logo logo
Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Anmelden
Menu Menu
MyIww MyIww
Jetzt testen

·Fachbeitrag ·satzungsrecht

Satzungen optimieren – Teil 2: So reagieren Sie auf die neuen Bestimmungen zum Datenschutz

von RA Michael Röcken, Bonn

| Die Vereinssatzung ist das Instrument, in dem Sie die organisatorischen Erfordernisse Ihres Vereins abbilden und regeln. Die Erfahrung lehrt, dass der vorhandene Gestaltungsspielraum von den wenigsten Vereinen genutzt wird. Das gilt nicht nur für das Thema „Steuern und Gemeinnützigkeit ( VB 7/2018, Seite 6 ), sondern auch für den Datenschutz. Nehmen Sie deshalb die Datenschutzgrundverordnung (DSGVO) zum Anlass, die Satzung an neue Dokumentations- und Rechenschaftspflichten anzupassen. |

Wo muss die Satzung ergänzt werden?

Auch wenn weder das Bundesdatenschutzgesetz noch die DSGVO eine Datenschutzklausel für Vereinssatzungen vorsehen, sollten Sie eine solche vorsehen. Dies allein schon im Hinblick darauf, dass Datenschutz einen Kernbereich der Compliance darstellt.

 

PRAXISTIPP | Unter dem Begriff „Compliance“ versteht man ein regelgerechtes, vorschriftsgemäßes und ethisch einwandfreies Verhalten. Wenn der Verein als juristische Person sich ein solches Verhalten durch die Satzung und begleitende Ordnungen selbst vorgibt, kann sich dies bußgeldmindernd auswirken (BGH, Urteil vom 09.05.2017, Az. 1 StR 265/16, Abruf-Nr. 194799).

 

Ihre Mitglieder haben Ihnen gegenüber das Recht, Auskunft darüber zu bekommen, was mit ihren Daten passiert und in welcher Form Ihr Verein die Daten schützt (Art. 15 DSGVO, §§ 32 BDSG). Die erforderlichen Auskünfte können Sie auch durch Ihre Satzung geben. In der Satzungsklausel können Sie die betreffenden Daten benennen, die Sie von Mitgliedern verarbeiten.

 

PRAXISTIPP | Die DSGVO nutzt hier in Art. 4 Nr. 2 den Oberbegriff der „Verarbeitung“. Darunter versteht sie jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Das sind das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Dies ist ein sehr umfassender Begriff.

 

Ist Ihr Verein verpflichtet, Daten weiterzugeben, z. B. an einen Dachverband für den Bezug einer Verbandszeitschrift oder an eine Versicherung für eine Gruppenversicherung, müssen Sie das Mitglied auch darüber informieren. Entweder nehmen Sie einen gesonderten Datenschutzparagraphen in der Satzung auf oder Sie ergänzen den „Mitglieder-Paragraphen“ um einen weiteren Absatz. Letzteres könnte wie folgt aussehen:

 

Satzungsklausel / Datenschutz von Mitgliedern

§ R… Mitglieder

(…)

Der Verein verarbeitet von seinen Mitgliedern folgende Daten: Name, Anschrift, Kontaktdaten (Telefonnummer, E-Mail-Adresse), vereinsbezogene Daten (Eintritt, Ehrungen, Ämter). Diese Daten werden ausschließlich für die Mitgliederverwaltung benötigt. Eine Übermittlung an Dritte erfolgt nur, wenn dies erforderlich ist. Näheres ergibt sich aus der Datenschutzordnung, die durch den Vorstand erlassen wird.

 

Durch den Verweis auf die Datenschutzordnung sind Sie flexibel, wenn sich beispielsweise etwas bei der Übermittlung ändert.

 

  • Beispiel

Der Musterverein ist Mitglied in einem Dachverband, der den Versand der Verbandszeitschrift organisiert. Später organsiert der Verein selbst den Versand, sodass die Weitergabe der Daten entfällt. Wäre dies bereits in der Satzung festgeschrieben, müsste bei dieser Änderung direkt auch die Satzung geändert werden.

 

Weitere datenschutzbedingte Satzungsanpassungen

Neben der Datenschutzklausel sind weitere Satzungsanpassungen erforderlich, um den Anforderungen der DSGVO zu genügen.

 

Grundsatz der Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art. 5 Abs. 1d DSGVO). Ihr Verein muss alle angemessenen Maßnahmen treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

 

Wichtig | Die Erfahrung zeigt, dass Mitglieder dem Verein selten mitteilen, wenn sich Anschrift oder Bankverbindung geändert haben, Das hat zur Folge, dass Sie zwangsläufig unrichtige Daten verarbeiten. Nach Art. 5 Abs. 2 DSGVO besteht eine Rechenschaftspflicht. Danach sind Sie verantwortlich, den Grundsatz der Datenrichtigkeit einzuhalten. Und Sie müssen das nachweisen können. Verpflichten Sie daher Ihre Mitglieder durch die Satzung, dass sie Änderungen mitteilen müssen. So haben Sie alles getan, um dem Grundsatz der Richtigkeit zu genügen.

 

Satzungsklausel / Richtigkeit von Mitgliederdaten

§ … Mitglieder

(…)

Die Mitglieder sind verpflichtet, Änderungen ihrer Anschrift und ihrer Bankverbindung mitzuteilen.

 

Verantwortlichkeit für den Datenschutz

Wenn sich bei Ihnen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, brauchen Sie einen Datenschutzbeauftragten (§ 38 Abs. 1 BDSG). Die Bestellungskompetenz liegt normalerweise bei der Mitgliederversammlung. Soll sie außen vor bleiben, müssen Sie die Bestellungskompetenz in der Satzung regeln.

 

Satzungsklausel / Vorstand bestellt Datenschutzbeauftragten

§ … Vorstand

(…) Der Vorstand ist insbesondere zuständig für

  • die Bestellung eines Datenschutzbeauftragten.
 

Den Datenschutz müssen Sie auch beachten, wenn Sie keinen Datenschutzbeauftragten bestellen müssen. Hier reicht es aber aus, wenn Sie diese Aufgabe im Rahmen der Ressortaufteilung einem Vorstandsmitglied zuteilen. Die Ressortaufteilung können Sie im Rahmen der Geschäftsordnung des Vorstands regeln (vgl. VB 12/2017, Seite 11), z. B. wie folgt

 

Satzungsklausel / Geschäftsordnung des Vorstands

§ … Vorstand

(…)

(...) Der Vorstand kann sich eine Geschäftsordnung geben. In dieser regelt er u. a., welches Vorstandsmitglied für den Datenschutz im Verein zuständig ist.

 

Grundsatz der Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Für die Mitgliederverwaltung sollen Sie also nur so viele Daten wie nötig verarbeiten. Wollen Sie aber mit Mitgliedern per E-Mail kommunizieren, brauchen Sie die E-Mail-Adresse. Um diese Erforderlichkeit zu betonen, sollten Sie dies ebenfalls in die Satzung aufnehmen.

 

Satzungsklausel / Kommunikation im Verein

§ … Vereinskommunikation

(…)

(...) Die Kommunikation im Verein (inklusive der Einladungen zur Mitgliederversammlung) erfolgt per E-Mail. Die Mitglieder sind verpflichtet, dem Verein ihre E-Mail-Adresse sowie deren Änderung mitzuteilen.

 

Weiterführende Hinweise

  • Beitrag „Satzungen optimieren: So passen Sie Regelungen zu Steuern und Gemeinnützigkeit bedarfsgerecht an“, VB 7/2018, Seite 6 → Abruf-Nr. 45364569
  • In der nächsten Ausgabe erfahren Sie, warum Sie für Ihren Verein eine übergeordnete Datenschutzverordnung schaffen sollten und wie diese aussehen kann.
Quelle: Ausgabe 08 / 2018 | Seite 15 | ID 45388331