rating service  security service privacy service
 
Datenschutzanforderungen für Vereine gemäß DSGVO
DSGVO Art 4-7, 9, 12-21, 24, 28, 32-37; DSG § 6
Rechtsgrundlage für die Datenverarbeitung - Einwilligungserklärung einholen - Rechtsgrundlage für die Datenverarbeitung im Verband - Zweckbindungsgrundsatz und Löschungspflicht - Datenschutzrechtliche Informationspflichten - Besondere Kategorien von Daten - Datensicherheit im Verein - Meldepflicht bei Datenschutzverletzungen - Verpflichtung von Mitarbeitern zum Datengeheimnis - Verzeichnis von Verarbeitungstätigkeiten - Vertrag mit Auftragsverarbeiter - Bestellung eines verpflichtenden Datenschutzbeauftragten - Pflicht zur Datenschutzfolgenabschätzung - Rechte der Mitglieder gemäß DSGVO - Dokumentation und Rechenschaftspflicht - Conclusio

Ob auf kultureller Ebene, im sportlichen Bereich, auf Bildungsebene oder auf sozialer Ebene - viele Bürger engagieren sich in Vereinen. Im Zuge der Vereinstätigkeit sind sie immer mit rechtlichen Fragestellungen konfrontiert, beispielsweise mit Fragen des Vereins-, Arbeits-, Sozial- Steuer- sowie Datenschutzrechts. Insbesondere sind datenschutzrechtliche Themen im heutigen IT-Alltag nicht wegzudenken. Auch bei den betroffenen Personen wächst die Sensibilität für Datenschutz.

Für Vereine gilt die Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG). Vereine die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Mitgliederdaten entscheiden, sind deshalb Verantwortliche (Art 4 Z 7 DSGVO). Sofern ein Verein personenbezogene Daten ihrer Mitglieder, Spender, Kunden, ... erhebt, verarbeitet speichert sowie übermittelt, müssen die datenschutzrechtlichen Grundsätze (Art 5 DSGVO beachtet werden. Der Vereinsvorstand als Verantwortlicher ist für die Einhaltung der Datenschutzvorgaben verantwortlich.

Personenbezogene Daten dürfen von Verantwortlichen nur verarbeitet werden, soweit die DSGVO und das DSG oder eine andere rechtliche Bestimmung (Gesetz, Vereinssatzung, ...) dies zulässt oder die betroffene Person eingewilligt hat. Welche Daten durch den Verein erhoben und verarbeitet werden, hängt von den Vereinszielen ab.


Rechtsgrundlage für die Datenverarbeitung

Vereine dürfen auf Grundlage des Art 6 DSGVO persönliche Daten der Mitglieder erheben, verarbeiten, speichern sowie übermitteln. Als Rechtsgrundlage dient im Verein häufig der Vertrag über die Mitgliedschaft gemeinsam mit der Vereinssatzung. Das Versenden von Newslettern oder die Veröffentlichung personenbezogener Informationen auf der Vereinswebseite setzt zur Erreichung des Vereinszwecks eine Einwilligungserklärung der betroffenen Mitglieder voraus.
In folgenden Fallbeispielen wird veranschaulicht, welche möglichen Rechtsgrundlagen bei der Datenverarbeitung durch Vereine angewandt werden können:

Fall 1 - Fußballverein
- Erfüllung eines Vertrages: In der Regel wird zwischen dem Spieler und dem Fußballverein ein zivilrechtlicher Vertrag abgeschlossen. Um den vertraglichen Verpflichtungen gerecht zu werden, kann der Verein für die Dauer der Mitgliedschaft des Spielers sowie seiner Teilnahme am Spielbetrieb die Daten verarbeiten.
- Berechtigtes Interesse: Ein Fußballverein hat die Verpflichtung gegenüber des österreichischen Fußballbundes (ÖFB) einen geregelten Fußballbetrieb zu gewährleisten. Dies bedeutet beispielsweise, dass die Daten jedes einzelnen, sich im „Kader“ befindlichen, Spielers vor Spielbeginn bekannt gegeben werden müssen.
- Einwilligung: Ein Spieler kann zur Verarbeitung und Veröffentlichung weiterer persönlicher Daten die über die Spielbetriebsrelevanz hinausgehen, einwilligen. Zu denken ist an ein Glückwunschschreiben zur Hochzeit eines Spielers, einschließlich Familienfoto, auf der Vereinswebseite.

Fall 2 - NGO (gemeinnützige Hilfsorganisation), die ihre Tätigkeit über Spenden finanziert
- Berechtigtes Interesse: NGOs haben beispielsweise ein überwiegend berechtigtes Interesse bei der Verwaltung von Spenderdaten.
- Rechtliche Verpflichtung: Weiters verbarbeiten sie Daten ihrer Spender für die Erfüllung einer gesetzlichen Verpflichtung wie zum Beispiel die steuerrechtliche Spendenabsetzung.
- Einwilligung: Eine Einwilligung des Spenders ist für die Datenbekanntgabe auf der Vereinswebseite erforderlich, sofern keine vertragliche bzw. satzungsrechtliche Grundlage vorhanden ist.

Fall 3 - Bildungsverein mit wirtschaftlicher Tätigkeit
- Erfüllung eines Vertrages: Bildungsvereine verarbeiten Kundendaten zur Erfüllung der vertraglichen Verpflichtungen wie zum Beispiel Kursanmeldung.
- Rechtliche Verpflichtung: Daneben existieren für Bildungsvereine auch rechtliche Vorschriften, die unter bestimmten Voraussetzungen eine Verarbeitung ihrer Kundendaten zulassen. Zu denken ist an die steuerrechtliche Aufbewahrungsfrist.
- Einwilligung: Bei der Veröffentlichung von Kundendaten müssen Bildungsvereine folgendes beachten: Grundsätzlich umfasst die vertragliche Vereinbarung im Bildungsverein nicht die Veröffentlichung von Kundendaten auf der Vereinswebseite. Die Veröffentlichung ist zwar im Interesse des Vereins, aber für die Erfüllung des Vertrags oder der Vereinszwecke nicht notwendig. Daher darf die Veröffentlichung der Daten nur mit ausdrücklicher Einwilligung der betroffenen Kunden erfolgen.
- Berechtigtes Interesse: Bildungsvereine haben ein berechtigtes Interesse die Daten ihrer Kunden zu verwalten, beispielsweise im Rahmen der Zusendung von neuen Kursangeboten.

Fall 4 - Tierschutzverein
- Berechtigtes Interesse: Tierschutzvereine haben beispielsweise ein überwiegend berechtigtes Interesse an der Verwaltung von Aktivistendaten.
- Einwilligung: Vereine dürfen persönliche Daten ihrer Aktivisten nur mit Einwilligung veröffentlichen, sofern keine andere vertragliche bzw. satzungsrechtliche Grundlage vorhanden ist.
Organisiert ein Tierschutzverein beispielsweise eine öffentliche Diskussionsveranstaltung, so dürfen Daten ihrer Aktivisten ohne Einwilligung angekündigt werden. Die Datenbekanntgabe durch den Verein erfolgt auf Basis des Vereinszweckes. Damit ist eine zulässige Datenverarbeitung auf Grundlage satzungsrechtlicher Zweckbestimmung gewährleistet.


Einwilligungserklärung einholen

Kann sich ein Verein für eine beabsichtigte Datenverarbeitung nicht auf eine Rechtsgrundlage stützen, so muss er die Einwilligung der Mitglieder einholen.
Die Einwilligung darf schriftlich, elektronisch sowie mündlich erfolgen. Wir empfehlen Einwilligungen schriftlich mit eigenhändiger Unterschrift der betroffenen Mitglieder einzuholen und aufzubewahren. Die Mitglieder haben jederzeit das Recht die Einwilligung zu widderrufen (Art 7).

Wenn die Einwilligung zusammen mit anderen Erklärungen (beispielsweise Beitrittserklärung) abgegeben wird, ist sie besonders hervorzuheben. Mitglieder müssen von sich aus, aktiv eine eindeutige Handlung zur Einwilligung zum Ausdruck bringen.


Rechtsgrundlage für die Datenverarbeitung im Dachverband

Wenn ein Verein beabsichtigt, die Daten seiner Mitglieder regelmäßig einer Dachorganisation bzw. einem anderen Verein zu übermitteln, sollte dies in der Vereinssatzung geregelt sein. Dadurch wird klargestellt, dass die Übermittlung im Vereinsinteresse erforderlich ist und keine Interessen oder Grundrechte der Vereinsmitglieder überwiegen. Bei Fehlen einer Satzungsregelung müssen Vereine die Mitglieder über die Übermittlung ihrer Daten an die Dachorganisation bzw. an den anderen Verein und den Übermittlungszweck informieren. Darüber hinaus ist der Verein weiters verpflichtet die Einwilligung der Mitglieder einzuholen. Wenn beide Kriterien erfüllt sind, ist eine datenschutzkonforme Datenübermittlung an dritte Dachorganisationen bzw. Vereine gewährleistet.

Am praktischen Beispiel wird veranschaulicht, welche möglichen Rechtsgrundlagen bei der Datenverarbeitung im Dachverband in Betracht zu ziehen sind: Der Österreichische Fußball-Bund (=ÖFB) als Dachverband ist die gemeinnützige Vereinigung der Fußball-Landesverbände Österreichs (Landesverbände der neun Bundesländer), einschließlich der vielen Fußballvereine. Ein Bundes-Dachverband (ÖFB), der die persönlichen Daten der Mitglieder (Fußballspieler) seiner Mitgliedsvereine (Fußballvereine) verarbeitet, benötigt eine Rechtsgrundlage oder eine Einwilligung der betroffenen Mitglieder. Beispielsweise ist der ÖFB für die Ausstellung von Spielerpässen aller Spieler zuständig ist (§§ 2 iVm 3 Statuten des ÖFB, https://www.oefb.at/OeFB-Satzungen-2017-.pdf?:fi=true&:s=UCKr... ).

Grundsätzlich darf der ÖFB die Spielerdaten verarbeiten, sofern eine ausdrückliche Vorschrift (Zweckbestimmung) dies in der Vereinssatzung (Fußballvereine) und auch in den Verbandssatzungen (ÖFB und Fußball-Landesverbände) vorsieht. Eine zulässige Datenverarbeitung wäre nur unter diesen Voraussetzungen gewährleistet. Andernfalls müsste gesondert geprüft werden, ob (a) eine vertragliche Grundlage zwischen dem Fußballverein und dem Spieler vorhanden ist oder (b) ein berechtigtes Interesse des Vereins besteht oder (c) die Einwilligung der Spieler einzuholen ist. Infolgedessen wäre eine datenschutzrechtliche Übermittlungsbefugnis der Fußballvereine begründet.


Zweckbindungsgrundsatz und Löschungspflicht

Das Erheben und Verarbeiten von Mitgliederdaten ist grundsätzlich nur zur Erfüllung des jeweiligen Zwecks zulässig (Art 6 Abs 1 lit b DSGVO). Eine Datenspeicherung ist nur so lange möglich, wie es für die Erfüllung des Zwecks erforderlich ist. Unter strengen Bestimmungen ist eine darüber hinaus gehende Weiterverarbeitung zulässig. Zu denken ist beispielsweise an die steuerrechtliche Aufbewahrungspflicht der Vereine. Nach Beendigung der Mitgliedschaft ist eine Weiterarbeitung unzulässig, da die Daten für den Zweck der Verarbeitung nicht mehr erforderlich sind. Insofern besteht gemäß Art 17 DSGVO ein Löschungsanspruch der Mitglieder bei einem Austritt aus dem Verein. Vereine sollten für sämtliche Verarbeitungszwecke entsprechende Löschkonzepte und -fristen festlegen.
Bei der zweckentfremdeten Weiterverarbeitung der Mitgliederdaten (beispielsweise nach Beendigung der Mitgliedschaft) oder einer Erhebung ohne festgelegten Zweck handelt es sich um einen Datenschutzverstoß gemäß Art 83 Abs 5 DSGVO der mit hohen Geldstrafen bedroht wird.


Besondere Kategorien von Daten

Je nach Vereinszweck werden im Verein Daten erhoben und verarbeitet, die die DSGVO als besonders schützenswert hervorhebt. Zu ihnen zählen beispielsweise Angaben über die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (Art 9 DSGVO). Die Einwilligungserklärung muss klar und deutlich darauf hinweisen, dass die Einwilligung auch besondere Kategorien von Daten umfasst.


Datenschutzrechtliche Informationspflichten

Jeder Verein muss das Transparenzgebot einhalten. Das umfasst die Informierung der Mitglieder zum Zeitpunkt der Erhebung der Daten (Art 12-14 DSGVO).
Folgende Angaben müssen in der Information enthalten sein:
Wer welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage über welchen Zeitraum verarbeitet. Weiters müssen Angaben über die Betroffenenrechte gemäß Art 15-21 DSGVO, das Bestehen eines Beschwerderechts bei der Datenschutzbehörde und die Pflicht zur Bereitstellung der Daten enthalten sein. Nähre Informationen über die Informationspflicht der Vereine sind dem Art 13 und 14 DSGVO zu entnehmen.
Vereine sollten gemeinsam mit dem Mitgliedsantrag auch die Datenschutz-Informationen in Schriftform aushändigen. Darüber hinaus ist es auch sinnvoll die Informationen auf der Vereinswebseite zu hinterlegen, wenn sie auch die Möglichkeit zur Online-Mitgliedschaft auf ihrer Vereinswebseite an.


Datensicherheit im Verein

Vereine sind verpflichtet organisatorische und technische Maßnahmen zu treffen, um eine unrechtmäßige Datenverarbeitung zu vermeiden. Dies impliziert auch Beschränkungen der Zugriffsmöglichkeiten der Mitarbeiter. Falls Vereine mit Hilfe von Verteilerlisten eMails an ihre Mitglieder versenden, dann sollte der Blindkopie-Modus (BCC) verwendet werden. Damit ist ein unberechtigtes Empfangen von fremden eMail-Adressen ausgeschlossen. Des Weiteren ist eine Übermittlung von eMails in verschlüsselter Form zu gewährleisten.


Meldepflicht bei Datenschutzverletzungen

Kommt es bei der Verarbeitung von Mitgliederdaten zu Sicherheitsvorfällen (beispielsweise Datendiebstahl, Hacking, Fehlversendung, Datenverlust von unverschlüsselten Mitgliederdaten, ...), so bestehen datenschutzrechtliche Meldepflichten (Art 33-34 DSGVO). Die Aufsichtsbehörde ist grundsätzlich über den Sicherheitsvorfall zu unterrichten. Hingegen sind betroffene Mitglieder nur bei hohem Risiko zu informieren.


Verpflichtung von Mitarbeitern zum Datengeheimnis

Angestellte Mitarbeiter sowie ehrenamtliche Mitarbeiter im Verein, die mit der Verarbeitung von personenbezogenen Daten betraut sind, sind auf das Datengeheimnis gemäß § 6 DSG zu verpflichten. Die Verpflichtung der Mitarbeiter muss bei Aufnahme der Tätigkeit erfolgen.


Verzeichnis von Verarbeitungstätigkeiten

Vereine müssen, wegen der regelmäßigen Verarbeitung der Mitgliederdaten (beispielsweise Mitgliederverwaltung, Lohnabrechnung, Beitragsverwaltung, Veröffentlichung von Mitgliederdaten und -fotos, ...) ein Verzeichnis sämtlicher Verarbeitungstätigkeiten führen (Art 30 DSGVO). Das Verzeichnis soll auch als Grundlage zur Veranschaulichung der Datenverarbeitungsvorgänge dienen. Das Verarbeitungsverzeichnis ist schriftlich oder in elektronischer Form zu führen.


Vertrag mit Auftragsverarbeiter

Viele Vereine nutzen eine externe Adressverwaltung oder einen externen Mailserver. Wenn Vereine die Mitgliedsdaten nicht selbst erfassen und verwalten, dann müssen sie mit Auftragsverarbeitern (in der Regel IT-Unternehmen) einen Vertrag zur Auftragsverarbeitung schließen (Art 28 DSGVO). Der Verein darf nur Auftragsverarbeiter beauftragen, die eine hinreichende Garantie für eine verordnungskonforme Datenverarbeitung gewährleisten kann. Die umfassende Datenschutzverantwortung liegt immer beim Verein.


Bestellung eines verpflichtenden Datenschutzbeauftragten

Vereine müssen sicherstellen, dass für die verpflichtende Bestellung eines Datenschutzbeauftragten eine geeignete Person zur Wahrnehmung der Funktion als Datenschutzbeauftragter im Verein bestimmt wird (Art 37 Abs 1 DSGVO). Wenn keine Gründe gemäß Art 37 Abs 1 für die verpflichtende Bestellung eines Datenschutzbeauftragten vorliegen, dann sollten die Vereine dies mit einer Begründung dokumentieren. In Jedem Fall müssen Vereine einen Datenschutzbeauftragten bestellen, wenn die Kerntätigkeit des Vereins eine umfangreiche Verarbeitung besonderer Datenkategorien oder strafrechtlich relevanter Daten ist, wie dies bei weltanschaulichen oder religiösen Beratungsstellen, Parteien , Gewerkschaften, gesellschaftspolitisch engagierte NGOs oder dergleichen der Fall ist.


Pflicht zur Datenschutzfolgenabschätzung

Vereine sind in der Regel verpflichtet eine Datenschutzfolgenabschätzung durchzuführen, wenn eine aufgrund der Art, des Umfangs, der Umstände und Zwecke ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hätte (Art 35-36 DSGVO). Vereine sollten die Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewerten. Schließlich sollten geeignete Maßnahmen, Garantien und Verfahren geprüft werden, um bestehende Risiken einzudämmen und verordnungskonform zu verarbeiten. Hier wird eine Zusammenarbeit mit der Datenschutzbehörde verlangt.


Rechte der Mitglieder gemäß DSGVO

Ferner ist zu berücksichtigen, dass betroffene Mitglieder die ihre Daten bekannt gegeben haben, jederzeit zu Folgendem berechtigt sind (Art 7, 15-21 DSGVO):
- die kostenlose Auskunft darüber, welche Daten von ihnen gespeichert und verarbeitet sind
- die Richtigstellung von falschen oder veralteten Daten
- die Löschung von Daten, die nicht mehr benötigt werden
- die Übertragung der Daten auf einen neuen Verein
- die Erhebung eines Widerspruchs gegen die Datenverarbeitung
- der Widerruf einer Einwilligungserklärung


Dokumentation und Rechenschaftspflicht

Vereine müssen den Nachweis erbringen, dass die Verarbeitung von Mitgliederdaten nach den in der DSGVO normierten Rechtmäßigkeitsvorschriften erfolgt ist. Dafür wird ein Verarbeitungsverzeichnis geführt, in dem alle Mitgliederdaten dokumentiert werden. Dieses Verarbeitungsverzeichnis soll als eine wesentliche Grundlage zur Umsetzung der Dokumentationspflichten gemäß Art 24 DSGVO dienen.
Ferner erfolgt eine Dokumentation der Einwilligungserklärungen von Mitgliedern, der technischen und organisatorischen Sicherheitsmaßnahmen, der Risikoabschätzung und eine Dokumentation der Vereinbarungen mit Auftragsverarbeitern.

Conclusio

Zusammenfassend müssen Vereine folgende Grundregeln für den Umgang mit Mitgliederdaten berücksichtigen:
Vereine dürfen persönliche Daten der Mitglieder nur für vereinsinterne Zwecke gemäß der Vereinssatzung verarbeiten. Für die Mitgliedsdaten sind Aufbewahrungs- und Löschfristen zu regeln. Sie dürfen Daten nicht an unberechtigte Dritte weitergeben, es sei denn es liegt eine datenschutzrechtliche Rechtsgrundlage (rechtliche Verpflichtung, Vereinssatzung, Mitgliedschaftsvereinbarung, berechtigtes Interesse sowie Einwilligung) vor. Die Datensicherheit muss durch technische und organisatorische Maßnahmen sichergestellt sein (aktuelle Betriebssysteme und Anwendungen, Firewall, Virenscanner, passwortgeschützter Zugang, regelmäßiger Backups, Festplattenverschlüsselung, ...). Vereine sind verpflichtet die Mitglieder, deren Daten sie verarbeiten, umfangreich zu informieren. Neben der Informationspflicht haben Vereine umfangreiche Rechte der Mitglieder (Auskunft-, Berichtigung-, Löschungs-, Widerspruchsrecht sowie Recht auf Einschränkung der Verarbeitung und Datenübertragbarkeit) zu beachten und die fristgerechte Erfüllung bei Geltendmachung sicherzustellen. Jeder Verein muss einen Plan für die Meldung von Datenschutzverletzungen haben. Es ist ein schriftliches Verfahrensverzeichnis über alle Verarbeitungstätigkeiten zu führen. Vereinsmitarbeiter, die mit Mitgliederdaten vertraut sind, müssen eine Verpflichtungserklärung zum Datengeheimnis unterschreiben. Wenn ein Verein Mitgliederdaten nicht allein verarbeitet, sondern Auftragsverarbeiter beauftragt, dann ist ein schriftlicher Vertrag zur Auftragsverarbeitung notwendig. Vereine müssen prüfen, ob eine Bestellung eines Datenschutzbeauftragen erforderlich ist.

mehr --> Verpflichtung von Mitarbeitern zum Datengeheimnis
mehr --> Wann benötigen Unternehmen einen Datenschutzbeauftragten (DSB)?
mehr --> Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
mehr --> Welche Konsequenz hat es, wenn E-Mails so verschickt werden, d...
mehr --> Wann hat ein Verantwortlicher mit der Datenschutzbehörde zusa...
mehr --> Wie hat ein Verzeichnis der Verarbeitungstätigkeiten auszusehen?
mehr --> Datenschutzrechtliche Aspekte der Nutzung von Cloud-Diensten
mehr --> Das Recht auf Datenübertragung (Datenportabilität)
mehr --> Recht auf Einschränkung der Verarbeitung gemäß DSGVO
mehr --> Wann müssen Daten berichtigt oder gelöscht werden, Empfänge...
mehr --> Allgemeines Auskunftsrecht gemäß Datenschutz-Grundverordnung...
mehr --> Welche Informationspflichten bestehen durch die Datenschutz-Gr...
mehr --> Transparente Information gemäß DSGVO
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> http://ftp.freenet.at/privacy/ds-at/dsg2018-aktuell.pdf
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
andere --> OEFB-Satzung

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster