Datenschutz - ab 25. Mai 2018

Schützen und Recht

Umsetzung der EU Datenschutz-Grundverordnung

In der März-Ausgabe des Schützenbruders wurde ein Überblick gegeben, welchen Einfluss die EU Datenschutz-Grundverordnung (DSGVO) auf die Vereinspraxis hat. Viele gesetzliche Vorstände von Bruderschaften, die als „Verantwortlicher“ Im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen sind, beklagen Schwierigkeiten bei der Umsetzung, fühlen sich somit überfordert und sind wegen drohender Bußgelder bei Nichteinhaltung der Datenschutzvorschriften verunsichert. Sie fürchten insbesondere von Abmahnvereinen oder Anwälten, die sich auf Abmahnungen spezialisiert haben, auf Schadensersatz in Anspruch genommen zu werden. Bei einigen Vorständen geht die Unsicherheit sogar so weit, dass der Beschluss gefasst wurde, zum 25.05.2018 die vereinseigene Homepage vorübergehend stillzulegen und die Entwicklung in der Praxis abzuwarten. Dabei ist es, wenn man die Struktur der DSGVO einmal erfasst hat, gar nicht so schwierig, sie in die Vereinsarbeit umzusetzen.

Nochmals zu den Rechtsgrundlagen

Dreh- und Angelpunkt der DSGVO ist Artikel 6 DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten (hierunter fällt die Erhebung, Nutzung, Speicherung und Übermittlung der Daten).

Da bei Aufnahme einer Schützenschwester/eines Schützenbruders in die Bruderschaft ein Vertragsverhältnis im Sinne des BGB begründet wird und der Inhalt dieses Vertragsverhältnisses durch die Vereinssatzung und ergänzende Regelungen (z. B. Vereinsordnungen) vorgegeben wird, ist die Verarbeitung von personenbezogenen Daten nach Artikel 6 Abs. 1 b) DSGVO zur Erfüllung dieses Vertrages erforderlich. Die personenbezogenen Daten eines Mitgliedes dürfen daher schon nach dieser Vorschrift erhoben, genutzt, gespeichert oder übermittelt werden, sofern der Satzungszweck dadurch erfüllt wird.

Auf der sicheren Seite sind bereits die Bruderschaften, die eine Datenschutzklausel in ihrer Satzung verankert haben. Ein Muster für eine Datenschutzklausel hat der BHDS bereits seit Jahren auf der Homepage des Verbandes veröffentlicht.

Die Verarbeitung personenbezogener Daten, z. B. deren Übermittlung, ist insbesondere im Waffenrecht zur Erfüllung rechtlicher Verpflichtungen, etwa bei der Mitwirkung bei Erlaubnissen nach dem Waffengesetz erforderlich. Hier ist neben Artikel 6 Absatz 1 b) DSGVO die Verarbeitung der personenbezogenen Daten nach Artikel 6 Absatz 1 c) DSGVO zur Erfüllung einer rechtlichen Verpflichtung auch ohne Datenschutzklausel in der Satzung der Bruderschaft erforderlich.

Eine weitere Möglichkeit, personenbezogene Daten zu verarbeiten, insbesondere zu übermitteln, bietet Artikel 6 Absatz 1 f) DSGVO zur Wahrung berechtigter Interessen der Bruderschaft. Hierunter fällt etwa die Veröffentlichung von Wettkampfergebnissen der Sportschützen.

Die umfassendste Rechtsgrundlage, personenbezogene Daten verarbeiten zu dürfen, bietet Artikel 6 Absatz 1 a) DSGVO, indem das einzelne Mitglied der Bruderschaft in die Verarbeitung seiner Personen-bezogener Daten persönlich einwilligt. Erforderlich allerdings ist, dass das Mitglied vor Abgabe der Einwilligung über seine Rechte und die Möglichkeit des jederzeitigen Widerrufs über die Zwecke der vorgesehenen Verarbeitung informiert wird.

Da sich die Vorstände vieler Bruderschaften schwer tun, nach den Bestimmungen der DSGVO eine datenschutzrechtliche Einwilligungserklärung zu formulieren, stellt der BHDS für die Bruderschaften auf seiner Homepage ein Muster einer datenschutzrechtlichen Einwilligungserklärung zum Herunterladen zur Verfügung. Es wird empfohlen, die Einwilligungserklärung auf die Verhältnisse der Bruderschaft anzupassen und bei einem Eintritt in den Verein entweder auf der Rückseite des Aufnahmeantrages abzudrucken und gesondert unterschreiben zu lassen oder eine separate Einwilligungserklärung unterschreiben zu lassen, da die Einwilligungserklärung vom „Verantwortlichen“ nach Artikel 7 Absatz 1 DSGVO zu dokumentieren ist. Dies geschieht am besten in schriftlicher oder elektronischer Form.

Einwilligungen, die bereits vor Inkrafttreten der DSGVO abgegeben wurden und den Anforderungen an die DSGVO entsprachen, behalten ihre Wirksamkeit. An die Bundesgeschäftsstelle wurde auch immer wieder die Frage herangetragen, wie mit Mitgliedern, die in der Vergangenheit noch keine Einwilligungserklärung abgegeben haben, verfahren werden soll. Hier reicht die Information der „Altmitglieder“, dass ihre personenbezogenen Daten im Sinne der DSGVO verarbeitet werden, etwa durch Rundschreiben an die Mitglieder in schriftlicher oder elektronischer Form, Aushang am „schwarzen Brett“ oder über die Internetseite des Vereins.

Datenschutzklausel oder Datenschutzordnung

Die Grundzüge der Datenverarbeitung können in Datenschutzregelungen entweder in die Vereinssatzung aufgenommen oder in einem gesonderten Regelwerk niedergelegt werden. Bei Fehlen einer Datenschutzklausel in der Vereinssatzung wird als Sofort-Maßnahme empfohlen, das Regelwerk als Datenschutzordnung, Datenschutzrichtlinie oder Datenverarbeitungsrichtlinie zu beschließen, wenn die Vereinssatzung nicht entgegensteht. Eine von der DSGVO festgelegte Bezeichnung gibt es nicht. Die Datenschutzordnung muss nicht die Qualität einer Satzung haben. In ihr ist konkret festzulegen, welche Daten (z. B. von Vereinsmitgliedern, Teilnehmern an Veranstaltungen oder Lehrgängen, Besuchern von Veranstaltungen) für welche Zwecke verwendet werden, gegebenenfalls welche Daten auch auf Vordrucken und Formulare zum Einsatz kommen. Die bloße Wiedergabe des Wortlauts der DSGVO oder des Bundesdatenschutzgesetzes ist nicht ausreichend.

Darüber hinaus sollte die Bruderschaft festlegen, welcher Funktionsträger zu welchen Daten Zugang hat, und zu welchen Zwecken er die Daten von Mitgliedern und Dritten verarbeiten und nutzen darf.

Viele Bruderschaften geben ihre Daten auch an Auftragsdatenverarbeiter weiter. Auch insoweit sollte in der Datenschutzordnung geregelt werden, welche Daten zu welchem Zweck im Wege der Auftragsdatenverarbeitung verarbeitet werden dürfen. Der Kreis der Personen, die auf personenbezogene Daten zugreifen dürfen, muss genau bestimmt werden. Auch muss geregelt werden, unter welchen Voraussetzungen welche Datenübermittlung erfolgen darf, insbesondere welche Interessen des Vereins oder des Empfängers dabei als berechtigt anzusehen sind.

Darüber hinaus sollte geregelt werden, welche Daten üblicherweise am „schwarzen Brett“ oder ins Internet eingestellt werden. Es wird empfohlen, die Datenschutzordnung von der Mitgliederversammlung beschließen zu lassen.

Datenübermittlung an Regionalverbände oder den Bund

Die übergeordneten Bezirks-, Landesbezirks- und Diözesanverbände sind grundsätzlich Dritte im Verhältnis zur Bruderschaft. Personenbezogene Daten der Mitglieder dürfen daher nur im Rahmen der Erforderlichkeit übermittelt werden, soweit sie in den übergeordneten Verbänden benötigt werden, um die Vereinsziele der Bruderschaft zu verwirklichen, etwa bei Rundenwettkämpfen oder Bundesmeisterschaften.

Die Bruderschaften sind verpflichtet, ihre Daten an den Bund (Mitgliederverwaltungsprogramm EVewa) zu übermitteln. Dieser Umstand sollte in der Vereinssatzung, etwa entsprechend der vom Bund zur Verfügung gestellten Datenschutzklausel, geregelt werden. Dadurch wird klargestellt, dass die Übermittlung im Interesse der Bruderschaften erforderlich ist und keine Interessen oder Grundrechte bzw. Grundfreiheiten der Vereinsmitglieder überwiegen, Artikel 6 Abs. 1 f) DSGVO. Fehlt eine solche Satzungsregelung, sollten die Mitglieder über die Übermittlung ihrer Daten an Dachorganisationen und den Übermittlungszweck informiert werden und ihnen Gelegenheit zur Einwendung gegeben werden. Neumitglieder sollten bereits im Aufnahmeantrag auf die Übermittlung der Daten an die übergeordneten Verbände hingewiesen werden. Insoweit wird auf das nachfolgende Muster der datenschutzrechtlichen Einwilligung verwiesen.

Datenverarbeitung im Auftrag

Eine Datenverarbeitung im Auftrag liegt auch dann vor, wenn eine Bruderschaft ihre Mitgliederdaten nicht auf einer eigenen EDV-Anlage speichert, sondern hierfür über das Internet einen Datenbank-Server nutzt, den ein EDV-Dienstleiter zu diesen Zweck zur Verfügung stellt. Der Bund betreibt sein Mitgliederverwaltungsprogramm EVewa über einen externen EDV-Dienstleister als Auftragsverarbeiter. Er hat mit diesem Dienstleister den nach Art. 28 Abs. 3 DSGVO notwendigen Vertrag geschlossen.

Das Weitergeben von personenbezogenen Daten an den Auftragsverarbeiter stellt eine Übermittlung dar. Rechtsgrundlage für die Verarbeitung ist Artikel 6 Absatz 1 f) DSGVO. Ein berechtigtes Interesse im Sinne des Artikel 6 Absatz 1 f) DSGVO ist dann zu bejahen, wenn sich der „Verantwortliche“ für die Organisation seiner Datenverarbeitung für einen Auftragsverarbeiter entschieden hat. Darüber hinaus berücksichtigt auch die als Muster herausgegebene datenschutzrechtliche Einwilligungserklärung die Auftragsdatenverarbeitung.

Haben Bruderschaften personenbezogene Daten extern in einer Cloud gespeichert, liegt eine Auftragsdatenverarbeitung vor. Zwar gilt die DSGVO in erster Linie für die EU-Mitgliedsstaaten. Werden jedoch Daten in einem Land außerhalb der EU gespeichert, ist nach Art. 44 DSGVO darauf zu achten, dass der Datenschutz im Sinne der DSGVO sichergestellt ist.

Veröffentlichungen im Internet

Bruderschaften stellen sich überwiegend auch hinsichtlich ihrer Vereinsarbeit im Internet oder sozialen Medien wie etwa bei Facebook dar. Die Veröffentlichung personenbezogener Daten ohne Passwortschutz stellt eine Übermittlung im Sinne der DSGVO dar. Da im Internet beispielsweise auch von Arbeitgebern oder Werbeagenturen persönliche Informationen über Vereinsmitglieder recherchiert und ausgewertet werden können, oder sogar in Staaten abgerufen werden können, die keine der DSGVO vergleichbare Schutzbestimmungen kennen, ist die Veröffentlichung personenbezogener Daten durch eine Bruderschaft im Internet grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damiteinverstanden erklärt hat. Auch diesen Umstand berücksichtigt die vom Bund als Muster herausgegebene datenschutzrechtliche Einwilligungserklärung.

Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO

Den Verantwortlichen bzw. den Auftragsverarbeiter trifft die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten, die für den Verein vollzogen werden, zu führen. Zwar gilt die generelle Regelung erst ab 250 Mitarbeitern in einem Unternehmen. Nach Art. 30 Abs. 5 DSGVO könnte man aber darauf kommen, dass die Verarbeitung der Daten im Verein nicht nur gelegentlich vorkommt. Daher wurde ein entsprechendes Muster wurde vom Landesschutzdatenbeauftragten für Bayern unter www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf zur Verfügung gestellt, auf das Bezug genommen wird.

Anfertigung von Fotografien

Das Bundesinnenministerium hat auf seiner Homepage unter www.bmi.bund.de dazu mitgeteilt, die Veröffentlichung von Fotografien sei ab den 25.05.2018 auch weiterhin nach dem Kunsturhebergesetz geregelt. Es sei keine Änderungen oder gar keine Aufhebung in der DSGVO vorgesehen. Die Ansicht, dass Kunsturhebergesetz werde durch die DSGVO ab dem 25.05.2018 verdrängt, sei falsch. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes sei nicht erforderlich.

Recht auf Löschung personenbezogener Daten

Das Recht auf Löschung richtet sich nach Artikel 17 Abs. 1 DSGVO. Danach sind personenbezogene Daten unverzüglich zu löschen, sofern sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dies gilt insbesondere dann, wenn ein Vereinsmitglied seine Einwilligung widerrufen hat oder Widerspruch gegen die Verarbeitung eingelegt hat, personenbezogene Daten unrechtmäßig verarbeitet wurden oder wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

Beim Ausscheiden oder dem Wechsel von Funktionsträgern ist sicherzustellen, dass sämtliche Mitgliederdaten entweder ordnungsgemäß (insbesondere im Internet) gelöscht werden oder an den Nachfolger oder einen anderen Funktionsträger des Vereins übergeben werden und keine Kopien und Dateien mit Mitgliederdaten beim bisherigen Funktionsträger verbleiben. Auch hier können Regelungen in der Datenschutzordnung getroffen werden.

Regelungen zu Speicherfristen und zur Sperrung bzw. Löschung von Daten, gegebenenfalls zur Nutzung von Archivgut, können entweder in der Vereinssatzung oder außerhalb der Satzung in der Datenschutzordnung beschlossen werden.

Viele Bruderschaften haben Chroniken erstellt bzw. ein Archiv aufgebaut. Den Bruderschaften bleibt die Möglichkeit erhalten, auch Vorgänge bzw. Ereignisse mit personenbezogenen Daten, die für eine aktive Nutzung nicht mehr benötigt werden, aufzubewahren. Dabei muss jedoch sichergestellt werden, dass nur ein kleiner zuverlässiger Personenkreis Zugang auf diese Daten hat. Einzelheiten können in der Datenschutzverordnung geregelt werden.

Unterlagen, die die Bruderschaft nicht mehr benötigt, müssen so entsorgt werden, dass Dritte keine Kenntnis von personenbezogenen Daten erhalten können. Es darf nicht mehr - wie es in der Vergangenheit des Öfteren geschehen ist – vorkommen, dass personenbezogene Daten leserlich in Müllcontainern gefunden wurden. Entsprechende Dokumente sind unleserlich zu zerschnitzeln oder über professionelle Dienstleister zu entsorgen.

Fazit:

Die DSGVO eröffnet viele Möglichkeiten, weiterhin rechtmäßig personenbezogene Daten zu erheben. Wer auf der sicheren Seite sein möchte, sollte eine Datenschutzklausel in die Satzung aufnehmen und von den Mitgliedern datenschutzrechtliche Einwilligungserklärung einholen.

RA Hermann-Josef Pierenkemper

BHDS-Bundesjustiziar

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf „Erlauben“ erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.