logo logo
Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Testzugang Anmelden
Menu Menu
MyIww MyIww

01.08.2008 | Bundesdatenschutzgesetz gilt auch für Vereine

Datenschutz im Verein: Diese Maßnahmen muss der Vorstand ergreifen

von Rechtsanwalt Michael Röcken, Bonn

Datenschutz ist nicht nur in der politischen Öffentlichkeit ein wichtiges Thema. Auch Vereine müssen als Mitgliederorganisationen die entsprechenden rechtlichen Vorgaben einhalten. Welche Maßnahmen Sie als Vorstand ergreifen müssen, erläutert der folgende Beitrag. 

Welche Daten müssen geschützt werden?

Das Bundesdatenschutzgesetz (BDSG) als zentrale Norm des Datenschutzes sieht vor, dass der Einzelne davor geschützt werden soll, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Absatz 1 BDSG). Personenbezogen – und damit schutzwürdig im Sinne des BDSG – sind damit zumindest die folgenden Daten, die ein Verein für seine Vereinsverwaltung erhebt:  

 

  • Name und Anschrift
  • Geburtsdatum
  • Eintrittsdatum
  • Bankverbindung (in der Regel)

 

Diese Daten können sowohl von Mitgliedern bzw. Interessenten als auch von Arbeitnehmern des Vereins stammen. Dabei ist es irrelevant, ob die Daten in einer elektronischen Mitgliederverwaltung oder auf herkömmliche Weise in einer schriftlichen Mitgliederkartei erfasst werden. Der Schutz des BDSG umfasst sowohl das Erheben (Beschaffen), Verarbeiten (Speichern, Verändern, Übermitteln, Sperren und Löschen) als auch das Nutzen (jede Verwendung) von Daten. 

 

Die Verpflichtung, personenbezogene Daten zu schützen, betrifft jeden Verein. Verantwortlich dafür ist der Vorstand. 

Neues Pflichtamt im Verein: Datenschutzbeauftragter

Wenn der Verein mehr als neun Personen beschäftigt (Arbeitsverhältnis), muss er einen Datenschutzbeauftragten bestimmen. Ehrenamtlich Tätige werden bei der Neun-Personen-Grenze nicht berücksichtigt.  

 

Der Datenschutzbeauftragte muss nicht Mitglied des Vereins sein. Er wird in der Regel durch den Vorstand bestellt. Der Vorstand muss ihn bei der Erfüllung seiner Aufgaben unterstützen. Bei der Bestellung ist darauf zu achten, dass der Datenschutzbeauftragte die Fachkunde und Zuverlässigkeit besitzt, die erforderlich ist, um seine Aufgaben zu erfüllen (§ 4f BDSG). Diese Fachkunde umfasst neben den erforderlichen Kenntnissen über den Verein auch ein Grundwissen über das Datenschutzrecht.  

 

Da der Datenschutzbeauftragte nach § 4f Absatz 3 Satz 1 BDSG unmittelbar dem Vorstand zu unterstellen ist, kann ein Vorstandsmitglied nicht selbst Datenschutzbeauftragter werden. 

 

Beachten Sie: Unterlässt es der Verein, einen Datenschutzbeauftragten zu bestellen, so begeht er eine Ordnungswidrigkeit. Diese kann mit Geldbußen bis zu 25.000 Euro geahndet werden (§ 43 BDSG). 

 

Datenschutz in Vereinen ohne Datenschutzbeauftragte

Muss der Verein keinen Datenschutzbeauftragten bestellen, hat der Vorsitzende sicherzustellen, das der Verein die Regeln des Datenschutzes einhält. Er muss dann selbst die entsprechenden Aufgaben wahrnehmen. 

 

Unabhängig davon, ob ein Datenschutzbeauftragter zu bestellen ist oder nicht, müssen die Personen, die mit der Datenverarbeitung befasst sind, auf das Datengeheimnis verpflichtet werden (§ 5 BDSG). Dazu sollte der Verein ein Merkblatt vorbereiten und per Unterschrift bestätigen lassen. 

Was muss der Verein beim Umgang mit den Daten beachten?

Der Verein muss das „Datengeheimnis“ wahren. Er darf die gesammelten Daten somit nur im Rahmen des BDSG oder einer anderen Rechtsvorschrift nutzen. Die Satzung des Vereins ist keine „andere Rechtsvorschrift“ im Sinne des BDSG. Die Datenschutzbestimmungen können also nicht per Satzung eingeschränkt oder außer Kraft gesetzt werden. 

 

Die Zulässigkeit der Datenverarbeitung richtet sich nach § 28 BDSG. Danach ist ein Erheben, Speichern, Ändern oder Übermitteln personenbezogener Daten oder ihre Nutzung nur zulässig, wenn dies erforderlich ist, um den Vereinszweck zu erfüllen. Die Vereinsmitgliedschaft wird hier als „vertragsähnliches Vertrauensverhältnis“ angesehen.  

 

Diese Daten dürfen erhoben werden

Um seinen Zweck erfüllen zu können, müssen dem Verein zumindest „Korrespondenzdaten“ (Name und Anschrift) vorliegen. Sofern weitere Daten für die Vereinsarbeit erforderlich sind, dürfen auch diese erhoben werden (Beispiel: Kontodaten für den Lastschrifteinzug des Mitgliedsbeitrags). Es muss immer gewährleistet sein, dass der jeweils Betroffene über diesen Umstand unterrichtet wird. Nach § 4 Absatz 3 BDSG ist der Betroffene über folgende Umstände zu informieren:  

 

1.Die Identität der verantwortlichen Stelle (= der Verein).
2.Die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung.
3.Die Empfänger der Daten, soweit die Daten weitergeleitet werden und der Betroffene nicht mit einer Übermittlung zu rechnen hatte.

 

Unser Tipp: Wir empfehlen, von dem Mitglied schon beim Eintritt in den Verein eine Einverständniserklärung einzuholen. Diese sollte sich optisch vom Beitrittsformular unterscheiden und nach Möglichkeit mit einer gesonderten Unterschrift bestätigt werden (siehe unser Muster auf Seite 17). 

Weitergabe von Daten

Teilweise muss der Verein Daten von Mitgliedern weitergeben. Grundsätzlich richtet sich die Erlaubnis zur Weitergabe nach § 28 BDSG. Ob sie zulässig ist, hängt vom jeweiligen Empfängerkreis ab. 

 

Weitergabe an andere Mitglieder

Hier sind die verschiedenen Interessen der Mitglieder gegeneinander abzuwägen. Ein typischer Anlass zur Weitergabe kann sich aus § 37 BGB ergeben. Danach besteht eine Verpflichtung, eine Mitgliederversammlung einzuberufen, wenn es ein bestimmter Teil der Mitglieder beantragt. Um hier ein entsprechendes (durch die Satzung vorgegebenes) Quorum erreichen zu können, werden die entsprechenden Anschriften bzw. Kontaktdaten benötigt. Gegen eine Weitergabe der Daten bestehen dabei keine Bedenken, da die Mitglieder ihre satzungsmäßigen Rechte verfolgen.  

 

Weitergabe über Veröffentlichungen des Vereins

Viele Vereine verfügen über eine eigene Vereinszeitschrift oder gar einen Internetauftritt. Teilweise wird daneben noch ein Schaukasten oder ein schwarzes Brett genutzt. Hier stellt sich die Frage, ob personenbezogene Daten veröffentlicht werden können. Beispielsweise wird regelmäßig über Vereinsjubiläen oder Geburtstage informiert. Denkbar sind auch Leistungsergebnisse bei Wettbewerben oder ähnlichem. 

 

Unser Tipp: Um für den Vorstand Rechtssicherheit zu erlangen, empfiehlt es sich, einen entsprechenden Beschluss auf der Mitgliederversammlung herbeizuführen. Dieser Beschluss sollte die geplante Veröffentlichung mitsamt den zu veröffentlichen Daten enthalten und auch auf die Möglichkeit hinweisen, dass jedem Mitglied ein Widerspruchsrecht zusteht.  

 

Wird die Vereinszeitschrift auch an Nichtmitglieder versandt, empfehlen wir, von der Veröffentlichung der Daten Abstand zu nehmen. Das gilt erst recht für Veröffentlichungen auf der Vereinshomepage – zumindest wenn die Daten in den „öffentlichen Bereich“ eingestellt werden. Daten über Austritte aus dem Verein sollten nach Möglichkeit nicht veröffentlicht werden.  

 

Weitergabe an nahestehende Organisationen

Vereine, die einem Dachverband angehören, sind in der Regel verpflichtet, die Mitgliedsbestände weiterzugeben. Diese Weitergabeverpflichtung sollte nach Möglichkeit in der Satzung des jeweiligen Vereins verankert sein. Auch sollte in der oben erwähnten Einverständniserklärung darauf hingewiesen werden. 

 

Weitergabe der Daten an Sponsoren

Sofern Sponsorengelder von der Weitergabe von Mitgliedsdaten abhängig gemacht werden, sollte auch hier ein Beschluss der Mitgliederversammlung herbeigeführt werden. Auch dieser Beschluss sollte allen Mitgliedern mit einem Hinweis auf ein bestehendes Widerspruchsrecht zur Kenntnis gegeben werden. 

 

Weitergabe der Daten an Wirtschaftsunternehmen

Daten der Mitglieder sollten auf keinen Fall an Wirtschaftsunternehmen weitergeben werden. Eine Ausnahme kann sich jedoch ergeben, wenn der Verein für seine Mitglieder eine Gruppenversicherung oder ähnliches abgeschlossen hat. Hier ist erforderlich, dass der Versicherer Kenntnis über die Mitglieder hat, die versichert werden sollen. Auch hier sollte das Mitglied unbedingt vorher informiert werden. 

Empfehlungen für die Vereins-Praxis

Wir empfehlen jedem Verein in Punkto Datenschutz zwei Dinge zu unternehmen: 

 

1. Eine eigenständige Datenschutzerklärung zum Beitrittsformular.
2. Eine Regelung zum Datenschutz in der Satzung.

 

1. Eigenständige Datenschutzerklärung zum Beitrittsformular

Beim Beitritt zum Verein sollte das Neumitglied im Beitrittsformular oder (besser) auf einem eigenem Formular unterschreiben, dass es auf die Erhebung, Verarbeitung und Weiterleitung personenbezogener Daten hingewiesen wurde und damit einverstanden ist. Dieses Formular könnte folgenden Wortlaut haben:  

 

Muster-Datenschutzerklärung beim Vereinsbeitritt

Der Verein [Name] erhebt mit dem Beitritt die folgenden Daten seiner Mitglieder: Name, Vorname, Anschrift, [Sonstiges]. Diese Daten werden im Rahmen der Mitgliedschaft verarbeitet und gespeichert. Als Mitglied des [Name] Verbandes muss der [Name] Verein von Ihnen als Mitglied folgende Daten an den [Name] Verband weitergeben: [Name, Vorname, Funktion ...]. Der Verein veröffentlicht Daten seiner Mitglieder [auf der Homepage, der Vereinszeitschrift, dem Schwarzen Brett, dem Schaukasten] nur, wenn die Mitgliederversammlung einen entsprechenden Beschluss gefasst hat und das Mitglied nicht widersprochen hat. Die vorstehenden Hinweise habe ich zur Kenntnis genommen und erkläre mich einverstanden. 

Ort, Datum, Unterschrift (bei minderjährigen Mitgliedern des Erziehungsberechtigten) 

2. Regelung zum Datenschutz in der Satzung

Darüber hinaus empfiehlt es sich, in der Satzung des Vereins einen entsprechenden Datenschutz-Passus aufzunehmen.  

 

Muster-Absatz in der Satzung zum Datenschutz

§ ... Mitglieder 

(...) 

Im Rahmen der Mitgliederverwaltung werden von den Mitgliedern folgende Daten erhoben: Name, Vorname, … Diese Daten werden im Rahmen der Mitgliedschaft verarbeitet und gespeichert. Als Mitglied des [Name] Verbandes muss der [Name] Verein die Daten seiner Mitglieder [Name, Vorname, Funktion …] an den [Name] Verband weitergeben. Der Verein veröffentlicht Daten seiner Mitglieder [auf der Homepage, in der Vereinszeitschrift, am Schwarzen Brett, in dem Schaukasten] nur, wenn die Mitgliederversammlung einen entsprechenden Beschluss gefasst hat und das Mitglied nicht widersprochen hat. 

 

 

Quelle: Ausgabe 08 / 2008 | Seite 14 | ID 120843