Vereine und andere Non-Profit-Organisationen verarbeiten regelmäßig personenbezogene Daten – und sei es nur im Rahmen der Spenden- und Mitgliederverwaltung. Viele Vereine wiegen sich dabei in Sicherheit vor den Vorschriften der Datenschutz-Grundverordnung (DSGVO), weil nur Ehrenamtliche tätig sind oder sie weniger als 20 Personen beschäftigen. Doch auch die kleinsten Vereine müssen die Grundsätze der DSGVO beachten, sonst droht ein Bußgeld. Hier steht, worauf es beim Datenschutz in Verein ankommt.
Inwiefern ist der Verein Verantwortlicher im Sinne des Datenschutzrechts?
Die DSGVO findet auf Vereine grundsätzlich volle Anwendung. Irrelevant ist, ob der Verein gemeinnützig ist oder nicht, ob eingetragen oder nicht. Auch unterscheidet die DSGVO nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Der Verein ist Verantwortlicher und muss sich das Tätigwerden seiner Organe und Untergliederungen zurechnen lassen.
Sind 20 oder mehr Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss sogar ein Datenschutzbeauftragter bei der Aufsichtsbehörde gemeldet werden. Diese Position darf nicht von dem Vorstand übernommen werden, weil es zu einem Interessenskonflikt kommen kann, da er verpflichtet wäre sich selbst zu überwachen.
Welche Zwecke der Verarbeitung kommen für Vereine in Betracht?
Die personenbezogenen Daten, die in einem Verein verarbeitet werden, können unterschiedlicher Art sein. Einen Großteil stellen meist die Daten von Mitgliedern dar. Aber auch von Spendern, von Geschäftspartner und sonstigen Personen werden regelmäßig personenbezogene Daten verarbeitet. Für sie alle gilt die DSGVO.
Grundsätzlich ist die Verarbeitung personenbezogener Daten unzulässig. Es gilt jedoch der Grundsatz des Verbots mit Erlaubnisvorbehalt. Bei jeder Verarbeitung personenbezogener Daten hat der Verein deshalb festzulegen, zu welchen Zwecken die Verarbeitung erfolgt (Art. 5 Abs. 1 lit. b) DSGVO). Die Mitglieder stehen in einem Vertragsverhältnis mit ihrem Verein, das inhaltlich durch die Vereinsordnung bzw. -satzung bestimmt wird. In der Satzung hat der Verein daher sicherzustellen, dass nur Verarbeitungen vorgesehen werden, die für die Begründung und Durchführung der Mitgliedschaft oder des Vereinszwecks erforderlich sind. Für Mitarbeiter ist der Verein Arbeitgeber, für Dritte oft Vertragspartner.
Beispiel: Mitgliederverwaltung
Aus Art. 6 Abs. 1 lit. b) DSGVO ergibt sich etwa die Rechtsgrundlage für die Betreuung und Verwaltung der Mitglieder. Hierfür darf der Verein grundsätzlich Namen, Anschrift, Geburtsdatum und Bankverbindung verarbeiten. Alternativ ist es auch denkbar, dass der Verein ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO an weiteren Verarbeitungen hat, welches im konkreten Fall die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegt. Dies ist etwa bei dem Versand satzungsmäßiger Vereinspost bzw. Sitzungseinladungen denkbar.
Beispiel: Datenfluss an einen Dachverband
Das Vereinsmitglied ist nicht immer automatisch durch dieselbe Erklärung einem Dachverband beigetreten. Häufig ist der Verein selbst Mitglied im Dachverband. Dem Datenfluss vom Verein, mit dem ein Vertragsverhältnis besteht, hin zu einem Dachverband muss das Vereinsmitglied ausdrücklich zugestimmt haben. Dass der Verein selbst Mitglied des Dachverbands ist, ist dabei unerheblich. Dachverbände sind datenschutzrechtlich gesehen Dritte. In einzelnen Fällen kann die Übermittlung an einen Dachverband aber auch zur Verfolgung des Vereinsziels erfolgen (z.B. zur Organisation einer gemeinsamen Veranstaltung), wenn keine entgegenstehenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen. Bei Kindern unter 16 Jahren gilt die Besonderheit, dass die Interessenabwägung in der Regel zu ihren Gunsten ausfällt.
Beispiel: Vertragliches Erfordernis
Besteht eine vertragliche Verpflichtung zur Weitergabe der Daten, sollte diese in der Vereinssatzung benannt werden. Schließlich können vertragliche Beziehungen die Weitergabe der Daten erforderlich machen. So laufen Versicherungsverträge, mit denen sich der Verein vor Haftungsansprüchen seiner Mitglieder schützt, häufig über den Dachverband. Auch können Verträge mit Lieferanten oder Dienstleistern die Weitergabe personenbezogener Daten notwendig machen (z.B. Ansprechpartner für Saalbuchungen oder Lieferanten). In diesen Fällen liegt es auch nahe, dass ein berechtigtes Interesse an der Verarbeitung besteht.
Beispiel: Mitgliederfotos
Darüber hinaus besteht die Möglichkeit, eine Verarbeitung auf eine Einwilligung der Mitglieder zu stützen. Notwendig ist eine solche zwingend für den Fall, dass Mitgliederfotos auf der vereinseigenen Website veröffentlicht oder wenn Geburtstagslisten intern ausgelegt werden.
Wann liegt eine Verarbeitung zur Erreichung des Vereinszwecks vor?
Der Vereinszweck ergibt sich in der Regel aus der Vereinssatzung. Lässt sich daraus die Notwendigkeit einer bestimmten Datenverarbeitung ableiten, kann z.B. die Weitergabe der Daten an Dritte oder die Veröffentlichung von bestimmten Mitgliederdaten (z.B. Name und Vereinszugehörigkeit) gerechtfertigt sein. Ruft die Vereinssatzung das Ziel eines persönlichen oder geschäftlichen Kontakts aus, kann es gerechtfertigt sein, Mitgliederlisten auszugeben, aus denen alle Mitglieder Daten anderer Mitglieder einsehen können. Der Zweck bestimmt auch, wie umfangreich die Listen mit Daten gefüllt sein dürfen.
Zu beachten ist, dass die Satzung immer nur insoweit in Bezug auf einen neuen Verwendungszweck geändert werden darf, als dass ein er mit dem ursprünglichen Zweck im Zusammenhang steht. Anderenfalls würde die verfassungsrechtlich geschützte Position der Mitglieder beeinträchtigt.
Wie behält der Verein den Überblick über seine Datenverarbeitungen?
Der Verein muss die Grundzüge seiner Datenverarbeitung dokumentieren. In der Regel werden sie mit in die Vereinssatzung aufgenommen. Alternativ kann eine Datenschutzordnung vom Vorstand oder der Mitgliederversammlung beschlossen werden, worin die Erhebung, Verarbeitung, Nutzung, Speicherung und Löschung von personenbezogenen Daten umschrieben wird. Aufzunehmen ist, welche Daten für welche Zwecke verwendet werden.
Aufgrund des Haftungsrisikos sollte genau geregelt sein, zu welchen Daten Entscheidungsträger Zugang haben und in welchem Umfang sie wie genutzt werden dürfen. Auch muss sichergestellt werden, dass keine unbefugten Dritten auf den Pool der Mitgliederdaten zugreifen können. Ohnehin ist der Verein verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen und auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Es bietet sich also an, die Verarbeitungen darin zentral zu dokumentieren und gleichzeitig der Rechenschaftspflicht entsprechend der DSGVO nachzukommen.
Wie müssen Vereine über Datenverarbeitungen informieren?
Bei Erhebung von personenbezogenen Daten ist die betroffene Person, egal ob Vereinsmitglied, Spender oder eine sonstige Person, über die Verarbeitung umfassend zu informieren (Art. 13 Abs. 1 und 2 DSGVO). Bei einer Datenerhebung nicht direkt von der betroffenen Person sind die zusätzlichen Anforderungen aus Art. 14 Abs. 1 und 2 DSGVO zu beachten. Ein Verstoß u.a. gegen die Informationspflicht kann ein Bußgeld nach sich ziehen (Art. 83 Abs. 5 lit. b) DSGVO). Die betroffene Person ist z.B. darauf hinzuweisen, welche Angaben im Vereinsblatt oder Internet veröffentlicht werden.
Sofern Einwilligungen von den Mitgliedern eingeholt werden müssen (z.B. im Fall von Mitgliederfotos auf der Website), hat diese stets informiert zu erfolgen. Es muss insbesondere klar sein, worin eingewilligt wird, wie die Daten verarbeitet werden und an welche Dritten sie weitergegeben werden. Nur dann ist die Einwilligung auch freiwillig erteilt. Es bietet sich an, diese Einwilligung bereits bei Beginn der Mitgliedschaft einzuholen und ein umfassendes Informationsschreiben auszuhändigen. Bei Kindern und Jugendlichen ist darauf zu achten, dass sie die Konsequenzen ihrer Einwilligung einschätzen können. Eine widerlegliche Vermutung dagegen besteht unter 13 Jahren, so dass die Einwilligung dann von einem Erziehungsberechtigten einzuholen ist.
Welche datenschutzrechtlichen Vorgaben gelten noch für Vereine?
Vereine haben außerdem die Voraussetzungen gem. Art. 32 DSGVO zu beachten und ein angemessenes Schutzniveau durch geeignete technische und organisatorische Maßnahmen zu schaffen. Art. 32 Abs. 1 DSGVO bietet hierfür eine beispielhafte Auflistung. Häufig liegen jahrealte Datensammlungen und Excel-Tabellen mit sensiblen Mitgliederdaten auf den Vereinscomputern. Stattdessen muss ein besonderes Augenmerk auf die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten gelegt werden.
Für den Fall, dass Vereine weisungsabhängige Dienstleister einsetzen, beispielsweise zur Verwaltung von Mitgliedern oder der Finanzen, muss ein Auftragsverarbeitungsvertrag geschlossen werden.
Der Verein hat auch Betroffenenanfragen nachzukommen und z.B. gem. Art. 17 Abs. 1 DSGVO Daten unverzüglich zu löschen, sofern keine Rechtsgrundlage für eine Speicherung mehr vorliegt. Außerdem bestehen Löschfristen, sodass der Verein ein personenbezogenes Datum löschen muss, sobald es für die ursprüngliche Verarbeitung nach Erhebung nicht mehr notwendig ist. Der Verein sollte daher über die bei ihm geltenden Löschfristen stets einen Überblick bewahren. Hierzu empfiehlt sich ein Löschungs- und Archivierungskonzept.
Fazit: Datenschutz ist Pflicht!
Auch im nicht-gewerblichen Bereich gilt: Der Datenschutz muss in der gesamten Organisation Berücksichtigung finden. Von der Internetpräsenz (Stichwort: Datenschutzerklärung) über die Vereinssatzung und den Mitgliederantrag bis hin zur Löschung von Mitgliederdaten. Findet in der Vereinspraxis kein strukturiertes Vorgehen im Bereich Datenschutz statt, kann die leichtsinnige Haltung der Vereinskasse schnell teuer zu stehen kommen.