Verarbeitung personenbezogener Daten in Vereinen

Seit dem 25.5.2018 ist die Datenschutzgrundverordnung (DSGVO) in Deutschland und allen anderen Mitgliedstaaten der Europäischen Union anwendbar. Sie gilt unmittelbar auch für Vereine, bei denen bis heute hohe Unsicherheiten bei der vereinsspezifischen Umsetzung der DSGVO bestehen. Häufig fehlen die zeitlichen und personellen Kapazitäten, um sich mit den datenschutzrechtlichen Vorgaben für Vereine auseinanderzusetzen.

Die Landesbeauftragten für Datenschutz (LDI) haben den Vereinen hierzu hilfreiche Orientierungshilfen zur Verfügung gestellt. Wie anhand der Broschüre des LDI NRW aufgezeigt werden soll, bedarf die Verarbeitung personenbezogener Daten in Vereinen jedoch stets einer Einzelfallprüfung: 

Neben den allgemeinen datenschutzrechtlichen Vorgaben wie zB der ggf. notwendigen Benennung eines Datenschutzbeauftragten, dem Vorhalten eines Verzeichnisses von Verarbeitungstätigkeiten oder Aufbewahrungs-, Löschungs- und Informationspflichten, stellen sich insb. bei der Verarbeitung personenbezogener Daten von einer betroffenen Person (zB Vereinsmitglied, Lehrgangsteilnehmer etc.) zahlreiche vereinsspezifische Fragestellungen. Die Verarbeitung personenbezogener Daten im Verein ist vielschichtig. Exemplarisch zu nennen ist die Datenerhebung bei Beitritt eines Mitglieds, die Verarbeitung von Mitgliederdaten, die Weitergabe von Daten zwischen Vereinen und vereinsnahen Organisationen (zB Fördervereine), aber auch die Erstellung von Geburtstags-, Adress- und Spendenlisten sowie die Veröffentlichungen von Ergebnislisten und Fotos etc. 

Eine solche Verarbeitung personenbezogener Daten im Verein ist insb. rechtmäßig, wenn:

1. Die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist, Art. 6 Abs. 1 b DSGVO;
2. Die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, Art. 6 Abs. 1 f DSGVO, oder
3. Die betroffene Person eine Einwilligung zu der Verarbeitung gegeben hat, Art. 6 Abs. 1 a DSGVO

Soll die Verarbeitung personenbezogener Daten darauf gestützt werden, dass sie für die Erfüllung eines Vertrags erforderlich ist, kommt der Vereinssatzung besondere Bedeutung zu. „Datenverarbeitungen, die dem Vereinszweck entsprechen und in der Vereinssatzung festgehalten sind, sind regelmäßig zulässig und bedürften keiner Einwilligung der betroffenen Personen“ (LDI NRW, Datenschutz im Verein nach der DSGVO, S. 18). Die Vereinssatzung bedarf daher einer auf den jeweiligen Verein ausgerichteten datenschutzorientierten Ausgestaltung. Die Ziele des Vereins und die zur Verwirklichung der Ziele erforderlichen Datenverarbeitungen sind so konkret wie möglich in der Vereinssatzung festzuhalten. Gleichzeitig darf die Vereinssatzung allerdings nicht im Widerspruch zu den datenschutzrechtlichen Bestimmungen der DSGVO stehen, so dürfen zB nicht „beliebig“ Zwecke festgelegt werden, um eine Datenverarbeitung zu legitimieren. 

Erfolgt die Datenverarbeitung nicht auf Grundlage der Vereinssatzung, sondern auf Grundlage einer Interessenabwägung, muss - darauf weist das LDI NRW ausdrücklich hin - die Zulässigkeit der Datenverarbeitung in jedem Einzelfall geprüft werden. Es bedarf einer Einzelfallprüfung, ob die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.  

Werden personenbezogene Daten hingegen nicht für Zwecke der Mitgliedschaft und nicht auf Grundlage einer Interessenabwägung verarbeitet, bedarf es einer Einwilligung der betroffenen Person. Erforderlich ist „eine der Verarbeitung zeitlich vorgehende, informierte, bestimmte, formgemäße Einverständniserklärung einer einwilligungsfähigen betroffenen Person“ (LDI NRW, Datenschutz im Verein nach DSGVO, S. 20). Für die Verarbeitung besonders sensibler Daten wie Gesundheitsdaten, religiöse Überzeugung etc. bedarf es stets einer Einwilligung, die auf die Verarbeitung der sensiblen Daten hinweist.  

Fazit: 
Zur Verarbeitung personenbezogener Daten in Vereinen kommt es in verschiedensten Konstellationen. Notwendige Rechtsgrundlage ist eine für den jeweiligen Verein konkret ausgestaltete Vereinssatzung, eine im Einzelfall zu prüfende Interessenabwägung oder eine ausdrückliche Einwilligung. Eine ungeprüfte oder undifferenzierte Verarbeitung der Mitgliederdaten verbietet sich. Fragen zur Umsetzung der DSGVO in Vereinen beantworten wir Ihnen gerne.