von der Einwilli-gung in die
Datenverarbeitung für vereinsfremde Zwecke abhängig gemacht werden (Art. 7 Abs. 4 DS-GVO).
Im Gegensatz zum BDSG, das für Einwilligungen grundsätzlich die Schriftform und nur ausnahmsweise auch die elektronische Form zulässt, ermöglicht die DS-GVO, dass die Einwilligung schriftlich,
elektronisch, mündlich oder sogar konkludent erfolgen kann.
Jedoch muss der Verein für den Fall, dass die Verarbeitung auf einer Einwilligung beruht, nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt
hat (Art. 7 Abs. 1 DS-GVO). Aus diesem
Seite 11
Grund ist zu anzuraten, Einwilligungen zum Zwecke des Nachweises schriftlich ein-zuholen oder die Abgabe einer Einwilligung anderweitig zu dokumentieren.
Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche oder elektroni-sche Erklärung, muss bereits das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in
einer klaren und einfachen Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist (Art. 7 Abs. 2 Satz 1 DS-GVO; § 51 Abs. 2 BDSG-neu). Nicht zuletzt deswegen muss die
Einwilligungspassage selbst, wenn sie Teil eines größeren Textes ist, optisch hervorgehoben werden. Dies kann durch drucktechnische Hervorhebung oder Absetzen vom sonstigen Erklä-rungstext geschehen.
Da grundsätzlich für jede Art der Datenverarbeitung i. S. des Art. 6 lit. a) DS-GVO und für jeden Verarbeitungsvorgang eine gesonderte Einwil-ligung eingeholt werden muss (Erwägungsgrund 43 DS-GVO),
soll bei Einwilligun-gen zu Datenübermittlungen an verschiedene Empfänger für unterschiedliche Zwe-cke der Vordruck so gestaltet sein, dass ein Beitrittswilliger bei der Abgabe seiner Erklärung durch
Ankreuzen differenzieren kann.
Datenschutzrechtliche Einwilligungen der Vereinsmitglieder können nicht durch Mehrheitsbeschlüsse der Mitgliederversammlung oder des Vorstands ersetzt wer-den. Eine sogenannte „Widerspruchslösung“,
wonach die Einwilligung unterstellt wird, wenn der Betroffene einer Datenverarbeitungsmaßnahme - etwa der Veröffent-lichung seiner Personalien im Internet - nicht ausdrücklich widerspricht, stellt
keine wirksame Einwilligung dar.
Eine starre Altersgrenze in Bezug auf die Einwilligungsfähigkeit kennt die DS-GVO außerhalb des Art. 8 DS-GVO (diese Vorschrift gilt nur im Zusammenhang mit kindorientierten Telemedien, wie z.B. an
Kinder gerichtete Onlineshops und -spiele) nicht. Kinder und Jugendliche können daher in die Verarbeitung ihrer personenbe-zogenen Daten selbst einwilligen, wenn sie in der Lage sind, die
Konsequenzen der Verwendung ihrer Daten zu übersehen und sich deshalb auch verbindlich dazu zu äußern. Maßgeblich ist der jeweilige Verwendungszusammenhang der Daten und der Reifegrad bzw. die
Lebenserfahrung des Betroffenen. Bei Kindern unter 13 Jah-ren ist regelmäßig davon auszugehen, dass sie die Konsequenzen der Verwendung ihrer Daten nicht übersehen können. Ist die Einsichtsfähigkeit
zu verneinen, ist die Verarbeitung seiner personenbezogenen Daten nur mit Einwilligung seines Sorgebe-rechtigten zulässig.
Als Anlage ist das Muster einer Einwilligungserklärung für die Veröffentlichung personenbezogener Mitgliederdaten im Internet beigefügt. Es empfiehlt sich, eine solche Einwilligung von Neumitgliedern
bereits bei der Aufnahme in den Verein ein-zuholen. Altmitglieder können über die Vereinsmitteilungen eine allgemeine Informa-
Seite 12
tion mit einer derartigen Einwilligungserklärung und dem Hinweis auf das jederzeitige Widerrufsrecht erhalten. Dabei sollte ein Formular Folgendes berücksichtigen:
– Das Vereinsmitglied erteilt seine Einwilligung freiwillig und kann sie jederzeit wi-derrufen. Das Mitglied kann den Umfang der zu veröffentlichenden Daten von vornherein beschränken.
– Dem Mitglied muss die Tragweite seiner Erklärung bewusst sein. Das ist nur der Fall, wenn es weiß, welche seiner Daten in das Internet eingestellt werden sollen.
2. Erhebung personenbezogener Daten durch den Verein
2.1 Erhebung von Daten der Vereinsmitglieder
Ein Verein darf aufgrund des Art. 6 Abs. 1 lit. b) DS-GVO beim Vereinsbeitritt (Auf-nahmeantrag oder Beitrittserklärung) und während der Vereinsmitgliedschaft nur sol-che Daten von Mitgliedern
erheben, die für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsge-schäftsähnlichen Schuldverhältnisses erforderlich sind. Damit dürfen
alle Daten er-hoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift, in der Regel auch das Ge-burtsdatum, ferner
Bankverbindung, Bankleitzahl und Kontonummer) notwendig sind.
Der Abschluss von Versicherungsverträgen zugunsten des Vereins oder seiner Mitglieder ist vom Vereinszweck gedeckt, soweit Risiken bestehen, gegen die sich der Verein nicht zuletzt aus
Fürsorgegründen versichern muss, so dass die Daten, die dafür erforderlich sind, erhoben werden dürfen. Grundsätzlich nicht erforderlich ist dagegen die Frage nach der früheren Mitgliedschaft des
Beitrittswilligen in einer konkurrierenden Organisation. Die vom Verein erhobenen Daten werden nur dann „gleichzeitig“ Daten eines anderen Vereins, etwa eines Dachverbandes, wenn das Vereinsmitglied
auch der anderen Vereinigung ausdrücklich und aufgrund eigener Erklärung beitritt. Es genügt dafür nicht, dass der Verein selbst Mitglied eines ande-ren Vereins oder Dachverbands ist. Dann ist Art.
26 DS-GVO zu beachten.
Nach Art. 6 Abs. 1 lit. f) DS-GVO kann der Verein Daten bei seinen Mitgliedern für einen anderen Zweck als zur Verfolgung eigener Vereinsziele und zur Mitgliederbe-treuung und -verwaltung erheben,
wenn der Verein ein berechtigtes Interesse da-ran hat. Berechtigt in diesem Sinne ist jeder Zweck, dessen Verfolgung nicht im Wi-derspruch zur Rechtsordnung steht und von der Gesellschaft nicht
missbilligt wird. Aus dem vertraglichen Vertrauensverhältnis zwischen den Vereinsmitgliedern und dem Verein folgt jedoch, dass der Verein bei der Verarbeitung der personenbezoge-nen Daten seiner
Mitglieder stets auf deren Datenschutzgrundrecht besonders Rück-
Seite 13
sicht zu nehmen hat. Die Mitgliederdaten dürfen deswegen nur ausnahmsweise für einen anderen Zweck als zur Betreuung und Verwaltung der Mitglieder und zur Errei-chung des Vereinszwecks verwendet
werden.
Soll die Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgrund des Art. 6 Abs. 1 lit. f) DS-GVO erfolgen, ist dies nur zulässig, sofern nicht die Inte-ressen oder Grundrechte und
Grundfreiheiten der betroffenen Person (Daten-schutzgrundrechte) überwiegen. Neu ist, dass die DS-GVO davon ausgeht, dass ein solches Überwiegen insbesondere dann vorliegt, wenn es sich bei der
betroffenen Person um ein „Kind“ handelt. Bei Kindern unter 16 Jahren überwiegen hierbei re-gelmäßig die schutzwürdigen Interessen des betroffenen Kindes, im Alter zwischen 16 und 18 Jahren kann
hingegen eine Abwägung mit anderen Interessen erfolgen.
Überwiegende Interessen oder Grundrechte und Grundfreiheiten können wirtschaftli-che und berufliche Belange ebenso sein, wie der Wunsch des Betroffenen, dass sei-ne Privat-, Intim- und
Vertraulichkeitssphäre gewahrt wird. Neumitglieder sollten beim Eintritt in den Verein danach gefragt werden, ob es derartige schutzwürdige Belange in ihrer Person gibt. Es ist aber durchaus auch
möglich, später in einem Rundschrei-ben, im Vereinsblatt oder per E-Mail die Mitglieder aufzufordern, derartige Belange vorzubringen, wenn der Verein eine Datenverarbeitung aufgrund des Art. 6 Abs. 1
lit. f) DS-GVO beabsichtigt. Der Verein sollte in einer Datenschutzordnung (s. o. Nr. 1.3.3) regeln, auf welchem Weg die Betroffenen ihre schutzwürdigen Interessen gel-tend machen können.
2.2 Erhebung von Daten Dritter
Nach Art. 6 Abs. 1 lit. f) DS-GVO kann der Verein Daten von anderen Personen als von Vereinsmitgliedern (z.B. von Gästen, Zuschauern, Besuchern, fremden Spielern, Teilnehmern an Lehrgängen und
Wettkämpfen) erheben, soweit dies zur Wahrneh-mung berechtigter Interessen des Vereins erforderlich ist und sofern nicht die Inte-ressen oder Grundrechte und Grundfreiheiten der betroffenen Person
überwie-gen. Ein berechtigtes Interesse besteht grundsätzlich nur an den Daten, die für eine eindeutige Identifizierung erforderlich und ausreichend sind, d.h. Name, Vorname, Anschrift und
Geburtsdatum, nicht jedoch Personalausweis- oder Passnummer. So kann es zulässig sein, beim Verkauf von Eintrittskarten etwa für ein Fußballspiel Identifizierungsdaten von dem Verein nicht bekannten
Zuschauern zu erheben, um abzuklären, ob gegen sie ein Stadionverbot ausgesprochen worden ist oder ob sie als gewaltbereit anzusehen sind. Von den Meldebehörden darf der Verein keine Gruppenauskünfte
nach § 32 Abs. 3 Satz 1 des Meldegesetzes Baden-Württemberg einfordern. Dies ist selbst dann nicht zulässig, wenn der Verein karitative Ziele ver-folgt. Vereine sind datenschutzrechtlich
grundsätzlich ohne Einwilligung nicht be-
Seite 14
rechtigt, bei Dritten Erkundigungen (etwa als Zuchtverband bei den Käufern von Tieren einer bestimmten Hunderasse) - oder Kontrollen (etwa als Tierschutzverein) vorzunehmen, selbst wenn sich die
Vereinigung solches zum satzungsmäßigen Ziel gesetzt hat.
2.3 Erhebung von Personaldaten der Beschäftigten des Vereins
Die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Be-schäftigungsverhältnisses ist in Art. 88 DS-GVO und § 26 BDSG-neu gesondert ge-regelt. Als Beschäftigte sind die in § 26
Abs. 8 BDSG-neu aufgeführten Personen anzusehen. Soweit ein Verein daher Personen in einem abhängigen hauptamtlichen Verhältnis beschäftigt (z.B. Mitarbeiter der Vereinsgeschäftsstelle, Trainer) ist
§ 26 BDSG-neu anwendbar. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung des
Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus ei-nem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung
erge-benden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
2.4 Hinweispflicht bei Datenerhebung
Bei der Gestaltung von Erhebungsbögen und (Online-)Formularen, die zur Datener-hebung eingesetzt werden, ist die Hinweispflicht des Art. 13 DS-GVO zu beachten. Erhebt ein Verein personenbezogene
Daten vom Betroffenen, muss dieser nach Art. 13 DS-GVO belehrt werden (siehe dazu oben Nr. 1.3.2).
Vereinsmitglieder sind deswegen bei der Datenerhebung darauf aufmerksam zu ma-chen, welche Angaben für die Mitgliederverwaltung und welche für die Verfolgung des Vereinszwecks bestimmt sind. Sollen
Daten zum Zwecke der Verfolgung des Vereinsziels oder der Mitgliederverwaltung und -betreuung an andere Stellen über-mittelt werden (etwa an einen Dachverband, damit dieser Turniere ausrichten kann,
an eine Unfallversicherung oder an die Gemeinde [s. u. Nr. 5.10]), muss auch darauf hingewiesen werden. Insbesondere ist das Mitglied darauf hinzuweisen, welche An-gaben im Vereinsblatt
veröffentlicht oder in das Internet eingestellt werden, etwa im Falle der Wahl als Vorstandsmitglied (s. u. Nr. 5.3 und 5.6). Kann dem Vereinsmit-glied ein bestimmter Vorteil, etwa ein
Versicherungsschutz, nur gewährt werden, wenn es dazu bestimmte Angaben macht, muss es darauf aufmerksam gemacht werden, welche Nachteile die Verweigerung dieser Informationen mit sich bringt.
Weitere Informationen zum diesem Thema finden Sie im Kurzpapier der DSK unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/08/DSK_KPNr_10_Informationspflichten.pdf
Seite 15
3. Speicherung personenbezogener Daten
Der Verein kann Daten mittels herkömmlicher Karteien oder automatisiert speichern (vgl. Art. 2 Abs. 1 DS-GVO). Die Speicherung kann auch durch ein Serviceunter-nehmen im Wege der
Auftragsdatenverarbeitung erfolgen. Sofern der Verein eigene Beschäftigte hat, müssen deren Personaldaten getrennt von den sonstigen Daten, insbesondere den Mitgliederdaten, gespeichert werden.
3.1 Sicherheit personenbezogener Daten
Nach Art. 32 DS-GVO sind bei der Verarbeitung personenbezogener Daten geeigne-te technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko an-gemessenes Schutzniveau zu gewährleisten.
Hierbei müssen die Maßnahmen einen Schutz gegen jegliche Arten (datenschutz-) rechtswidriger Verarbeitung von perso-nenbezogenen Daten bieten.
In Art. 32 Abs. 1 DS-GVO werden beispielhaft Mindestanforderungen wie Pseudo-nymisierung, Verschlüsselung und Maßnahmen zur Gewährleistung von Vertraulich-keit, Integrität und Verfügbarkeit der Daten
sowie technische und organisatorische Maßnahmen zur schnellen Wiederherstellung von Systemen bei technischen Zwi-schenfällen und solche zur regelmäßigen Evaluierung der Wirksamkeit aller
tech-nisch-organisatorischen Maßnahmen genannt.
Diese Maßnahmen sollte der Verein - unabhängig von gesetzlichen Vorgaben - be-reits aus eigenem Interesse umsetzen. So ist - um z.B. zu verhindern, dass die in einem Computersystem abgelegten
Mitgliederdaten von Unbefugten genutzt werden können - an die Einrichtung von passwortgeschützten Nutzer-Accounts und eines Firewall-Systems sowie eine Verschlüsselung der Mitgliederdaten zu denken.
Grundsätzlich sind die Maßnahmen auch dann geboten, wenn die Datenverarbeitung von Mitgliedern ehrenamtlich zu Hause mit eigener EDV-Ausstattung erledigt wird.
Die technischen und organisatorischen Maßnahmen sind von Art. 32 DS-GVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung sowie der Eintritts-wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der be-troffenen Personen zu treffen.
3.2 Datenverarbeitung im Auftrag
Insbesondere kleine Vereine bedienen sich zur Finanzierungs- und Adressverwal-tung mitunter Sparkassen und sonstiger Dienstleister. Diese werden als Auftragsver-arbeiter nach Weisung des Vereins
tätig. Eine Datenverarbeitung im Auftrag ist auch dann gegeben, wenn ein Verein seine Mitgliederdaten nicht auf einer eigenen EDV-Anlage speichert, sondern hierfür über das Internet einen
Datenbankserver nutzt,
Seite 16
den ein Dienstleistungsunternehmen zu diesem Zweck zur Verfügung stellt. Durch die Inanspruchnahme von Dienstleistungen der Post (Briefversand) oder des Betrei-bers eines Mailservers (beim Versenden
von E-Mails) kommt keine Datenverarbei-tung im Auftrag zustande.
Nach der DS-GVO ist für die Auftragsverarbeitung kennzeichnend, dass der Auf-tragsverarbeiter über die bloße Beauftragung hinaus gegenüber dem Verantwortli-chen weisungsabhängig ist, selbst wenn der
Auftragsverarbeiter über ein umfas-senderes Know-how als sein Auftraggeber verfügt und einen gewissen Spielraum für selbständige Entscheidungen hat, und der Auftragsverarbeiter vom Verantwortlichen
überwacht wird, selbst wenn der Verantwortliche dazu eine andere Stelle einschal-tet. Gegenüber den bisher geltenden Regelungen des § 11 BDSG schreibt die DSGVO teils erheblich weitergehende
Pflichten und Verantwortlichkeiten für den Auftragsverarbeiter fest. Er tritt insoweit nicht mehr hinter seinen Auftraggeber zu-rück, sondern ist selbst Adressat eigenständiger, also nicht mehr nur
vom Verant-wortlichen abgeleiteter Pflichten, bei deren Nichtbeachtung er unmittelbar vom Be-troffenen bzw. von den Behörden in Anspruch genommen werden kann.
Im Fall der Datenverarbeitung im Auftrag ist zu beachten, dass der Verein nur Auf-tragsverarbeiter einsetzen darf, die eine hinreichende Garantie für eine datenschutz-konforme Datenverarbeitung
gewährleistet ist (vgl. Art 28 Abs. 1 DS-GVO). Der Nachweis für diese Qualifikation kann über entsprechende Zertifizierungen gemäß Art. 42 DS-GVO und anerkannte Verhaltenskodizes nach Art. 40 DS-GVO
geführt werden (Art. 28 Abs. 5 DS-GVO).
Die Auftragsverarbeitung darf nur auf der Grundlage eines bindenden Vertrages erfolgen. Art. 28 Abs. 3 und Abs. 6 DS-GVO sieht vor, dass auch „ein anderes Rechtsinstrument“ als ein eigens
ausgehandelter Vertrag nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten Basis der Auftragsdatenverarbeitung sein kann. Die Auftraggeber bzw. Auftragnehmer haben somit künftig die Auswahl
zwischen individuellen Verträgen, Standardverträgen, die die EU-Kommission bereitstellt, Standardverträgen, die die Aufsichtsbehörde bereitstellt, und zertifizierten Vertrags-mustern. Sowohl der
Vertrag als auch die alternativen Rechtsinstrumente müssen den in Art. 28 Abs. 3 DS-GVO festgelegten Anforderungen genügen. Im Einzelnen muss festgelegt sein:
Gegenstand und Dauer der Auftragsdatenvereinbarung
Umfang, Art und Zweck der Datenerhebung
Art der zu verarbeitenden personenbezogenen Daten
Kategorie der von der Datenverarbeitung betroffenen Personen
Pflichten und Rechte des Verantwortlichen
Umfang der Weisungen, die zu dokumentieren sind
Seite 17
Verpflichtung des vom Auftragsverarbeiter eingesetzten Personals auf das Da-tengeheimnis
technische und organisatorische Maßnahmen
zulässige Unterauftragsverhältnisse
Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Er-füllung der in Kapitel III der DS-GVO vorgeschriebenen Rechte der betroffe-nen Personen
Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei den in Art. 32 ff. DS-GVO festgeschriebenen Verpflichtungen, insbesondere bei der Meldepflicht von Datenschutzverstößen
Abwicklung nach Beendigung der Auftragsverarbeitung
Kontrollrechte des Auftraggebers
Gemäß Art. 28 Abs. 9 DS-GVO muss der Vertrag entweder schriftlich oder in ei-nem elektronischen Format, also nicht mehr – wie bisher – mit qualifizierter elekt-ronischer Signatur, abgefasst sein.
Hierfür genügt jedoch nicht jede bestätigende E-Mail, vielmehr sind nur solche elektronische Formate akzeptabel, die beiden Parteien zu ihrer Information zugänglich sind, und wenn damit dokumentiert
ist, welcher Ver-tragsinhalt bestätigt wurde. Die Erklärung soll deswegen der „Textform“ i. S. des § 126b BGB entsprechen. Im Ergebnis muss der Vertragspartner in der Lage sein, das akzeptierte
Dokument „bei sich“ zu speichern und auszudrucken.
Nach bisheriger Rechtslage war der Auftragnehmer nicht als Dritter, sondern als Teil der verantwortlichen Stelle anzusehen mit der Folge, dass keine Datenübermittlung vorlag und somit und auch keine
Einwilligung der Mitglieder in die Auftragsdatenver-arbeitung erforderlich war. Eine solche Privilegierung kennt die DS-GVO jedoch nicht. Die Weitergabe von personenbezogenen Daten an den
Auftragsverarbeiter stellt daher eine Übermittlung dar. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f) DS-GVO. Denn ein berechtigtes Interesse i. S. des Art. 6 Abs. 1 lit. f) DS-GVO
ist dann zu bejahen, wenn sich der Verantwortliche für diese Organisation sei-ner Datenverarbeitung entschieden hat.
Der Verantwortliche ist grundsätzlich für jedwede Verarbeitung personenbezogener Daten, die er selbst vornimmt oder von ihm durch einen Auftragsverarbeiter veran-lasst wird, verantwortlich (Art. 24,
Art. 4 Nrn. 2, 7 und 8 DS-GVO).
Der Verantwortliche hat die Gewährleistung der in Kapitel III der DS-GVO aufge-führten Betroffenenrechte (Informationspflichten, Auskunftsansprüche, Recht auf Lö-schung und Berichtigung, Recht auf
Einschränkung der Verarbeitung, Recht auf Da-tenübertragbarkeit, Widerspruchsrecht) sicherzustellen. Dabei er den betroffenen Personen nach Art. 13 Abs. 1 lit. e) und f), Abs. 3, Art. 14 Abs. 1 lit.
e) und f), Abs. 4, Art. 15 Abs. 1 lit. c) DS-GVO auch mitteilen, dass Auftragsverarbeiter als Empfänger
Seite 18
ihrer Daten in Betracht kommen und ob die Daten in Drittländern bzw. zu einem an-deren Zweck als zum Zeitpunkt ihrer Erhebung von diesen verarbeitet werden (s.o. Nr. 1.3.1) Auch muss der
Verantwortliche nach Art. 19 DS-GVO den Auftragsverar-beiter als Empfänger von Daten unterrichten, wenn diese berichtigt oder gelöscht wurden bzw. wenn deren Verarbeitung nach Art. 18 DS-GVO
einzuschränken ist.
Der Verantwortliche hat den Auftragsverarbeiter grundsätzlich fortwährend zu kon-trollieren, ob dieser die Einhaltung der Datenschutzvorschriften gewährleisten kann.
Nach Art. 29 DS-GVO ist der Verantwortliche berechtigt und verpflichtet, dem Auf-tragsverarbeiter Weisungen zu erteilen, soweit diese zur Durchsetzung des AV-Vertrags oder der gesetzlichen Pflichten
des Verantwortlichen bzw. des Auftragsver-arbeiters erforderlich sind.
Weitere Informationen zum diesem Thema finden Sie in Kurzpapier Nr. 13 der Da-tenschutzkonferenz „Auftragsverarbeitung“ abrufbar unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/02/DSK_KpNr_13_Auftragsverarbeitung.pdf
3.3 Cloud-Mitgliederverwaltungsdienste
Auch bei der Verlagerung personenbezogener Daten von Vereinsmitgliedern in eine Cloud liegt eine Auftragsdatenverarbeitung vor. Auftragsverarbeiter können nach den Vorschriften der
Auftragsverarbeitung grundsätzlich sowohl im EU-Raum wie auch in Drittländern tätig werden.
Der räumliche Anwendungsbereich der DS-GVO umfasst nach deren Art. 3 Abs. 1 alle Datenverarbeitungsvorgänge, die in der EU erfolgen, und die von einem Verant-wortlichen oder einem Auftragsverarbeiter
mit Hauptsitz oder einer Niederlassung in der EU veranlasst werden, unabhängig davon, wo die Datenverarbeitung konkret erfolgt. Die Regelungen der DS-GVO finden ferner unter bestimmten
Voraussetzun-gen Anwendung, wenn zwar der Verantwortliche oder der Auftragsverarbeiter nicht in der EU ansässig ist, aber die betroffene Person sich in der EU befindet (Art. 3 Abs. 2 DS-GVO).
Die Weitergabe von personenbezogenen Daten an Auftragsverarbeiter in ein Land außerhalb der EU ist im Gegensatz zum BDSG nach der DS-GVO grundsätzlich zu-lässig. Zu beachten sind dabei insbesondere
die zusätzlichen Anforderungen an die Sicherstellung des Datenschutzniveaus beim Auftragsverarbeiter nach Kapitel V der DS-GVO. So muss gemäß Art. 28 Abs. 1, Art. 44 DS-GVO den Anforderungen der Art.
45 ff. DS-GVO auch im Ausland Rechnung getragen werden. Dies gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland (Art. 44 S. 1 DS-GVO).
Seite 19
4. Nutzung von personenbezogenen Daten
4.1 Nutzung von Mitgliederdaten
Innerhalb eines Vereins sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung o-der die Geschäftsordnung bestimmt.
Für den Umgang mit Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitglie-derdaten kennen, verarbeiten oder nutzen darf. So darf etwa der
Vorstand auf alle Mitgliederdaten zugreifen, wenn er diese zur Aufgabenerledigung benötigt. Auch müssen der Vereinsgeschäftsstelle alle Mitgliederdaten regelmäßig für die Mitglie-derverwaltung und
-betreuung zur Verfügung stehen, während es in der Regel für den Kassierer genügt, wenn er die für den Einzug der Mitgliedsbeiträge relevanten Angaben (Name, Anschrift und Bankverbindung) kennt.
Dabei dürfen die Daten grundsätzlich nur zur Verfolgung des Vereinszwecks bzw. zur Betreuung und Verwal-tung von Mitgliedern genutzt werden (Art. 6 Abs. 1 lit. b) DS-GVO). Nur ausnahms-weise ist es
möglich, diese Daten für sonstige berechtige Interessen des Vereins o-der Dritter zu nutzen, vorausgesetzt, dem stehen keine schutzwürdigen Interessen der Vereinsmitglieder entgegen (Art. 6 Abs. 1
lit. f) DS-GVO).
4.2 Nutzung von Daten Dritter
Daten Dritter, etwa von Lieferanten, Besuchern oder Aushilfsspielern anderer Verei-ne, dürfen gespeichert und genutzt werden, wenn dies für die Begründung oder Durchführung eines rechtsgeschäftlichen
Schuldverhältnisses (Vertrag) mit diesen Personen erforderlich ist (Art. 6 Abs. 1 lit. b) DS-GVO) oder der Verein ein berechtig-tes Interesse daran hat und nicht erkennbar ist, dass dem
schutzwürdigen Interessen der Betroffenen entgegenstehen (Art. 6 Abs. 1 lit. f) DS-GVO, s. o. Nr. 2.1). Diese Daten dürfen grundsätzlich nur zu dem Zweck verwendet werden, zu dem sie der Verein
erhoben oder erhalten hat. Lediglich dann, wenn eine Weiterverarbeitung der Daten mit dem Zweck der ursprünglichen Datenerhebung als vereinbar anzusehen ist, ist eine Zweckänderung zulässig (Art. 6
Abs. 4 DS-GVO). Denn ein Vertrags-partner darf sich in der Regel darauf verlassen, dass der Verein seine Daten nur im Rahmen des Vertragsverhältnisses nutzt.
4.3 Nutzung der Daten des Vereins für Spendenaufrufe und Werbung
Vereine haben regelmäßig ein erhebliches Interesse an der Mitglieder- und Spen-denwerbung, um einen ausreichenden Mitgliederbestand und genügend finanzielle Mittel sicherzustellen. Die Daten seiner
Vereinsmitglieder darf der Verein nur für Spendenaufrufe und für Werbung zur Erreichung der eigenen Ziele des Vereins nutzen (Art. 6 Abs. 1 lit. b) DS-GVO). Die Nutzung von Mitgliederdaten für die
Wer-
Seite 20
bung Dritter ist ohne Einwilligung der Mitglieder (s. o. Nr. 1.3.4) grundsätzlich nicht zulässig.
Daten Dritter, die dem Verein bekannt sind, etwa von Personen, die regelmäßig Ein-trittskarten für Spiele beziehen, darf der Verein für Werbezwecke nutzen, wenn diese entweder darin eingewilligt
haben (s.o. Nr. 1.3.4) oder der Verein berechtigte Interes-sen an der Nutzung zu Werbezwecken hat und keine Interessen oder Grundrechte des Dritten überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO).
Einzubeziehen in diese Inte-ressenabwägung sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen (Erwägungsgrund 47 DS-GVO). Die
vernünftigen Erwartungen werden bei werblichen Ansprachen maßgebend durch die Informationen nach Art. 13, 14 DS-GVO zu den Zwecken der Datenverarbeitung bestimmt (s.o. Nr. 1.3.2). Informiert der
Verein daher transparent und umfassend über eine vorgesehene Nutzung der Daten, geht die Erwartung der betroffenen Per-son in aller Regel auch dahin, dass ihre Daten entsprechend genutzt werden. Zu
be-achten ist jedoch, dass die von der Werbung betroffene Person ein jederzeitiges Widerspruchsrecht hat (Art. 21 Abs. 2 DS-GVO), auf das der Verein ausdrücklich hinzuweisen hat (Art. 21 Abs. 4
DS-GVO). Ein solcher Widerspruch hat zur Folge, dass die personenbezogenen Daten für Werbezwecke nicht mehr verwendet werden dürfen (Art. 21 Abs. 3 DS-GVO). Widerspricht der Adressat der Nutzung
seiner Da-ten für Werbezwecke gegenüber dem Verein, ist dies zu respektieren. Telefonische Werbung bei Dritten ist ohne ausdrückliche Einwilligung des Betroffenen nicht zuläs-sig, ebenso wenig in der
Regel E-Mail-Werbung.
Der Verein kann auch eine Firma beauftragen, mit Hilfe der Daten, die ihr der Verein im Rahmen einer Auftragsdatenverarbeitung zugänglich macht, solche Werbemaß-nahmen durchzuführen (s. o. Nr. 3.2).
Dabei ist die eingeschaltete Firma zu verpflich-ten, sowohl die vom Verein überlassenen, als auch die bei der Werbeaktion erhobe-nen Daten nicht für eigene Zwecke - insbesondere für Werbeaktionen für
Dritte - zu nutzen und sämtliche Daten nach Abschluss der Aktion vollständig an den Verein abzuliefern.
5. Verarbeitung personenbezogener Daten durch den Verein, insbesondere Übermittlung an Dritte
Zur Datenübermittlung gehört jede Art von Veröffentlichung personenbezogener An-gaben, z.B. in einer Tageszeitung oder im Internet. Nach Art. 6 Abs. 1 lit. b) DS-GVO können die Daten von Mitgliedern
weitergegeben werden, wenn dies zur Erreichung des Vereinszwecks, insbesondere zur Verwaltung und Betreuung der Mitglieder er-forderlich ist. Darüber hinaus darf der Verein die Daten seiner
Mitglieder und anderer Personen auch zu einem anderen Zweck als zu dem, zu dem sie erhoben worden
Seite 21
sind, übermitteln, wenn der Verein oder der Empfänger daran ein berechtigtes Inte-resse hat und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen
(Art. 6 Abs. 1 lit. f) DS-GVO, s.o. Nr. 2.1).
5.1 Datenübermittlung an Vereinsmitglieder
Bei den Vereinsmitgliedern handelt es sich im Verhältnis zum Verein um Dritte. Ver-einsmitglieder dürfen also nicht einfach auf die Daten der anderen Mitglieder Zugriff nehmen, sei es, dass an sie
Mitgliederlisten ausgegeben werden, sei es, dass die Personalien aller Mitglieder im Vereinsheim oder an einer anderen Stelle ausgehängt oder so in das Internet eingestellt werden, dass die anderen
Mitglieder die Daten un-ter Verwendung eines Passworts abrufen können. Vielmehr müssen die rechtlichen Voraussetzungen für die Zulässigkeit einer Übermittlung vorliegen.
Besteht der Vereinszweck darin, die persönlichen oder geschäftlichen Kontakte zu pflegen, ist die Herausgabe einer Mitgliederliste zur Erreichung des Vereinsziels nach Art. 6 Abs. 1 lit. b) DS-GVO
zulässig. Dieser Vereinszweck muss sich aus der Satzung ergeben. Dies kann insbesondere bei Selbsthilfe- und Ehemaligenvereinen der Fall sein. Welche Angaben dabei in die Mitgliederliste aufgenommen
werden dür-fen, hängt vom jeweiligen Vereinszweck ab, wobei die Interessen und die schutzwür-digen Belange der Mitglieder angemessen zu berücksichtigen sind (s. o. Nr. 2.1). Der Verein muss dabei
sicherstellen, dass die Mitglieder, die ihre schutzwürdigen Inte-ressen durch die Herausgabe der Mitgliederliste beeinträchtigt sehen, die Möglichkeit haben, der Aufnahme ihrer Daten in diese zu
widersprechen. Die Daten in der Mit-gliederliste sollten sich möglichst auf die zur Kontaktaufnahme notwendigen Anga-ben beschränken. Bei der Herausgabe der Mitgliederliste ist darauf hinzuweisen,
dass diese nur für Vereinszwecke verwendet werden darf und eine Verwendung für andere Zwecke (insbesondere für kommerzielle Zwecke) sowie die Überlassung der Liste an außenstehende Dritte nicht
zulässig ist. Ein solcher Hinweis soll verhindern, dass beispielsweise Vereinsmitglieder oder außenstehende Dritte die Liste für ihre beruflichen oder politischen Zwecke nutzen.
Dient die Datenübermittlung an andere Vereinsmitglieder nicht der Förderung des Vereinszwecks, können personenbezogene Daten der Vereinsmitglieder durch den Verein an andere Vereinsmitglieder nur
übermittelt werden, wenn der Verein oder der Empfänger ein berechtigtes Interesse daran hat. Dabei hat die Übermittlung zu un-terbleiben, wenn erkennbar ist, dass Interessen oder Grundrechte und
Grundfrei-heiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO; s.o. Nr. 2.1). Es darf nicht verkannt werden, dass Vereinsmitglieder sich grundsätzlich darauf verlassen dürfen, dass
der Verein ihre Daten ausschließlich für die Förderung der Vereinszwecke und zu Verwaltung und Betreuung der Mitglieder nutzt.
Seite 22
5.2 Bekanntgabe zur Wahrnehmung satzungsmäßiger Mitgliederrechte
Regelungen in Vereinssatzungen sehen vielfach vor, dass beispielsweise Anträge auf Einberufung einer außerordentlichen Mitgliederversammlung oder auf Ergänzung der Tagesordnung der
Mitgliederversammlung davon abhängig gemacht werden, dass eine bestimmte Mindestzahl von Mitgliedern die Einberufung bzw. Ergänzung verlangt. Wenn der Verein nicht generell eine Mitgliederliste oder
ein Mitgliederver-zeichnis herausgibt (vgl. dazu Nr. 5.1), kann es erforderlich sein, dass er Mitgliedern beispielsweise durch Einsicht in diese Unterlagen oder durch Überlassung einer Adressliste
ermöglicht, eine ausreichende Anzahl anderer Mitglieder für die Unter-stützung eines solchen Antrags zu erreichen.
Die Bekanntgabe von Mitgliederdaten für diesen Zweck ist wegen der Pflicht des Vereins, die Ausübung satzungsmäßiger Rechte zu ermöglichen, regelmäßig im Vereinsinteresse erforderlich, ohne dass
Interessen oder Grundrechte und Grund-freiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO). Um Missbräuchen entgegenzuwirken, empfiehlt es sich, von den Mitgliedern, denen die
Adressen bekannt gegeben werden, eine Zusicherung zu verlangen, dass die Adres-sen nicht für andere Zwecke verwendet werden. Bei Vereinen, bei denen ein Interes-se der Mitglieder besteht, dass ihre
Daten vertraulich behandelt werden oder bei de-nen die Zugehörigkeit zum Verein ein besonders sensitives Datum darstellt (z.B. Par-teien, Gewerkschaften, Selbsthilfegruppen), können jedoch Interessen
oder Grund-rechte und Grundfreiheiten der betroffenen Person dem Interesse einer Bekannt-gabe ihres Namens und ihrer Anschrift überwiegen. In solchen Fällen sollte der Ver-ein eine Regelung in der
Satzung treffen oder die Mitglieder ausreichend informieren, ohne ihre Daten bekannt zu geben. Dies kann etwa dadurch geschehen, dass in ei-ner Vereinspublikation auf den beabsichtigten Antrag, die
Gründe und den Antrag-steller hingewiesen und auf diese Weise interessierten Mitgliedern die Möglichkeit der Kontaktaufnahme zur Unterstützung eröffnet wird.
5.3 Mitteilungen in Aushängen und Vereinspublikationen
In vielen Vereinen ist es üblich, personenbezogene Informationen an einem „Schwarzen Brett“ oder in Vereinsblättern bekannt zu geben.
Obwohl sich das „Schwarze Brett“ meist auf dem Vereinsgelände befindet und das „Vereinsnachrichtenblatt“ in erster Linie für Vereinsmitglieder bestimmt ist, handelt es sich hier um die Übermittlung
dieser Angaben an einen nicht überschaubaren Kreis von Adressaten, die davon Kenntnis nehmen können, weil nie ausgeschlossen wer-den kann, dass auch Fremde die Anschlagtafeln auf dem Vereinsgelände
oder das Mitteilungsblatt lesen. Personenbezogene Daten dürfen dabei nach Art. 6 Abs. 1 lit. b) und lit. f) DS-GVO nur offenbart werden, wenn es für die Erreichung des Ver-
Seite 23
einszwecks unbedingt erforderlich ist - was etwa bei Mannschaftsaufstellungen oder Spielergebnissen angenommen werden kann - oder wenn der Verein oder die Per-sonen, die davon Kenntnis nehmen können,
ein berechtigtes Interesse an der Veröf-fentlichung haben und Interessen oder Grundrechte und Grundfreiheiten der be-troffenen Person nicht überwiegen. Letzteres ist stets bei Mitteilungen mit
ehrenrüh-rigem Inhalt der Fall, etwa bei Hausverboten, Vereinsstrafen und Spielersperren. Insbesondere die Veröffentlichung von Sportgerichtsurteilen in vollem Wortlaut würde die Betroffenen unnötig
an den Pranger stellen und damit deren schutzwürdige Be-lange beeinträchtigen. In diesen Fällen genügt es nämlich, wenn der Betroffene und die Funktionsträger des Vereins oder die von ihm
Beauftragten (z.B. Schiedsrichter) davon wissen. Doch müssen letztere dabei nicht über die Höhe der verhängten Geldbuße, die Art des Verstoßes, über die Verfahrenskosten sowie über die
Urteils-begründung im Einzelnen unterrichtet werden. Soll das Urteil zur Warnung anderer Sportler oder sonstiger Mitglieder eines Vereins veröffentlicht werden, genügt hierfür eine Veröffentlichung
in anonymisierter Form.
Persönliche Nachrichten mit einem Bezug zum Verein wie Eintritte, Austritte, Spen-den, Geburtstage und Jubiläen können veröffentlicht werden, wenn dem Verein keine schutzwürdigen Belange des
Betroffenen bekannt sind, die dem entgegenstehen. Es empfiehlt sich, beim Eintritt in den Verein darauf aufmerksam zu machen, welche Ereignisse üblicherweise am „Schwarzen Brett“ oder im Vereinsblatt
veröffentlicht werden und darum zu bitten, mitzuteilen, wenn dies nicht gewünscht wird. Informati-onen aus dem persönlichen Lebensbereich eines Vereinsmitglieds (z.B. Eheschlie-ßungen, Geburt von
Kindern, Abschluss von Schul- und Berufsausbildungen) dürfen nur veröffentlicht werden, wenn das Mitglieder ausdrücklich sein Einverständnis er-klärt hat (s. o. Nr. 1.3.4). Vergleichbares gilt für
die Bekanntgabe der Höhe der Spende eines Vereinsmitgliedes. Spender und Sponsoren außerhalb des Vereins dürfen nur mit ihrem Einverständnis öffentlich bekannt gegeben werden, da ihr Inte-resse an
vertraulicher Behandlung grundsätzlich überwiegt.
Die „dienstlichen“ Erreichbarkeitsdaten von Funktionsträgern des Vereins, insbe-sondere der Vorstände, können in der Regel in der genannten Form bekannt gege-ben werden. Dagegen dürfen
Mitgliederlisten für gewöhnlich nur am „Schwarzen Brett“ ausgehängt oder im Vereinsblatt veröffentlicht werden, wenn die Betroffenen insoweit eingewilligt haben (s. o. Nr. 1.3.4).
5.4 Datenübermittlung an Dachverbände und andere Vereine
Dachverbände, bei denen ein Verein Mitglied ist, sind im Verhältnis zu seinen Mit-gliedern datenschutzrechtlich Dritte. Personenbezogene Daten der eigenen Mitglie-der dürfen an andere Vereine im
Rahmen der Erforderlichkeit nur übermittelt werden,
Seite 24
soweit diese dort benötigt werden, um die Vereinsziele des übermittelnden Vereins oder um die Ziele des anderen Vereins zu verwirklichen, etwa bei der überregionalen Organisation eines Turniers, und
sofern keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. b) und lit f) DS-GVO; s. o. Nr. 2.1).
Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorgani-sation - beispielsweise einem Bundes- oder Landesverband - zu übermitteln (etwa in Form von Mitgliederlisten),
sollte dies in der Vereinssatzung geregelt werden. Dadurch wird klargestellt, dass die Übermittlung im Vereinsinteresse erforderlich ist und keine Interessen oder Grundrechte und Grundfreiheiten der
Vereinsmitglieder überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO). Fehlt eine Satzungsregelung, sollten die Mitglieder (Neumitglieder möglichst bereits im Aufnahmeverfahren) über die Über-mittlung ihrer
Daten an die Dachorganisation und den Übermittlungszweck informiert und ihnen Gelegenheit zu Einwendungen gegeben werden. Der Verein ist darüber hinaus verpflichtet, dafür Sorge zu tragen, dass die
von ihm weitergegebenen Mit-gliederdaten vom Dritten nicht zweckentfremdet genutzt werden (etwa durch Ver-kauf der Mitgliederadressen für Werbezwecke) oder dies allenfalls mit Einverständnis des
Vereins und Einwilligung der betroffenen Mitglieder geschieht.
Sollen Mitgliederlisten oder im Einzelfall sonstige Mitgliederdaten auf freiwilliger Basis ohne vertragliche oder sonstige Verpflichtung an Dachverbände oder andere Vereine weitergegeben werden, ist
dies nur unter den oben genannten Vorausset-zungen zulässig. Soweit die Weitergabe im berechtigten Interesse des Vereins oder des Empfängers erfolgen soll, empfiehlt es sich in Zweifelsfällen, die
Mitglieder vor der beabsichtigten Datenübermittlung zu informieren und ihnen die Möglichkeit zu geben, Einwendungen gegen die Weitergabe ihrer Daten geltend zu machen.
Bietet der Dachverband eine Versicherung für die Mitglieder eines Vereins an, die in erster Linie dem Verein dient, um sich gegen Haftungsansprüche seiner Mitglieder zu schützen, wenn diese beim
Sport oder bei vergleichbar gefahrgeneigten Tätigkeiten verunglücken, hat der Verein ein berechtigtes Interesse, die für die Begründung des Versicherungsverhältnisses erforderlichen Daten seiner
Mitglieder dem Dachverband zuzuleiten, es sei denn, das Mitglied hat ein überwiegendes schutzwürdiges Interes-se, dass dies unterbleibt, wenn es etwa selbst bereits gegen dieses Risiko versichert
ist. Will aber der Dachverband nur erreichen, dass sich die Vereinsmitglieder in eige-nem Interesse bei ihm oder bei einer von ihm vermittelten Versicherung versichern können, darf der Verein deren
Daten nur mit ihrer Einwilligung (s. o. Nr. 1.3.4) an den Dachverband übermitteln.
Andererseits ist es zulässig, dass ein Verein, der eine bestimmte Anzahl Delegierter zur Delegiertenversammlung des Dachverbandes entsenden darf, dem Dachverband
Seite 25
eine Namensliste seiner Mitglieder übermittelt, damit dieser feststellen kann, ob die entsandten Delegierten auch Mitglieder eines Vereins sind, der Delegierte entsenden darf. Es muss stets durch
entsprechende Vereinbarungen mit dem Dachverband si-chergestellt sein, dass die ihm zugänglich gemachten Daten dort für keinen anderen Zweck genutzt werden, also nicht etwa für Werbemaßnahmen des
Dachverbandes oder gar Dritter.
5.5 Datenübermittlung an Sponsoren und Firmen zu Werbezwecken (insbesondere Versicherungen)
Nicht selten verlangen Sponsoren als Gegenleistung für ihre Unterstützung die Be-kanntgabe von Mitgliederdaten, die dann zu Werbezwecken eingesetzt werden. Aber auch für manche Wirtschaftsunternehmen
sind die Daten von Vereinsmitgliedern für Werbezwecke interessant. Die Bekanntgabe von Mitgliederdaten für Werbezwe-cke ist aber in der Regel vom Vereinszweck nicht gedeckt. Sofern also die
Bekannt-gabe von Mitgliederdaten an Sponsoren und Wirtschaftsunternehmen für Werbezwe-cke weder in der Satzung noch durch Mitgliederbeschluss festgelegt ist, sollten die Vereine bei der Übermittlung
von Mitgliederdaten an Sponsoren und Wirtschaftsun-ternehmen zu Werbezwecken grundsätzlich zurückhaltend verfahren. Bei einer Mit-gliedschaft in einem Verein handelt es sich um ein
personenrechtliches Rechtsver-hältnis, aus dem sich für den Verein besondere Rücksichtnahmepflichten in Bezug auf die schutzwürdigen Belange seiner Mitglieder ergeben, die je nach Art des Ver-eins
unterschiedlich stark sind. Insbesondere Mitglieder örtlicher Vereine vertrauen regelmäßig darauf, dass der Verein ihre Daten grundsätzlich nicht für vereinsfremde Zwecke verwendet. Bei größeren
Vereinen hingegen - wie z.B. einem Automo-bilclub - kann eine andere Situation gegeben sein.
Der Verein darf personenbezogene Daten der Mitglieder für Werbezwecke daher nur übermitteln, wenn diese entweder darin eingewilligt haben oder der Verein oder ein Dritter berechtigte Interessen an
der Nutzung zu Werbezwecken hat und keine In-teressen oder Grundrechte und Grundfreiheiten der Mitglieder überwiegen. Ent-scheiden sind auch hier die vernünftigen Erwartungen der betroffenen Person.
Infor-miert der Verein transparent und umfassend über eine entsprechende werbliche Nut-zung, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Daten entsprechend genutzt
werden (vgl. insoweit die Ausführungen oben unter Nr. 4.3) Zu beachten ist auch hier, dass das Mitglied ein jederzeitiges Wider-spruchsrecht hat, auf das der Verein ausdrücklich hinweisen muss. Dies
kann bei-spielsweise dadurch geschehen, dass in den Aufnahmeantrag oder in die Satzung ein entsprechender Hinweis aufgenommen wird. Es ist darüber hinaus empfehlens-wert, im Rahmen der
Jahreshauptversammlung nochmals auf das Widerspruchs-recht hinzuweisen. Erfolgt ein solcher Widerspruch, hat dies zur Folge, dass die per-
Seite 26
sonenbezogenen Daten für Werbezwecke nicht mehr verwendet werden dürfen (Art. 21 Abs. 3 DS-GVO). Die Namen der Vereinsmitglieder, die der Übermittlung ihrer Daten für Werbezwecke widersprochen haben,
sind in eine separate sogenannte Sperrdatei aufzunehmen. Vor jeder Übermittlung der Mitgliederdaten an Sponsoren und Wirtschaftsunternehmen zu Werbezwecken ist dann ein Abgleich mit der Sperr-datei
durchzuführen.
Soweit Vereine ihren Mitgliedern gegenüber zur Rücksichtnahme verpflichtet sind, dürfen Mitgliederdaten nur mit Einwilligung der betroffenen Mitglieder an Sponsoren oder Wirtschaftsunternehmen (z.B.
Versicherungen, Banken, Zeitschriftenverlage) übermittelt werden. Dies gilt in besonderem Maße, wenn es sich um besonders schutzbedürftige Daten i.S. des Art. 9 DS-GVO handelt (Angaben über die
rassi-sche und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten etc.). Oft ergibt sich das Geheimhaltungsinteresse
der Mitglieder schon aus dem Vereinszweck, so beispielsweise bei einer Suchtkranken-Selbsthilfegruppe oder einer Elterninitiative verhaltensgestörter Kinder. Darüber hinaus kann sich die besondere
Sensibilität und damit die erhöhte Schutzwürdigkeit der Daten auch aus der Vereinsmitgliedschaft ergeben, wenn sich daraus Rückschlüsse z.B. auf die rassische oder ethnische Her-kunft oder
Gesundheitsdaten ziehen lassen.
Bei der Weitergabe der Mitgliederdaten muss jedoch auch der Umstand berücksich-tigt werden, dass der Datenempfänger diese Daten wiederum für Werbezwecke an-derer Unternehmen weitergeben oder nutzen
kann. Deshalb sollte die Verwendung der weitergegebenen Daten unbedingt auf den konkreten Werbezweck des Daten-empfängers beschränkt und eine Nutzung oder Übermittlung der Daten für fremde
Werbezwecke vertraglich ausgeschlossen werden. Daten von Mitgliedern, bei denen ein entgegenstehendes Interesse erkennbar ist, dürfen auf keinen Fall weitergege-ben werden.
In der Praxis ergeben sich bei Vereinen häufig Probleme mit der Weitergabe von Mitgliederdaten an Versicherungsunternehmen oder Versicherungsvertreter im Rah-men von Gruppenversicherungsverträgen.
Dabei handelt es sich um Rahmenver-träge zwischen Vereinen und Versicherungsunternehmen, die den Vereinsmitglie-dern unter bestimmten Voraussetzungen den Abschluss von Einzelversicherungsver-trägen
zu günstigeren als den üblichen Konditionen ermöglichen.
Die Datenschutzaufsichtsbehörden vertreten hierzu inzwischen die Auffassung, dass ein Verein im Rahmen eines Gruppenversicherungsvertrags dem Versicherungsun-ternehmen bzw. dem Versicherungsvertreter
die Daten seiner Mitglieder nur übermit-teln darf, wenn das betreffende Mitglied eine ausdrückliche und informierte schriftli-che Einwilligung erteilt hat. Dies gilt für Neu- und für Altmitglieder,
die bei Ab-
Seite 27
schluss des Gruppenversicherungsvertrags bereits Vereinsmitglieder waren, gleich-ermaßen. Die Einwilligungserklärung sollte zweckmäßigerweise bereits in der Bei-trittserklärung oder im Aufnahmeantrag
vorgesehen werden, wobei das Mitglied dar-über aufzuklären ist, welche Daten an welches Unternehmen weitergegeben werden sollen.
Einzelne Versicherungen haben für Vereine eine „Stellungnahme zur Zulässigkeit von Datenübermittlungen“ oder ähnlich betiteltes Papier erarbeitet, in dem geringere Anforderungen an den Datenschutz
genannt werden. Vereine sollten sich hiervon nicht irritieren lassen und der Rechtsauffassung der Datenschutzaufsichtsbehörden folgen. Dies empfiehlt sich auch im Hinblick auf die künftig im Raum
stehenden Buß-gelder.
5.6 Veröffentlichungen im Internet
Das Internet bietet für Vereine und Verbände große Chancen zur Selbstdarstellung, birgt aber auch Risiken für die betroffenen Vereinsmitglieder. Die Veröffentlichung von personenbezogenen Daten im
Internet ohne Passwortschutz stellt datenschutz-rechtlich eine Übermittlung dieser Daten an Jedermann dar. Sie ist nicht zuletzt we-gen der weltweiten Verbreitung der Informationen, weil dieses
Medium nichts mehr vergisst, wegen der elektronischen Recherchierbarkeit und weil die Möglichkeit der Auswertung von Internetinformationen für Zwecke der Profilbildung und Werbung besteht,
grundsätzlich nicht unproblematisch. So besitzt die Information, dass je-mand z.B. eine bestimmte Sportart ausübt, einer bestimmten Altersgruppe zuzurech-nen ist oder ein unfallträchtiges Hobby hat,
u.U. auch für andere Stellen Relevanz (Arbeitgeber, Werbeindustrie). Auch können diese Daten in Staaten abgerufen wer-den, die keine der DS-GVO vergleichbare Schutzbestimmungen kennen. Ferner ist die
Authentizität der Daten nicht garantiert, da diese einfach verfälscht werden kön-nen. Deswegen ist die Veröffentlichung personenbezogener Daten durch einen Verein im Internet grundsätzlich
unzulässig, wenn sich der Betroffene nicht aus-drücklich damit einverstanden erklärt hat (s. o. Nr. 1.3.4).
Allerdings gibt es auch hier Ausnahmen. So dürfen die Funktionsträger eines Ver-eins auch ohne ausdrückliche Einwilligung mit ihrer „dienstlichen“ Erreichbarkeit in das Internet auf der Homepage des
Vereins eingestellt werden. Die private Adresse des Funktionsträgers darf allerdings nur mit seinem Einverständnis veröffentlicht werden (s. o. Nr. 1.3.4).
Informationen über Vereinsmitglieder (z.B. Spielergebnisse und persönliche Leis-tungen, Mannschaftsaufstellungen, Ranglisten, Torschützen usw.) oder Dritte (z.B. Spielergebnisse externer Teilnehmer
an einem Wettkampf) können ausnahmsweise auch ohne Einwilligung kurzzeitig ins Internet eingestellt werden, wenn die Betroffe-
Seite 28
nen darüber informiert sind und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der Veröffentlichung im Einzelfall überwiegen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f)
DS-GVO. Die zulässige Dauer der Veröffentlichung hängt von der Bedeutung des Ereignisses, auf das sich die Veröffentlichung bezieht, und dem daraus abzuleitenden Informationsinteresse der
Öffentlichkeit ab.
Die von einem Verein oder Verband ausgerichteten Veranstaltungen (z. B. Spiele in der Bezirksklasse) sind öffentlich. Die Namen und die Ergebnisse werden im Rah-men solcher Veranstaltungen
üblicherweise öffentlich bekannt gegeben. Die in Rang-listen enthaltenen Daten sind zwar nicht allgemein zugänglich, stammen jedoch aus allgemein zugänglichen Quellen und stellen nur eine
Zusammenfassung und Aus-wertung dieser Daten dar.
Um den Eingriff in das Persönlichkeitsrecht in Grenzen zu halten, dürfen bei derarti-gen Veröffentlichungen jedoch allenfalls Nachname, Vorname, Vereinszugehörig-keit und eventuell in begründeten
Ausnahmefällen der Geburtsjahrgang aufgeführt werden. Bei einer Veröffentlichung eines Fotos, des vollen Geburtsdatums (Tag, Mo-nat und Jahr), der privaten Anschrift oder der Bankverbindung des
Betroffenen über-wiegen dessen Interessen oder Grundrechts oder Grundfreiheiten berechtigte Ver-eins oder Verbandes; sie wäre daher nur mit ausdrücklicher Einwilligung der Be-troffenen zulässig. Im
Übrigen muss - wie oben aufgeführt - sichergestellt sein, dass die Daten nach angemessener Zeit gelöscht werden.
5.7 Veröffentlichungen im Intranet
Wenn ein Verein seinen Mitgliedern und Funktionsträgern Informationen über das Internet in passwortgeschützten Bereichen (Intranet) zur Verfügung stellt, können über die Vergabe von Benutzerkennungen
und Passwörtern individuelle Zugriffs-berechtigungen eingerichtet werden. Dies hat den Vorteil, dass beliebige Dritte die Daten nicht einsehen können, berechtigte Nutzer jedoch jederzeit über das
Internet auf diejenigen personenbezogenen Daten zugreifen können, die sie zur Wahrneh-mung ihrer Rechte und Pflichten als Mitglied oder Funktionsträger des Vereins benö-tigen (s. o. Nr. 4.1 und
5.1)
5.8 Personenbezogene Auskünfte an die Presse und sonstige Massenmedien
Veröffentlichungen in Verbandszeitschriften und in sonstigen allgemein zugänglichen Publikationen dürfen genauso wie Pressemitteilungen und -auskünfte nur in perso-nenbezogener Form erfolgen, wenn es
sich um ein Ereignis von öffentlichem Inte-resse handelt. Dabei ist darauf zu achten, dass die schutzwürdigen Belange der be-troffenen Vereinsmitglieder gewahrt werden (s. o. Nr. 2.1).
Ausschlaggebend ist, ob die Veranstaltung, über die berichtet werden soll, öffentlich ist oder war, was der Be-
Seite 29
troffene gegenüber der Presse selbst erklärt hat und was die Presse ihrerseits in Er-fahrung bringen konnte. Personenbezogene Daten können dabei u.U. offenbart wer-den, wenn es um besondere
Leistungen eines Mitglieds geht oder wenn der Verein wegen des Ausschlusses eines Mitglieds in der Öffentlichkeit ins Gerede gekommen ist und eine Information im Interesse des Vereins oder der
Öffentlichkeit erforderlich erscheint. Stets darf der Verein dabei nur die unbedingt notwendigen persönlichen Angaben offenbaren. Auskünfte zum privaten, nicht vereinsbezogenen Bereich eines
Vereinsmitglieds sollten ohne Einwilligung (s. o. Nr. 1.3.4) grundsätzlich nicht erfol-gen. Hier überragt das schutzwürdige Interesse des Betroffenen stets das Informa-tionsinteresse der
Allgemeinheit.
5.9 Übermittlung für Zwecke der Wahlwerbung
Die Übermittlung von Mitgliederdaten an politische Parteien bzw. Gruppierungen oder an Kandidaten bei Wahlen für Zwecke der Wahlwerbung ist ohne schriftliche Einwilligung der Betroffenen (s. o. Nr.
1.3.4) unzulässig. Mitglieder des Vereins-vorstands, andere Personen, die im Verein eine Funktion haben, oder Vereinsmit-glieder dürfen für Zwecke der eigenen Wahlwerbung nicht auf personenbezogene
Daten der Mitglieder des Vereins zurückgreifen. Diese Daten wurden für die Verfol-gung des Vereinszwecks (der Vereinszwecke) erhoben und gespeichert. Eine Nut-zung für jede Art von Wahlwerbung
verletzt schutzwürdige Belange der Mitglieder und ist deswegen unzulässig.
5.10 Übermittlung von Mitgliederdaten an die Gemeindeverwaltung
Verlangt eine Gemeindeverwaltung, die an einen Verein freiwillige finanzielle Leis-tungen erbringt, deren Höhe von der Mitgliederzahl oder der Anzahl bestimmter Mit-glieder (etwa der Anzahl der
Jugendlichen, die in Mannschaften mitspielen) abhängt, zu Kontrollzwecken die Vorlage von Listen mit den Namen der Betroffenen, ist der Verein grundsätzlich berechtigt, diese Daten zu übermitteln,
weil es sowohl zur Wahrnehmung berechtigter eigener Interessen - nämlich um in den Genuss der Ver-einsförderung durch die Gemeinde zu kommen - als auch zur Wahrnehmung berech-tigter Interessen eines
Dritten - der Gemeinde - erforderlich ist und Interessen oder Grundrechte der betroffenen Vereinsmitglieder einer Datenübermittlung nach Art. 6 Abs. 1 lit. f) DS-GVO nicht überwiegen. Der Verein kann
sich darauf verlassen, dass die Gemeinde diese Daten nur verwendet, um nachzuprüfen, ob die ihr vom Verein übermittelten Zahlen zutreffend sind und die Daten umgehend wieder löscht.
Seite 30
5.11 Datenübermittlung an den Arbeitgeber eines Mitglieds und an die Versicherung
Krankenversicherungen sind grundsätzlich berechtigt zu erfahren, gegen wen und in welchem Umfang ihnen ein Regressanspruch wegen der Verletzung einer Person, an die sie deswegen Leistungen erbracht
haben, durch ein Vereinsmitglied zusteht. Für die gesetzlichen Krankenversicherungen ergibt sich dies aus § 67a des Zehnten Buchs des Sozialgesetzbuchs, für die privaten Krankenversicherer aus Art. 6
Abs. 1 lit. b) DSGVO wegen des Versicherungsvertrags zwischen dem Geschädigten und seiner Versicherung. Der Verein darf diese Anfragen grundsätzlich nach Art. 6 Abs. 1 lit f) DS-GVO beantworten.
Dabei wird es allerdings genügen, der Versicherung nur den Namen des Schädigers mitzuteilen, damit sie sich an diesen wenden kann. Soll-te dies nicht ausreichen, können auch weitere Angaben, etwa
über den Spielverlauf, erfolgen. Um auch hier die schutzwürdigen Belange des Betroffenen angemessen berücksichtigen zu können (s. o. Nr. 2.1), sollte dieser vor der Übermittlung der Da-ten angehört
werden. Vergleichbares gilt, wenn ein Arbeitgeber eines Vereinsmit-glieds beim Verein in Erfahrung bringen will, ob sein Arbeitnehmer an einer Vereins-veranstaltung teilgenommen hat, obwohl dieser
krankheitsbedingt nicht zur Arbeit erschienen ist.
6. Recht auf Löschung und Einschränkung personenbezogener Daten
Das Recht auf Löschung richtet sich nach Art. 17 Abs. 1 DS-GVO. Danach sind per-sonenbezogene Daten unverzüglich zu löschen, sofern sie für die Zwecke, für die sie erhoben oder auf sonstige Weise
verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft oder Widerspruch gegen die Verar-beitung einlegt, die personenbezogenen Daten unrechtmäßig verarbeitet
wurden oder wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Bezüglich des Zwecks muss der Verein daher festlegen, welche Arten von Daten bis zu welchem Ereignis (z.B. Austritt aus dem Verein, Tod) oder für welche Dauer ver-arbeitet werden. Mit Erreichen des
festgelegten Zeitpunkts muss eine Einschrän-kung der Verarbeitung erfolgen, sofern die betroffene Person sie zur Geltendma-chung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt und eine
Ein-schränkung verlangt (Art. 18 Abs. 1 lit c) DS-GVO; sog. Protokolldatei). Ansonsten sind sie mit Zweckerreichung zu löschen. Die Länge der Einschränkung der Verar-beitung orientiert sich
grundsätzlich daran, wie lange mit Rückfragen des Betroffe-nen, mit Gerichtsverfahren oder mit sonstigen Vorgängen zu rechnen ist, die die Kenntnis des Datums noch erforderlich machen. Auch die Länge
der Dokumentati-onsfristen sollte für jede Datenart vorgegeben werden. Eingeschränkte Daten dürfen ohne Einwilligung des Betroffenen (s. o. Nr. 1.3.3) nur noch verarbeitet werden, wenn
Seite 31
Rechtsansprüche durch den Verantwortlichen geltend gemacht, ausgeübt oder ver-teidigt werden, wenn Rechte einer anderen natürlichen oder juristischen Person ge-schützt werden sollen oder wenn dies
aus Gründen eines wichtigen öffentlichen Inte-resses der Union oder des Mitgliedsstaates geschieht (Art. 18 Abs. 2 DS-GVO).
Der Verein hat die Möglichkeit, ein Vereinsarchiv zu führen und dort auch Vorgänge mit personenbezogenen Daten, die für eine aktive Nutzung nicht mehr benötigt wer-den, aufzubewahren. Dabei sollte
jedoch sichergestellt sein, dass nur ein sehr kleiner zuverlässiger Personenkreis dazu Zugang hat. Die Nutzung des Archivguts in perso-nenbezogener Form ist nur sehr eingeschränkt zulässig. Die
Einzelheiten sollten ebenfalls geregelt werden. Wichtig ist auch, dass der Verein Unterlagen, die nicht mehr benötigt werden, so entsorgt, dass Dritte keine Kenntnis von den darin enthal-tenen
personenbezogenen Daten erlangen können. Insbesondere dürfen Mitglieder- und Spenderlisten nicht unzerkleinert in Müllcontainer geworfen werden.
Beim Ausscheiden oder dem Wechsel von Funktionsträgern ist sicherzustellen, dass sämtliche Mitgliederdaten entweder ordnungsgemäß gelöscht oder an den Nachfolger oder einen anderen Funktionsträger
des Vereins übergeben werden und keine Kopien und Dateien mit Mitgliederdaten beim bisherigen Funktionsträger ver-bleiben. Auch hierzu sollte der Verein Regelungen treffen.
Die erforderlichen Regelungen zu Speicherfristen sowie zur Sperrung und Löschung von Daten und ggfs. zur Nutzung von Archivgut können entweder in der Vereinssat-zung oder außerhalb der Satzung in
einer Datenschutzordnung (s.o. Nr. 1.3.3) bzw. in einer gesonderten Datenlöschkonzeption getroffen werden.
Weitere Informationen zu diesem Thema finden Sie in Kurzpapier Nr. 11 der Daten-schutzkonferenz „Recht auf Löschung / Recht auf Vergessenwerden“, abrufbar unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/08/DSK_KPNr_11_Recht-auf-Vergessenwerden.pdf
7. Organisatorisches
7.1 Benennung eines Datenschutzbeauftragten
Der Verein hat einen Datenschutzbeauftragen zu benennen, wenn dessen Kerntä-tigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke
eine umfangreiche regelmäßige und sys-tematische Überwachung der betroffenen Person erforderlich macht (z.B. Video-überwachung im Stadion) oder die Kerntätigkeit in der Verarbeitung besonderer
Kategorien von Daten gemäß Art. 9 DS-GVO (z.B. Gesundheitsdaten in Selbsthil-fegruppen) oder von personenbezogenen Daten über strafrechtliche Verurtei-lungen und Straftaten gemäß Art. 10 DS-GVO
besteht (Art. 37 Abs. 1 lit. b) und
Seite 32
lit c) DS-GVO). Die Verarbeitung personenbezogener Daten als primärer Geschäfts-zweck dürfte jedoch bei Vereinen in der Regel nicht der Fall sein.
Darüber hinaus ist ein Datenschutzbeauftragter zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nimmt der Verein
Verarbeitungen vor, die einer Datenschutzfolge-abschätzung gemäß Art. 35 DS-GVO (s.u. Nr. 7.2) unterliegen, so ist ebenfalls ein Datenschutzbeauftragter zu benennen (§ 38 Abs. 1 BDSG-neu).
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt. Nähere Informationen zu den Min-destanforderungen an Fachkunde und
Unabhängigkeit des betrieblichen Beauftrag-ten für den Datenschutz finden Sie in einem Beschluss des Düsseldorfer Kreises, abrufbar unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/03/Beschluss-des-D%C3%BCsseldorfer-Kreises-2010-Mindestanforderungen_an_DSB_nach_4f_II_und_III_BDSG.pdf).
Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutzbe-auftragten nicht vom Vereinsvorstand oder dem für die Datenverarbeitung des Ver-eins Verantwortlichen wahrgenommen
werden, da diese Personen sich nicht selbst wirksam überwachen können. Der Datenschutzbeauftragte muss nicht Mitglied des Vereins sein (Art. 37 Abs. 6 DS-GVO).
Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DS-GVO geregelt. Insbe-sondere obliegt dem Datenschutzbeauftragten die Pflicht, den Verein bzw. die dort mit der Verarbeitung
personenbezogener Daten Beschäftigten hinsichtlich ihrer da-tenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Zudem wirkt er auf die Überwachung und Einhaltung datenschutzrechtlicher
Vorschriften hin. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen. Zu diesem Zweck
ist er über Vorhaben der automatisierten Verarbeitung personen-bezogener Daten rechtzeitig zu unterrichten.
Der Verein hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und die Daten der zuständigen Aufsichtsbehörde mitzuteilen. Für die Veröffentli-chung der Kontaktdaten ist es
ausreichend, wenn die E-Mail-Adresse des Daten-schutzbeauftragten auf der Vereinshomepage frei zugänglich genannt wird.
Besteht keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, muss sich der Vereinsvorstand selbst um die Einhaltung des Datenschutzes durch den Verein kümmern. Er kann auch auf
freiwilliger Basis einen Datenschutzbeauftragten bestellen.
Seite 33
Weitere Informationen zu diesem Thema finden Sie in Kurzpapier Nr. 12 der Daten-schutzkonferenz „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverar-beitern“, abrufbar unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/01/DSK_KPNr_12_Datenschutzbeauftragter.pdf.
7.2 Verzeichnis von Verarbeitungstätigkeiten
Gemäß Art. 30 DS-GVO hat jeder Verantwortliche ein Verzeichnis aller Verarbei-tungstätigkeiten zu führen. Zwar besteht bei Verantwortlichen, bei denen weniger als 250 Mitglieder beschäftigt sind,
zunächst eine Ausnahme von der Verzeichnisfüh-rungspflicht. Diese Ausnahme gilt jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, wenn die
Verarbeitung nicht nur gelegentlich oder eine Verarbeitung sensibler Daten i.S. von Art. 9 oder Art. 10 DS-GVO erfolgt (Art. 30 Abs. 5 DS-GVO). Da jedoch in jedem Verein die Ver-arbeitung
personenbezogener Daten nicht nur gelegentlich erfolgt, ist auch bei Ver-einen mit weniger als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis muss zwingend
folgende Angaben enthalten (Art. 30 Abs. 1 DS-GVO):
Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
Zwecke der Verarbeitung
Beschreibung der Kategorien betroffener Personen und der Kategorien perso-nenbezogener Daten
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind bzw. noch offengelegt werden
Angaben über Drittlandtransfer einschließlich Angabe des Drittlandes sowie Dokumentierung geeigneter Garantien
wenn möglich Fristen für die Löschung der verschiedenen Datenkategorien
wenn möglich Beschreibung der technischen und organisatorischen Maßnah-men gemäß Art. 32 Abs. 1 DS-GVO
Das Verarbeitungsverzeichnis muss schriftlich oder in einem elektronischen For-mat (s.o. Nr. 3.2) geführt werden (Art. 30 Abs. 3 DS-GVO). Der Verantwortliche ist verpflichtet, der Aufsichtsbehörde
das Verzeichnis auf deren Anfrage zur Verfügung zu stellen. Ein Einsichtsrecht für betroffene Personen oder „Jedermann“ besteht nach der DS-GVO nicht mehr.
Weitere Informationen zu diesem Thema finden Sie in Kurzpapier Nr. 1 der Daten-schutzkonferenz „Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO“, ab-rufbar unter
https://www.baden-wuerttemberg.datenschutz.de/wp-con-
Seite 34
tent/uploads/2017/07/DSK_KPNr_1_Verzeichnis_Verarbeitungst%C3%A4tigkeiten.pdf
7.3 Datenschutz-Folgeabschätzung
Der Verein hat nur dann eine Datenschutz-Folgeabschätzung vorzunehmen, wenn die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke ein hohes Risiko für die Rechte und
Freiheiten für die betroffene Person zur Folge hat (Art. 35 Abs. 1 DS-GVO). Dies insbesondere dann der Fall, wenn eine um-fangreiche Verarbeitung besonderer Kategorie von Daten gemäß Art. 9 DS-GVO
erfolgt oder wenn im Wege der Verarbeitung auf Grundlage von personenbezogenen Daten systematische und umfassende Bewertungen persönlicher Aspekte vor-genommen werden, die als Grundlage für
Entscheidungen dienen, die Rechtswir-kungen gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (Art. 35 Abs. 3 DS-GVO).
Eine Datenschutz-Folgeabschätzung hat eine Beschreibung der geplanten Verarbei-tungsvorgänge und ihrer Zwecke sowie möglicher berechtigter Interessen des Ver-antwortlichen, eine Beschreibung der
Notwendigkeit der Abwicklung sowie ihrer Ver-hältnismäßigkeit, eine Bewertung der Risiken und eine Beschreibung des Maßnah-men zur Risikoreduzierung zu enthalten (Art. 37 Abs. 7 DS-GVO). Eine
Datenschutz-Folgeabschätzung dürfte aber bei Vereinen nur in den seltensten Fällen notwendig sein.
Weitere Informationen zu diesem Thema finden Sie in Kurzpapier Nr. 5 der Daten-schutzkonferenz „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“, abrufbar unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/DSK-Kurzpapier-5-DSFA.pdf
Seite 35
Muster einer Einwilligungserklärung für die Veröffentlichung von Mitgliederdaten im Internet
Der Vereinsvorstand weist hiermit darauf hin, dass ausreichende technische Maßnahmen zur Gewährleistung des Datenschutzes getroffen wurden. Dennoch kann bei einer Veröffent-lichung von
personenbezogenen Mitgliederdaten im Internet ein umfassender Datenschutz nicht garantiert werden. Daher nimmt das Vereinsmitglied die Risiken für eine eventuelle Persönlichkeitsrechtsverletzung zur
Kenntnis und ist sich bewusst, dass:
die personenbezogenen Daten auch in Staaten abrufbar sind, die keine der Bundesre-publik Deutschland vergleichbaren Datenschutzbestimmungen kennen,
die Vertraulichkeit, die Integrität (Unverletzlichkeit), die Authentizität (Echtheit) und die Verfügbarkeit der personenbezogenen Daten nicht garantiert ist.
Das Vereinsmitglied trifft die Entscheidung zur Veröffentlichung seiner Daten im Internet freiwillig und kann seine Einwilligung gegenüber dem Vereinsvorstand jederzeit widerrufen.
Erklärung
„Ich bestätige das Vorstehende zur Kenntnis genommen zu haben und willige ein, dass der Verein
.......................................................................................................................................
(Name des Vereins)
folgende Daten zu meiner Person:
Allgemeine Daten Spezielle Daten von Funktionsträgern
Vorname
Anschrift
Zuname
Telefonnummer
Fotografien
Faxnummer
Sonstige Daten
(z.B.: Leistungsergebnisse, Lizenzen, Mannschaftsgruppe u.ä.)
E-Mail-Adresse
wie angegeben auf folgender Internetseite des Vereins
................................................................................................................................ (Online-Dienst / Internet ; Zugangsadresse)
veröffentlichen darf.“ Ort und Datum: Unterschrift:
........................................................................... ...............................................
(Bei Minderjährigen
Unterschrift eines Erziehungsberechtigten)
Chorproben - Singstunde Freitags 20:00 Uhr Gemeindehalle in Weitenau