Datenschutz im Verein
Merkblatt des Innenministeriums von Baden-Württemberg:
Dieses Merkblatt richtet sich vor allem an Vereine, die sportlichen, kulturellen oder sozialen Zwecken dienen. Es soll datenschutzrechtliche Rahmenbedingungen für den Umgang mit personenbezogenen Daten bei der Vereinsarbeit aufzeigen.
|
1. |
Welche Rechtsgrundlagen gelten für den Umgang mit Daten von Mitgliedern und sonstigen Personen ? |
Welche Daten ein Verein über seine Mitglieder und sonstige Personen geschäftsmäßig mit Hilfe der automatisierten Datenverarbeitung oder in herkömmlichen Mitgliederkarteien verarbeiten oder nutzen darf, richtet sich nach den Vorschriften des Bundesdatenschutzgesetzes (§§ 1 - 11, 27 - 38, 43 und 44 BDSG).
Die Mitgliedschaft in einem Verein ist als vertragsähnliches Vertrauensverhältnis anzusehen, dessen Rahmen und Inhalt im wesentlichen durch die Vereinssatzung und - soweit vorhanden - die Vereinsordnung vorgegeben wird. Aus dem Vertrauensverhältnis folgt, daß der Verein bei der Erhebung, Verarbeitung und Nutzung von Daten das Persönlichkeitsrecht seiner Mitglieder angemessen berücksichtigen muß. Unerheblich ist dabei, ob der Verein ins Vereinsregister eingetragen ist und eigene Rechtspersönlichkeit besitzt oder ob es sich um einen nicht rechtsfähigen Verein handelt.
Ein Verein darf personenbezogene Daten nur verarbeiten oder nutzen, wenn eine Vorschrift des Bundesdatenschutzgesetzes oder eine sonstige Rechtsvorschrift dies erlaubt oder soweit der Betroffene eingewilligt hat (§ 4 Abs.1 BDSG). Die dateimäßige Verarbeitung oder Nutzung personenbezogener Daten ist nach den Vorschriften des Bundesdatenschutzgesetzes nur unter folgenden Voraussetzungen zulässig:
1.1 Für eigene Zwecke des Vereins1.1.1
dürfen Mitgliederdaten im Rahmen der Vereinsmitgliedschaft als vertragsähnlichem Vertrauensverhältnis und
damit des Vereinszwecks verarbeitet oder genutzt werden (§ 28 Abs.1 Nr.1 BDSG). Dabei ist maßgeblich auf den
in der Satzung festgelegten Vereinszweck abzustellen. Aufgrund des Vereinszwecks dürfen nicht nur Mitgliederdaten verarbeitet
oder genutzt werden, die für die Vereinsmitgliedschaft unbedingt "erforderlich" sind (wie etwa Name und
Anschrift des Mitglieds und bei Lastschrifteinzug der Mitgliedsbeiträge: Bankverbindung, Bankleitzahl und Kontonummer),
sondern darüber hinaus auch sonstige Mitgliederdaten, die "im Rahmen" des Vereinszwecks liegen, d.h. die geeignet
sind, diesen zu fördern (z.B. Übungsleiterlizenz, Funktion im Verein).
1.1.2
dürfen darüber hinaus Mitgliederdaten, bei denen kein ausreichender Sachzusammenhang mit dem Vereinszweck
besteht (etwa Telefon- oder Faxnummern von Mitgliedern) sowie Daten von Nichtmitgliedern verarbeitet oder genutzt werden,
wenn dies zur Wahrung der berechtigten Interessen des Vereins erforderlich ist und kein Grund zu der Annahme besteht,
daß der Betroffene ein überwiegendes schutzwürdiges Interesse am Ausschluß der Verarbeitung oder
Nutzung hat (§ 28 Abs.1 Nr.2 BDSG). Dabei sind die Interessen des Vereins und die schutzwürdigen Belange
des Betroffenen pauschal gegeneinander abzuwägen, wobei vor allem auf die Art und Schutzbedürftigkeit der Daten
sowie den geplanten Verwendungszweck der Daten abzustellen ist. Wegen des vertragsähnlichen Vertrauensverhältnisses
zwischen dem Verein und seinen Mitgliedern kann es angemessen sein, entgegenstehende schutzwürdige Interessen
einzelner Mitglieder auch dann zu berücksichtigen, wenn sie das Vereinsinteresse nicht überwiegen.
1.2.1
soweit dies zur Wahrung berechtigter Interessen eines Dritten oder öffentlicher Interessen erforderlich ist
(§ 28 Abs. 2 Nr. 1 a BDSG) oder
1.2.2
wenn es sich um die in § 28 Abs.2 Nr.1b BDSG aufgeführten listenmäßigen Daten handelt
(insbesondere Angaben über die Zugehörigkeit zu einer Personengruppe, z.B. Mitglied des Sportvereins X, Name,
Anschrift, Geburtsjahr).
In beiden Fällen ist die Übermittlung oder Nutzung der Daten nur zulässig, wenn bei pauschaler Abwägung kein Grund zu der Annahme besteht, daß schutzwürdige Interessen der betroffenen Mitglieder entgegenstehen. Da der Verein grundsätzlich verpflichtet ist, die Interessen seiner Mitglieder zu wahren, wird eine Datenübermittlung an außenstehende Dritte oder die Nutzung der Daten für deren Zwecke nach den genannten Vorschriften nur ausnahmsweise in Betracht kommen.
1.3 Wenn die Verarbeitung oder Nutzung personenbezogener Daten nicht auf eine der in Nrn.1.1 und 1.2 genannten Vorschriften des Bundesdatenschutzgesetzes gestützt werden kann, ist sie nur zulässig, wenn der Betroffene eingewilligt hat. Die Einwilligung ist datenschutzrechtlich nur wirksam, wenn der Betroffene zuvor ausreichend klar darüber informiert worden ist, welche Daten für welchen Zweck vom Verein gespeichert und genutzt werden bzw. an wen sie ggf. übermittelt werden sollen, so daß er die Folgen seiner Einwilligung auf der Grundlage dieser Information konkret abschätzen kann (§ 4 Abs.2 Satz 1 BDSG). Die Einwilligung bedarf regelmäßig der Schriftform (§ 4 Abs.2 Satz 2 BDSG). Insbesondere bei kleineren Vereinen kann in Ausnahmefällen bei Vorliegen besonderer Umstände (beispielsweise bei weniger bedeutsamen oder eilbedürftigen Vorgängen) eine mündliche oder konkludente Einwilligung ausreichen. Soll die Einwilligungserklärung - etwa bei Vereinsbeitritt - zusammen mit anderen Erklärungen erteilt werden, ist sie im äußeren Erscheinungsbild der Erklärung hervorzuheben (§ 4 Abs.2 Satz 3 BDSG). Dies kann durch drucktechnische Hervorhebung oder Absetzung vom sonstigen Erklärungstext geschehen. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Im folgenden soll auf in der Vereinspraxis häufig auftretende datenschutzrechtliche Fragen eingegangen werden:
2. |
Was ist bei der Erhebung, Speicherung und Nutzung von Daten zu beachten ? |
2.1. Erhebung und Nutzung von Daten für die Mitglieder- und Spendenwerbung?
Vereine haben regelmäßig ein erhebliches Interesse an der Mitglieder- und Spendenwerbung,
um einen ausreichenden Mitgliederbestand und genügend finanzielle Mittel sicherzustellen. Die folgenden Beispiele sollen zeigen,
was bei der Beschaffung und Nutzung von Adressen für diesen Zweck zu beachten ist.
2.2 Erhebung von Mitgliederdaten
Ein Verein darf beim Vereinsbeitritt (Aufnahmeantrag oder Beitrittserklärung) und während der Vereinsmitgliedschaft nur solche Daten von Mitgliedern erheben, die er auch verarbeiten oder nutzen darf und sollte sich möglichst auf Daten beschränken, die im Rahmen des Vereinszwecks liegen.Ist die spätere Verwendung der Daten bei der Erhebung nicht absehbar, sollte das Mitglied aus Gründen der Transparenz darüber informiert werden, für welchen Zweck die Daten benötigt werden. Dies gilt vor allem, wenn Daten an Dritte außerhalb des Vereins oder an andere Mitglieder innerhalb des Vereins - etwa in Form von Mitgliederlisten - weitergegeben werden sollen. Durch einen solchen Hinweis erhalten die Mitglieder Gelegenheit, rechtzeitig Einwände hiergegen geltend zu machen.
Wenn Neumitglieder nicht nach den jeweiligen Umständen davon ausgehen müssen, daß ihre Daten dateimäßig gespeichert werden, sollten sie bei Vereinsbeitritt darauf hingewiesen werden.
2.3 Speicherung und Nutzung von Mitgliederdaten
Sie ist nur zulässig, wenn eine der in Nrn.1.1 bis 1.3 genannten rechtlichen Voraussetzungen vorliegt.3. |
Unter welchen Voraussetzungen dürfen Mitgliederdaten übermittelt werden ? |
Zur Klarstellung ist darauf hinzuweisen, daß der Verein für seine Mitgliederdaten speichernde Stelle i.S.v.
§ 3 Abs.8 BDSG ist. Dem Verein zuzurechnen sind
Die Weitergabe von Mitgliederdaten durch den Verein an diese Stellen oder Personen ist ein vereinsinterner Vorgang und keine Datenübermittlung.
Im Unterschied hierzu sind selbständige Organisationen des Vereins (beispielsweise selbständige Kreisverbände) sowie Vereinsmitglieder, die keine Funktionen ausüben, datenschutzrechtlich im Verhältnis zum Verein Dritte (§ 3 Abs.9 BDSG). Die Weitergabe von Mitgliederdaten durch den Verein an solche Organisationen und Mitglieder ist daher eine Datenübermittlung (§ 3 Abs.5 Nr.3 BDSG), die nur zulässig ist, wenn eine der in Nrn.1.1 bis 1.3 genannten rechtlichen Voraussetzungen vorliegt.
In der Vereinspraxis ergeben sich häufig Fragen, inwieweit es zulässig ist, Daten von Mitgliedern anderen Vereinsmitgliedern oder außenstehenden Dritten zu übermitteln. Die folgenden Beispiele zeigen, wie diese Übermittlungsfälle datenschutzrechtlich zu beurteilen sind:
3.1 Übermittlung von Mitgliederdaten an andere Vereinsmitglieder
3.1.1 Weitergabe von Mitgliederdaten an andere Vereinsmitglieder im Einzelfall
Wenn Mitglieder im Einzelfall den Verein um Auskunft über Daten anderer Mitglieder ersuchen (etwa um Angaben darüber, wer an einer geplanten Bergtour teilnimmt), beurteilt sich die Zulässigkeit der Datenübermittlung danach, ob das auskunftsersuchende Vereinsmitglied ein berechtigtes Interesse an der Kenntnis der Daten hat und ob bei pauschaler Abwägung keine schutzwürdigen Interessen der betroffenen Mitglieder der Datenübermittlung entgegenstehen (§ 28 Abs.2 Nr.1a BDSG). Dabei kommt es auf die Umstände des konkreten Falles an, beispielsweise darauf, wie groß der Kreis der Teilnehmer an der Bergtour ist, ob es sich um einen kleinen Verein handelt, dessen Mitglieder sich im wesentlichen kennen oder um einen großen Verein, bei dem dies nicht der Fall ist und darauf, ob die Kenntnis einiger in der Nähe wohnender Vereinsmitglieder erforderlich ist, um Fahrgemeinschaften zu bilden. Zu berücksichtigen ist auch, um welche Art von Verein es sich handelt, ob sich im Verein in der Vergangenheit eine bestimmte allgemein akzeptierte Praxis herausgebildet hat und ob einzelne Mitglieder bereits früher Einwände gegen die Übermittlung ihrer Daten erhoben haben.
3.1.2 Mitteilung von Mitgliederdaten in Aushängen und Vereinspublikationen
In vielen Vereinen ist es üblich, personenbezogene Informationen am Schwarzen Brett auszuhängen oder in Vereinsblättern bekanntzugeben.
3.1.3 Herausgabe von Mitgliederlisten/Mitgliederverzeichnissen an Vereinsmitglieder
In der Praxis besteht bei Vereinen häufig Unsicherheit, ob Mitgliederlisten an Vereinsmitglieder herausgegeben und
welche Daten darin aufgenommen werden dürfen. Was die Frage der Zulässigkeit der Herausgabe betrifft,
sind folgende Fälle zu unterscheiden:
Die Daten in der Mitgliederliste sollten sich möglichst auf die zur Kontaktaufnahme notwendigen Angaben beschränken (Name, Anschrift und ggf. Telefonnummer der Mitglieder, soweit diese im Telefonbuch enthalten ist oder die Mitglieder der Veröffentlichung ihrer dort nicht enthaltenen Telefonnummer in der Mitgliederliste zugestimmt haben). Sollen in die Liste darüber hinaus noch weitere Angaben aufgenommen werden (z.B. Beruf, Familienstand, Geburtstag), ist dies bei der Abwägung der einer Veröffentlichung entgegenstehenden schutzwürdigen Interessen von Mitgliedern im Rahmen des § 28 Abs.1 Nr.2 BDSG zu berücksichtigen und kann dazu führen, daß eine Veröffentlichung nur mit Einwilligung der Betroffenen zulässig ist. In Zweifelsfällen empfiehlt es sich, die Einwilligung der Vereinsmitglieder in die Herausgabe der Mitgliederliste einzuholen. Dies kann beispielsweise bei Neumitgliedern beim Vereinsbeitritt oder im Rahmen des Aufnahmeverfahrens geschehen. Bei der Herausgabe der Mitgliederliste ist darauf hinzuweisen, daß diese nur für Vereinszwecke verwendet werden darf und eine Verwendung für andere Zwecke (insbesondere für kommerzielle Zwecke) sowie die Überlassung der Liste an außenstehende Dritte nicht zulässig ist (§ 28 Abs.4 BDSG). Ein solcher Hinweis soll verhindern, daß beispielsweise Vereinsmitglieder oder außenstehende Dritte die Liste für ihre beruflichen Zwecke nutzen.
3.1.4 Offenbarung von Mitgliederdaten zur Wahrnehmung satzungsmäßiger Mitgliederrechte
Regelungen in Vereinssatzungen sehen vielfach vor, daß beispielsweise Anträge auf Einberufung einer außerordentlichen Mitgliederversammlung oder auf Ergänzung der Tagesordnung der Mitgliederversammlung davon abhängig gemacht werden, daß eine bestimmte Mindestzahl von Mitgliedern die Einberufung bzw. Ergänzung verlangt. Wenn der Verein nicht generell eine Mitgliederliste oder ein Mitgliederverzeichnis herausgibt (vgl. dazu Nr. 3.1.3), kann es erforderlich sein, daß er Mitgliedern beispielsweise durch Einsicht in diese Unterlagen ermöglicht, eine ausreichende Anzahl anderer Mitglieder für die Unterstützung eines solchen Minderheitsantrags zu erreichen.Die Offenbarung von Mitgliederdaten für diesen Zweck ist wegen der Pflicht des Vereins, die Ausübung satzungsmäßiger Minderheitsrechte zu ermöglichen, regelmäßig im Vereinsinteresse erforderlich, ohne daß überwiegende schutzwürdige Interessen der betroffenen Mitglieder entgegenstehen (§ 28 Abs.1 Nr.2 BDSG). Bei Vereinen, bei denen ein Interesse der Mitglieder besteht, daß ihre Daten vertraulich behandelt werden oder bei denen die Zugehörigkeit zum Verein ein besonders sensitives Datum darstellt (z.B. Parteien, Gewerkschaften), können jedoch überwiegende schutzwürdige Belange der Mitglieder einer Bekanntgabe ihres Namens und ihrer Anschrift entgegenstehen. In solchen Fällen sollte der Verein eine Regelung in der Satzung treffen oder die Mitglieder ausreichend informieren, ohne ihre Daten bekanntzugeben. Dies kann etwa dadurch geschehen, daß in einer Vereinspublikation auf den beabsichtigten Antrag, die Gründe und den Antragsteller hingewiesen und auf diese Weise interessierten Mitgliedern die Möglichkeit der Kontaktaufnahme zur Unterstützung eröffnet wird.
3.2 Übermittlung von Mitgliederdaten an Empfänger außerhalb des Vereins
3.2.1 Übermittlung von Mitgliederdaten an Dachorganisationen und vereinsnahe Organisationen
Ist ein Verein verpflichtet, die Daten seiner Mitglieder regelmäßig einer Dachorganisation - beispielsweise
einem Bundes- oder Landesverband - zu übermitteln (etwa in Form von Mitgliederlisten), sollte dies in der Vereinssatzung geregelt
werden. Dadurch wird klargestellt, daß die Übermittlung im Vereinsinteresse erforderlich ist und Interessen der
Vereinsmitglieder einer solchen Übermittlung regelmäßig nicht entgegenstehen (§ 28 Abs.1 Nr.2 BDSG).
Fehlt eine Satzungsregelung, sollten die Mitglieder (Neumitglieder möglichst bereits im Aufnahmeverfahren) über
die Übermittlung ihrer Daten an die Dachorganisation und den Übermittlungszweck informiert und ihnen Gelegenheit
zu Einwendungen gegeben werden. Der Verein ist darüber hinaus verpflichtet, dafür Sorge zu tragen,
daß die von ihm weitergegebenen Mitgliederdaten vom Empfänger nicht zweckentfremdet genutzt werden
(etwa durch Verkauf oder Vermietung der Mitgliederadressen für Werbezwecke) oder dies allenfalls mit Einverständnis
des Vereins und Einwilligung der betroffenen Mitglieder erfolgt.
3.2.2 Übermittlung von Mitgliederdaten an Wirtschaftsunternehmen
Vereine sollten bei der Übermittlung von Mitgliederdaten an Wirtschaftsunternehmen zu Werbezwecken grundsätzlich
zurückhaltend verfahren. Anders als bei Vertragsbeziehungen mit Wirtschaftsunternehmen
(wie z.B. Zeitschriftenverlagen) handelt es sich bei einer Mitgliedschaft in einem Verein um ein personenrechtliches
Rechtsverhältnis, aus dem sich für den Verein besondere Rücksichtnahmepflichten in Bezug auf
die schutzwürdigen Belange seiner Mitglieder ergeben, die je nach Art des Vereins unterschiedlich stark sind.
Insbesondere Mitglieder örtlicher Vereine vertrauen regelmäßig darauf, daß der Verein ihre Daten
grundsätzlich nicht für vereinsfremde Zwecke verwendet. Bei größeren Vereinen hingegen - wie z.B.
einem Automobilclub kann eine andere Situation gegeben sein.
Nur dann, wenn Interessen von Vereinsmitgliedern offensichtlich nicht entgegenstehen, können die in § 28 Abs.2 Nr.1b BDSG aufgeführten listenmäßigen Daten an Wirtschaftsunternehmen weitergegeben werden. Dabei muß jedoch der Umstand berücksichtigt werden, daß der Datenempfänger diese Daten wiederum für Werbezwecke anderer Unternehmen weitergeben oder nutzen kann. Deshalb sollte die Verwendung der weitergegebenen Daten auf den konkreten Werbezweck des Datenempfängers beschränkt und eine Nutzung oder Übermittlung der Daten für fremde Werbezwecke vertraglich ausgeschlossen werden. Daten von Mitgliedern, bei denen ein entgegenstehendes Interesse erkennbar ist, dürfen auf keinen Fall weitergegeben werden.
Nach den zwischen den Datenschutzaufsichtsbehörden und den Verbänden der Versicherungswirtschaft getroffenen
Absprachen darf ein Verein im Rahmen eines Gruppenversicherungsvertrags dem Versicherungsunternehmen bzw. dem
Versicherungsvertreter die Daten seiner Mitglieder nur unter folgenden Voraussetzungen übermitteln:
3.2.3 Übermittlung von Mitgliederdaten an die Presse
Vereine dürfen aus Gründen des Persönlichkeitsschutzes grundsätzlich keine Angaben über Mitglieder an die Presse oder an andere Medien übermitteln, soweit schutzwürdige Interessen der betroffenen Mitglieder entgegenstehen. Eine Datenübermittlung kann jedoch in Ausnahmefällen in Betracht kommen, beispielsweise wenn ein Verein wegen des Ausschlusses eines Mitglieds ins Gerede gekommen ist und eine Information im überwiegenden Interesse des Vereins oder im öffentlichen Informationsinteresse erforderlich ist. Auch in solchen Fällen darf der Verein nur die unbedingt notwendigen persönlichen Angaben offenbaren und muß schutzwürdige Belange der betroffenen Mitglieder oder ehemaligen Mitglieder angemessen berücksichtigen.
4. |
Was ist sonst noch bei der Verwaltung von Mitgliederdaten zu beachten ? |
4.1 Vereine sollten Regelungen für die ordnungsgemäße Datenverarbeitung treffen und dabei insbesondere bestimmen, welche Daten zu welchem Zweck in welcher Form von wem verarbeitet oder genutzt werden dürfen. Dabei sind auch technische und organisatorische Sicherheitsmaßnahmen vorzusehen (§ 9 BDSG und Anlage hierzu), etwa um zu verhindern, daß die Mitgliederdaten mißbräuchlich verwendet werden, Unbefugte hiervon Kenntnis erlangen oder Daten aufgrund unzureichender Datensicherung verloren gehen. Dies ist beispielsweise auch erforderlich, wenn die Datenverarbeitung von Mitgliedern ehrenamtlich zu Hause mit eigener DV-Ausstattung erledigt wird. Geregelt werden sollte auch, welche Mitgliederdaten wie lange gespeichert werden und wann Daten ausgeschiedener Mitglieder gelöscht werden. Wird die Verwaltung der Mitgliederdaten von einem Funktionsträger auf einen Nachfolger übertragen, ist dafür zu sorgen, daß sämtliche Mitgliederdaten übergeben werden und keine Kopien beim bisherigen Funktionsträger verbleiben.
4.2 Die mit der Verarbeitung der Mitgliederdaten betrauten Personen sollten schriftlich auf die Wahrung des Datengeheimnisses verpflichtet werden (§ 5 BDSG).
4.3 Wenn mindestens fünf Mitarbeiter oder ehrenamtliche Vereinsmitglieder ständig (d.h. regelmäßig) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden, hat der Verein einen Datenschutzbeauftragten zu bestellen (§ 36 BDSG). Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutzbeauftragten nicht vom Vereinsvorstand oder dem für die Datenverarbeitung des Vereins Verantwortlichen wahrgenommen werden, da diese Personen sich nicht selbst wirksam überwachen können. Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
4.4 Wenn Neumitglieder nicht auf andere Weise Kenntnis von der Speicherung ihrer Daten erlangen (§ 33 Abs. 2 Nr. 1, vgl. dazu auch Nr. 2.2) muß der Verein sie von der erstmaligen Speicherung ihrer Daten und der Art der gespeicherten Daten (z.B. Vorname, Name, Geburtstag, Anschrift, Telefonnummer, Beitrittsdatum, Zugehörigkeit zu einer Vereinsabteilung) benachrichtigen (§ 33 BDSG). Die Benachrichtigung soll die Mitglieder in die Lage versetzen, ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten geltend zu machen (§§ 34, 35 BDSG).
4.5 Wichtig ist auch, daß der Verein Unterlagen, die nicht mehr benötigt werden, so entsorgt, daß Dritte keine Kenntnis von den darin enthaltenen Mitgliederdaten erlangen können. Insbesondere dürfen Mitglieder- oder Spendenlisten nicht unzerkleinert in Müllcontainer geworfen werden. In der Praxis haben sich insoweit vor allem beim Wechsel oder Wegzug von Funktionsträgern verschiedentlich Probleme ergeben.
Mit weiteren Fragen wenden Sie sich bitte an Herrn Weber (Fon 0711/231-3254) oder Frau Fichtner (Fon 0711/231-3252). Für Anregungen zur Verbesserung des Merkblatts und für Vorschläge zu Themen, die im Merkblatt zusätzlich behandelt werden könnten, sind wir dankbar.