Die Weitergabe von Daten im Verein nach der DSGVO

Vereine müssen sich an die einschlägigen datenschutzrechtlichen Bestimmungen halten. Über den Datenschutz im Verein berichteten wir bereits. Doch worauf ist zu achten, wenn die Daten von Vereinsmitgliedern an den Dachverband, anderen Vereinsmitgliedern oder gar Sponsoren weitergegeben werden? Ein Überblick, wann eine Datenweitergabe stattfinden darf und was passiert, wenn diese widerrechtlich erfolgt, erhalten Sie in diesem Artikel.

Gilt die DSGVO auch für Vereine?

Als Vereinsmitglied eines örtlich ansässigen Sportvereins mag man vielleicht nicht gleich an Datenschutz denken, wenn die Teamaufstellung für das Spiel kommenden Samstag im Vereinshäuschen ausgehangen wird. Darauf sind lediglich die Namen der Spielerinnen und Spieler abgedruckt, die kennt man ohnehin. Doch nun sollen auch Kontaktinformationen aller Mitglieder ausgehangen werden. Vielleicht kommt da schon eher die Frage auf: Gilt die DSGVO auch für Vereine?

Die Antwort fällt schnell: Ja!

Verarbeitet ein Verein personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO, müssen dabei die datenschutzrechtlichen Anforderungen der einschlägigen Datenschutzgesetze beachtet werden. Dabei spielt es keine Rolle, ob der Verein gemeinnützig, eingetragen oder gar rechtsfähig ist, oder ob es sich bei den Daten um die seiner Mitglieder oder Dritter handelt. Im Vereins-Alltag kommen dabei viele Tätigkeiten in Betracht, bei denen personenbezogene Daten verarbeitet werden, bspw. bei der routinemäßigen Einladung zur Mitgliederversammlung oder der Verwaltung von Mitgliedsbeiträgen. Namen, Kontaktinformationen, aber auch Bankdaten der Mitglieder werden erhoben und hinterlegt. Aber auch im Internet möchte man sich präsentieren und möglicherweise über eine Website auf sich aufmerksam machen.

Als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO muss sich der Verein an den Datenschutz halten. Doch wie sieht es eigentlich aus, wenn der Verein personenbezogene Daten weitergeben möchte?

Die Weitergabe personenbezogener Daten: Wann dürfen Vereine das?

Die Weitergabe von personenbezogenen Daten stellt einen Verarbeitungsvorgang i.S.d. Art. 4 Nr. 2 DSGVO dar, egal ob die Daten an Externe oder innerhalb der Vereinsstruktur übermittelt werden. Wie jede Verarbeitung bedarf damit auch die Datenweitergabe einer Rechtsgrundlage. Diese kann, je nach Fallkonstellation variieren. Ausführliche Informationen über den Datenschutz im Verein hat die baden-württembergische Aufsichtsbehörde in einer Orientierungshilfe zusammengetragen.

Fehlt die Einwilligung der Betroffenen in die konkrete Datenübermittlung, fragt sich, auf welche Rechtsgrundlage sich dennoch gestützt werden kann. Die wohl häufigsten Fälle der Weitergabe von personenbezogenen Daten durch einen Verein haben wir etwas genauer unter die Lupe genommen.

Übermittlung personenbezogener Daten von Mitgliedern an den Dachverband

Obwohl ein übermittelnder Verein und sein Dachverband einer Organisationsstruktur angehören, handelt es sich beim Dachverband um einen Dritten i.S.d. Art. 4 Nr. 10 DSGVO. Eine Übermittlung von Vereinsmitgliedsdaten an diesen kann ohne Einwilligung der Betroffenen stattfinden, wenn dies im berechtigten Interesse des Vereins geschieht (Art. 6 Abs. 1 lit. f) DSGVO). Dieses hat er grundsätzlich nachzuweisen, ist aber bspw. anzunehmen, wenn das betroffene Vereinsmitglied geehrt werden soll und zum Zwecke der Prüfung ihrer Voraussetzungen die Daten an den Dachverband übermittelt werden müssen.

Der Verein hat zuvor jedoch seine Informationspflichten gegenüber den Mitgliedern nach Art. 13 f. DSGVO zu erfüllen und vor Weitergabe der Daten klarzustellen, dass eine Übermittlung an den Dachverband zu einem konkreten Zweck stattfindet. Ihnen ist hierbei die Möglichkeit zu geben, gegen die Verarbeitung jederzeit Widerspruch einzulegen. Bei dauerhaften, stetig wiederkehrenden Übermittlungen an die Dachorganisation empfiehlt sich dies in der Vereinssatzung zu regeln. Fehlen solche Regelungen in der Satzung, sind die Mitglieder über diesen Umstand anderweitig zu informieren, bspw. durch die Aushändigung konkreter Informationen.

Sollte die Prüfung zu der Voraussetzung einer besonderen Ehrung zu einem positiven Ergebnis kommen und anschließend das konkrete Mitglied im Rahmen einer Veranstaltung öffentlich geehrt werden, muss dieses vor der öffentlichen Ehrung nochmals durch den Verein ausdrücklich auf sein Widerspruchsrecht nach Art. 21 DSGVO hingewiesen werden.

Weitergabe Daten einzelner Mitglieder an andere Vereinsmitglieder

Nicht nur der Dachverband, sondern auch Vereinsmitglieder sind im Verhältnis zum Verein „Dritte“ i.S.d. Art. 4 Nr. 10 DSGVO. Das bedeutet, dass Vereinsmitglieder nicht einfach so auf Daten anderer Mitglieder zugreifen dürfen. So bedarf bspw. der Aushang einer Mitgliederliste im Vereinsheim daher einer Rechtsgrundlage, wie sie bei jeder Übermittlung erforderlich ist. Eine solche kann sich aus Art. 6 Abs. 1 lit. b) DSGVO ergeben, wenn die Herausgabe der Mitgliederliste dem Erreichen des Vereinsziels dient. Angenommen wird dies bspw. bei Selbsthilfevereinen, da die Kontaktaufnahme der Mitglieder untereinander für den bezweckten Informations- und Erfahrungsaustausch unabdingbar ist. Der Vereinszweck muss sich dann aber aus der jeweiligen Satzung ergeben. Darüber hinaus dürfen die Mitgliederlisten nur diejenigen Angaben enthalten, die für den jeweiligen Vereinszweck erforderlich sind. Den Mitgliedern steht hierbei ebenfalls die Möglichkeit offen, ihrer Datenaufnahme in die Liste zu widersprechen.

Übermittlung von Mitgliederdaten an die Gemeindeverwaltung

Erbringt eine Gemeindeverwaltung freiwillige finanzielle Leistung an ein Verein, darf sie zu Kontrollzwecken eine Mitgliederliste verlangen. Oftmals hängt die finanzielle Förderung nämlich von der Mitgliederzahl oder gewissen Mitgliedereigenschaften ab. Die Übermittlung an die Gemeindeverwaltung als staatliche Stelle dient dann der Wahrnehmung berechtigter Interessen des Vereins (Art. 6 Abs. 1 lit. f) DSGVO), schließlich erhält er hierdurch eine finanzielle Förderung. Die Interessen betroffener Vereinsmitglieder überwiegen der Datenübermittlung nicht. Da der Empfänger der Mitgliedsdaten eine öffentliche Stelle ist, kann sich der Verein auch ohne Weiteres darauf verlassen, dass die Gemeindeverwaltung die Mitgliedsdaten nur für den Zweck der Prüfung verwendet und anschließend wieder löscht.

Datenübermittlung an den Arbeitgeber eines Mitglieds und an die Versicherung

Kommt es beim Vereinsspiel zu einer gegenseitigen Verletzung von Vereinsmitgliedern, darf die zahlende Krankenversicherung erfahren, gegen wen konkret sie ihren Regressanspruch richten darf. Für gesetzliche Krankenversicherungen ergibt sich dies aus § 67a SGB X, für private Krankenversicherung aus Art. 6 Abs. 1 lit. b) DSGVO aufgrund des Versicherungsvertrages mit dem Geschädigten.

Ersucht sie den Verein um Auskunft, kann er gem. Art. 6 Abs. 1 lit. f) DSGVO diese Anfrage mit der Übermittlung der erforderlichen Daten beantworten. Erforderlich ist in der Regel aber bloß die namentliche Benennung des Schädigers; weitergehende Informationen hängen vom Einzelfall ab. Es empfiehlt sich vor der Übermittlung den Betroffenen anzuhören, um die schutzwürdigen Interessen zu ermitteln und anschließend interessensgerecht abzuwägen.

Erkundigt sich ein Arbeitgeber eines Mitglieds beim Verein, ob sein Arbeitnehmer trotz krankheitsbedingten Ausfalls an einer Vereinsveranstaltung teilgenommen hat, kann er die erforderlichen Informationen ebenfalls nach Art. 6 Abs. 1 lit. f) DSGVO übermitteln. Aber auch hier sollte zuvor durch Anhörung des Betroffenen seine schutzwürdigen Belange ermittelt und in Abwägung der sich widerstreitenden Interessen hinreichend berücksichtigt werden.

Beauftragung von Dritten mit Spendenaufrufen oder Weitergabe beim Sponsoring

Vereine finanzieren sich vielfach durch Spenden oder über Sponsoren. Möchte er die Daten seiner Vereinsmitglieder zu Spendenaufrufen oder für eigene Werbung nutzen, dürfen sie das nach Art. 6 Abs. 1 lit. b) DSGVO nur, wenn dies dem festgesetzten Vereinsziel dient. Anderenfalls bedarf es einer Einwilligung der betroffenen Mitglieder. Werden Dritte mit dem Spendenaufruf oder anderweitigen Werbemaßnahmen beauftragt, kann eine Übermittlung der Mitgliedsdaten nach Art. 28 DSGVO legitimiert sein. Die Parteien haben dann einen Auftragsverarbeitungsvertrag mit den inhaltlichen Voraussetzungen des Art. 28 Abs. 3 DSGVO zu schließen. Die im Rahmen der Dienstleistung übermittelten Daten dürfen dem Dienstleister aber nicht zu eigenen Zwecken überlassen werden.

Hat der Verein einen Sponsor für sich gewonnen, verlangt dieser in der Praxis oftmals im Gegenzug die Daten der Vereinsmitglieder, um sie für Werbezwecke einzusetzen. Doch hier bietet sich Zurückhaltung: Ist dieser Umstand nicht in der Vereinssatzung oder durch einen Mitgliederbeschluss festgelegt, kann die Übermittlung ohne Einwilligung der Mitglieder in aller Regel nicht rechtskonform stattfinden. Entscheidend ist hierbei allerdings, welche vernünftigen Erwartungen ein Vereinsmitglied haben wird (ErwG 47). Neben den subjektiven Erwartungen der betroffenen Person sind bei der Erwägung auch objektive Gesichtspunkte mit einzubeziehen. Zu beachten ist dabei allerdings, dass die Erwartung, die ermittelt werden soll, nicht durch die Informationspflicht des Verantwortlichen (Art. 13 f. DSGVO) erweitert werden kann.

Sollen Vereinsmitgliederdaten zum Zwecke der Werbung an Dritte übermittelt werden, sind die Betroffenen auf ihr jederzeitiges Widerspruchsrecht hinzuweisen. Widerspricht ein Vereinsmitglied der Datennutzung, dürfen sie fortan nicht mehr verwendet werden (Art. 21 Abs. 3 DSGVO). Hier empfiehlt sich die Aufnahme dieser Mitglieder in eine Sperrdatei, um vor einer Übermittlung an Sponsoren oder Werbetreibenden die Datensätze mit der Sperrdatei abzugleichen. Anderenfalls kann es für den Verein als Verantwortlichen teuer werden.

Welche Folgen kann eine widerrechtliche Weitergabe von Daten haben?

Wie teuer eine widerrechtliche Weitergabe von Mitgliedsdaten für den Verein sein kann, zeigen die bereits erlassenen Bußgelder der Aufsichtsbehörden.

So wurde 2021 gegen den VfB Stuttgart (VfB Stuttgart 1893 AG) ein Bußgeld in Höhe von 300.000 € verhängt, weil ihm die baden-württembergische Aufsichtsbehörde vorwarf, die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO fahrlässig verletzt zu haben. Hintergrund sei das wiederholte Übermitteln von Mitgliederdaten an Dritte gewesen, darunter sämtliche Kontaktdaten, wie die Handynummern oder E-Mail-Adressen.

2020 wurde ein deutlich höheres Bußgeld gegen die niederländische Tennisvereinigung KNLTB verhängt: Ganze 525.000 € Bußgeld musste der Verein zahlen, da er Daten von insgesamt 325.000 Mitgliedern ohne die erforderliche Einwilligung an zwei seiner Sponsoren verkaufte. Darunter befanden sich neben den Namen der Mitglieder u.a. auch die Kontaktinformationen, das Geschlecht und das Geburtsdatum.

Kleinere Vereine dürften zwar aufgrund der Verhältnismäßigkeit des Bußgeldes nach Art. 83 DSGVO weniger hohe Bußgelder zu erwarten haben. Aufgrund des besonderen Rechtsverhältnisses zu ihren Vereinsmitgliedern sollte eine Datenweitergabe an Dritte jedoch stets sorgfältig geprüft werden, um sich ein böses Erwachen zu ersparen.

Vorsicht bei der Weitergabe von Mitgliedsdaten

Als Verantwortliche müssen sich also auch Vereine an die einschlägigen Datenschutzvorschriften der DSGVO halten. Möchten sie personenbezogene Daten ihrer Vereinsmitglieder weitergeben, dürfen sie das nur, wenn eine entsprechende Rechtsgrundlage vorliegt. Entscheidend ist, welcher Zweck mit der Übermittlung verfolgt wird. Im besten Fall ergibt sich dieser aus der eigenen Vereinssatzung. Außerdem ist nach dem Empfänger zu differenzieren: Ob Dachverband, Gemeindeverwaltung oder gar die eigenen Vereinsmitglieder – bei ihnen handelt es sich um „Dritte“ i.S.d. Art. 4 Nr. 10 DSGVO. Besondere Zurückhaltung sollte bei der Weitergabe von Mitgliederdaten an Sponsoren gewahrt werden; ohne die erforderliche Einwilligung kann eine Datenübermittlung rechtswidrig und somit teuer werden.