Die DSGVO im Verein

Dass auch Regelungen zum Datenschutz zwingend in die Vereinssatzung müssen, steht so zwar nirgendwo geschrieben. Dennoch müssen auch Vereine, egal ob gemeinnützig oder einem wirtschaftlichem Interesse folgend, alle personenbezogenen Daten von Mitgliedern und Mitarbeitern gemäß den Vorgaben der DSGVO und des BDSG schützen und behandeln. Es bietet sich daher an, die DSGVO in der Vereinssatzung zu berücksichtigen. Eventuell muss die Satzung überarbeitet werden. Es lohnt sich. Denn das schafft Rechtssicherheit, Transparenz sowie die nötige Struktur, um handlungsfähig zu sein und den Vereinszweck weitestgehend reibungslos zu verfolgen.

Keine Satzung ohne Datenschutz

Sobald ein Verein Mitgliederdaten erhebt, für Verwaltungszwecke speichert und beispielsweise nutzt um die Mitglieder mit Informationen zu versorgen, die Mitgliedsbeiträge abzurechen, Versicherungen abzuschließen, Mitgliederversammlungen einzuberufen und vieles mehr, spricht man von einer Verarbeitung personenbezogener Daten. Artikel 4, Abs. 2 DSGVO definiert diesen Begriff als –

„ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ von personenbezogenen Daten.

Gibt es darüber hinaus  mehr als 20 Personen im Verein, die regelmäßig mit der Verarbeitung der persönlichen Daten von Mitgliedern oder Mitarbeitern zu tun haben, muss außerdem gem. § 38, Abs. 1 BDSG nF ein Datenschutzbeauftragter bestellt werden.

Rechtsgrundlage Gesetz

Damit eine Verarbeitung personenbezogener Daten überhaupt zulässig ist, braucht es eine Rechtsgrundlage. Die DSGVO unterscheidet zwischen einer Datenverarbeitung aufgrund einer gesetzlichen Regelung oder aufgrund einer Einwilligung des Betroffenen. Laut Art. 6 Abs. 1 lit. b DSGVO ist eine Datenverarbeitung kraft Gesetz rechtmäßig,  wenn sie der Vertragserfüllung dient oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist.

Vereinszwecke genau beschreiben  

Der Vereinsbeitritt ist ein Vertragsabschluss, daher ist jede Verarbeitung personenbezogener Daten zulässig, soweit sie zur Erzielung der Vereinszwecke dient.  Es empfiehlt also, die Vereinszwecke genau zu beschreiben.  Handelt es sich bei dem Verein beispielsweise um einen Gartenverein, fallen hierunter Name, Adresse, Geburtsdatum, Telefon und gegebenenfalls die E-Mail Anschrift, sofern letztere laut Satzung als einer der möglichen Kommunikationswege festgelegt  ist. Beim Sportverein, der unter anderem Wettbewerbe ausrichtet oder Sportler zu Wettbewerben entsendet, müssen darüber hinaus unter Umständen auch personenbezogene Daten wie Gewicht und allgemeine Angaben zur Fitness erhoben werden, damit Wettkampfmeldungen vorgenommen werden können.

Rechtsgrundlage persönliche Einwilligung

Gibt es eine Mitgliederzeitschrift, einen Newsletter, Sponsorenwerbung oder werden Mitgliederlisten untereinander ausgetauscht und gehört dies alles nicht zum eigentlichen Vereinszweck, dann ist für alle diesbezüglichen Verarbeitungen persönlicher Daten gem. Art. 6 Abs. 1 lit. a DSGVO die Einwilligung der Betroffenen erforderlich. Wichtig: Derlei Einwilligungen können jederzeit widerrufen werden und diese Widerrufe sind auch zwingend zu befolgen. Deshalb sollten Datenverarbeitungen, die dem Vereinsziel dienen, nicht über Einwilligungen geregelt werden. Das könnte unnötig aufwändig sein und Abläufe blockieren. Außerdem muss für jede Verarbeitung ihr Zweck leicht verständlich erläutert sein. Die Betroffenen sind über die Speicherdauer und  gegebenenfalls Übermittlung der Daten an Dritte genauso zu informieren wie über ihr Recht zum Widerspruch, auf Auskunft, Richtigstellung, Löschung, zur Beschwerde oder zur Erreichbarkeit des Verantwortlichen sowie gegebenenfalls des Datenschutzbeauftragten.

Interne Organisationsprozesse optimieren

Das ist alles recht umfangreich und unterliegt teilweise auch sich verändernden Prozessen wie beispielsweise Zuständigkeiten oder Zweckänderungen. In der Praxis empfiehlt es sich daher, Grundlegendes zum Datenschutz direkt in die Satzung aufzunehmen und die eigentlichen Datenverarbeitungen in einer gesonderten Anlage zur Satzung zu beschreiben. Für die Benennung eines Datenschutzbeauftragten sollte in der Satzung sicherheitshalber der Vorstand ermächtigt werden. Das spart die Einberufung der Mitgliederversammlung. Da die Datenschutzverordnung in Art. 5 Abs. 1d DSGVO vorschreibt, dass alle personenbezogenen Daten immer auf dem aktuellen und richtigen Sand sein müssen, sollte der Verein auch diesem Erfordernis einen Passus in seiner Satzung widmen. Denn für die Richtigkeit der Daten ist er verantwortlich. Er muss also angemessene Maßnahmen treffen, um diese Verpflichtung zu erfüllen. Wenn Aktualisierungen eine Bringschuld der Betroffenen sind, kann dem Verein keine Haftung aus einem Versäumnis hierzu erwachsen.

Folgend könnten Inhalte für die Satzung aussehen:

§ (…) Datenschutz

(…) Der Verein speichert zum Zweck der Mitgliederverwaltung Namen, Anschrift, Geburtsdatum, Telefonnummer, E-Mail Adresse sowie vereinsbezogene Daten (Eintritt, Ämter, Jubiläen) von den Mitgliedern.

(…) Alle Verarbeitungen, deren Zwecke sowie weitere datenschutzrechtlichen Angaben ergeben sich aus der Datenschutzordnung in ihrer jeweils geltenden Fassung, die durch den Vorstand erlassen wird.

(…) Soweit erforderlich, beschließt der Vorstand über die Berufung eines Datenschutzbeauftragten.

§ (…) Kommunikation

Mitteilungen, Mitgliederversammlungs-Einladungen, Beitragsrechnungen, Mahnungen, Kündigungen erfolgen in Textform. Dies kann sowohl postalisch wie auch per E-Mail erfolgen. Aus Organisations- und Kostengründen ist die E-Mail Übermittlung vorzuziehen. Für diese Zwecke teilen die Mitglieder dem Verein ihre jeweils gültige E-Mail Anschrift mit.

(…) Änderung von Kontaktdaten und Bankverbindung

Die Mitglieder sind verpflichtet, Änderung ihrer Anschrift und Kontaktdaten und der Kontoverbindung dem Verein unverzüglich mitzuteilen.

Die als Anlage formulierte Datenschutzordnung sollte zu den folgenden Inhalten ausführlich informieren –

1) Datenkategorien, die verarbeitet werden

Name, Geburtsdatum, Kontaktdaten zum Zweck der –

a. Mitgliederverwaltung,
b. Beitragserhebung,
c. Wettbewerbsmeldungen,
d. Mitgliederlisten für Versammlungen und Anschreiben

Personen und Funktionsträger, die Zugang zu den Daten haben und zu welchem Zweck

a. Vorstandsvorsitzender und sein Vertreter:  Kontaktdaten für Einladungen, Mitteilungen
b. Kassierer:  Namen, Kontaktdaten und Bankdaten für Mitgliedsbeitragserhebungen und Lastschrifteinzüge
c. Schriftführer:  Namen, Kontaktdaten, evtl. noch für Auszeichnungen und Wettkampfmeldungen

Übermittlung der Daten an Dritte

a. Namen und Adresse an Dachverband zur Versendung der Mitgliederzeitschrift
b. Name und Adresse an Haftpflicht-Versicherung zur Absicherung von Haftpflichtfällen
c. Name und Beiträge an Steuerberater zur Anfertigung der Steuererklärung
d. Name und Qualifikationen an gegnerische Vereine zur Wettkampfmeldung.

Auflistung der Betroffenenrechte

a. Recht auf Berichtigung gem. Art. 16 DSGVO
b. Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO
c. Recht auf Widerspruch gegen die Verarbeitung gem. Art. 21 DSGVO
d. Recht auf Löschung gem. Art. 17 DSGVO
e. Recht auf Auskunft gem. Art. 15 DSGVO
f. Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO
g. Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde gem. Art. 13 DSGVO

Speicherdauer

a. Dauer der Datenspeicherung für Adressdaten, Daten zu Ämtern, Ehrungen, Preisen, Korrespondenz, (bis auf aktuelle Anschrift und Bankdaten höchstens 10 Jahre)
b. Dauer der Datenspeicherung nach Ende der Mitgliedschaft.

Weitere Verarbeitungen und Zwecke, für die eine jederzeit widerrufbare Einwilligung erfolgen muss (bitte ankreuzen, wenn einverstanden) – Beispiele –

a. Ablichtungen/Fotos von Veranstaltungen/Wettkämpfen/Festen
für die Vereinseigene Öffentlichkeitsarbeit/Pressemeldungen, Jahrbücher, Verbandszeitschrift
b. Werbung durch Dritte/Rabattaktionen für Finanzierung durch Sponsoren und Anzeigenkunden
c, Andere Vereinsmitglieder zur privaten Kontaktaufnahme

Last but not least müssen auch Mitarbeiter, Funktionsträger und alle, die mit der Verarbeitung personenbezogener Daten zu tun haben, in detenschutzrechtliuchen Belangen geschult und auf die Vertraulichkeit der personenbezogenen Daten sowie die Einhaltung der DSGVO verpflichtet werden.

Der Beitrag wurde im SPORTFORUM, Magazin des Landessportverbandes Schleswig Holstein, Nr.173 / Oktober 2020 veröffentlicht
Autor: Daniela Maria Hübsch
Bildnachweis: Diana Mironenko