In einem Verein haben Sie tagtäglich mit Bankverbindungen, Anschriften und E-Mail-Adressen zu tun. Diese Daten unterstehen dem Persönlichkeitsrecht, das vom Bundesdatenschutzgesetz gewahrt wird.
Spätestens seit Whistle-blower Edward Snowden hat sich jeder schon einmal Gedanken um seine persönlichen Daten im Netz gemacht. In Deutschland leitet das Bundesdatenschutzgesetz (BDSG) zu verantwortungsvollem Umgang mit personenbezogenen Daten an. Mit ihm soll das Persönlichkeitsrecht jedes Einzelnen gewahrt werden.
Führen Sie einen Verein, haben Sie es – beginnend beim Namen der Mitglieder – mit zahlreichen sensiblen Daten zu tun. Es ist erlaubt, sie zu erheben, zu speichern, zu ändern, zu übermitteln und zu nutzen, solange dies dazu beiträgt, den Vereinszweck zu erfüllen. Die Vereinsmitglieder vertrauen Ihnen ihre Daten an, und egal, ob Ihr Verein eingetragen ist oder nicht, muss er
das Persönlichkeitsrecht seiner Mitglieder berücksichtigen. Daran kann auch die
Vereinssatzung nicht rütteln.
Welche Vereinsdaten müssen geschützt werden?
Personenbezogene Daten, die für gewöhnlich im Verein mindestens abgefragt und geschützt werden müssen, sind:
- Name und Anschrift
- Geburtsdatum
- Eintrittsdatum
- Bankverbindung
Oft werden weitere Daten erhoben, wie die Telefonnummer, der Beruf, die E-Mail-Adresse. Auch diese gehören zu den Informationen über persönliche oder sachliche Verhältnisse eines bestimmten Menschen, die Sie schützen müssen. Erst wenn die Person verstorben ist, endet das Persönlichkeitsrecht. Das bedeutet, Sie dürfen die persönlichen Daten – zum Beispiel den Namen und das Geburtsdatum – verwenden, um einen Nachruf zu verfassen.
Umgang mit Daten zu Vereinszwecken
Per Gesetz werden Sie dazu aufgefordert, den Vereinszweck festzulegen, für den Sie Daten über ihre Mitglieder sammeln, analysieren und weitergeben. Das kann neben der Bankverbindung, die Sie für den Einzug der Beiträge benötigen, auch die Sprungweite des letzten Wettbewerbs eines Mitglieds sein, die Sie – im Rahmen der Öffentlichkeitsarbeit – in der Vereinszeitung, am schwarzen Brett, auf der Homepage oder in Ihrer Lokalzeitung veröffentlichen wollen. Ansonsten dürfen Sie personenbezogene Daten verarbeiten, wenn es sich um allgemein zugängliche Daten handelt und Sie davon ausgehen können, dass der Betroffene nichts dagegen einzuwenden hat. Aber Sie müssen die Mitglieder in jedem Fall darüber informieren, welche Abteilung die Daten verarbeitet, warum und an wen sie darüber hinaus noch gelangen, sofern damit zu rechnen ist. Diese Frage ist mit den Vorstandsmitgliedern und der Mitgliederversammlung zu klären.
Fassen Sie einen Beschluss und verpflichten Sie diejenigen, die Sie mit der sensiblen Datenverarbeitung betrauen, schriftlich dazu, das Datengeheimnis zu wahren.
Und wenn Sie die Vereinsmitglieder benachrichtigen, dann geben Sie Ihnen den Hinweis, dass Sie ein Recht auf Auskunft über ihre Daten haben und dass sie diese korrigieren, sperren oder löschen lassen können. Werden Sie von einem Mitglied dazu aufgefordert, sie zu löschen, oder benötigen Sie die Daten nicht mehr, dann entsorgen Sie sie so, dass auch nach der Entsorgung niemand Einblick nehmen kann. Mitglieder- oder Spendenlisten beispielsweise dürfen nicht in einem Stück in den Mülleimer geworfen werden.
Zur Aufbewahrung bzw. Vernichtung benötigen Sie einen Zerkleinerer, einen sicheren Aufbewahrungsort. Wichtig: Auch digital müssen Sie für Sicherheit sorgen, um zu verhindern, dass Daten an Unbefugte gelangen, missbräuchlich verwendet werden oder verloren gehen.
Mitgliederlisten oder -verzeichnisse an Vereinsmitglieder herausgeben?
Persönliche Daten wie die Mitgliederliste dürfen Sie intern bekannt machen, wenn es Zweck Ihres Vereins ist, die Geselligkeit zu fördern. Ist das nicht der Fall, aber die Mitglieder haben Interesse an einer Datenherausgabe, müssen Sie dies mit eventuell gegensätzlichen Interessen des Vereins und der Mitglieder abwägen. Damit sich aber Mitglieder mit anderen zusammenfinden können, um zum Beispiel einen Minderheitsantrag zu stellen, müssen Sie Ihnen Einsicht in die Mitgliederliste gewähren.
Datenverarbeitung für fremde Zwecke und Weitergabe an Dritte
Sollte eines Ihrer Vereinsmitglieder jemandem einen Schaden zugefügt haben und die Polizei verlangt persönliche Informationen, dürfen Sie diese herausgeben. Für vereinsfremde Zwecke gilt: Ein Verein darf dann personenbezogene Daten übermitteln oder nutzen, wenn damit berechtigte Interessen eines Dritten gewahrt werden, dadurch Gefahren für die staatliche oder öffentliche Sicherheit abgewehrt werden können oder eben, um Straftaten zu verfolgen. Ansonsten nur mit Einwilligung des Betroffenen.
Mit folgenden Interessen haben Sie es in Vereinen häufig zu tun:
- Daten, wie die Zugehörigkeit zu einer Personengruppe, Name, Anschrift und Geburtsjahr werden für die Markt- und Meinungsforschung eingesetzt. Wirtschaftsunternehmen und Sponsoren verlangen manchmal Mitgliederdaten, um sie zu Werbezwecken einzusetzen. Dazu benötigen Sie die Einwilligung der betroffenen Mitglieder. Besonders dann, wenn es sich um besonders schutzbedürftige Daten handelt, beispielsweise zur Gesundheit sowie politischen oder religiösen Einstellungen von Personen.Nur dann, wenn es den Interessen von Vereinsmitgliedern offensichtlich nicht entgegensteht, können Mitgliederdaten ohne Einwilligung an Dritte weitergegeben werden. Diskutieren Sie das am besten auf einer Mitgliederversammlung und fassen Sie einen Beschluss dazu.
- Fußball- und Leichtathletikvereine sind oft verpflichtet, die Daten ihrer Mitglieder regelmäßig einer Dachorganisation, wie einem Bundes- oder Landesverband, zu übermitteln. Nehmen Sie diese Information gleich in Ihre Vereinssatzung auf, sodass der Datenübertragung nichts im Weg steht.
- Vereine dürfen grundsätzlich keine Angaben über Mitglieder an die Presse oder an andere Medien übermitteln. Eine Ausnahme könnte aber sein, dass der Verein „ins Gerede“ kommt, weil er ein Mitglied ausgeschlossen hat und eine Information darüber im Interesse des Vereins liegt.
- Will der Verein Informationen über seine Mitglieder, wie etwa Spielergebnisse auf der Vereins-Website, veröffentlichen, müssen die Betroffenen vorher schriftlich belehrt werden. Informieren Sie Ihre Mitglieder, welche Daten Sie ins Internet stellen wollen und warum, damit sie gegebenenfalls widersprechen können.Wählen Sie sorgfältig aus, welche Daten wirklich nötig sind, um sich online und in den Medien zu präsentieren. Weisen Sie die Betroffenen darauf hin, wie weit die Daten unkontrolliert verknüpft und verändert werden können, damit sie sich der Tragweite der Weitergabe bewusst werden.
Datenschutzbeauftragter im Verein
Sind in Ihrem Verein mindestens zehn Personen mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt, haben Sie nach dem BDSG einen Datenschutzbeauftragten zu bestellen. Erfolgt dies nicht, begehen Sie eine Ordnungswidrigkeit, die mit Bußen bis zu 50.000 Euro geahndet werden.
Ihr Datenschutzbeauftragter darf kein Vorstandsmitglied und nicht für die Datenverarbeitung verantwortlich sein. Und: er kann, aber muss kein Mitglied des Vereins sein. Üblicherweise wird er vom Vorstand bestellt, ihm unmittelbar unterstellt und vom Vorstand unterstützt. Der Datenschützer sollte nicht nur den Verein gut kennen, sondern auch das Datenschutzrecht. Muss der Verein keinen Datenschutzbeauftragten bestellen, hat der Vorsitzende sicherzustellen, dass der Verein die Regeln des Datenschutzes einhält.