Rechtsgrundlagen
Praxisratgeber
Vorweg: Daten zu verarbeiten, bedeutet, Entscheidungen zu treffen und Verantwortung zu übernehmen
Wenn ihr in eurem Verein oder eurer Initiative Daten verarbeitet, die sich auf Personen (wie zum Beispiel eure Mitglieder oder die Angehörigen eurer Zielgruppe) beziehen, tragt ihr dafür eine Verantwortung – auch im Sinne des Datenschutzrechtes. So trefft ihr schon vor der Erhebung von Daten und bei ihrer weiteren Verarbeitung Entscheidungen: Was erhebt ihr überhaupt an Daten, was tut ihr damit, wer hat Zugriff darauf, wie schützt ihr die Daten, wie lange speichert ihr sie, habt ihr gute Gründe und eine rechtliche Grundlage dafür – und wie macht ihr all das schließlich gegenüber den Betroffenen (und im Zweifelsfall auch gegenüber Aufsichtsbehörden) transparent und nachvollziehbar? Nutzt also eure Möglichkeiten, Prozesse bewusst von Vornherein „datenschutzfreundlich“ zu gestalten.
Ein wichtiges Element dieser Überlegungen sind die Regelungen zu Rechtsgrundlagen in Artikel 6 DSGVO. In verkürzter Form besagt dieser Artikel, dass ihr personenbezogene Daten nur dann verarbeiten dürft, wenn eine der dort genannten Rechtsrundlagen passt. Jurist*innen nennen das auch ein „Verbot mit Erlaubnisvorbehalt“. Etwas pragmatischer ausgedrückt könnte man auch sagen: Ihr braucht einen guten Grund für die Datenverarbeitung und müsst die passende Rechtsgrundlage gemäß Artikel 6 DSGVO wählen (und das auch dokumentieren). Eine Einwilligung, bei der ihr die Betroffenen um Erlaubnis bittet, ist in der Theorie immer möglich. Es gibt aber auch andere Rechtsgrundlagen, auf die wir in diesem Beitrag näher eingehen. Da in vielen Situationen mehrere Rechtsgrundlagen denkbar sind, müsst ihr entscheiden, welche Rechtsgrundlage ihr wählt. Diese Entscheidung kann euch niemand abnehmen, sie liegt also in eurer Verantwortung.
Selbst jenseits rechtlicher Verpflichtungen ist es natürlich sinnvoll, dass ihr bei jeder Datenverarbeitung verantwortungsvoll vorgeht. Schließlich gelingt das Engagement im Verein am besten, wenn ein solides Grundvertrauen besteht und ein umsichtiger Umgang gepflegt wird – sowohl mit den Engagierten selbst als auch mit anderen Personengruppen, die ihr mit euren Vereinsaktivitäten einschließlich eurer Öffentlichkeitsarbeit adressiert. Vergesst also über alle datenschutzrechtlichen Aspekte nicht, euren Alltagsverstand zu nutzen. Hierfür kann es hilfreich sein, sich auch immer wieder die simple Frage zu stellen: Fände ich es eigentlich problematisch, wenn mit meinen Daten so umgegangen würde? Falls ja, solltet ihr die Datenverarbeitung auf jeden Fall nochmals überdenken.
Zum Hintergrund: Rechtsgrundlagen
Bei all euren Vereinsaktivitäten solltet ihr grundsätzlich nur personenbezogene Daten verarbeiten, wenn ihr dafür eine rechtliche Grundlage habt. Spätestens wenn ihr eure Datenverarbeitungsprozesse in eurem Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert, stellt sich die Frage, auf welcher Rechtsgrundlage ihr welche Daten zu welchen Zwecken wie lange verarbeitet und aufbewahrt.
Es ist aber nicht immer einfach, die passendste Rechtsgrundlage zu identifizieren oder sich zwischen verschiedenen Möglichkeiten zu entscheiden. Folgende Informationen können euch dabei unterstützen.
Für eure Vereinsaktivitäten sind besonders die folgenden Rechtsgrundlagen relevant, die in Artikel 6 Absatz 1 DSGVO enthalten sind:
- Einwilligung (Art. 6 Abs. 1 lit. a)
- Vertragsanbahnung und Vertragsabschluss (Art. 6 Abs. 1 lit. b)
- Gesetzliche Vorgaben (Art. 6 Abs. 1 lit. c)
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f)
(Der Vollständigkeit halber sei erwähnt, dass auch noch die Wahrung lebenswichtiger Interessen oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse als Rechtsgrundlagen in Betracht kommen. Da diese beiden Möglichkeiten in der Regel für den ehrenamtlichen Kontext selten relevant sind, konzentrieren wir uns hier auf die übrigen Optionen.)
Vertrag und gesetzliche Vorgaben
Am einfachsten ist es, wenn die Datenverarbeitung auf einen Vertrag oder auf ein Gesetz gestützt werden kann, daher gehen wir zunächst auf diese Rechtsgrundlage näher ein:
Wenn ihr als Verein Verträge anbahnt oder abschließt, dann ist die dafür notwendige Verarbeitung von personenbezogenen Daten die Rechtsgrundlage. Dies gilt für alle Verträge mit externen Dienstleistungsunternehmen, Honorarkräften oder Mitarbeitenden. Auch die Anmeldung zu einer Veranstaltung, die ihr organisiert, kann einen Vertrag mit eurem Verein darstellen. Vorvertragliche Maßnahmen fallen ebenfalls hierunter. Es reicht also schon, dass euch jemand mit dem Interesse kontaktiert, einen Vertrag mit euch zu schließen. Somit kommt eine Verarbeitung auf vertraglicher Grundlage in vielen Situationen in Betracht. Eine wichtige Bedingung hierfür ist jedoch, dass die Datenverarbeitung für die Vertragserfüllung auch wirklich notwendig ist. Dadurch sind dieser Rechtsgrundlage enge Grenzen gesetzt. Oftmals gibt es weitergehende Verarbeitungen, die dann auf eine andere Rechtsgrundlage gestützt werden müssen.
Ein wichtiger Fall von Verträgen eines Vereins ist der Abschluss von Mitgliedschaften und die dazugehörige Abrechnung von Mitgliedschaftsbeiträgen. Die Mitgliederverwaltung im engeren Sinne kann also auf Basis einer vertraglichen Grundlage erfolgen und es bedarf keiner weiteren Rechtsgrundlagen, so ist hierfür etwa keine gesonderte Einwilligung erforderlich. Wie weiter oben erwähnt, gilt dies jedoch nur für die Daten, die für die Vertragserfüllung zwingend notwendig sind. Was notwendig ist und was nicht, ergibt sich aus der Satzung eures Vereins.
Gesetzliche Vorgaben regeln vor allem, wie lange ihr personenbezogene Daten aufbewahren müsst. Die wichtigsten Vorgaben für Vereine sind dabei steuerrechtliche oder auch vergaberechtliche Aufbewahrungspflichten – letztere bspw. auch in Bezug auf Angebote, die nicht zum Vertragsabschluss geführt haben.
Vergesst bei der Entscheidung für diese Rechtsgrundlage nicht: Ein Vertrag oder gesetzliche Verpflichtungen zur Aufbewahrung rechtfertigen immer nur die jeweils erforderliche Datenverarbeitung.
Beispiel
Die Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Vereinsmitgliedschaft geschieht auf Basis eines Vertragsabschlusses und gesetzlicher Vorgaben (zum Beispiel steuerrechtliche Aufbewahrungspflicht von derzeit zehn Jahren).
Aber: Nur weil eine Person eine Mitgliedschaft in eurem Verein abgeschlossen hat, ist dies kein Freifahrschein für die Verarbeitung aller möglichen personenbezogenen Daten für alle möglichen Zwecke. Vielmehr dürft ihr nur die unbedingt erforderlichen personenbezogenen Daten für den Vertragsabschluss der Mitgliedschaft verarbeiten. Wenn ein Mitgliedschaftsbeitrag gezahlt wird, dann bezieht sich die Aufbewahrungspflicht aus dem Steuerrecht auf die relevanten Daten im Zusammenhang mit der Zahlung.
Wenn ihr Daten Eurer Mitglieder für andere Zwecke verarbeitet und aufbewahrt, braucht ihr dafür also eine andere Rechtsgrundlage.
Einwilligung
Oft werden personenbezogene Daten daher auf Basis einer „Einwilligung“ verarbeitet. Diese ist zwar schnell eingeholt, aber damit sie auch wirksam ist, müsst ihr bestimmte Voraussetzungen schaffen. Eine Einwilligung erfüllt die datenschutzrechtlichen Anforderungen nur dann, wenn sie alle folgenden Eigenschaften aufweist. Sie ist:
- informiert: Wer einwilligt, muss ausreichend und verständlich über die beabsichtigte Datenverarbeitung informiert sein: Welche Daten sollen für welche Zwecke verarbeitet werden, wer ist verantwortlich und welche Rechte hat die betroffene Person? Dazu gehört unbedingt auch der explizite Hinweis auf das jederzeit ausübbare Widerrufsrecht.
- zweckspezifisch: Die Einwilligung muss sich auf einen oder mehrere konkrete Zwecke zur Datenverarbeitung beziehen und darf nicht pauschal für alle möglichen Zwecke eingeholt werden.
- aktiv: Mit der Einwilligung muss unmissverständlich und aktiv das Einverständnis in die betreffende Verarbeitung erklärt werden, zum Beispiel durch Ankreuzen eines entsprechenden Kästchens, ob gedruckt oder digital.
- freiwillig: Die Einwilligung muss freiwillig erfolgen. Wer einwilligt, muss eine echte und freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Zum Beispiel kann eine Vereinsmitgliedschaft nicht davon abhängig gemacht werden, dass zwingend in die Verarbeitung auch solcher Daten eingewilligt wird, die für die Mitgliedschaft gar nicht erforderlich sind. Macht daher bei der Erhebung von Daten immer klar, welche Angaben erforderlich und welche ggf. optional sind.
- nachweisbar: Die Einwilligung ist zu dokumentieren. Kann eine Einwilligung nicht ausreichend nachgewiesen werden, gilt sie als nicht erteilt. Das solltet ihr von Anfang an unbedingt mitdenken.
- widerrufbar: Insbesondere ist auch zu berücksichtigen, dass die Einwilligung jederzeit widerrufbar sein muss, so dass dann die Datenverarbeitung nicht mehr erfolgen darf. Das kann zum Beispiel bedeuten, dass ihr bereits erhobene Daten wieder löschen müsst. Ein Widerruf darf dabei nicht aufwändiger sein als die vorausgegangene Einwilligung und ist sofort gültig.
- persönlich: Eine Einwilligung kann nur von der betroffenen Person selbst geleistet werden. Eine Ausnahme besteht für Menschen mit Vormund sowie für Kinder und Jugendliche, bei denen die Einwilligung der Sorgeberechtigten eingeholt werden muss.
Wenn ihr alle diese Voraussetzungen beachtet und umsetzen könnt, dann liegt der Vorteil einer Einwilligung in einer großen Transparenz und Eindeutigkeit. Wenn ihr explizit eine Einwilligung einholt, dann wisst ihr mit Bestimmtheit, dass die Person über die jeweilige Datenverarbeitung informiert und damit einverstanden ist. Bei manchen Datenverarbeitungsprozessen lassen sich die Einwilligung, der dazugehörige Nachweis und auch der effektive Widerruf leicht umsetzen.
Vorteil der Einwilligung
Wenn ihr alle diese Voraussetzungen beachtet und umsetzen könnt, dann liegt der Vorteil einer Einwilligung in einer großen Transparenz und Eindeutigkeit. Wenn ihr explizit eine Einwilligung einholt, dann wisst ihr mit Bestimmtheit, dass die Person über die jeweilige Datenverarbeitung informiert und damit einverstanden ist. Bei manchen Datenverarbeitungsprozessen lassen sich die Einwilligung, der dazugehörige Nachweis und auch der effektive Widerruf leicht umsetzen.
Beispiel
Wenn Ihr für euren Vereins-Newsletter ein datenschutzkonformes Newsletter-Tool nutzt, dann lassen sich die Datenschutzhinweise gut sichtbar platzieren, es wird nur die erforderliche Information (E-Mail-Adresse) mit einem Pflichtfeld abgefragt und die Informationen werden ausschließlich für den Newsletter-Versand genutzt. Die Einwilligung erfolgt durch einen aktiv zu setzenden Haken und freiwillig. Bei Bedarf könnt ihr die Einwilligung auch nachweisen, da Newsletter-Tools Einwilligungen in der Regel automatisch dokumentieren und die technische Prozessgestaltung sowieso den Versand ohne Einwilligung verhindert. Abonnierende haben außerdem in jedem Newsletter die Möglichkeit, ihr Widerrufsrecht ohne zusätzlichen Aufwand oder Risiken für euch auszuüben und das Abonnement selbst wieder abzubestellen. Es sind also alle oben genannten Eigenschaften einer wirksamen Einwilligung erfüllt.
Nachweisbarkeit der Einwilligung
In manchen Fällen ist es jedoch schwer, alle Voraussetzungen für eine Einwilligung zu erfüllen: Die Nachweisbarkeit kann schlicht unpraktisch und mit bürokratischem und organisatorischem Aufwand für alle Beteiligten verbunden sein. Ein Widerruf, der so leicht wie die Einwilligung sein soll, ist auch nicht immer möglich und die sofortige Folgeleistung ggf. mit Schwierigkeiten verbunden.
Beispiel
So wäre im Fall von Verarbeitungsprozessen von Mitgliederdaten im Verein auf Basis einer Einwilligung insbesondere zu beachten, dass (abseits der eigentlichen Mitgliedschaft und Beitragsabrechnung) alle geplanten Zwecke konkret aufgeführt und ein (Teil-)Widerruf der Einwilligung ohne erhöhten Aufwand sofort umsetzbar sein müsste. Das ist eher unpraktisch und schwer umzusetzen.
Datenverarbeitung im berechtigten Interesse
In solchen Fällen kann eine Datenverarbeitung auf der Rechtsgrundlage von „berechtigten Interessen“ besser geeignet sein. Wir möchten euch ermutigen, diese Möglichkeit für eure Arbeit in Betracht zu ziehen. Denn auch wenn die dafür erforderliche „Interessenabwägung“ zunächst vielleicht etwas sperrig und kompliziert wirkt, ist sie am Ende genau das: eine Abwägung von Interessen – und diese lässts sich auch im ehrenamtlichen Kontext in vielen Fällen eigenständig durchgeführen, wenn das Prinzip einmal verstanden ist. Hierbei unterstützen wir euch mit den folgenden Erläuterungen sowie mit einem Formular und Muster-Beispielen zur Durchführung einer Interessenabwägung.
Ob ein berechtigtes Interesse die gewünschte Verarbeitung rechtfertigen kann, müsst ihr in jedem Fall gründlich prüfen und die dazugehörige „Interessenabwägung“ dokumentieren. In dieser Bezeichnung steckt bereits das, was bei einer Datenverarbeitung im berechtigten Interesse schriftlich festgehalten werden sollte: Welche und wessen Interessen sprechen für eine Verarbeitung? Welche und wessen Interessen sprechen möglicherweise dagegen? Welche überwiegen?
Vorbereitend könnt ihr euch gedanklich die Kerninteressen eures Vereins vor Augen führen: Was ist die Kernaufgabe eures Vereins? Welche Vereinszwecke stehen in eurer Satzung? Was sind eure hauptsächlichen Vereinsaktivitäten (zum Beispiel interne oder öffentliche Veranstaltungen, Informations- und Öffentlichkeitsarbeit, Pflege und Erhalt eines historischen Ortes oder Kulturgutes, Durchführung von Sport-Trainings und Wettkämpfen …)? Das kann es euch erleichtern, eure Interessen an der geplanten Datenverarbeitung darzulegen und zu gewichten.
Damit eine Datenverarbeitung im berechtigten Interesse durchgeführt werden darf, müssen folgende Voraussetzungen erfüllt sein:
Es liegt ein berechtigtes Interesse an der Datenverarbeitung vor.
Die Datenverarbeitung muss zwingend erforderlich zur Wahrung dieses Interesses sein.
Die Abwägung zwischen den Interessen an der Datenverarbeitung und möglichen gegenläufigen Interessen oder Risiken auf Seiten der betroffenen Person fällt zu Gunsten der Datenverarbeitung aus.
Es liegt ein berechtigtes Interesse an der Datenverarbeitung vor.
Dieses kann euer Interesse als Verantwortliche für die Datenverarbeitung sein oder das Interesse „Dritter“. Dritte sind hier alle außer eurem Verein selbst, also beispielsweise Partnerorganisationen, euer Dachverband oder Geldgeber*innen, aber auch die Personen, deren Daten ihr verarbeiten möchtet, also zum Beispiel eure Mitglieder (wenngleich das bei der Bezeichnung „Dritte“ nicht auf der Hand liegt). Es kann durchaus auch ein gemeinsames Interesse von euch und Dritten (einschließlich der Betroffenen) an einer Datenverarbeitung bestehen.
Beachtet dabei: Berechtigt kann ein Interesse nur sein, wenn es konkret und zweckspezifisch ist (und es sich nicht um ein vages allgemeines oder spekulatives Interesse daran handelt, möglichst viele Daten zum Beispiel der eigenen Mitglieder zu erheben für den Fall, dass man dafür vielleicht einmal Verwendung hat). Wichtige Voraussetzung für ein berechtigtes Interesse ist selbstverständlich auch, dass keine Rechtsvorschrift die geplante Datenverarbeitung grundsätzlich verbietet (zum Beispiel ist das Kopieren von Personalausweisen auch mit Zustimmung der Ausweisinhaber*innen nur dann zulässig, wenn die Ablichtungen eindeutig als Kopie gekennzeichnet werden (§ 20 Abs. 2 Personalausweisgesetz)).
Beispiel
Wenn sich eine Person eurem Verein als Mitglied anschließt, dann kann man davon ausgehen, dass es ein gemeinsames Interesse daran gibt, dass das Mitglied über die Vereinsaktivitäten informiert und zu Vereinsfesten und Veranstaltungen eingeladen wird.
Als Verein habt ihr ein Interesse daran, über eure Vereinsaktivitäten öffentlich zu berichten, um Personen, die an einer Mitgliedschaft interessiert sein könnten, auf euch aufmerksam zu machen oder Zielgruppen der Vereinsaktivitäten zu erreichen. Dieses Interesse an einer effektiven Öffentlichkeitsarbeit kann unter Umständen auch Fotos vom Vereinsgeschehen einschließen.
Als Verein habt ihr ein Interesse daran, möglichen Spender*innen oder Förderinstitutionen über finanzierte Vereinsaktivitäten zu berichten. Spender*innen und Förderinstitutionen haben als Dritte ihrerseits ein Interesse an einer solchen Berichterstattung.
Als Verein habt ihr ein Interesse daran, zum Zweck der Steuererklärung Daten an eine Steuerberatung zu übermitteln.
Die Datenverarbeitung muss zwingend erforderlich zur Wahrung dieses Interesses sein.
Das Interesse darf also nicht durch weniger umfangreiche Datenverarbeitung in zumutbarer Weise erreichbar sein, sonst ist dieser datensparsamere Weg zu wählen. Hier kommt es darauf an, dass ihr eure Möglichkeiten nutzt, eure Prozesse „datenschutzfreundlich“ zu gestalten. Verarbeitet grundsätzlich so wenige Daten so kurz wie möglich, um den Zweck zu erreichen. Schützt die Daten und schränkt den Zugriff so weit wie möglich ein.
Beispiele – so könnt ihr den Umfang der verarbeiteten Daten bei der Erhebung minimieren:
Für eine Anwesenheitsliste sind in der Regel nur der Name und die Unterschrift nötig, keine weiteren Informationen.
Wenn ihr das Alter der Mitglieder erfassen möchtet, um die Altersstruktur im Hinblick auf die Kontinuität des Vereins zu überblicken, es aber nicht gängige Praxis ist, Geburtstage zu feiern, dann reicht das Geburtsjahr anstelle des vollständigen Geburtsdatums.
Beispiele – so könnt ihr den Umfang der weiteren Verarbeitung der Daten begrenzen und die Daten schützen:
Mit einer effektiven Zugriffsbeschränkung stellt ihr sicher, dass nur die Verantwortlichen für die Mitgliederverwaltung auf Mitgliederinformationen zugreifen können – nicht aber Personen, die für solche Aufgaben im Verein nicht verantwortlich sind.
Durch Sicherheitsmaßnahmen wie verschlüsselte digitale Speicherung oder Ablage in abgeschlossenen Schränken könnt das Risiko deutlich senken, dass die Daten in die Hände von Unbefugten gelangen.
Ein Vereins-Intranet kann den Zugang zu Informationen über Mitglieder und Vereinsaktivitäten effektiv auf die Mitglieder beschränken, wenn es gar kein wesentliches Interesse an einer öffentlichen Berichterstattung gibt.
Ihr könnt für bestimmte Verarbeitungsvorgänge auch eine Pseudonymisierung vornehmen (zum Beispiel durch Angabe der Mitgliedsnummer anstelle des Namens), um einen Personenbezug zu erschweren, gerade wenn dieser ein Risiko für die Betroffenen darstellen kann.
Auch indem ihr in eurem Verein durch klare Regeln und Zuständigkeiten sicherstellt, dass Daten zeitnah gelöscht werden, wenn sie nicht mehr gebraucht werden, könnt ihr den Umfang der Datenverarbeitung und damit mögliche Risiken erheblich eingrenzen.
Die Abwägung zwischen den Interessen an der Datenverarbeitung und möglichen gegenläufigen Interessen oder Risiken auf Seiten der betroffenen Person fällt zu Gunsten der Datenverarbeitung aus.
Hier stehen die möglichen Auswirkungen der Datenverarbeitung auf die Betroffenen im Mittelpunkt. Es ist dabei durchaus möglich, dass euer Interesse an der Datenverarbeitung gar nicht mit den Interessen der Betroffenen im Konflikt steht. Bringt eine Datenverarbeitung jedoch Risiken für die Betroffenen mit sich, so stellt sich vor allem die Frage: Wie groß sind diese Risiken und wie wahrscheinlich ist es, dass sie eintreten?
Grundsätzlich birgt eine transparente und erwartbare Datenverarbeitung weniger Risiken für Betroffene als eine intransparente oder völlig abwegige Datenverarbeitung: Die Betroffenen sollten mit der Verarbeitung für den vorgesehenen Zweck rechnen können und die Möglichkeit haben, ihr Recht auf einen Widerspruch wahrzunehmen.
Eine umfangreiche Verarbeitung einer großen Anzahl von Datenkategorien (bspw. Name, Adresse, Bankdaten, Geburtstag, Telefonnummer etc.) über einen längeren Zeitraum bedeutet ein wesentlich größeres Risiko für Datenmissbrauch als eine sparsame Datenverarbeitung, bei der wenige Daten durch wenige Personen nur kurzfristig verarbeitet werden.
Falls eine Datenverarbeitung durch euch die Grundrechte der betroffenen Person erheblich gefährden oder ihre Grundfreiheiten schwerwiegend einschränken könnte, so ist davon auszugehen, dass ihr kein überwiegendes/berechtigtes Interesse daran habt. Zu berücksichtigen sind hier insbesondere die Grundrechte und Grundfreiheiten aus der EU-Grundrechtecharta (EU-GRCh) und der Europäischen Menschenrechtskonvention (EMRK), wie etwa der Schutz der Menschenwürde sowie das Recht auf Achtung des Privat- und Familienlebens und der Kommunikation.
Auch wenn die geplante Datenverarbeitung Kinder und Jugendliche betrifft oder die Verarbeitung besonders schützenswerter Daten umfasst, solltet ihr davon ausgehen, dass ihr die Datenverarbeitung nicht im berechtigten Interesse durchführen könnt. So birgt die Verarbeitung besonders schützenswerter Daten insbesondere im Hinblick auf mögliche Diskriminierung Risiken für die betroffene Person, die mit großer Wahrscheinlichkeit schwerer wiegen als ein Interesse an der Verarbeitung.
Bei Kindern und Jugendlichen geht man ungeachtet der Datenkategorien von einer besonders hohen Schutzwürdigkeit aus. Der Gesetzgeber hat diese Besonderheit bei der Verarbeitung von Daten, die Kinder betreffen, daher auch direkt im Wortlaut der Regelung des Art. 6 Abs. 1 lit. f) DSGVO zur Rechtsgrundlage des berechtigten Interesses verankert.
Besonders schützenswerte Daten gemäß Artikel 9 der Datenschutz-Grundverordnung sind zum Beispiel Daten zur Religionszugehörigkeit, zur Herkunft, zur sexuellen Orientierung oder Gesundheitsdaten wie Angaben zu schweren Erkrankungen – also Daten, deren Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten für die Betroffenen mit sich bringen, beispielsweise die Gefahr von Diskriminierung. Artikel 9 DSGVO schränkt die Verarbeitung dieser Datenkategorien noch einmal weiter ein und stellt eine zusätzliche Hürde im Hinblick auf die Rechtsgrundlagen dar. Da ihr gemäß Artikel 9 DSGVO in den meisten Fällen eine Einwilligung einholen müsst, kommt dann auch die Einwilligung als Rechtsgrundlage im Sinne des Artikel 6 in Betracht und das berechtigte Interesse ist als Rechtsgrundlage ohnehin nur in seltenen Fällen praxisrelevant.
Wichtiger Hinweis
Unter bestimmten Voraussetzungen kann auch die Verarbeitung besonders schützenswerter Daten oder der Daten von Kindern und Jugendlichen auf ein berechtigtes Interesse gestützt werden. Dafür ist jedoch eine umfassende und fachlich fundierte Abwägung notwendig. Wir gehen davon aus, dass diese im ehrenamtlichen Kontext kaum leistbar sein wird. Auf diese Möglichkeit gehen wir daher in diesem Praxisratgeber nicht näher ein.
Für die konkrete Durchführung einer Interessenabwägung findet ihr unten im Downloadbereich ein Formular als Arbeitshilfe.
Beispiele für Interessenabwägungen stellen wir ebenfalls im Downloadbereich für euch bereit. Zu den Beispielen ein wichtiger Hinweis vorab: Diese sind als Unterstützung für euch gedacht, damit ihr euch besser vorstellen könnt, wie eine Interessenabwägung konkret aussehen kann. Wir möchten damit die Hemmschwelle senken, diese Möglichkeit für eure Vereinsarbeit in Betracht zu ziehen. Die Beispiele stellen aber (leider) keine „Mustertexte“ für Interessenabwägungen dar, die ihr genau so auf euren Fall übertragen könnt. Dafür ist immer der ganz konkrete Kontext eurer Vereinsarbeit entscheidend.
Autorinnen: Sofia & Katharina Vester, fix&fertig – Datenschutzhilfen für Zivilgesellschaft