Datenschutz im Verband und in den Vereinen nach der Datenschutzgrundverordnung

Veröffentlicht am: 07.08.2018 von Hans-Joachim Petri in: Ordnungen und Satzung Drucken

Erweitertes Präsidium am 14. 07. 2018

TOP 4: Datenschutz im Verband und in den Vereinen nach der Datenschutzgrundverordnung


Beschlussvorschlag

1. Das Erweiterte Präsidium nimmt den Bericht über den Datenschutz im Verband und in den Vereinen nach der Datenschutzgrundverordnung (DSGVO) zustimmend zur Kenntnis.

2. Den Vereinen wird empfohlen, ihre Mitglieder mit einem MERKBLATT über den im Verein praktizierten Datenschutz zu informieren. Der Entwurf eines Merkblattes ist beigefügt.

3. Eine Arbeitsgruppe soll prüfen, ob im Hinblick auf die DSGVO Ergänzungen der Datenschutzordnung des Verbands notwendig sind. Ergänzungsvorschläge sind ggf. dem Verbandstag 2019 zur Beschlussfassung vorzulegen.

Bericht

über den Datenschutz im Verband und in den Vereinen nach der DSGVO

Vorbemerkung

Der (außerordentlich umfangreiche ) Text der DSGVO findet sich im Internet, z. B. unter www.iitr.de/eu-dsgvo/5.html. Eine wichtige Orientierungshilfe sind die Veröffentlichung des baden-württembergischen Datenschutzbeauftragten „Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO), gültig ab 25. Mai 2018 “ sowie ein dazu veröffentlichter „Praxisratgeber “Angesichts der Fülle des Materials muss sich der nachfolgende Bericht auf Wesentliches beschränken.

Fragestellung

Welche Bedeutung hat das Inkrafttreten der DSGVO am Mai 2018 auf die künftige Ausgestaltung des Datenschutzes im Verband und in den Vereinen?

Ausgangslage

Der Verband besitzt eine Datenschutzordnung, veröffentlicht am 25. 02. 2011 (www.svw.info/service/ordnungen). Die Datenschutzordnung ist eine Ordnung auf der Grundlage der Satzung des Verbands. Nach § 9 Abs. 1 der Satzung gilt die Datenschutzordnung nicht nur für den Verband, sondern für die Vereine und ihre Mitglieder unmittelbar. Die Datenschutzordnung regelt den Datenschutz daher nicht nur im Verband, sondern auch in Vereinen. Angesichts der Regelung des § 9 Abs. 1 der Satzung bedeutet dies, dass bereits jetzt jeder Verein eine geltende Datenschutzordnung hat, die für jedes Mitglied gilt.

Nicht bekannt ist, ob diese Tatsache tatsächlich allen Vereinen und ihren Vorständen gegenwärtig ist - vermutlich nicht.

Die Verbandssatzung hält die Datenschutzordnung für so wichtig, dass nach § 16 Abs. 2 der Satzung die Datenschutzordnung zum Bestandteil der Satzung erklärt wird. Das bedeutet, dass Änderungen der Datenschutzordnung wie Satzungsänderungen zu behandeln sind; sie können nur vom Verbandstag mit 2/3 – Mehrheit beschlossen werden (vgl. Beschlussvorschlag Ziff. 3).

Die Datenschutzordnung geht davon aus, dass zwischen dem Verein und seinen Mitgliedern ein rechtsgeschäftliches Schuldverhältnis („Mitglieder-Vertragsverhältnis“) besteht, das den Verein ermächtigt, die Daten seiner Mitglieder zu verarbeiten – zu erheben, zu speichern, zu übermitteln und zu veröffentlichen -, die für die Durchführung der Vereinsaufgaben erforderlich sind. Die Vereinsaufgaben sind durch die Vereinssatzung bestimmt und begrenzt. Daher sind die zu verarbeitenden Daten der Mitglieder auf das Notwendigste begrenzt. Geregelt ist auch die Löschung der Daten und das Verbot ihrer Weitergabe an Stellen außerhalb der Schachorganisation. Das Bestehen des Mitglieder-Vertragsverhältnisses zum Verein bedeutet, dass eine individuelle Einwilligung der bestehenden Mitglieder in einzelne Schritte der Datenverarbeitung im Verein nicht notwendig ist. Die Datenschutzordnung regelt auch das Zusammenwirken von Verein und Verband, ohne das die Erfüllung der Aufgabe: Durchführung des Schachsports nicht möglich wäre .

Geltung der Datenschutzgrundverordnung

Grundsätzlich ist festzustellen, dass die Datenschutzordnung des Verbands den Anforderungen des am 26. Mai 2018 in Kraft getretenen neuen Datenschutzrechts weiterhin gerecht wird.

Art. 5 DSGVO bestimmt die Grundsätze für die Verarbeitung personenbezogener Daten (der Begriff der „Verarbeitung“ umfasst alle beim Umgang mit Daten vorzunehmenden Tätigkeiten). Dabei werden die Anforderungen an die Datenverarbeitung auch schlagwortartig festgelegt:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

  • Zweckbindung

  • Datenminimierung

  • Richtigkeit

  • Speicherbegrenzung

  • Integrität und Vertraulichkeit.

Zur Rechtmäßigkeit der Verarbeitung bestimmt Art. 6 Abs.1 DSGVO:

b) „die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, …. erforderlich …“

f) „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen …..erforderlich….

Bemerkenswert ist, dass am zentralen Begriff der Erforderlichkeit der Datenverarbeitung festgehalten wird. Der „Vertrag“ ist im Vereinsrecht weiterhin das rechtsgeschäftliche Schuldverhältnis zwischen dem Verein und seinen Mitgliedern.

Die DSGVO verstärkt die Bedeutung der Einwilligung des Betroffenen in die Verarbeitung seiner Daten. Der baden-württembergische Datenschutzbeauftragte führt dazu in seinem „Praxisratgeber“ (S. 5) unter Verweis auf Art. 6 Abs. 1 b) und f) der DSGVO aus:

„Viele Vereine sind der Ansicht, dass sie von jedem Mitglied für die Verarbeitung der personenbezogenen Daten der Mitglieder zukünftig zwingend eine Einwilligungserklärung benötigen und dass ohne eine Einwilligung eine Datenverarbeitung unzulässig sei. Das trifft jedoch nicht zu. (Hervorhebung von mir.) Ein Verein darf – auch ohne Einwilligung – solche Daten erheben,

  • die zur Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind,

  • wenn er an der Datenverarbeitung ein überwiegendes berechtigtes Interesse hat“.

Unabhängig davon wird eine umfassende Information der Vereinsmitglieder über die Verarbeitung ihrer Daten für notwendig gehalten, um der Forderung der DSGVO über Transparenz gerecht zu werden. Sinnvoller weise geschieht dies in einem Merkblatt der Vereinsführung gegenüber den Mitgliedern. Dabei sind die Vereine in der Gestaltung und der Form der Veröffentlichung frei. Der Entwurf eines Merkblatts ist dem Bericht als Anlage beigefügt.

Noch zwei Hinweise: Ein Datenschutzbeauftragter ist zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das ist beim Verband, schon gar bei einzelnen Vereinen offensichtlich nicht der Fall.

In Vereinen mit mehr als 250 Mitgliedern – das ist im Verbandsgebiet nur der Verband als e. V. selbst – ist nach Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Erläuterungen zu diesem Verzeichnis finden sich im „Praxisratgeber“ auf S. 8. Die künftige Wahrnehmung dieser Aufgabe durch den Verband bedarf nicht der Aufnahme in die Datenschutzordnung des Verbands.

Zusammenfassung

Zentrale Aufgabe nach Inkrafttreten der DSGVO ist zunächst die Information der Mitglieder der Vereine über die erforderliche Verarbeitung ihrer personenbezogenen Daten im Rahmen der satzungsgemäßen Vereinstätigkeit.

Die Datenschutzordnung des Verbands bedarf gegenwärtig keiner Änderung oder Ergänzung.

Allerdings kann dieser Bericht angesichts der Fülle des Materials und der kurzen Zeitspanne nur vorläufig sein. Daher wird vorgeschlagen, die Auswirkungen der DSGVO auf den Datenschutz im Verband noch einer weiteren, ausführlichen Prüfung in einer Arbeitsgruppe zu unterziehen. Über nicht auszuschließende Änderungen der Datenschutzordnung wäre auf dem Verbandstag 2019 zu entscheiden.

Dr. Friedrich Gackenholz