Nein. Die Regelung des neuen Art. 13 DSGVO, wonach den betroffenen Personen bei der Datenerhebung bei ihnen eine ganze Reihe von Informationen mitzuteilen sind, stellt auf den Zeitpunkt der Datenerhebung ab. Da die DSGVO aber erst zum 25.05.2018 in Kraft treten wird, kann diese gesetzliche Regelung auch nur die Fälle der Datenerhebung erfassen, die ab dem 25.05.2018 erfolgen. Eine rückwirkende Informationspflicht enthält die DSGVO nicht.
Es steht jedoch jedem Verein frei, auch die Bestandsmitglieder entsprechend zu informieren.
Nein. Der nach § 26 BGB vertretungsberechtigte Vorstand des Vereins ist verpflichtet, dafür Sorge zu tragen, dass im Verein die datenschutzrechtlichen Bestimmungen eingehalten werden. Das bedeutet aber nicht, dass nur er im Verein personenbezogene Daten verarbeiten dürfte.
Vielmehr kann er auch organisieren, dass andere Personen ebenfalls auf die personenbezogenen Daten der Mitglieder zugreifen können. Er muss dann jedoch darauf achten, dass der Zugriff nur durch Personen erfolgt, die im Rahmen der nach Art. 6 Abs. 1 DSGVO erlaubten Verarbeitung durch den Verein tätig werden. Außerdem dürfen diese Personen nur insoweit Zugriff haben, als das für ihre jeweilige konkrete Tätigkeit im Verein erforderlich ist.
So dürfen zum Beispiel die Übungsleiter eines Vereins Zugriff auf die Namen und gegebenenfalls Telefonnummer der Mitglieder des Vereins haben, die an seinen Übungsstunden teilnehmen. Die Mitarbeiterin der Geschäftsstelle, die neben dem Schriftverkehr mit den Mitgliedern auch die Beitragsrechnungen erstellt und verschickt, dar Zugriff auf die Namen und Anschriften der Mitglieder haben.
Jedenfalls muss jeder Mitarbeiter des Vereins, egal ob haupt-, neben- oder ehrenamtlich tätig, vom vertretungsberechtigten Vorstand bezüglich der Einhaltung der datenschutzrechtlichen Bestimmungen belehrt werden.
Der Verband kann die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn ihn eine der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen dazu ermächtigt.
So ist denkbar, dass der Sportbetrieb des Verbandes so organisiert ist, dass für die Teilnahme daran auch die Mitglieder des Mitgliedsvereines einen Spielerpass benötigen, der aufgrund der Struktur dieser Sportart nur vom Verband ausgestellt wird. Dann darf der Mitgliedsverein die personenbezogenen Daten der am Sportbetrieb teilnehmenden Mitglieder, soweit das für die Ausstellung des Spielerpasses erforderlich ist, an den Verband weiterleiten. Der Verband wiederum darf die Daten für die Ausstellung des Spielerpasses verarbeiten, aber auch nur dafür.
Ebenso ist die Verarbeitung der personenbezogenen Daten der Mitglieder der Mitgliedsvereine durch den Verband auch ohne Einwilligung der betroffenen Personen rechtlich möglich, wenn diese Personen aufgrund der ausdrücklichen Regelungen in der Satzung des Mitgliedsvereins und auch des Verbandes durch die Mitgliedschaft im Mitgliedsverein auch die im Verband erwerben.
Andere Fallgestaltungen für eine erlaubte Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Personen sind denkbar, können aber nur im Einzelfall geprüft werden.
Jedenfalls darf der Verband die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn er dazu jeweils die Einwilligung der einzelnen Mitglieder hat. Das muss der Verband dann auch beweisen können (Art. 7 Abs. 1 DSGVO).
Nein. Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Art. 6 Abs. 1 DSGVO aufgezählten Rechtsgrundlagen gegeben ist. Ein einseitiges Anordnen des Duldens einer bestimmten Verarbeitung kennt Art. 6 Abs. 1 DSGVO nur für den Fall, dass ein Gesetz dies vorsieht. Also reicht ein Beschluss der Mitgliederversammlung als Berechtigung für eine bestimmte Datenverarbeitung nicht aus.
Eine Veröffentlichung von personenbezogenen Daten der Mitglieder ist dem Verein nur erlaubt, wenn eine der in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen für die konkrete Veröffentlichung greift.
In der Regel deckt die Mitgliedschaft im Verein rechtlich nicht auch die Veröffentlichung von personenbezogenen Daten der Mitglieder auf der Internetseite ab. Denn die Veröffentlichung mag zwar im Interesse des Vereins sein, aber für die Erfüllung der Mitgliedschaft oder aber der Erfüllung der Vereinszwecke nicht erforderlich. Bei einer Teilnahme an Wettkämpfen durch Mitglieder eines Sportvereins kann dies aber auch anders zu bewerten sein. Denn die Teilnahme an Wettbewerben gehört Sportvereinen zur Erfüllung des Vereinszwecks. Deshalb sind die Verarbeitungen personenbezogener Daten erlaubt, soweit das für die Durchführung des Wettkampfes erforderlich ist. Deshalb kann im Einzelfall die Veröffentlichung von Teilnehmerlisten oder auch die Veröffentlichung von Ergebnislisten von der Wettkampfteilnahme bereits abgedeckt sein. In der Regel besteht hier jedoch kein Interesse an der Veröffentlichung von Ergebnissen, welche sportlich nicht relevant sind.
In der Regel wird die Veröffentlichung personenbezogener Daten auf der Internetseite des Vereins nur mit ausdrücklicher Einwilligung der betroffenen Personen möglich sein. Diese Einwilligung kann aber jederzeit widerrufen werden und der Verein muss auch beweisen können, dass ihm die Einwilligung wirksam erteilt worden ist (Art. 7 Abs. 1 DSGVO).
Gemäß Art. 39 Abs. 1 lit. b DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Verein verantwortlich. Er hat nicht nur eine allein beratende und unterstützende Funktion. Vielmehr wird er ab dem 25.05.2018 in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen durch den Verein verantwortlich sein.
Damit geht jedoch die Gefahr einer höheren Haftung des Datenschutzbeauftragten einher. Denn verletzt er diese Überwachungspflicht schuldhaft oder berät er falsch, kann er in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Soweit der Datenschutzbeauftragte Mitglied des Vereins ist und für den Verein ehrenamtlich tätig ist, bzw. vom Verein nicht mehr als 720,00 € jährlich erhält, kann er jedoch in den Genuss des Schutzes durch § 31b BGB kommen, so dass er dem Verein nur im Fall grober Fahrlässigkeit haftet.
Grundsätzlich sind keine besonderen Regelungen zum Datenschutz in der Vereinssatzung oder in einer den Datenschutz regelnden Vereinsordnung notwendig. Grund dafür ist, dass das Einhalten der datenschutzrechtlichen Bestimmungen schon aufgrund des Gesetzes erfolgen muss. Einer gesonderten Anordnung dazu bedarf es in der Satzung nicht. Soweit bei der Datenerhebung den betroffenen Personen bestimmte Informationen mitzuteilen sind (Art. 13 DSGVO), genügt ein Text in der Satzung oder einer Vereinsordnung ebenfalls nicht. Denn nach dem ausdrücklichen Wortlaut der DSGVO müssen diese Informationen zum Zeitpunkt der Datenerhebung der betroffenen Person mitgeteilt werden. Dass die Person die Informationen woanders oder später einsehen kann, genügt nicht. Letztlich kann auch über die Satzung oder eine Vereinsordnung keine wirksame Einwilligung in die Verarbeitung personenbezogener Daten erteilt werden. Denn die DSGVO verlangt, dass die betroffene Person bezüglich der Einwilligung eine unmissverständlich abgegebene Willensbekundung getätigt hat. Der Beitritt zum Verein alleine reicht aber keinesfalls für eine solche unmissverständliche Willensbekundung zur Einwilligung in die Verarbeitung personenbezogener Daten aus.
Nicht jeder Verein braucht einen Datenschutzbeauftragten. Es gibt jedoch verschiedene gesetzliche Regelungen, in welchen Fällen ein Datenschutzbeaufragter zwingend zu benennen ist.
Nach Art. 37 Abs. 1 lit. c DSGVO muss der Verein auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Das dürfte bei den allermeisten Vereinen nicht der Fall sein.
Allerdings muss ein Verein nach § 38 Abs. 1 Satz 1 BDSG (in der ab dem 25.05.2018 geltenden Fassung) einen Datenschutzbeauftragten benennen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Automatisiert bedeutet, dass die Verarbeitung unter Einsatz von technischen Hilfsmitteln erfolgt (z.B. Computer, Tablets, Smartphones etc.). Mit „beschäftigt“ sind alle mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gemeint. „Beschäftigte“ des Vereins im Sinne des Sozialversicherungsrechts brauchen diese Personen nicht zu sein. Bei der Feststellung dieser Personenzahl ist es irrelevant, ob die Personen dem Vorstand angehören, ob sie haupt-, neben- oder ehrenamtlich tätig sind. Ständig sind diese Personen mit der automatisierten Verarbeitung beschäftigt, wenn die automatisierte Verarbeitung zu deren Aufgabengebiet gehört, auch wenn die Verarbeitung nur gelegentlich erfolgt.
Allerdings ist nach § 38 Abs. 1 Satz 2 BDSG (in der ab dem 25.05.2018 geltenden Fassung) unabhängig von der Zahl der mit der automatisierten Datenverarbeitung beschäftigten Personen die Bestellung eines Datenschutzbeauftragten durch den Verein erforderlich, wenn der Verein Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Das ist zum Beispiel bei Vereinen möglich, die in nicht geringem Umfang Gesundheitsdaten verarbeiten.
Gemäß Art. 2 Abs. 1 DSGVO gilt diese uneingeschränkt „für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“, es sei denn, dass Aufnahmen zu rein privaten Zwecken gemacht werden (Art. 2 Abs. 1 lit. c DSGVO).
Fotografien von Personen, die heute fast ausschließlich mit Digitalkameras aufgenommen werden, stellen grundsätzlich personenbezogene Daten dar. Es handelt sich um physische und physiologische Merkmale, die auch sofort, mit den entsprechenden Metadaten, digital gespeichert werden. Die Metadaten umfassen dabei zumindest Ort und Zeit des Bildes. Weiterhin lassen sich Gesichter mit entsprechenden Datenbanken abgleichen und sich so weitere Daten ermitteln, wie z.B. die Namen der abgebildeten Personen (Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, S. 2).
Deshalb ist für das rechtmäßige Fertigen und jeweilige weitere Verwenden von Fotos das Eingreifen einer der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen erforderlich.
Zuerst einmal muss angemerkt werden, dass eine rechtmäßige Verarbeitung der personenbezogenen Daten der Mitglieder eines Vereins nicht zwingend deren Einwilligung dafür voraussetzt. Vielmehr muss nach Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) nur eine der dort aufgeführten Rechtsgrundlagen für die konkrete Verarbeitung gegeben sein. Die „Einwilligung“ ist nur eine dieser Rechtsgrundlagen.
So darf der Verein nach Art. 6 Abs. 1 lit. b DSGVO alle personenbezogenen Daten der Mitglieder verarbeiten, die für die Abwicklung des Mitgliedschaftsverhältnisses erforderlich sind. Das sind insbesondere Name, Vorname, Adresse, Geburtsdatum und gegebenenfalls Kontodaten zur Abbuchung der Beiträge. Eine Einwilligung des jeweiligen Mitglieds zu dieser Verarbeitung ist nicht erforderlich.
Die Telefonnummer (oder auch die E-Mail-Adresse) ist in der Regel für die Abwicklung des Mitgliedschaftsverhältnisses nicht erforderlich. Allerdings hat der Verein ein berechtigtes Interesse daran, mit seinen Mitgliedern in Vereinsangelegenheiten kurzfristig in Verbindung treten zu können. Nach Art. 6 Abs. 1 lit. f DSGVO ist diese Verarbeitung dann auch ohne Einwilligung der betroffenen Mitglieder zulässig, wenn das vorgenannte Interesse des Vereins das Interesse des Mitglieds, dass die Verarbeitung unterbleibt, überwiegt.
Schließlich gibt es auch gesetzliche Vorschriften, die eine bestimmte Verarbeitung personenbezogener Daten verlangen. In diesen Fällen ist die Verarbeitung ebenfalls ohne Einwilligung der betroffenen Mitglieder zulässig (Art. 6 Abs. 1 lit. c DSGVO). So sind Vereine zum Beispiel verpflichtet, auch nach dem Ausscheiden von Mitgliedern bestimmte personenbezogene Daten der Mitglieder noch 10 Jahre für steuerliche Zwecke aufzubewahren (§ 147 AO).
Nur wenn keine der vorgenannten Rechtsgrundlagen für die vom Verein konkret gewollte Verarbeitung einschlägig ist, dann benötigt der Verein für die Verarbeitung der personenbezogenen Daten die Einwilligung der davon betroffenen Person. Erteilt die Person diese Einwilligung nicht, dann darf der Verein die Verarbeitung nicht vornehmen. Da die Person mit der Verweigerung der Einwilligung nur die ihr zustehenden verfassungsmäßigen Rechte auf Informationelle Selbstbestimmung wahrnimmt, ist die Verweigerung in der Regel auch kein ausreichender Grund für einen Ausschluss eines die Einwilligung verweigernden Mitglieds aus dem Verein.
Abschließend sei noch angemerkt, dass selbst wenn die betroffene Person die Einwilligung erteilt, sie diese jederzeit ohne Angabe von Gründen widerrufen darf (Art. 7 Abs. 3 DSGVO). Dann muss ab diesem Zeitpunkt die Verarbeitung für die Zukunft unterbleiben, es sei denn, dass eine der anderen in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen gegeben ist.
Urheber der FAQ-Einträge ist der Landessportverband für das Saarland (Stand August 2020). Quelle: https://www.lsvs.de/vereinsservice/kompetenzzentrum-ehrenamt/haeufige-fragen.html