Datenschutz ist für Vereine ein wichtiges Thema, weil der Umgang mit Mitgliederdaten erstens nicht vermieden werden kann und zweitens in der Regel ein Interesse daran besteht, die gespeicherten personenbezogenen Daten der Mitglieder angemessen zu schützen.
Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, die sich aus der DSGVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergibt.
Der Verein darf nur solche personenbezogenen Daten seiner Mitglieder erheben und verarbeiten, die für die Verfolgung des Vereinsziels sowie für die Mitgliederbetreuung und -verwaltung erforderlich sind.
Der Verein muss technische und organisatorische Maßnahmen ergreifen, um die DSGVO umzusetzen. Das bedeutet auch, dass Vereinsmitglieder und Dritte ihre Zustimmung zur Datenverarbeitung geben müssen, Widerspruch einlegen können, Einsicht in die Daten verlangen können, den Verwendungszweck erfragen können, die Daten berichtigen oder unter Umständen sperren lassen können.
Beschäftigen sich mindestens 20 Personen im Verein regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten, ist der Verein verpflichtet einen internen oder externen Datenschutzbeauftragten zu benennen.
Im Falle der Auftragsdatenverarbeitung durch einen externen Dienstleister darf der Verein notwendige Daten weitergeben, ist aber nach wie vor für deren DSGVO-konforme Verarbeitung durch den Auftragnehmer verantwortlich und haftet ggf. für dessen Fehlverhalten.
Die Veröffentlichung personenbezogener Daten im Internet durch den Verein ist grundsätzlich nur mit ausdrücklicher Erlaubnis.
Wo personenbezogene Daten verwendet werden, müssen Regeln beachtet werden. Dabei ist die Datenschutz-Grundverordnung als gemeinnütziger Verein ebenso zu befolgen wie als Unternehmen: Die Vorschriften gelten allgemein, Sondervorschriften für den Verein gibt es nicht.
Wie auch in allen anderen Fällen gilt allgemein für den Datenschutz im Verein nach der DSGVO, dass die Datenverarbeitung entweder aufgrund einer gesetzlichen Regelung oder einer Einwilligung durchgeführt werden kann. Eine andere Möglichkeit besteht nicht. Das heißt aber auch: Für Datennutzungen, die keine gesetzliche Grundlage haben, kann eine Einwilligung eingeholt werden, damit sie zulässig sind.
Was sind nun gesetzliche Erlaubnistatbestände, die nach der Datenschutz-Grundverordnung im Verein Anwendung finden können? Hauptsächlich handelt es sich hierbei um Art. 6 Abs. 1 lit. b) und f) DSGVO.
Buchstabe b von Art. 6 Abs. 1 DSGVO erklärt die Datenverarbeitung dann für zulässig, wenn sie für die Begründung und die Durchführung eines Vertragsverhältnisses erforderlich ist. Ein solches geht das Mitglied mit seinem Beitritt in den Verein ein.
Hierunter fallen alle Verarbeitungen der Mitgliederdaten, die für die Verwaltung und Betreuung der Mitglieder und die Verfolgung der Vereinsziele vonnöten sind. Wenn also beispielsweise das Ziel des Vereins darin besteht, seine Mitglieder untereinander in Kontakt zu bringen (z. B. bei Ehemaligenvereinen o. ä.), so ist das Verteilen von Mitgliederlisten in der Regel durch diese Bestimmung gedeckt.
➔ Zu beachten ist hierbei aber, dass die Mitglieder über solche Verarbeitungen stets informiert sein müssen. Vereinsziele müssen beispielsweise in der Satzung definiert sein, damit sie als Grund dienen können. Einzelne Verarbeitungen müssen mit ihrem konkreten Zweck transparent aufgeführt werden. Es empfiehlt sich, eine Information zum Datenschutz im Verein der Satzung beizufügen oder gesondert zur Verfügung zu stellen.
Sollen über die Vereinsziele und die Mitgliederverwaltung hinaus Daten verarbeitet werden, können diese unter Umständen unter Art. 6 Abs. 1 lit. f) DSGVO fallen. Demnach darf auch bei Vorliegen berechtigter Interessen eine Datennutzung stattfinden – vorausgesetzt, dass nicht die schutzwürdigen Interessen der betroffenen Person überwiegen. Dies ist regelmäßig zum Beispiel bei Kindern der Fall.
Für alle anderen Fälle, die nicht unter die genannten zulässigen Zwecke fallen, schreibt der Datenschutz dem Verein vor, eine Einwilligungserklärung des Mitglieds einzuholen. Dies gilt zum Beispiel dann, wenn persönliche Informationen zu Werbezwecken an Dritte weitergegeben werden sollen.
Wenn es um den Datenschutz in Vereinen geht, kommt oft diese eine Frage auf: Entspricht es dem Datenschutz, wenn die Mitgliederliste im Verein verteilt wird?
Pauschal lässt sich diese Frage nicht beantworten, doch in der Regel kann es durchaus vereinbar sein mit dem Datenschutz im Verein, die Mitgliederliste verfügbar zu machen. Bei Vereinen, deren Ziel in der Vernetzung seiner Mitglieder besteht, ist die Zulässigkeit gemäß Art. 6 Abs. 1 lit. b) DSGVO leicht ersichtlich. In anderen Fällen kann unter Umständen ein berechtigtes Interesse geltend gemacht werden.
➔ Falls keine gesetzliche Grundlage besteht, kann eine Einwilligung der Mitglieder eingeholt werden, damit die Mitgliederliste verteilt werden kann.
Weitere Informationen finden Sie unter https://deutsches-ehrenamt.de/datenschutz-verein/