Weitergabe von Vereinsdaten
Praxisratgeber
Ob innerhalb der Vereinsstruktur oder an externe Stellen: Die Weitergabe personenbezogener Daten von Mitgliedern durch die verantwortlichen Vereine oder gemeinnützigen Organisationen stellt einen Verarbeitungsvorgang dar, für den es eine geeignete Rechtsgrundlage braucht. Dass der Dachverband und sogar die eigenen Vereinsmitglieder hierbei „Dritte“ im Sinne der DSGVO sind, ist vielen gar nicht bewusst.
Dies ergibt sich aus der Legaldefinition von „Verarbeitung“, worunter auch die Weitergabe von Daten fällt. In Art. 4 Nr. 2 DSGVO wird auch „(…) die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, (…)“ erfasst.
Obwohl Art. 4 Nr. 2 DSGVO nicht explizit den Begriff des Dritten nennt, muss er hier als entscheidendes Abgrenzungskriterium für eine Datenübermittlung mit hineingelesen werden. Werden Daten durch den Verein nämlich an Dritte übermittelt, stellt diese Weitergabe einen eigenen, von der ursprünglichen Datenerhebung getrennt zu betrachtenden Verarbeitungsvorgang dar, der einer Rechtsgrundlage bedarf.
Dieser Beitrag beschäftigt sich mit der Definition von Dritten im Sinne der DSGVO und den möglichen Rechtsgrundlagen für eine Datenweitergabe an diese. Unabhängig von der Rechtsgrundlage müssen jedoch immer Informationspflichten erfüllt werden. Das heißt, auch in Fällen in denen keine Einwilligung der Mitglieder erforderlich ist, muss im Rahmen der Datenschutzhinweise darüber informiert werden, dass Daten weitergeben werden.
Näheres zum Thema Datenschutzhinweise findest du in unserem Praxisratgeber Informationspflichten.
1. Definition "Dritte"
Neben der Legaldefinition der „Verarbeitung“ findet sich in Art. 4 DSGVO auch eine Definition des „Dritten“ wieder: Art. 4 Nr. 10 DSGVO definiert, wer alles nicht Dritter ist.
Keine Dritten sind diejenigen, die innerhalb der verantwortlichen Stelle stehen und unter unmittelbarer Verantwortung des Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten. Im Umkehrschluss sind „Dritte“ somit alldiejenigen, die außerhalb der verantwortlichen Stelle stehen.
Möchte der Verein als verantwortliche Stelle i.S.d. Art. 4 Nr. 7 DSGVO nun also die personenbezogenen Daten seiner Mitglieder weitergeben, muss zunächst das datenschutzrechtliche Verhältnis zwischen Verein und empfangender Stelle betrachtet werden:
Vereinsmitglieder
Obwohl dies auf dem ersten Blick vielleicht überraschen dürfte, sind die eigenen Mitglieder im Verhältnis zum Verein „Dritte“ im Sinne der DSGVO. In ihrer Funktion als Vereinsmitglied sind sie nämlich nicht ohne Weiteres unter der unmittelbaren Verantwortung des Vereins mit der Datenverarbeitung betraut.
Möchte der verantwortliche Verein nun eine Liste an seine Vereinsmitglieder verteilen, auf denen die Kontaktdaten aller Mitglieder zu finden sind, findet eine Übermittlung an Dritte statt. Das bedeutet für den Verein, dass er für die Aushändigung der Liste als Verarbeitungsvorgang eine eigene Rechtsgrundlage benötigt.
Etwas anderes gilt nur, wenn Vereinsmitglieder eine gesonderte Funktion in der Vereinsorganisation einnehmen. Sind sie in dieser Funktion vom verantwortlichen Verein damit betraut, (auch) die personenbezogenen Daten von Vereinsmitgliedern zu verarbeiten, sind sie bei Ausübung ihrer Funktion keine Dritten. Eine Weiterreichung der Daten innerhalb der Vereinsstruktur ist dann von der Rechtsgrundlage zur ursprünglichen Datenerhebung gedeckt.
Beispiel: Der Kassenwart zieht im Rahmen seiner Funktion die Mitgliedsbeiträge ein. Hierzu nutzt er die hinterlegten Bankdaten der Mitglieder.
Dachverband
Obwohl der Verein und sein Dachverband zu einer Organisationsstruktur gehören, sind sie aus datenschutzrechtlicher Sicht zueinander „Dritte“. Gibt ein Verein nun Vereinsdaten an den eigenen Dachverband weiter, verarbeitet er sie durch Übermittlung an einen Dritten. Bevor der Verein also die Daten seiner Mitglieder weiterreicht, sollte geprüft werden, aufgrund welcher Rechtsgrundlage er hierzu befugt ist.
Auftragsverarbeiter
Die Übermittlung von Daten an einen ausgewählten Auftragsverarbeiter stellt hingegen keine Datenweitergabe an einen Dritten dar. Nach der Legaldefinition sind diese im Verhältnis zur verantwortlichen Stelle nämlich gerade keinen Dritten, sondern als „verlängerter Arm“ des Verantwortlichen tätig. Liegen die Voraussetzungen des Art. 28 DSGVO vor, benötigt der verantwortliche Verein lediglich eine Rechtsgrundlage zur ursprünglichen Datenerhebung beim Betroffenen, nicht aber für die Weitergabe an den Auftragsverarbeiter.
Den Beitrag im Praxisratgeber dazu, wie man einen Auftragsverarbeiter auswählt, findet ihr hier.
2. Rechtsgrundlagen für die Weitergabe
Steht nun fest, dass die Weitergabe von Vereinsdaten an einen Dritten erfolgt, so muss die taugliche Rechtsgrundlage für diesen – von der ursprünglichen Datenerhebung getrennt zu betrachtenden - Verarbeitungsvorgang gefunden werden. Die Erlaubnistatbestände finden sich in Art. 6 DSGVO wieder.
Ein ausführlicher Beitrag zu den Rechtsgrundlagen findet ihr hier.
Die Einwilligung
Neben der Einwilligung der von der Übermittlung betroffenen Vereinsmitglieder (Art. 6 Abs. 1 lit. a) DSGVO) kommen für den Verein deutlich „attraktivere“ Rechtsgrundlagen in Betracht.
Die Einwilligung der Mitglieder gestaltet sich oftmals schwierig, beispielsweise bei der Veröffentlichung der letzten Wettkampfergebnisse im Vereinsblatt. Schließlich müsste hierzu jedes betroffene Mitglied zuvor in die Veröffentlichung eingewilligt haben und der verantwortliche Verein jedes Mitglied auf die jederzeitige Widerrufsmöglichkeit hinweisen.
Ist die Weitergabe von Vereinsdaten zum Zwecke des Vereinsziels erforderlich, kann der verantwortliche Verein diesen Verarbeitungsvorgang oftmals auf andere Rechtsgrundlagen stützen.
Zur Erfüllung eines Vertrages
Mit dem Vereinsbeitritt schließen das Mitglied und der verantwortliche Verein einen Vertrag, dessen Inhalt wesentlich durch die Vereinssatzung und sie ergänzende Regelungen bestimmt wird. Die Weitergabe von Mitgliederdaten kann der Verein dann auf Art. 6 Abs. 1 lit. b) DSGVO stützen, wenn der Vorgang zur Erreichung des Vereinszwecks erforderlich ist. Maßgeblich für die Einschlägigkeit dieser Rechtsgrundlage ist also die Vereinssatzung und das darin definierte Vereinsziel.
Aufgrund berechtigten Interesses
Dient die Übermittlung nicht dem definierten Vereinsziel im engeren Sinne, kann der Verein die Daten zu anderen Zwecken weitergeben, wenn die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO vorliegen. Hierzu hat der übermittelnde Verein im Vorfeld eine Interessenabwägung durchzuführen:
Die Weitergabe von Vereinsdaten ist nur dann rechtmäßig, wenn der übermittelnde Verein oder der Dritte, der die Daten empfängt, ein berechtigtes Interesse an der Übermittlung bzw. dem Erhalt hat, während entgegenstehende Interessen des Betroffenen dem nicht überwiegen. Vereinsmitglieder haben das Recht dem zu widersprechen und sind im Rahmen der Informationspflichten hierauf hinzuweisen.
Diese Abwägung ist im Einzelfall durchzuführen, um etwaige schutzwürdige Belange des Betroffenen hinreichend zu berücksichtigen. Das Vereinsziel ist dabei nicht vollkommen außen vor zu lassen, sondern mit in die Abwägung einzubeziehen. Die Vereinsmitglieder dürfen nämlich darauf vertrauen, dass ihre Daten nicht zu vereinsfremden oder gar vereinswidrigen Zwecken weitergegeben werden.
3. Die Weitergabe innerhalb der Vereinsstruktur
Möchte der Verein Daten innerhalb der Vereinsstruktur weitergeben, stehen diese Übermittlungsvorgänge häufig in einem engen Zusammenhang zu dem Vereinsziel. Auf welche Rechtsgrundlage ein konkreter Übermittlungsvorgang gestützt werden kann, ist zwar stets vom Einzelfall abhängig. Die folgenden drei beispielhaft ausgewählten Übermittlungsvorgänge sollen dabei eine Hilfestellung bieten.
Die Weitergabe an Vereinsmitglieder
In der Praxis werden durch den verantwortlichen Verein oftmals Kontaktdatenlisten ausgeteilt, um den Vereinsmitgliedern eine Kontaktaufnahme untereinander zu ermöglichen.
Besteht bei Erhebung der Mitgliederkontaktdaten das Vereinsziel darin, dass sich die Mitglieder untereinander persönlich kontaktieren können, kann das Austeilen der entsprechenden Liste auf die Erfüllung des Mitgliedvertrages gestützt werden. Rechtsgrundlage für die Weitergabe der Daten an die Vereinsmitglieder wäre in diesem Fall daher Art. 6 Abs. 1 lit. b) DSGVO.
Das Vereinsziel muss sich hierfür aus der Satzung ergeben und die Liste, die ausgeteilt werden sollte, nur die für die Kontaktaufnahme erforderlichen Daten enthalten. Je nach konkretem Vereinsziel können das ganz unterschiedliche Daten sein: Während es für einen Tischtennisverein wohl nicht unbedingt erforderlich sein dürfte, zu wissen, wo die anderen Mitglieder wohnen, kann diese Information für eine freiwillige Feuerwehr von Bedeutung sein, um Einsätze effektiv bewältigen zu können.
Das Vereinsziel bestimmt also, welche personenbezogenen Daten für die Liste erforderlich sind. Darüberhinausgehende Angaben sollten aufgrund des Datenminimierungsgrundsatzes nicht abgebildet werden.
Bei Selbsthilfevereinen ist Vorsicht geboten: Liegt der Vereinszweck darin, den Mitgliedern ein möglichst anonymes Vereinsleben zu bieten, dürfte sich die Austeilung einer Mitgliederliste gar nicht erst anbieten. Möchte der Verein hiervon dennoch Gebrauch machen, bedarf es vorher der expliziten Einwilligung aller betroffenen Vereinsmitglieder.
Dient die Ausgabe der Kontaktdatenliste nicht dem Vereinszweck, kommt das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO als Rechtsgrundlage in Betracht. Ein überwiegendes berechtigtes Interesse von Dritten ist bspw. anzunehmen, wenn die Offenlegung der Mitgliederdaten zur Ausübung satzungsmäßiger Rechte von anderen Mitgliedern erforderlich ist: Hängt die Einberufung einer Mitgliederversammlung von einer Mindestanzahl von Vereinsmitgliedern ab, dürfen einzelnen Mitgliedern Einsicht in die Kontaktliste gewährt werden, um diese Mindestanzahl zu erreichen.
Bei der Ausgabe der Kontaktdatenliste sollten die empfangenden Mitglieder darauf hingewiesen werden, dass eine Nutzung der Daten lediglich zum Vereinszweck zulässig ist und außenstehende Dritte hierauf nicht zugreifen dürfen.
Die Weitergabe an den Dachverband
Die Weitergabe von Vereinsdaten an den Dachverband ist ebenfalls eine klassische Übermittlung, die das Vereinsleben prägt. Sie kann bspw. zur Organisation eines überregionalen Turniers erforderlich sein. Entscheidend für die Rechtsgrundlage ist der Zweck der Datenübermittlung.
Soweit sie für die Erreichung des Vereinsziels erforderlich ist, kann der Verein diesen Verarbeitungsvorgang zum Zwecke der Durchführung des Mitgliedsvertrages tätigen (Art. 6 Abs. 1 lit. b) DSGVO). Erfasst werden sollten jedoch ausschließlich die für das Vereinsziel erforderlichen Daten der Mitglieder. Darüberhinausgehende Informationen, die nicht unmittelbar im Zusammenhang mit dem Vereinsziel stehen, können – sofern der Dachverband und/oder der übermittelende Verein ein berechtigtes Interesse daran haben – auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.
Ein gängiges Beispiel ist die Weitergabe von Vereinsdaten an den Dachverband zwecks Prüfung der Voraussetzung einer Mitgliederehrung. Sie steht zwar nicht in unmittelbaren Zusammenhang des Vereinsziels, kann aber auf das berechtigte Interesse der Beteiligten Verantwortlichen gestützt werden. Schutzwürdige Interessen des betroffenen Mitgliedes dürften in aller Regel nicht überwiegen.
Im Rahmen seiner Informationspflichten nach Art. 13 DSGVO ist der übermittelende Verein jedoch verpflichtet, auf das bestehende Widerspruchsrecht nach Art. 21 DSGVO hinzuweisen, wenn die Übermittlung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird.
Wie die Betroffenenrechte nach der DSGVO durch Vereine richtig umgesetzt werden können, haben wir in diesem Beitrag erläutert.
Häufige oder gar dauerhafte Übermittlungsvorgänge an den Dachverband sollten in der Satzung des Vereins geregelt werden.
Der Aushang am „schwarzen Brett“ und die Veröffentlichung im Vereinsblatt
Das „schwarze Brett“ im Vereinshaus dient der Bekanntgabe von Informationen gegenüber den eigenen Mitgliedern. Werden Wettkampfergebnisse daran ausgehangen oder über die letzten Vereinsaustritte informiert, handelt es sich um eine Verarbeitung im Sinne der DSGVO. Die Übermittlung als Verarbeitungsvorgang umfasst nämlich alle Formen der Bekanntgabe und Weitergabe personenbezogener Daten, so auch die Veröffentlichungen am „schwarzen Brett“ oder im Vereinsblatt.
Auch hier ist entscheidend, ob die Veröffentlichung dem Vereinsziel dient und in welchem Zusammenhang diese vorgenommen wird. Eine Mannschaftsaufstellung mit den Namen der Spieler am schwarzen Brett ist bei Fußballvereinen gängige Praxis und dient dem Vereinsziel. Ihre Veröffentlichung am schwarzen Brett ist daher in aller Regel nach Art. 6 Abs. 1 lit. b) DSGVO gerechtfertigt.
Veröffentlichungen, die nicht unmittelbar dem Vereinsziel dienen, können dann auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden, wenn der Verein ein berechtigtes Interesse am Aushang hat. Aber auch hier ist das Vereinsziel bei der Abwägung mit einzubeziehen und grds. Vorsicht geboten:
Im Rahmen einer Interessenabwägung ist nach den schutzwürdigen Belangen der betroffenen Mitglieder zu fragen, die gegen eine Veröffentlichung sprechen.
Betrifft der Aushang Informationen aus dem persönlichen Lebensbereich eines Mitglieds, scheidet Art. 6 Abs. 1 lit. f) DSGVO aus, da keinerlei Zusammenhang zum „Vereinsleben“ und damit dem Vereinsziel besteht. Möchte der Verein nun zur Hochzeit eines Mitgliedes gratulieren, und diese Gratulation am schwarzen Brett veröffentlichen, muss zuvor die Einwilligung des Betroffenen eingeholt werden.
Hinsichtlich der Veröffentlichung von Informationen über den Geburtstag eines Mitgliedes gilt Uneinigkeit, ob sie noch im überwiegenden Interesse des verantwortlichen Vereins liegt oder die Einwilligung des Betroffenen eingeholt werden muss. In der Regel besteht hier kein konkreter Bezug zum Vereinsleben und das Mitglied sollte zuvor um Erlaubnis gebeten werden.
Ebenfalls mit einzubeziehen ist der Umstand, ob auch externe Dritte Zugang zum schwarzen Brett haben. Obwohl das „schwarze Brett“ oder Vereinsblatt primär für die Vereinsmitglieder bestimmt sind, können bei einem öffentlich zugänglichen Gelände eine unbekannte Vielzahl an Adressaten Kenntnis von den Informationen erhalten, die dort ausgehangen werden.
4. Die Weitergabe an externe Dritte
Plant der Verein eine Übermittlung an externe Dritte, die nicht der Vereinsstruktur angehören, ist diese in aller Regel nicht mehr zur Erfüllung des Mitgliedsvertrages erforderlich. Ein kurzer Überblick über praxisnahe Übermittlungsvorgänge sollen die zwei folgenden Beispiele liefern:
Die Weitergabe an Sponsoren
Oftmals verlangen Sponsoren vom Verein als Gegenleistung die Daten seiner Mitglieder, um diese anschließend für eigene Werbezwecke zu verwenden. Die Weitergabe der Vereinsdaten steht dabei in den wohl allermeisten Fällen in keinem Verhältnis mehr zum eigentlichen Vereinsziel.
In der Praxis kann die Übermittlung wohl kaum auf ein überwiegendes Interesse des Vereins oder Sponsors gestützt werden, auch wenn die Sponsorenleistung noch so gut für den Verein wäre. Mit dem Beitritt seiner Mitglieder trifft den Verein eine besondere Rücksichtnahmepflicht, mit den Daten und anderen Belangen der Mitglieder sorgfältig umzugehen. Die Mitglieder dürfen darauf vertrauen, dass ihre Daten durch den Verein nicht ungefragt zu vereinsfremden Zwecken verwendet und weitergegeben werden.
Für die Weitergabe von Mitgliedsdaten als Gegenleistung des Sponsorings muss der verantwortliche Verein also zuvor die Einwilligung der betroffenen Mitglieder einholen. Sie sind bei Abgabe ihrer Einwilligung auf ihr Widerrufsrecht hinzuweisen. Obwohl die DSGVO keine Formvorschrift für die Einwilligung kennt, empfiehlt es sich sie zu Nachweis- und Beweiszwecken schriftlich einzuholen.
Die Weitergabe an Krankenversicherungen und Versicherungsunternehmen
Verletzen sich zwei Vereinsmitglieder bei einem ausgetragenen Turnier, kann es vorkommen, dass die Krankenversicherung des Geschädigten den Verein um Auskunft ersucht. Zur Durchsetzung etwaiger Regressansprüche der Krankenversicherung kann sie die Daten vom Verein verlangen, wenn der Schädiger ihr unbekannt ist.
Die Weitergabe der Daten des betroffenen Mitgliedes kann der Verein auf Art. 6 Abs. 1 lit. f) DSGVO stützen; es ist hierbei auf das Interesse eines Dritten (Krankenversicherung) abzustellen, welches – den Umständen des Einzelfalles entsprechend – dem Interesse des Betroffenen überwiegt.
Von der Rechtsgrundlage gedeckt ist lediglich die Übermittlung der erforderlichen Daten: In der Regel genügt hierzu die Bekanntgabe des Namens des Schädigers. Darüberhinausgehende Angaben sind nur dem Einzelfall entsprechend gestattet. Es empfiehlt sich, vor der Übermittlung den Betroffenen anzuhören, um eine interessengerechte Abwägung zu ermöglichen.
Anders wiegt der Fall hingegen bei der Übermittlung von Vereinsdaten an sonstige Versicherungsunternehmen. Diese bieten oftmals die Möglichkeit von Gruppenversicherungsverträgen an, nach denen die Vereinsmitglieder Versicherungsverträge zu vergünstigten Konditionen abschließen können. Hierzu verlangt das Unternehmen im Vorfeld vom Verein die Übermittlung der Mitgliedsdaten.
Da eine solche Weitergabe aber in keinerlei Zusammenhang mit dem Vereinsziel steht, scheiden sowohl Art. 6 Abs. 1 lit. b) als auch lit. f) DSGVO als Rechtsgrundlage aus.
Ungefragt kann der Verein die Daten also nicht weiterreichen; die Weitergabe ist abhängig von der Einwilligung der einzelnen Mitglieder. Diese kann bereits beim Aufnahmeantrag eingeholt werden, um die Möglichkeit eines Gruppenrabattes zu beantragen.
Autorin: Jennifer Brosch, intersoft consulting services AG