Muss die Aufwandsentschädigung in der Satzung deklariert sein?

Eine Aufwandsentschädigung kann an Mitglieder und Ehrenamtliche ausgezahlt werden. Eine Satzungsgrundlage hierzu ist nicht erforderlich.
Einen Eintrag zur Aufwandsentschädigung in der Satzung ist nur dann notwendig, wenn der Vorstand unmittelbar von der Aufwandsentschädigung betroffen ist. Vorstandsmitglieder können eine Aufwandsentschädigung nur dann nutzen, wenn die Satzung des Vereins die Möglichkeit hierzu eröffnet. Ohne Satzungsgrundlage müssen die Vorstandsmitglieder ihre Tätigkeit grundsätzlich unentgeltlich ausüben.

Müssen Bestandsmitglieder rückwirkend neu informiert werden?

Nein. Die Regelung des neuen Art. 13 DSGVO, wonach den betroffenen Personen bei der Datenerhebung bei ihnen eine ganze Reihe von Informationen mitzuteilen sind, stellt auf den Zeitpunkt der Datenerhebung ab. Da die DSGVO aber erst zum 25.05.2018 in Kraft treten wird, kann diese gesetzliche Regelung auch nur die Fälle der Datenerhebung erfassen, die ab dem 25.05.2018 erfolgen. Eine rückwirkende Informationspflicht enthält die DSGVO nicht.

Es steht jedoch jedem Verein frei, auch die Bestandsmitglieder entsprechend zu informieren.

Dürfen nur Vorstandsmitglieder Zugriff auf die Mitgliederdaten haben?

Nein. Der nach § 26 BGB vertretungsberechtigte Vorstand des Vereins ist verpflichtet, dafür Sorge zu tragen, dass im Verein die datenschutzrechtlichen Bestimmungen eingehalten werden. Das bedeutet aber nicht, dass nur er im Verein personenbezogene Daten verarbeiten dürfte.

Vielmehr kann er auch organisieren, dass andere Personen ebenfalls auf die personenbezogenen Daten der Mitglieder zugreifen können. Er muss dann jedoch darauf achten, dass der Zugriff nur durch Personen erfolgt, die im Rahmen der nach Art. 6 Abs. 1 DSGVO erlaubten Verarbeitung durch den Verein tätig werden. Außerdem dürfen diese Personen nur insoweit Zugriff haben, als das für ihre jeweilige konkrete Tätigkeit im Verein erforderlich ist.

So dürfen zum Beispiel die Übungsleiter eines Vereins Zugriff auf die Namen und gegebenenfalls Telefonnummer der Mitglieder des Vereins haben, die an seinen Übungsstunden teilnehmen. Die Mitarbeiterin der Geschäftsstelle, die neben dem Schriftverkehr mit den Mitgliedern auch die Beitragsrechnungen erstellt und verschickt, dar Zugriff auf die Namen und Anschriften der Mitglieder haben.

Jedenfalls muss jeder Mitarbeiter des Vereins, egal ob haupt-, neben- oder ehrenamtlich tätig, vom vertretungsberechtigten Vorstand bezüglich der Einhaltung der datenschutzrechtlichen Bestimmungen belehrt werden.

Benötigt ein Verband, der die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeitet ebenfalls die schriftliche Einwilligung aller einzelnen Personen?

Der Verband kann die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn ihn eine der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen dazu ermächtigt.

So ist denkbar, dass der Sportbetrieb des Verbandes so organisiert ist, dass für die Teilnahme daran auch die Mitglieder des Mitgliedsvereines einen Spielerpass benötigen, der aufgrund der Struktur dieser Sportart nur vom Verband ausgestellt wird. Dann darf der Mitgliedsverein die personenbezogenen Daten der am Sportbetrieb teilnehmenden Mitglieder, soweit das für die Ausstellung des Spielerpasses erforderlich ist, an den Verband weiterleiten. Der Verband wiederum darf die Daten für die Ausstellung des Spielerpasses verarbeiten, aber auch nur dafür.

Ebenso ist die Verarbeitung der personenbezogenen Daten der Mitglieder der Mitgliedsvereine durch den Verband auch ohne Einwilligung der betroffenen Personen rechtlich möglich, wenn diese Personen aufgrund der ausdrücklichen Regelungen in der Satzung des Mitgliedsvereins und auch des Verbandes durch die Mitgliedschaft im Mitgliedsverein auch die im Verband erwerben.

Andere Fallgestaltungen für eine erlaubte Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Personen sind denkbar, können aber nur im Einzelfall geprüft werden.

Jedenfalls darf der Verband die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn er dazu jeweils die Einwilligung der einzelnen Mitglieder hat. Das muss der Verband dann auch beweisen können (Art. 7 Abs. 1 DSGVO).

Reicht ein allgemeiner Beschluss der Mitgliederversammlung zum Umgang mit persönlichen Daten der Mitglieder als Einwilligung?

Nein. Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Art. 6 Abs. 1 DSGVO aufgezählten Rechtsgrundlagen gegeben ist. Ein einseitiges Anordnen des Duldens einer bestimmten Verarbeitung kennt Art. 6 Abs. 1 DSGVO nur für den Fall, dass ein Gesetz dies vorsieht. Also reicht ein Beschluss der Mitgliederversammlung als Berechtigung für eine bestimmte Datenverarbeitung nicht aus.

Darf der Verein persönliche Daten seiner Mitglieder auf der Vereins-Homepage veröffentlichen? Zum Beispiel Namen, Alter und Erfolge bei Wettbewerben?

Eine Veröffentlichung von personenbezogenen Daten der Mitglieder ist dem Verein nur erlaubt, wenn eine der in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen für die konkrete Veröffentlichung greift.

In der Regel deckt die Mitgliedschaft im Verein rechtlich nicht auch die Veröffentlichung von personenbezogenen Daten der Mitglieder auf der Internetseite ab. Denn die Veröffentlichung mag zwar im Interesse des Vereins sein, aber für die Erfüllung der Mitgliedschaft oder aber der Erfüllung der Vereinszwecke nicht erforderlich. Bei einer Teilnahme an Wettkämpfen durch Mitglieder eines Sportvereins kann dies aber auch anders zu bewerten sein. Denn die Teilnahme an Wettbewerben gehört Sportvereinen zur Erfüllung des Vereinszwecks. Deshalb sind die Verarbeitungen personenbezogener Daten erlaubt, soweit das für die Durchführung des Wettkampfes erforderlich ist. Deshalb kann im Einzelfall die Veröffentlichung von Teilnehmerlisten oder auch die Veröffentlichung von Ergebnislisten von der Wettkampfteilnahme bereits abgedeckt sein. In der Regel besteht hier jedoch kein Interesse an der Veröffentlichung von Ergebnissen, welche sportlich nicht relevant sind.

In der Regel wird die Veröffentlichung personenbezogener Daten auf der Internetseite des Vereins nur mit ausdrücklicher Einwilligung der betroffenen Personen möglich sein. Diese Einwilligung kann aber jederzeit widerrufen werden und der Verein muss auch beweisen können, dass ihm die Einwilligung wirksam erteilt worden ist (Art. 7 Abs. 1 DSGVO).

Haftet der (ehrenamtliche) Datenschutzbeauftragte persönlich?

Gemäß Art. 39 Abs. 1 lit. b DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Verein verantwortlich. Er hat nicht nur eine allein beratende und unterstützende Funktion. Vielmehr wird er ab dem 25.05.2018 in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen durch den Verein verantwortlich sein.

Damit geht jedoch die Gefahr einer höheren Haftung des Datenschutzbeauftragten einher. Denn verletzt er diese Überwachungspflicht schuldhaft oder berät er falsch, kann er in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Soweit der Datenschutzbeauftragte Mitglied des Vereins ist und für den Verein ehrenamtlich tätig ist, bzw. vom Verein nicht mehr als 720,00 € jährlich erhält, kann er jedoch in den Genuss des Schutzes durch § 31b BGB kommen, so dass er dem Verein nur im Fall grober Fahrlässigkeit haftet.

Welche Regelungen muss der Verein in die Satzung hinsichtlich des Datenschutzes aufnehmen, oder genügt eine Regelung in einer nebenstehenden Datenschutzordnung?

Grundsätzlich sind keine besonderen Regelungen zum Datenschutz in der Vereinssatzung oder in einer den Datenschutz regelnden Vereinsordnung notwendig. Grund dafür ist, dass das Einhalten der datenschutzrechtlichen Bestimmungen schon aufgrund des Gesetzes erfolgen muss. Einer gesonderten Anordnung dazu bedarf es in der Satzung nicht. Soweit bei der Datenerhebung den betroffenen Personen bestimmte Informationen mitzuteilen sind (Art. 13 DSGVO), genügt ein Text in der Satzung oder einer Vereinsordnung ebenfalls nicht. Denn nach dem ausdrücklichen Wortlaut der DSGVO müssen diese Informationen zum Zeitpunkt der Datenerhebung der betroffenen Person mitgeteilt werden. Dass die Person die Informationen woanders oder später einsehen kann, genügt nicht. Letztlich kann auch über die Satzung oder eine Vereinsordnung keine wirksame Einwilligung in die Verarbeitung personenbezogener Daten erteilt werden. Denn die DSGVO verlangt, dass die betroffene Person bezüglich der Einwilligung eine unmissverständlich abgegebene Willensbekundung getätigt hat. Der Beitritt zum Verein alleine reicht aber keinesfalls für eine solche unmissverständliche Willensbekundung zur Einwilligung in die Verarbeitung personenbezogener Daten aus.

Brauchen wir in unserem Verein einen Datenschutzbeauftragten? Wie finden wir diesen?

Nicht jeder Verein braucht einen Datenschutzbeauftragten. Es gibt jedoch verschiedene gesetzliche Regelungen, in welchen Fällen ein Datenschutzbeaufragter zwingend zu benennen ist.

Nach Art. 37 Abs. 1 lit. c DSGVO muss der Verein auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Das dürfte bei den allermeisten Vereinen nicht der Fall sein.

Allerdings muss ein Verein nach § 38 Abs. 1 Satz 1 BDSG (in der ab dem 25.05.2018 geltenden Fassung) einen Datenschutzbeauftragten benennen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Automatisiert bedeutet, dass die Verarbeitung unter Einsatz von technischen Hilfsmitteln erfolgt (z.B. Computer, Tablets, Smartphones etc.).  Mit „beschäftigt“ sind alle mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gemeint. „Beschäftigte“ des Vereins im Sinne des Sozialversicherungsrechts brauchen diese Personen nicht zu sein. Bei der Feststellung dieser Personenzahl ist es irrelevant, ob die Personen dem Vorstand angehören, ob sie haupt-, neben- oder ehrenamtlich tätig sind. Ständig sind diese Personen mit der automatisierten Verarbeitung beschäftigt, wenn die automatisierte Verarbeitung zu deren Aufgabengebiet gehört, auch wenn die Verarbeitung nur gelegentlich erfolgt.

Allerdings ist nach § 38 Abs. 1 Satz 2 BDSG (in der ab dem 25.05.2018 geltenden Fassung) unabhängig von der Zahl der mit der automatisierten Datenverarbeitung beschäftigten Personen die Bestellung eines Datenschutzbeauftragten durch den Verein erforderlich, wenn der Verein Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Das ist zum Beispiel bei Vereinen möglich, die in nicht geringem Umfang Gesundheitsdaten verarbeiten.

Findet die DSGVO auch Anwendung auf Fotos, die wir auf unserer Vereinshomepage veröffentlichen?

Gemäß Art. 2 Abs. 1 DSGVO gilt diese uneingeschränkt „für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“, es sei denn, dass Aufnahmen zu rein privaten Zwecken gemacht werden (Art. 2 Abs. 1 lit. c DSGVO).

Fotografien von Personen, die heute fast ausschließlich mit Digitalkameras aufgenommen werden, stellen grundsätzlich personenbezogene Daten dar. Es handelt sich um physische und physiologische Merkmale, die auch sofort, mit den entsprechenden Metadaten, digital gespeichert werden. Die Metadaten umfassen dabei zumindest Ort und Zeit des Bildes. Weiterhin lassen sich Gesichter mit entsprechenden Datenbanken abgleichen und sich so weitere Daten ermitteln, wie z.B. die Namen der abgebildeten Personen (Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, S. 2).

Deshalb ist für das rechtmäßige Fertigen und jeweilige weitere Verwenden von Fotos das Eingreifen einer der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen erforderlich.