Datenschutz für Vereine und Verbände
- Einleitung - Grundsatzinformationen
- Rechtslage für Vereine
- Was ist wichtig für die Struktur der Vereinsarbeit?
- Was ist noch neu?
- Wer kann mir bei datenschutzrechtlichen Fragen weiterhelfen, die nicht durch diese Broschüre beantwortet werden?
- Häufiger gestellte Fragen im Zusammenhang mit dem Inkrafttreten der Datenschutz-Grundverordnung
- Alle Theorie ist grau – Praktisches Beispiel zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
Einleitung - Grundsatzinformationen
Alle Vereine verarbeiten in vielfältiger Hinsicht personenbezogene Daten ihrer Mitglieder, von Sponsoren und Förderern sowie von Besuchern ihrer Veranstaltungen. Dies fängt bei den Adressen der Mitglieder an und geht über die Kontoverbindungsdaten bei Lastschrifteinzugsverfahren der Mitgliedsbeiträge weiter. Soweit Kinder im Sportverein trainieren, ist der besondere Schutz Minderjähriger zu beachten. Mit der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) haben sich grundlegende Änderungen im Datenschutzrecht ergeben.
Bislang mussten die privatrechtlich organisierten Vereine lediglich das Bundesdatenschutzgesetz (BDSG) in der bis zum 24. Mai 2018 geltenden Fassung beachten. Mit der DS-GVO tritt nunmehr ein europäischer Rechtsrahmen hinzu, der in allen 28 Mitgliedstaaten – ab 2019 nur noch 27 Mitgliedstaaten – der Europäischen Union einheitliche Datenschutzgrundsätze normiert. Diese Rechtswirkungen entfaltet der europäische Rechtsakt bis hinunter auf die Arbeit der Vereine in Bezug auf den Datenschutz. Zukünftig reicht es also nicht mehr aus, in das BDSG in der Fassung vom 30. Juni 2017 (BGBl. Teil I, S. 2097) zu schauen, das am 25. Mai 2018 in Kraft getreten ist, sondern für die Beantwortung datenschutzrechtlicher Fragen bei der Vereinsarbeit ist die DS-GVO als unmittelbar geltender europäischer Rechtsakt mit heranzuziehen.
Was ist wichtig für die Struktur der Vereinsarbeit?
Datenschutz bleibt Chefsache!
Datenschutz war und ist nach wie vor „Chefsache“. Der Vorsitzende eines Vereins ist also Verantwortlicher im Sinne von Artikel 4 Nr. 7 der DS-GVO für den datenschutzgerechten Umgang mit den persönlichen Angaben seiner Mitglieder.
Die bereits früher bestehende Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten wurde durch die DS-GVO in Artikel 30 schärfer konturiert. Sie gilt uneingeschränkt auch für die Mitgliederverzeichnisse von Vereinen. Dabei spielt der Zweck der
Datenerhebung eine herausragende Rolle. Der Zweck entscheidet beispielsweise über Art und Umfang der Datenerhebung bei den Vereinsmitgliedern. Altersangaben sind für die Mitgliedschaft wichtig, wenn die Einteilung der Mitglieder in Altersklassen mit den entsprechenden Ligenzugehörigkeiten vorgenommen werden muss oder der Vorstand zu den „runden“ Geburtstagen eines Vereinsmitgliedes gratulieren will. Das Eintrittsdatum in den Verein entscheidet über Ehrungen hinsichtlich der Vereinszugehörigkeit. Verboten ist jedoch, diese Daten Dritten zur Verfügung zu stellen. Bei der zweckwidrigen Weitergabe liegt eine unrechtmäßige Datenverarbeitung personenbezogener Daten vor.
Gestärkt wurden auch die Auskunfts- und Informationsrechte für die von einer Datenverarbeitung betroffenen Personen. Der Vereinsvorstand hat von sich aus das Vereinsmitglied proaktiv über die Verarbeitung personenbezogener Daten zu informieren. Ebenso können beispielsweise die Vereinsmitglieder jederzeit Auskunft über die vom Verein verarbeiteten personenbezogenen Daten verlangen. Die entsprechenden Auskunftsrechte finden sich in Artikel 15 der DS-GVO.
Ferner wurden die Rechte auf Löschung personenbezogener Daten gestärkt. Artikel 17 DS-GVO trägt neben dem Recht auf Löschung den bezeichnenden amtlichen Zusatz „Recht auf Vergessenwerden“. Das bedeutet beispielsweise, dass nach dem Austritt eines Mitglieds aus dem Verein seine personenbezogenen Daten grundsätzlich zu löschen sind, es sei denn, sie werden für Vereinszwecke noch gebraucht. Dies könnte der Fall sein, wenn das Mitglied noch Vereinsbeiträge schuldet. Ferner muss der Verein auch dafür sorgen, dass personenbezogene Daten der Vereinsmitglieder, die beispielsweise an den Landessportbund gemeldet wurden, gelöscht werden, wenn das betreffende Mitglied seine Mitgliedschaft im Verein gekündigt hat.
Ebenso muss der Vereinsvorstand proaktiv an seine Mitglieder Informationen über die Art und den Umfang der für die Vereinsarbeit gespeicherten Daten geben.
Die Vereine trifft bei der Verarbeitung von personenbezogenen Daten eine besondere Sorgfaltspflicht. Dabei ist im Einzelfall zu differenzieren. Gewinner von publikumswirksamen Stadt-, Kreis- oder Landesmeisterschaften werden regelmäßig in den vereinseigenen Zeitungen oder der Tagespresse veröffentlicht. Dies ist auch unter der Geltung der DS-GVO möglich. Soweit die Namen von Siegern in Wettkämpfen mit Öffentlichkeitswirkung, wie zum Beispiel Stadt-, Kreis- oder Landesmeisterschaften, in Vereinszeitungen veröffentlicht werden sollen oder auch an die Tagespresse weitergegeben werden sollen, kann Artikel 6 Abs. 1 Buchst. f) DS-GVO als Rechtsgrundlage herangezogenen werden.
Unter dem Sammelbegriff „Technisch-organisatorische Maßnahmen“ (TOM) werden Schutzmaßnahmen gegen den unberechtigten Zugriff auf personenbezogene Daten verstanden. Pseudonymisierung, Anonymisierung und Verschlüsselung sind Maßnahmen, die Datenschutz gewährleisten können. Bei internen Vergleichswettkämpfen können zum Beispiel die Ergebnisse der Mitglieder pseudonymisiert über die Vereinsordnungsnummer bekannt gegeben werden. Beim rechnergestützten Mitgliederverzeichnis sind „Firewalls“ einzusetzen, um bei gleichzeitig vorhandenem Internetzugang elektronisch gespeicherte Mitgliedsdaten gegenüber Angriffen von Hackern zu schützen. Bei der Verarbeitung von personenbezogenen Daten ist auch über ein sogenanntes Rollen- und Rechtekonzept nachzudenken. Im Sinne der Sparsamkeit von Datenverarbeitung muss beispielsweise nicht jedes Vorstandsmitglied Zugriff auf personenbezogene Daten wie Wohnorte oder Kontoverbindungen haben. Es ist im Sinne des Datenschutzes ausreichend, wenn Schriftwart und Kassenwart auf die Adressdaten und Kontoverbindungen zugreifen können. Ebenso muss der vereinseigene Laptop, der bei einem Vorstandsmitglied zu Hause steht, mit einem Passwortschutz versehen werden, um Zugriffe Außenstehender auszuschließen. Passwörter sollten dabei mindestens achtstellig aus nicht zusammenhängenden Buchstaben- und Zahlenkombinationen bestehen. Sie sind regelmäßig zu wechseln. Bei erfolgreichen Hackerangriffen von außen müssen sie umgehend nach deren Aufdeckung gewechselt werden.
Was ist noch neu?
Datenschutzverletzungen sind nach Artikel 33 Abs. 1 Satz 1 DS-GVO innerhalb von 72 Stunden beim Landesbeauftragten für den Datenschutz anzuzeigen. Dies betrifft zum Beispiel den Verlust eines vereinseigenen Laptop, auf dem die Mitgliederdaten gespeichert sind.
Wer kann mir bei datenschutzrechtlichen Fragen weiterhelfen, die nicht durch diese Broschüre beantwortet werden?
Die nach Artikel 4 Nr. 21 DS-GVO zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz. Ihm obliegt es zum Beispiel, nach Artikel 57 Abs. 1 Buchst. b) DS-GVO über Risiken, Vorschriften und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten aufzuklären. In Erfüllung dieser Aufgabe hat er zum Beispiel auf seiner Homepage Informationen für Vereine eingestellt, die dort abgerufen werden können. Eine Handeichung trägt den Titel: „Häufig gestellte Fragen zum Datenschutz in Vereinen“ und kann von der Homepage des Landesbeauftragten für den Datenschutz heruntergeladen werden.
Die Kontaktdaten für weitere Anfragen lauten wie folgt:
Landesbeauftragter für den Datenschutz
Leiterstraße 9
39104 Magdeburg
Tel.: (0391) 81803 10
Fax: (0391) 81803 33
Internet: www.datenschutz.sachsen-anhalt.de
(Hinweis: Hier finden Sie auch Texte der Datenschutz-Grundverordnung und des BDSG 2017, verkündet als Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie [EU] 2016/680)
Häufiger gestellte Fragen im Zusammenhang mit dem Inkrafttreten der Datenschutz-Grundverordnung
- Muss ich als Verein einen Datenschutzbeauftragten benennen?
- Brauche ich für die Aufnahme von neuen Mitgliedern in meiner Vereinsmitgliederkartei, die elektronisch geführt wird, das Einverständnis des neu aufzunehmenden Mitglieds?
- Darf ich im Verein Gesundheitsdaten der Mitglieder verarbeiten?
- Wie informiere ich datenschutzrechtlich einwandfrei beim E-Mail-Versand von Newslettern?
- Ich beschäftige hauptamtliche Mitarbeiter in meiner Vereinsgeschäftsstelle, einen hauptamtlich tätigen Hausmeister und Platzwart oder auch hauptamtliche Übungsleiter beispielsweise im Status als sogenannten „Minijobber“ oder im Rahmen einer Beschäftigungsförderungsmaßnahme der örtlichen Agentur für Arbeit. Was muss ich datenschutzrechtlich beachten?
- Wie lange darf ich die Daten bereits ausgeschiedener Mitarbeiter vorhalten? Muss ich die personenbezogenen Daten ehemaliger hauptamtlich Beschäftigter unmittelbar nach ihrem Ausscheiden wegen Eintritt in den Ruhestand oder bei einem Arbeitgeberwechsel löschen?
- Kann ich Spielpläne meines Sportvereins via WhatsApp an die betroffenen Liga-Spieler übermitteln?
- Darf ich Fotos von minderjährigen Vereinsmitgliedern auf Facebook veröffentlichen?
- Darf ich Fotos von Vereinsfeierlichkeiten auf WhatsApp oder Facebook platzieren?
- Muss ich, wenn ich zu Vereinsfeierlichkeiten einlade, für den Fall, dass Fotos geschossen werden, vorher das Einverständnis von allen anwesenden Personen einholen?
- Darf ich in meiner Funktion als Vereinsvorsitzender die Adresse eines Fußballspielers aus meinem Verein an einem auf dem Spielfeld nach einem Foul geschädigten Spieler der gegnerischen Mannschaft herausgeben, damit Schadensersatzansprüche geltend gemacht werden können?
- Mein Vereinsheim wurde schon mehrfach durch Fassadenschmierereien beschädigt. Darf ich Kameras an der Außenwand des Vereinsheims anbringen, um potentielle Schädiger dadurch abzuschrecken und andererseits durch die Videoaufnahmen Schädiger einer Strafverfolgung zuzuführen?
Muss ich als Verein einen Datenschutzbeauftragten benennen?
Grundsätzlich wird dieses Erfordernis bei kleineren Vereinen nicht bestehen. Nach Artikel 37 Abs. 1 DS-GVO in Verbindung mit § 38 Abs. 1 BDSG von 2017 ist nur dann ein Datenschutzbeauftragter zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
In einem kleineren Verein dürften allenfalls der Schriftwart, der Vorsitzende, der Stellvertreter und ggf. auch eine Bürokraft das Mitgliederverzeichnis betreuen. Damit ist die Mindestzahl von mehr als zehn Personen nicht erreicht.
Anders stellt sich die Situation dar, wenn die Verarbeitung personenbezogener Daten dezentral im Verein erfolgt. Wenn Trainer und Übungsleiter selbständig mit den personenbezogenen Daten arbeiten, kommt es auf die Anzahl der ständig damit beschäftigten Personen an. Arbeiten mindestens zehn Personen, wie zum Beispiel Übungsleiter, Sekretariat und Vereinsvorsitzender mit den personenbezogenen Daten, ist ein Datenschutzbeauftragter zu bestellen.
Damit dürfte nur für große Sportvereine ein vereinseigener Datenschutzbeauftragter erforderlich sein, weil dort mindestens zehn Personen mit personenbezogenen Daten im Rahmen der Mitgliederbetreuung beschäftigt sind. Die Aufgabe eines vereinseigenen Datenschutzbeauftragten kann dabei durch einen Beschäftigten im Nebenamt wahrgenommen werden. Sie kann aber auch extern, zum Beispiel an ein datenschutzrechtlich versiertes Rechtsanwaltsbüro oder sonstige für den Datenschutz geschulte Berater, vergeben werden.
Brauche ich für die Aufnahme von neuen Mitgliedern in meiner Vereinsmitgliederkartei, die elektronisch geführt wird, das Einverständnis des neu aufzunehmenden Mitglieds?
Nein, eine ausdrückliche Einwilligung für die Speicherung von personenbezogenen Daten in die Vereinsmitgliederkartei ist nicht erforderlich. Die Rechtsfrage beurteilt sich unter Berücksichtigung von Artikel 6 Abs. 1 Satz 1 Buchst. b) DS-GVO. Danach können personenbezogene Daten für die Erfüllung eines Vertrags gespeichert werden, wenn der Vertragspartner die personenbezogenen Daten des anderen Vertragspartners zur Erfüllung des Vertrags braucht.
Zwischen dem neu aufgenommenen Mitglied und dem Verein wird ein Vertrag geschlossen über die Aufnahme in den jeweiligen Verein. Der Verein ist bei der Neuaufnahme von Mitgliedern zwingend auf die personenbezogenen Daten der eine Mitgliedschaft beantragenden Person hinsichtlich des Lebensalters zum Zweck der Einteilung in die entsprechende Altersliga, des Wohnsitzes und bei Lastschriftverfahren auch auf die Angaben zum kontoführenden Geldinstitut angewiesen. Einer ausdrücklichen Einwilligung zur Verarbeitung solcher personenbezogenen Daten in schriftlichen oder elektronisch geführten Mitgliederkarteien bedarf es daher nicht.
Allerdings ist bei der Aufnahme auf eine erforderliche Datenweitergabe personenbezogener Daten an Spartendachverbände oder den Landessportbund hinzuweisen. Die Weitergabe von personenbezogenen Daten an Dachorganisationen im Sportbereich ist als Datenübermittlung eine Datenverarbeitung im Sinn des Artikels 4 Nr. 2 DS-GVO. Über diese Datenübermittlung muss der Vereinsvorstand im Aufnahmeformular informieren. Dies fällt unter die Informationspflicht nach Artikel 13 Abs. 1 Buchst. c) und e) DS-GVO.
Festzuhalten bleibt, dass das Informationserfordernis unabhängig von der Speicherungsart der personenbezogenen Daten besteht.
Die DS-GVO gilt dabei nicht nur für elektronisch geführte Mitgliederverzeichnisse, sondern sie erfasst nach Erwägungsgrund 15
der DS-GVO auch die nach einem strukturierten System geführten Mitgliederkarteien in Papierform. Für die Tatbestandsvoraussetzung einer strukturierten Papierakte reicht es bereits aus, wenn das Mitgliederkartei nach dem Alphabet geführt wird.
Darf ich im Verein Gesundheitsdaten der Mitglieder verarbeiten?
Soweit im Verein Gesundheitsdaten von Mitgliedern verarbeitet werden, braucht der Verein eine Einwilligung der von der Datenverarbeitung betroffenen Mitglieder. Diese Datenverarbeitung unterfällt Artikel 9 der DS-GVO. Er sieht besondere Einschränkungen für die Verarbeitung von besonderen Kategorien personenbezogener Daten vor. Beispielsweise gehören zu diesen besonderen Kategorien die Religionszugehörigkeit, Gesundheitsdaten oder auch die gewerkschaftliche Zugehörigkeit. Hier sind besondere technisch-organisatorische Maßnahmen (abgekürzt TOM) erforderlich, um diese sensiblen Daten zu schützen. Beispielsweise muss für die Verarbeitung dieser besonderen Kategorie von personenbezogenen Daten eine Datenschutzfolgenabschätzung nach Artikel 35 der DS-GVO vorgenommen werden, wenn die Verarbeitung umfangreich ist.
Wie informiere ich datenschutzrechtlich einwandfrei beim E-Mail-Versand von Newslettern?
Bei der Vereinsarbeit ist schon im Interesse des Datenschutzes vom E-Mail-Versand via „Blind Carbon Copy“ (BCC) Gebrauch zu machen. Hier ist sichergestellt, dass im Rahmen einer Mailingaktion an alle Mitglieder nur das jeweilige Einzelmitglied mit seiner Einzeladresse aufläuft. Das jeweilige Mitglied kann dann nicht sehen, an welche E-Mail-Adressen die Mail noch versandt wurde. Dies dient der Wahrung des personenbezogenen Datenschutzes der übrigen Mitglieder und von bereits ausgeschiedenen Mitgliedern. Möglicherweise möchte ein ehemaliges Vereinsmitglied nicht, dass sein Austritt über das Fehlen seiner E-Mail-Adresse im an alle übrigen Vereinsmitglieder übermittelten E-Mail-Verteiler bekannt wird.
Ich beschäftige hauptamtliche Mitarbeiter in meiner Vereinsgeschäftsstelle, einen hauptamtlich tätigen Hausmeister und Platzwart oder auch hauptamtliche Übungsleiter beispielsweise im Status als sogenannten „Minijobber“ oder im Rahmen einer Beschäftigungsförderungsmaßnahme der örtlichen Agentur für Arbeit. Was muss ich datenschutzrechtlich beachten?
Mit der Festanstellung von hauptamtlich tätigen Mitarbeitern ist der Verein Arbeitgeber. In dieser Eigenschaft hat der Verein die Pflicht, den Beschäftigtendatenschutz sicherzustellen. Einschlägige Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis ist § 26 BDSG 2017.
Beim Bewerberauswahlverfahren und der Aufnahme des Arbeitsverhältnisses muss der Verein den Bewerber und dann den späteren hauptamtlichen Mitarbeiter über Art und Umfang der gespeicherten personenbezogenen Daten informieren.
Bei der Übersendung von Bewerberunterlagen und der (Neu-)Anlage von Personalakten werden regelmäßig folgende Daten nach Artikel 6 DS-GVO Abs. 1 Buchst. a) erfasst und gespeichert:
- Personendaten (wie z. B. Name, Vorname, Anschrift, Geburtsdatum, nicht zuletzt auch das Bewerbungsfoto)
- Kommunikationsdaten (z. B. Telefonnummer, E-Mail-Adresse)
- Behinderungen
- Daten zur Ausbildung und zur Weiterbildung
- Daten zum beruflichen Werdegang (z. B. über den eingereichten Lebenslauf)
- Schulzeugnisse, Ausbildungs-, Arbeitszeugnisse und Beurteilungen
- Angabe zu sonstigen Qualifikationen oder ausgeübten ehrenamtlichen Tätigkeiten
- Daten zum Bewerbungszeitpunkt und zum Einstellungszeitpunkt
Bei einer Bewerbung werden die Daten entweder in Papierform oder elektronisch gespeichert. Informationen über eine Schwerbehinderung werden auf der Grundlage von Artikel 9 Abs. 2 Buchst. b) DS-GVO i. V. m. § 164 SGB IX verarbeitet.
Wie lange darf ich die Daten bereits ausgeschiedener Mitarbeiter vorhalten? Muss ich die personenbezogenen Daten ehemaliger hauptamtlich Beschäftigter unmittelbar nach ihrem Ausscheiden wegen Eintritt in den Ruhestand oder bei einem Arbeitgeberwechsel löschen?
Die Träger der Sozialversicherung müssen über die Arbeitsaufnahme und Arbeitsbeendigung beim Verein informiert werden. Diese Weitergabe von personenbezogenen Daten an die Sozialversicherungsträger (z. B. an Krankenkassen oder Rentenversicherung) hat gesetzliche Grundlagen und ist auch unter der DS-GVO zulässig. Wenn allerdings alle Meldepflichten (z. B. hinsichtlich des Eintritts in den Ruhestand) erfüllt sind, müssen die personenbezogenen Daten aus dem aktiv abrufbaren Datenbestand herausgenommen werden.
Kann ich Spielpläne meines Sportvereins via WhatsApp an die betroffenen Liga-Spieler übermitteln?
Bei dem Einsatz von Spielern zu einem bestimmten Spieltag handelt es sich in Bezug auf der Namensübermittlung und hinsichtlich des
Spielortes um personenbezogene Daten, die in jeder Hinsicht dem Schutz der DS-GVO unterfallen. Als Kurznachrichtendienst gehört WhatsApp im weitesten Sinne zur Facebook-Gruppe. Mit der Übermittlung von personenbezogenen Daten via WhatsApp wird damit auch automatisch eine Datenverwertung durch Facebook eröffnet. Soweit der jeweilige Spieler ein personenbezogenes Profil bei Facebook angelegt hat, besteht die Möglichkeit, dass via der Benachrichtigung zu Spieleinsätzen Facebook diese Daten dem personenbezogenen Profil des Spielers hinzufügen kann. Soweit beispielsweise ein Fußballverein über WhatsApp zu den Ligaspielen einteilt, kann Facebook aus dieser Funktion entnehmen, dass ein besonderes Interesse an der jeweiligen Sportart besteht und ist damit in die Lage versetzt, besondere Werbeanzeigen dem Profil des Spielers zuzuordnen.
Von einer Benachrichtigung via WhatsApp wird daher abgeraten. Stattdessen bietet es sich an, die Benachrichtigung via SMS-Versand durchzuführen.
Darf ich Fotos von minderjährigen Vereinsmitgliedern auf Facebook veröffentlichen?
Grundsätzlich wird von einer Veröffentlichung von Fotografien Minderjähriger im Rahmen von sogenannten Fanpages bei Facebook abgeraten. Auch hier besteht die Gefahr, dass Facebook die Daten zu kommerziellen Werbezwecken auswertet. So besteht über Gesichtserkennung bei einem auf Facebook niedergelegten Foto der Jugendmannschaft eines Sportvereins die Gefahr, dass über Programme zu Gesichtserkennung dem jeweiligen Spieler auf seinem Facebook-Account besondere Werbung zur jeweiligen Sportart zugeschaltet wird.
Dabei ist auch unerheblich, ob der jeweilige (minderjährige jugendliche) Spieler selbst ein Facebook-Profil besitzt und die Eltern in eine Facebook-Veröffentlichung eingewilligt haben.
Das hier einschlägige Urteil des Europäischen Gerichtshofs (EuGH) zur datenschutzrechtlichen Mitverantwortung für Facebook-Seiten hat noch nicht zur abschließenden Klärung der Rechtsfragen rund um Facebook-Fanpages beigetragen (C-210/16). Der Europäische Gerichtshof hatte noch unter Geltung der Richtlinie zum Europäischen Datenschutz 95/46/EG darüber zu entscheiden, ob die datenschutzrechtliche Aufsichtsbehörde aus Schleswig-Holstein (ULD) einer von der Industrie- und Handelskammer in Schleswig-Holstein beauftragten Wirtschaftsakademie den Betrieb einer Facebook-Fanpage im Jahr 2011 untersagen durfte. Nach einer Klage der Wirtschaftsakademie gegen die Aufsicht und Ausschöpfung des Rechtsweges bis zum Bundesverwaltungsgericht legte dieses Gericht die Rechtsfrage dem Europäischen Gerichtshof in Luxemburg vor. Die Regelung der Verantwortlichkeit findet sich im Artikel 4 Nr. 7 der DS-GVO wortgleich wieder, weswegen das Urteil auch auf die neue Rechtslage nach der DS-GVO anwendbar ist.
Nach dem Urteil des EuGH besteht hinsichtlich des Unterhaltens von sogenannten Fanpages eine gemeinsame Verantwortlichkeit von Facebook, dass die jeweilige Fanpage im Auftrag des Vereins eingerichtet hat, und des die Fanpage einrichtenden Vereins. Soweit also personenbezogene Daten von Facebook für kommerzielle Zwecke verarbeitet werden – beispielsweise zur kommerziellen Schaltung von Anzeigen – sind sowohl Facebook als auch der Verein verantwortliche Datenverarbeiter im Sinn von Artikel 4 Nr. 7 der DS-GVO. Für unrechtmäßig kommerzielle Datenverarbeitung durch Facebook haftet also neben Facebook selbst auch der jeweilige Verein.
Darf ich Fotos von Vereinsfeierlichkeiten auf WhatsApp oder Facebook platzieren?
Prinzipiell ist im Interesse des Datenschutzes die Veröffentlichung von Fotos auf einer eigenen Vereinshomepage zu empfehlen. Hier ist sichergestellt, dass ausschließlich der Verein die Herrschaft über die Veröffentlichung der Daten hat. Der Verein bestimmt selbst, wann Fotos eingestellt werden und wann diese wieder gelöscht werden, weil die Feierlichkeit keine weitere Bedeutung mehr für das Vereinsleben hat. Soweit diese Veröffentlichungen auf einer Fanpage erfolgen oder via WhatsApp an alle Mitglieder versandt werden, kann Facebook als Mutterunternehmen vollständig auf die personenbezogenen Daten zugreifen. Der Verein haftet für rechtswidrige Datenverwendung nach dem Urteil des Europäischen Gerichtshofs als ebenfalls Verantwortlicher nach Artikel 2 Nr. 7 der DS-GVO.
Muss ich, wenn ich zu Vereinsfeierlichkeiten einlade, für den Fall, dass Fotos geschossen werden, vorher das Einverständnis von allen anwesenden Personen einholen?
Nein, die Fotoaufnahmen stellen zwar eine Verarbeitung von personenbezogenen Daten dar, insbesondere, wenn es sich dabei um Einzelaufnahmen von geehrten Vereinsmitgliedern oder von individualisierbaren Personengruppen handelt. Die Veröffentlichung von Fotografien kann gerechtfertigt sein durch Artikel 6 Abs. 1 Satz 1 Buchst. f) DS-GVO. Einer Einwilligung bedarf es nur, wenn diese Vorschrift keine Veröffentlichung von Fotos gestattet (vergl. die erwähnte Handreichung des Landesbeauftragten für den Datenschutz: Nummer 5). Allerdings kann in der Einladung an alle Vereinsmitglieder darauf hingewiesen werden, dass Fotoaufnahmen gemacht werden sollen, die auf vereinseigenen Plattformen veröffentlicht werden. Im Übrigen dürfte es sich anbieten, um den Anforderungen des Artikels 4 Nr. 11 DS-GVO gerecht zu werden, im Eingangsbereich durch Aushang auf die Fotoaufnahmen mit Zeitangabe hinzuweisen. Derjenige Besucher, der nicht fotografiert werden möchte, hat dann die Gelegenheit, den Veranstaltungsort während der Fotoaufnahmen kurzzeitig zu verlassen.
Darf ich in meiner Funktion als Vereinsvorsitzender die Adresse eines Fußballspielers aus meinem Verein an einem auf dem Spielfeld nach einem Foul geschädigten Spieler der gegnerischen Mannschaft herausgeben, damit Schadensersatzansprüche geltend gemacht werden können?
Es handelt sich um die Übermittlung von personenbezogenen Daten. Dabei ist zu beachten, dass die personenbezogenen Daten des Schädigers zunächst nur dem Zweck dienen, die Mitgliedschaft zu gestalten, beispielsweise die Einladungen zu Mitgliederversammlungen zu ermöglichen. Die Weitergabe an einen (insoweit als Dritten zu behandelnden) Geschädigten ist davon nicht erfasst.
Allerdings ist die Information über die Adresse des Schädigers nach § 24 Abs. 1 Nr. 2 BDSG 2017 gesetzlich zulässig. Der Schädiger kann regelmäßig kein überwiegendes Interesse an der „Geheimhaltung“ seiner Adressdaten geltend machen.
Mein Vereinsheim wurde schon mehrfach durch Fassadenschmierereien beschädigt. Darf ich Kameras an der Außenwand des Vereinsheims anbringen, um potentielle Schädiger dadurch abzuschrecken und andererseits durch die Videoaufnahmen Schädiger einer Strafverfolgung zuzuführen?
Die Zulässigkeit einer Videobeobachtung an Gebäuden beurteilt sich nach Artikel 6 Abs. 1 Satz 1 Buchst. f) DS-GVO i.V. m. §4 Abs. 1 BDSG 2017. Danach ist die Beobachtung öffentlich zugänglicher Räume nur zulässig, wenn sie entweder zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist. Ferner dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
Im konkreten Beispielfall soll die Videoüberwachung zur Verhinderung von Fassadenschmierereien dienen. Ferner soll die strafrechtliche Verfolgung durch die Einsichtnahme in die Videoaufzeichnungen erleichtert werden. Allerdings sind diese berechtigten Anliegen des Vereins, sein Eigentum zu schützen, im Rahmen eines Interessenausgleichs in Übereinstimmung zu bringen mit dem Recht der Vereinsheimbesucher auf informationelle Selbstbestimmung.
Eine datenschutzkonforme Lösung könnte dahingehend ausgerichtet werden, dass die Videoüberwachung nur zu den Nachtstunden in der Zeit von 22:00 bis 7:00 Uhr eingeschaltet wird, so dass der normale Sportbetrieb nicht der Videoüberwachung unterliegt. Ferner ist auf eine Löschungsroutine zu achten. Die Speicherdauer darf nicht unbegrenzt festgesetzt werden. Im vorliegenden Beispiel könnte es sich daher anbieten, dass jeweils am Folgetag bzw. bei Wochenenden am darauffolgenden Werktag die Daten ausgelesen werden und bei Fehlen von Fassadenschmierereien eine Löschung am folgenden Werktag vorgenommen wird.
Darüber hinaus ist Artikel 35 DS-GVO zu beachten. Nach dessen Absatz 3 Buchst. c) muss bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden.
In Artikel 35 Abs. 7 DS-GVO werden Mindest-Kriterien aufgeführt, die im Rahmen der Folgenabschätzung zu beachten sind. Eine solche Datenschutz-Folgenabschätzung geht über die Anforderungen zur Aufnahme in ein Verfahrensverzeichnis hinaus. Insbesondere ist eine Risikoanalyse für die Rechte und Freiheiten der von einer Videoüberwachung betroffenen Personen durchzuführen.
Alle Theorie ist grau – Praktisches Beispiel zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
Der Vereinsvorsitzende Harry Schlau möchte für die elektronisch gestützte Mitgliederverwaltung seines Sportvereins ein datenschutzkonformes Verzeichnis der Verarbeitungstätigkeit anlegen. Das Mitgliederverzeichnis wird auf einem vereinseigenen Laptop mit Internetzugang geführt. Es ist passwortgeschützt. Über den Internetzugang werden auch Spielpläne an die Mitglieder weitergeleitet. Zugriff auf das Mitgliederverzeichnis haben für die Zwecke der Vereinsinformation der Schriftwart Bert Fleißig und die Kassenwartin Isabell Sparsam.
Auf der Basis eines von der Konferenz der bundesdeutschen Datenschutzaufsichtsbehörden verabschiedeten Musters zu einem Verzeichnis von Verarbeitungstätigkeiten könnte die Mitgliederdatei wie folgt bearbeitet werden – Seite 18ff:
Hinweis: Für weitere Verarbeitungstätigkeiten, wie zum Beispiel die Videoüberwachung des Vereinsheimes sind weitere Datenblätter als Verzeichnis der Verarbeitungstätigkeiten auszufüllen.