· Fachbeitrag · Datenschutz
Das Datenschutz-Update für Vereine
von Rechtsanwalt Michael Röcken, Bonn, www.ra-roecken.de
| Das „Schöne“ am Datenschutzrecht ist die Transparenz der Behörden. Regelmäßig veröffentlichen sie Tätigkeitsberichte. Aus denen kann man erkennen, was „schieflaufen“ kann, aber nicht sollte. Hier finden sich auch immer wieder Vorfälle aus dem Vereinsbereich, die VB für Sie ausgewertet hat. Aber auch einige Urteile behandeln das Thema „Datenschutz im Verein“. Erfahren Sie, was passiert ist und worauf Sie achten sollten. |
Das Datenschutzthema „erweitertes Führungszeugnis“
Vereine, die mit Kindern, Jugendlichen und anderen Schutzbefohlenen arbeiten, müssen sich nicht nur von Beschäftigten, sondern auch von Ehrenamtlichen ein erweitertes Führungszeugnis vorlegen lassen (§ 72a SGB VIII, § 30a Gesetz über das Zentralregister und das Erziehungsregister [BZRG]). In diesem erweiterten Führungszeugnis werden Sexualstraftaten aufgeführt, die in einem „normalen“ Führungszeugnis nicht aufgeführt werden. Gerade hier handelt es sich um besonders sensible Daten i. S. v. Art. 10 DSGVO, sodass Sie hier besondere Anforderungen erfüllen müssen.
Wann darf ein Führungszeugnis angefordert werden?
Dies betrifft insbesondere die Frage, ob Sie überhaupt ein solches Führungszeugnis anfordern dürfen. Der 30. Bericht des Landesbeauftragten für Datenschutz und Informationsfreiheit in NRW (LDI NRW, S. 141 ff.) weist darauf hin, dass bei der nach Art. 6 Abs. 1 f DSGVO erforderlichen Abwägung das Interesse des Vereins überwiegen wird, wenn er Kinder oder Jugendliche beaufsichtigt, betreut, erzieht oder ausbildet oder einen vergleichbaren Kontakt hat (§ 72a Abs. 2 SGB VIII). Gleiches gilt für die Betreuung von erwachsenen Schutzbefohlenen (§ 124 Abs. 2 SGB IX).
Wichtig | Nach § 30a Abs. 3 BZRG dürfen Sie die Daten aus einem erweiterten Führungszeugnis nur verarbeiten, soweit dies zur Prüfung der Eignung der Person für eine Tätigkeit erforderlich ist, die Anlass zur Vorlage des Führungszeugnisses gewesen ist. Sie müssen diese Daten auch vor dem Zugriff Unbefugter zu schützen und unverzüglich löschen, wenn die Person die Tätigkeit, die Anlass zu der Vorlage des Führungszeugnisses gewesen ist, nicht ausübt.
|
Ein Sportverein organisiert ein Sommerferiencamp und sucht dafür ehrenamtliche Betreuer. Hierzu müssen die Betreuer ein erweitertes Führungszeugnis vorlegen. Der Bewerber A legt sein Zeugnis vor, kommt aber später nicht zum Einsatz. Der Verein muss diese Daten unverzüglich löschen. |
Wenn ein Einsatz erfolgt, müssen Sie die Daten spätestens sechs Monate nach der letztmaligen Ausübung der Tätigkeit löschen (§ 30a Abs. 3 S. 4 BZRG).
Welche Daten dürfen Sie wie verarbeiten?
Da § 30a Abs. 3 BZRG ausdrücklich darauf verweist, dass Sie nur die Daten aus einem erweiterten Führungszeugnis verarbeiten dürfen, dürfen Sie weder von Ihren Arbeitnehmern noch von den Ehrenamtlichen das Führungszeugnis im Original oder als Kopie zu Ihren Akten nehmen. Es kann lediglich ein „Sichtvermerk“ aufgenommen werden, dass Sie das erweiterte Führungszeugnis eingesehen haben und dort keine Eintragungen ersichtlich waren. Darauf weist sowohl der 5. Tätigkeitsbericht der EKD Deutschland (S. 46) auch der 30. Bericht des LDI NRW (S. 143) hin.
Datenschutzthema „Protokolle im Verein“
Im Vereinen sollten Protokolle der Mitgliederversammlungen veröffentlicht werden. Zum einen, um für Transparenz zu sorgen und zum anderen, um Rechtssicherheit zu schaffen.
Wichtig | Die Frage, innerhalb welcher Frist eine Klage erhoben werden muss, hängt davon ab, ab wann die Mitglieder Kenntnis von den Beschlüssen (durch das Protokoll) haben. Jedenfalls kann eine verspätete Übersendung des Protokolls das Hinausschieben einer Klageerhebung rechtfertigen, wenn der Inhalt des Protokolls für eine Klage von Bedeutung ist (OLG Hamm, Urteil vom 01.03.2021, Az. I-8 U 61/20, Abruf-Nr. 222381).
Der Aushang im Schaukasten
Keine gute Idee ist es jedoch, wenn der Verein die Protokolle mit ungeschwärzten Namen in einem Schaukasten veröffentlicht, der auch für Außenstehende einsehbar ist. Darauf weist der Bericht des LDI NRW (S. 144 f.) explizit hin. Die Folge war hier eine Verwarnung für den Verein.
Wichtig | Eine Verwarnung nach Art. 58 Abs. 2 b DSGVO dokumentiert einen Datenschutzverstoß! Werden bei Ihrem Verein später weitere Verstöße festgestellt, kann sich diese Verwarnung auch bußgelderhöhend auswirken (Art. 83 Abs. 2 e DSGVO).
Personenbezogene Daten in Protokollen am besten schwärzen
Möchten Vereine die Sitzungsprotokolle einem offenen Personenkreis ohne Einwilligung der dort genannten Personen zugänglich machen, müssen Sie die personenbezogenen Daten in den Protokollen unkenntlich machen bzw. schwärzen. Das gilt natürlich auch für Protokolle, die Sie auf Ihrer Homepage im öffentlichen Bereich zugänglich machen!
Im Protokoll veröffentlichte Anwesenheitsliste ist unproblematisch
Unproblematisch hingegen ist aus datenschutzrechtlicher Sicht, wenn Sie das Protokoll der Mitgliederversammlung mit einer namentlichen Anwesenheitsliste den Mitgliedern bekannt geben. Darauf hat die Behörde aus Bremen in ihrem 7. Jahresbericht (S. 73) hingewiesen. Hier sei es sogar erforderlich, dass Mitglieder, die nicht anwesend waren, sich anhand der Anwesenheitsliste von der ordnungsgemäßen Beschlussfassung überzeugen können, dass etwa Quoren oder Stimmrechtsausschlüsse geprüft werden können.
Ein hilfreicher Hinweis wurde hier auch gegeben: „Jede Person geht bei einem Vereinsbeitritt wissentlich und willentlich eine Verbindung zu den anderen Vereinsmitgliedern ein und kann daher im Regelfall nicht mit einem Anonymbleiben rechnen“.
Wichtig | Etwas anderes kann in bestimmten sensiblen Bereichen gelten, wie z. B. im Selbsthilfeverein von Suchtkranken.
Datenschutzthema „Videoüberwachung“
Das Thema der Videoüberwachung bleibt ebenfalls im Fokus der Behörden, auch im Vereinsbereich. Über eine Videoüberwachung, die gestoppt wurde, berichtet der Bericht des LDI NRW (S. 137 f.). Hier hatte ein privates Museum sowohl den Innen- als auch den Außenbereich überwacht. Die Aufnahmen wurden für die Dauer von 30 Tagen gespeichert. Dies war nicht mehr gerechtfertigt, da selbst die Polizei solche Befugnisse nicht hatte.
Wichtig | Die „Datenschutzkonferenz“ (Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) empfiehlt eine maximale Speicherdauer von 48 Stunden; eine längere Speicherdauer müssen Sie begründen.
Mit einer Videoüberwachung im Schwimmbad musste sich die Behörde aus Brandenburg befassen (S. 27 ff.). Hier war eine Überwachung im Umkleidebereich unzulässig; auch der Schwimmbereich durfte nur videoüberwacht werden, wenn es sich um Flächen handelt, die durch die Aufsichtspersonen nur schwer einsehbar waren.
PRAXISTIPP | Beabsichtigen Sie, eine Vereinsanlage mit einer Videoüberwachung auszustatten, empfehlen wir, dies mit der zuständigen Behörde abzustimmen. Legen Sie bei der Anfrage dar, warum Sie die Überwachung vornehmen möchten (Vandalismus, häufige Einbrüche etc.). Zeigen Sie der Behörde, wo Kameras installiert werden sollen, und welcher Bereich aufgenommen wird. Stellen Sie hier auch klar, dass Sie durch Schilder auf die Überwachung hinweisen und dass Sie die Aufnahmen nicht länger als 48 Stunden speichern. Bieten Sie hier auch einen „Vor-Ort-Termin“ an, um dem Sachbearbeiter zu zeigen, wie Sie sich die Überwachung vorstellen. So sind Sie auf der sicheren Seite.
PRAXISTIPP | Beabsichtigen Sie, eine Vereinsanlage mit einer Videoüberwachung auszustatten, empfehlen wir, dies mit der zuständigen Behörde abzustimmen. Legen Sie bei der Anfrage dar, warum Sie die Überwachung vornehmen möchten (Vandalismus, häufige Einbrüche etc.). Zeigen Sie der Behörde, wo Kameras installiert werden sollen, und welcher Bereich aufgenommen wird. Stellen Sie hier auch klar, dass Sie durch Schilder auf die Überwachung hinweisen und dass Sie die Aufnahmen nicht länger als 48 Stunden speichern. Bieten Sie hier auch einen „Vor-Ort-Termin“ an, um dem Sachbearbeiter zu zeigen, wie Sie sich die Überwachung vorstellen. So sind Sie auf der sicheren Seite. |
Datenschutzthema „Mitgliederdaten“
Manche Vereine haben andere Vereine („Verbände“) oder juristische Personen (z. B. eine GmbH) als Mitglied. Hier verarbeiten die Vereine häufig auch die Daten der Vertreter, wie die des Vorstands, des Geschäftsführers oder eines anderen Vertreters. Auch hier müssen Sie die allgemeinen datenschutzrechtlichen Standards beachten, da Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt (EuGH, Urteil vom 03.04.2025, Rs. C-710/23, Abruf-Nr. 247733).
Grundsatz der Datensparsamkeit
Sie dürfen als Verein nur die Daten verarbeiten, die Sie für den konkreten Zweck benötigen (Art. 5 Abs. 1 c DSGVO). Hier wurde ein Sportverein durch die Behörde in Schleswig-Holstein (S. 74) darauf hingewiesen, dass er nicht berechtigt sei, Gesundheitsdaten seiner Mitglieder für die Teilnahme am Training abzufragen, welche Sportverbände allenfalls für Wettkampfvorbereitung benötigen würden.
Nutzung von Mitgliederdaten
Bei der Mitgliederverwaltung müssen Sie den Grundsatz der Zweckbindung (Art. 5 Abs. 1 b DSGVO) beachten. D. h., dass Sie die Mitgliederdaten nur für den bestimmten Zweck der Mitgliederverwaltung nutzen. Hier wies die Behörde aus Rheinland-Pfalz (S. 44) bezüglich einer Notarkammer hin, die ‒ wie auch bei Vereinen üblich ‒ ihren Mitgliedern zum Geburtstag gratulierte. Nach der Beschwerde eines „Geburtstagskindes“ wies die Behörde darauf hin, dass dies zwar der Beziehungspflege dienen würde, aber ohne ausdrückliche Einwilligung nicht zulässig sei.
Wichtig | Wollen Sie Mitgliedern zum Geburtstag gratulieren, müssten Sie dies bei den Mitgliedern abfragen und sich eine Einwilligung geben lassen.
Verarbeiten Sie die Telefonnummer Ihrer Mitglieder und haben diesen bei der Aufnahme mitgeteilt, dass die Nummer „nur für den Notfall“ genutzt wird, ist es unzulässig, wenn Sie Mitglieder später anrufen, um sie auf andere Vereinsangebote aufmerksam zu machen (Schleswig-Holstein, S. 72).
Weitergabe von Mitgliederdaten
Eine Weitergabe von Mitgliederdaten ist nicht generell verboten. Hier kommt es darauf an, warum Sie die Daten weitergeben. Besteht z. B. ein berechtigtes Interesse, müssen Sie diese Daten ggf. auch herausgeben.
|
Ein Mitglied möchte eine Mitgliederversammlung einberufen lassen; der Vorstand weigert sich jedoch. Um die nach § 37 Abs. 2 BGB erforderliche Unterstützung zu erhalten, verlangt er die Mitgliederliste.
Lösung: Dieser Anspruch besteht grundsätzlich. Datenschutzrechtliche Bestimmungen stehen dem Herausgabeanspruch nicht entgegen (OLG München, Urteil vom 24.03.2016, Az. 23 U 3886/15, Abruf-Nr. 185501). Hier ist jedoch der Verein verpflichtet, vor der Herausgabe der Daten zu prüfen, ob nicht ein milderes Mittel in Betracht kommt, das genauso geeignet ist, dem Interesse des Mitglieds zu genügen. Darauf hat die Berliner Behörde in ihrem Bericht 2021 (S. 117) hingewiesen. |
Wichtig | Wenn ein Zweck (= Beschlussgegenstand) und der Grund (= Erforderlichkeit der Einberufung) durch das Mitglied angegeben wurde, sollte der Vorstand prüfen, ob er nicht direkt selbst die Mitgliederversammlung einberuft. Dann ist es nicht mehr erforderlich, die Mitgliederliste herauszugeben.
Die Behörde aus Schleswig-Holstein (S. 71) wies darauf hin, dass eine Weitergabe von Mitgliederdaten an eine Stiftung durch einen Vereinsvorsitzenden ohne Einwilligung des Mitglieds nicht zulässig sei, auch wenn die Stiftung „nur“ um Spenden bitten wollte. Der Verein hatte sich hier auf eine alte Regelung im Bundesdatenschutzgesetz (§ 28 Abs. 3 S. 2 Nr. 3 BDSG) bezogen. Danach war die Datenverarbeitung zum Zwecke der Spendenwerbung zulässig. Diese Regelung ist mit der Schaffung der DSGVO und der Neuregelung des BDSG aber aufgehoben worden.
Glimpflicher ging eine Entscheidung des EuGH (Urteil vom 04.10.2024, Rs. C-621/22, Abruf-Nr. 249208) aus, der ein berechtigtes Interesse (Art. 6 Abs. 1 f DSGVO) eines Sportverbandes sah, als dieser Mitgliederdaten der Mitglieder seiner angeschlossenen Vereine an einen Sponsor gegen Entgelt weitergab.
Wichtig | Der EuGH wies aber auch darauf hin, dass die Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses absolut notwendig sein muss und die Interessen dieser Mitglieder gegenüber dem berechtigten Interesse nicht überwiegen. Dieses berechtigte Interesse muss nicht zwingend gesetzlich bestimmt sein, muss jedoch rechtmäßig sein, sodass auch ein wirtschaftliches Interesse ausreichend sein kann. Diese erforderliche Abwägung wird nun das nationale Gericht noch vornehmen müssen. Bevor Sie jedoch Daten der Mitglieder an einen Sponsor weitergeben, sollten Sie sich eine Einwilligung der Mitglieder zur Weitergabe geben lassen. Hierauf wies der EuGH auch ausdrücklich hin, dass dies ein weniger einschneidender Eingriff wäre.
Datenschutzthema „Verlust von Daten“
In vielen Tätigkeitsberichten wird auch darauf hingewiesen, dass bei einem physischen Verlust von Daten (USB-Sticks etc.) immer darauf zu achten ist, dass eine Verschlüsselung besteht; insbesondere bei Daten von Kindern (Berlin, S. 124). Auch in anderen Bereichen wird immer eine Sensibilisierung der Menschen gefordert, die mit Daten zu tun haben; sei es bei der erforderlichen Sorgfalt beim Versand von Daten (richtiger Empfänger; Kirchliche Datenschutzaufsicht Ost, S. 53 f.; Bericht Berlin, S. 125) oder ein zu sorgloser Umgang bei Phishingmails.
Wichtig | Hier wurde eindringlich darauf hingewiesen, dass vor dem Versand der jeweilige Inhalt der Nachricht, einschließlich der Anhänge kontrolliert werden müsse, um Fehlleitungen zu vermeiden.
Weiterführender Hinweis
- Alle Tätigkeitsberichte der Aufsichtsbehörden (seit 1971) finden Sie auf der Seite der Stiftung Datenschutz: https://datenschutzarchiv.org
