|
Der
folgende Beitrag beleuchtet schlaglichtartig ein paar Probleme
des Datenschutzes im Sportverein, ohne Anspruch auf Vollständigkeit
zu erheben. Auf das vom baden-württembergischen Landesdatenschutzbeauftragten
verfasste Markblatt „Datenschutz im Verein nach der Datenschutzgrundverordnung
(DS-GVO)“ wird verwiesen, auch wenn nicht in allen Punkten
Einigkeit unter den Juristen über die dort getroffenen Aussagen
besteht, da eine gerichtliche Klärung noch aussteht. Auch
hat sich herausgestellt, dass die teilweise absurden Auffassungen
bspw. über die Legalität von Fotografien bestenfalls
in den unglücklich unpräzise formulierten Verordnungsvorschriften
bzw. den teilweise Verwirrung stiftenden Erwägungsgründen
eine Stütze, in der Realität aber keine Folge finden.
Denn auch ein Landesdatenschutzbeauftragter muss erst einmal lernen,
datenschutzkonform vorzugehen. Für Panik besteht daher kein
Anlass.
Wer sein Vereinsfachblatt
auch auf der Homepage des Vereines für jedermann einsehbar
einstellt, veröffentlicht die personenbezogenen Daten der
dort veröffentlichten Neumitglieder-Kandidaten damit auch
im Internet. Dadurch übermittelt man die personenbezogenen
Daten der Neumitglieder an Jedermann. Hierzu benötigt der
Verein in jedem Fall eine Einwilligung.
Die Einwilligung ist
nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen
beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung
oder Nutzung sowie, soweit nach den Umständen des Einzelfalles
erforderlich oder auf Verlangen, auf die Folgen der Verweigerung
der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform,
soweit nicht wegen besonderer Umstände eine andere Form angemessen
ist. Soll die Einwilligung zusammen mit anderen Erklärungen
schriftlich erteilt werden, ist sie besonders hervorzuheben.
Beim Vereinseintritt
und während der Mitgliedschaft dürfen nur solche Daten
von den Mitgliedern erhoben werden, die für die Begründung
und Durchführung des zwischen dem Mitglied und dem Verein
zustandekommenden rechtsgeschäftlichen Schuldverhältnisses
erforderlich sind. Damit dürfen alle Daten erhoben werden,
die zur Verfolgung der Vereinsziele und für die Betreuung
und Verwaltung der Mitglieder (wie Name, Anschrift, Geburtsdatum,
Bankverbindung) erforderlich sind. Hierzu berechtigt den Verein
das BDSG, eine Einwilligung der Betroffenen ist hierfür nicht
erforderlich. Weitere Angaben (Telefonnummer, E-Mail-Adresse,
Beruf, geworben durch) sollten freigestellt sein, weil sie zur
Durchführung der Mitgliedschaft möglicherweise nicht
unbedingt erforderlich sind. Diese freiwilligen Angaben müssen
auch in dem entsprechenden Beitrittsvordruck als freiwillige Angaben
kenntlich gemacht werden.
Die Veröffentlichung
von Namen und Adressen von Beitrittswilligen in der Klubzeitschrift
ist aus hiesiger Sicht erforderlich, wenn nach Satzung die Mitglieder
ein fristgebundenes Einspruchsrecht gegen die Aufnahme haben.
Hierzu müssen sie über Beitrittskandidaten informiert
werden. Wenn der Verein bundesweit und sogar weltweit Mitglieder
aufnehmen kann, kann der Vorstand allein nicht hinreichend überprüfen,
ob bei einzelnen Kandidaten satzungsgemäße Gründe
für eine Nichtaufnahme (tierschutzrechtliches oder sportliches
Fehlverhalten, Doppelmitgliedschaften, …) bestehen. Die
Vereinsautonomie (Art. 9 GG) berechtigt den Verein, Kandidaten
abzulehnen, schon da ein nachträglicher Ausschluss rechtlich
nicht ohne weiteres zulässig ist.
Die Satzung bildet
insoweit eine hinreichende (datenschutzrechtliche) Grundlage,
da sie als gesellschaftsrechtlicher Vertrag, den der Kandidat
mit seinem Beitrittsgesuch akzeptiert, zu sehen ist. Dies ist
auch formal ausreichend, da hier wegen der Umstände des Einzelfalles
auf die strenge gesetzliche Schriftform verzichtet werden kann,
wenn man nicht - wie hier - davon ausgeht, dass die schriftliche
Anerkennung der Satzung mit dem Beitrittsgesuch die Schriftform
erfüllt. Zudem ist die Veröffentlichung auch ohne Einwilligung
zulässig, da der Verein aus Selbstschutzgründen und
zur Wahrung des Vereinsfriedens die aus dem Telefonbuch zu entnehmenden
Daten nutzen darf.
Die Erhebung von Name,
Anschrift, Bankverbindung, gehaltenen Tieren, Wettkampfteilnahmen,
Zuchtdaten, und dergleichen ist sicherlich erforderlich zur Durchführung
des Vereinszweckes (Zucht, Zuchtbuchführung, Forschung, Sport,
etc.) und zur Prüfung, ob das Mitglied aufgenommen werden
kann.
Die E-Mail-Adresse
kann für die Einladung zu Mitgliederversammlungen etc. erforderlich
sein, bei vielen Mitgliedern wäre eine Mitgliederversammlung
andernfalls - Porto je Einladung - nicht finanzierbar.
Im Übrigen wird
bspw. die Veröffentlichung von Züchterdaten im Internet
als zulässig erachtet, wenn die Daten beim Betroffenen auf
Grundlage einer Satzungsvorschrift erhoben werden. Überwiegende
schutzwürdige Interessen des Betroffenen sind dann nicht
erkennbar. Die Einrichtung eines automatisierten Abrufverfahrens
ist hier zulässig, da die Daten auch bisher allgemein zugänglich
waren. Die hier angegebenen Daten sind allgemein zugänglich,
bspw. über Internetseiten der Betroffenen. Die Datenerhebung
ist aufgrund der Zuchtordnung zulässig. So hat das LG Düsseldorf,
Urteil vom 12.01.2011, 2a O 189/10, entschieden: "Die Speicherung
und Nutzung von Daten im Zuchtbuch über Rassehunde ist zulässig.
Dies gilt zumindest dann, wenn sich die Erforderlichkeit der Speicherung
aus der Zuchtordnung des speichernden Zuchtvereins ergibt. Grund
für eine Speicherung kann sein, dass die Nachzucht gesunder
Hunde gewährleistet ist."
Der Verein hat einen
Datenschutzbeauftragten zu bestellen, wenn die Kerntätigkeit
in der Durchführung von Verarbeitungsvorgängen besteht
oder mindestens 10 Personen ständig mit der automatisierten
Verarbeitung personenbezogener Daten beschäftigt sind. Das
Nichtbestellen eines Datenschutzbeauftragten stellt einen Ordnungswidrigkeitstatbestand
dar, der mit einem Bußgeld theoretisch enormer Höhe
geahndet werden kann.
Umstritten ist, ob
Vorstandsmitglieder zu diesen zu zählenden Personen zählen.
Nach hiesiger Ansicht ist der Vorstand ja gerade das zu kontrollierende
Organ, so dass der DSB ein Dritter sein muss.
Werden personenbezogene
Daten automatisiert verarbeitet oder genutzt, ist die vereinsinterne
Organisation so zu gestalten, dass sie den besonderen Anforderungen
des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen
zu treffen, die je nach der Art der zu schützenden personenbezogenen
Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt
zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten
verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
Stichwort: Türschloss, Home-Office
2. zu verhindern, dass
Datenverarbeitungssysteme von Unbefugten genutzt werden können
(Zugangskontrolle), Stichwort: Firewall, Benutzerkennung, Passwort,
Verschlüsselung
3. zu gewährleisten,
dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden
Daten zugreifen können, und dass personenbezogene Daten bei
der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt
gelesen, kopiert, verändert oder entfernt werden können
(Zugriffskontrolle), Stichwort. Konzept, Protokollierung, Mobile
Geräte
4. zu gewährleisten,
dass personenbezogene Daten bei der elektronischen Übertragung
oder während ihres Transports oder ihrer Speicherung auf
Datenträger nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können, und dass überprüft
und festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung
vorgesehen ist (Weitergabekontrolle), Stichwort: Datentransport,
E-Mail-Verkehr
5. zu gewährleisten,
dass nachträglich überprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
Stichwort: Dokumentation, Protokollierung
6. zu gewährleisten,
dass personenbezogene Daten, die im Auftrag verarbeitet (E-Mail-Provider,
Online-Support, …) werden, nur entsprechend den Weisungen
des Auftraggebers verarbeitet werden können (Auftragskontrolle),
Stichwort: Auftragsverarbeitung, Kontrolle, Auswahl des Verarbeiters
7. zu gewährleisten,
dass personenbezogene Daten gegen zufällige Zerstörung
oder Verlust geschützt sind (Verfügbarkeitskontrolle),
Stichwort: Brandschutz, Datensicherung, Stromversorgung
8. zu gewährleisten,
dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet
werden können, Stichwort: getrennte Speicherung.
Hinzu kommt das ungeschriebene
Merkmal der Organisationskontrolle, die bedeutet, dass man regelmäßig
das System (Sicherheitskonzept) prüfen muss, ob alles noch
wie geplant funktioniert und ausreichend ist.
Weiter muss jeder Verein
die Informations- und Belehrungspflichten, die aber noch nicht
gerichtlich näher definiert wurden erfüllen, wie dies
jedoch geschehen muss, ist zwischen Datenschutzfanatikern und
Pragmatikern aber noch sehr umstritten.
Abschließend
sei kurz darauf hingewiesen, dass eine Internetseite heute eine
genau wie die Impressumsseite von überall aus direkt erreichbare
Datenschutzhinweisseite enthalten muss, die die umfangreichen
Informationspflichten der Datenschutzgrundverordnung erfüllt.
Schon beim Anruf eines Mitgliedschaftsinteressenten dürften
die Informationspflichten allerdings – entgegen dem Wortlaut
der Verordnung – nicht, oder nur durch einen Verweis auf
die Internetseite, zu erfüllen sein.
Grundsätzlich
sollte man seine Ansprüche nicht ohne rechtlichen Beistand
verfolgen, gleiches gilt naturgemäß für die Verteidigung
gegen vermeintliche Ansprüche. Hilfe bei der Anwaltssuche
bietet der Deutsche Anwaltsverein unter www.anwaltsauskunft.de.
Fragen zu diesem Beitrag beantwortet der Verfasser nur im Rahmen
eines Mandates oder in sonst berufsrechtlich zulässiger Weise.
Frank Richter
Rechtsanwalt
Kastanienweg 75a
69221 Dossenheim
Telefonnummer 06221/727-4619
Faxnummer 06221/727-6510
www.richterrecht.com.
Zum
wittelsbuerger.com-Expertenforum gelangen Sie hier.
Fügen
Sie diese Seite Ihren Bookmarks hinzu!
|