Nein. Der nach § 26 BGB vertretungsberechtigte Vorstand des Vereins ist verpflichtet, dafür Sorge zu tragen, dass im Verein die datenschutzrechtlichen Bestimmungen eingehalten werden. Das bedeutet aber nicht, dass nur er im Verein personenbezogene Daten verarbeiten dürfte.
Vielmehr kann er auch organisieren, dass andere Personen ebenfalls auf die personenbezogenen Daten der Mitglieder zugreifen können. Er muss dann jedoch darauf achten, dass der Zugriff nur durch Personen erfolgt, die im Rahmen der nach Art. 6 Abs. 1 DSGVO erlaubten Verarbeitung durch den Verein tätig werden. Außerdem dürfen diese Personen nur insoweit Zugriff haben, als das für ihre jeweilige konkrete Tätigkeit im Verein erforderlich ist.
So dürfen zum Beispiel die Übungsleiter eines Vereins Zugriff auf die Namen und gegebenenfalls Telefonnummer der Mitglieder des Vereins haben, die an seinen Übungsstunden teilnehmen. Die Mitarbeiterin der Geschäftsstelle, die neben dem Schriftverkehr mit den Mitgliedern auch die Beitragsrechnungen erstellt und verschickt, dar Zugriff auf die Namen und Anschriften der Mitglieder haben.
Jedenfalls muss jeder Mitarbeiter des Vereins, egal ob haupt-, neben- oder ehrenamtlich tätig, vom vertretungsberechtigten Vorstand bezüglich der Einhaltung der datenschutzrechtlichen Bestimmungen belehrt werden.
Der Verband kann die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn ihn eine der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen dazu ermächtigt.
So ist denkbar, dass der Sportbetrieb des Verbandes so organisiert ist, dass für die Teilnahme daran auch die Mitglieder des Mitgliedsvereines einen Spielerpass benötigen, der aufgrund der Struktur dieser Sportart nur vom Verband ausgestellt wird. Dann darf der Mitgliedsverein die personenbezogenen Daten der am Sportbetrieb teilnehmenden Mitglieder, soweit das für die Ausstellung des Spielerpasses erforderlich ist, an den Verband weiterleiten. Der Verband wiederum darf die Daten für die Ausstellung des Spielerpasses verarbeiten, aber auch nur dafür.
Ebenso ist die Verarbeitung der personenbezogenen Daten der Mitglieder der Mitgliedsvereine durch den Verband auch ohne Einwilligung der betroffenen Personen rechtlich möglich, wenn diese Personen aufgrund der ausdrücklichen Regelungen in der Satzung des Mitgliedsvereins und auch des Verbandes durch die Mitgliedschaft im Mitgliedsverein auch die im Verband erwerben.
Andere Fallgestaltungen für eine erlaubte Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Personen sind denkbar, können aber nur im Einzelfall geprüft werden.
Jedenfalls darf der Verband die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn er dazu jeweils die Einwilligung der einzelnen Mitglieder hat. Das muss der Verband dann auch beweisen können (Art. 7 Abs. 1 DSGVO).
Nein. Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Art. 6 Abs. 1 DSGVO aufgezählten Rechtsgrundlagen gegeben ist. Ein einseitiges Anordnen des Duldens einer bestimmten Verarbeitung kennt Art. 6 Abs. 1 DSGVO nur für den Fall, dass ein Gesetz dies vorsieht. Also reicht ein Beschluss der Mitgliederversammlung als Berechtigung für eine bestimmte Datenverarbeitung nicht aus.
Eine Veröffentlichung von personenbezogenen Daten der Mitglieder ist dem Verein nur erlaubt, wenn eine der in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen für die konkrete Veröffentlichung greift.
In der Regel deckt die Mitgliedschaft im Verein rechtlich nicht auch die Veröffentlichung von personenbezogenen Daten der Mitglieder auf der Internetseite ab. Denn die Veröffentlichung mag zwar im Interesse des Vereins sein, aber für die Erfüllung der Mitgliedschaft oder aber der Erfüllung der Vereinszwecke nicht erforderlich. Bei einer Teilnahme an Wettkämpfen durch Mitglieder eines Sportvereins kann dies aber auch anders zu bewerten sein. Denn die Teilnahme an Wettbewerben gehört Sportvereinen zur Erfüllung des Vereinszwecks. Deshalb sind die Verarbeitungen personenbezogener Daten erlaubt, soweit das für die Durchführung des Wettkampfes erforderlich ist. Deshalb kann im Einzelfall die Veröffentlichung von Teilnehmerlisten oder auch die Veröffentlichung von Ergebnislisten von der Wettkampfteilnahme bereits abgedeckt sein. In der Regel besteht hier jedoch kein Interesse an der Veröffentlichung von Ergebnissen, welche sportlich nicht relevant sind.
In der Regel wird die Veröffentlichung personenbezogener Daten auf der Internetseite des Vereins nur mit ausdrücklicher Einwilligung der betroffenen Personen möglich sein. Diese Einwilligung kann aber jederzeit widerrufen werden und der Verein muss auch beweisen können, dass ihm die Einwilligung wirksam erteilt worden ist (Art. 7 Abs. 1 DSGVO).
Gemäß Art. 39 Abs. 1 lit. b DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Verein verantwortlich. Er hat nicht nur eine allein beratende und unterstützende Funktion. Vielmehr wird er ab dem 25.05.2018 in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen durch den Verein verantwortlich sein.
Damit geht jedoch die Gefahr einer höheren Haftung des Datenschutzbeauftragten einher. Denn verletzt er diese Überwachungspflicht schuldhaft oder berät er falsch, kann er in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Soweit der Datenschutzbeauftragte Mitglied des Vereins ist und für den Verein ehrenamtlich tätig ist, bzw. vom Verein nicht mehr als 720,00 € jährlich erhält, kann er jedoch in den Genuss des Schutzes durch § 31b BGB kommen, so dass er dem Verein nur im Fall grober Fahrlässigkeit haftet.
Grundsätzlich sind keine besonderen Regelungen zum Datenschutz in der Vereinssatzung oder in einer den Datenschutz regelnden Vereinsordnung notwendig. Grund dafür ist, dass das Einhalten der datenschutzrechtlichen Bestimmungen schon aufgrund des Gesetzes erfolgen muss. Einer gesonderten Anordnung dazu bedarf es in der Satzung nicht. Soweit bei der Datenerhebung den betroffenen Personen bestimmte Informationen mitzuteilen sind (Art. 13 DSGVO), genügt ein Text in der Satzung oder einer Vereinsordnung ebenfalls nicht. Denn nach dem ausdrücklichen Wortlaut der DSGVO müssen diese Informationen zum Zeitpunkt der Datenerhebung der betroffenen Person mitgeteilt werden. Dass die Person die Informationen woanders oder später einsehen kann, genügt nicht. Letztlich kann auch über die Satzung oder eine Vereinsordnung keine wirksame Einwilligung in die Verarbeitung personenbezogener Daten erteilt werden. Denn die DSGVO verlangt, dass die betroffene Person bezüglich der Einwilligung eine unmissverständlich abgegebene Willensbekundung getätigt hat. Der Beitritt zum Verein alleine reicht aber keinesfalls für eine solche unmissverständliche Willensbekundung zur Einwilligung in die Verarbeitung personenbezogener Daten aus.
Nicht jeder Verein braucht einen Datenschutzbeauftragten. Es gibt jedoch verschiedene gesetzliche Regelungen, in welchen Fällen ein Datenschutzbeaufragter zwingend zu benennen ist.
Nach Art. 37 Abs. 1 lit. c DSGVO muss der Verein auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Das dürfte bei den allermeisten Vereinen nicht der Fall sein.
Allerdings muss ein Verein nach § 38 Abs. 1 Satz 1 BDSG (in der ab dem 25.05.2018 geltenden Fassung) einen Datenschutzbeauftragten benennen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Automatisiert bedeutet, dass die Verarbeitung unter Einsatz von technischen Hilfsmitteln erfolgt (z.B. Computer, Tablets, Smartphones etc.). Mit „beschäftigt“ sind alle mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gemeint. „Beschäftigte“ des Vereins im Sinne des Sozialversicherungsrechts brauchen diese Personen nicht zu sein. Bei der Feststellung dieser Personenzahl ist es irrelevant, ob die Personen dem Vorstand angehören, ob sie haupt-, neben- oder ehrenamtlich tätig sind. Ständig sind diese Personen mit der automatisierten Verarbeitung beschäftigt, wenn die automatisierte Verarbeitung zu deren Aufgabengebiet gehört, auch wenn die Verarbeitung nur gelegentlich erfolgt.
Allerdings ist nach § 38 Abs. 1 Satz 2 BDSG (in der ab dem 25.05.2018 geltenden Fassung) unabhängig von der Zahl der mit der automatisierten Datenverarbeitung beschäftigten Personen die Bestellung eines Datenschutzbeauftragten durch den Verein erforderlich, wenn der Verein Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Das ist zum Beispiel bei Vereinen möglich, die in nicht geringem Umfang Gesundheitsdaten verarbeiten.
Gemäß Art. 2 Abs. 1 DSGVO gilt diese uneingeschränkt „für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“, es sei denn, dass Aufnahmen zu rein privaten Zwecken gemacht werden (Art. 2 Abs. 1 lit. c DSGVO).
Fotografien von Personen, die heute fast ausschließlich mit Digitalkameras aufgenommen werden, stellen grundsätzlich personenbezogene Daten dar. Es handelt sich um physische und physiologische Merkmale, die auch sofort, mit den entsprechenden Metadaten, digital gespeichert werden. Die Metadaten umfassen dabei zumindest Ort und Zeit des Bildes. Weiterhin lassen sich Gesichter mit entsprechenden Datenbanken abgleichen und sich so weitere Daten ermitteln, wie z.B. die Namen der abgebildeten Personen (Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, S. 2).
Deshalb ist für das rechtmäßige Fertigen und jeweilige weitere Verwenden von Fotos das Eingreifen einer der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen erforderlich.
Zuerst einmal muss angemerkt werden, dass eine rechtmäßige Verarbeitung der personenbezogenen Daten der Mitglieder eines Vereins nicht zwingend deren Einwilligung dafür voraussetzt. Vielmehr muss nach Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) nur eine der dort aufgeführten Rechtsgrundlagen für die konkrete Verarbeitung gegeben sein. Die „Einwilligung“ ist nur eine dieser Rechtsgrundlagen.
So darf der Verein nach Art. 6 Abs. 1 lit. b DSGVO alle personenbezogenen Daten der Mitglieder verarbeiten, die für die Abwicklung des Mitgliedschaftsverhältnisses erforderlich sind. Das sind insbesondere Name, Vorname, Adresse, Geburtsdatum und gegebenenfalls Kontodaten zur Abbuchung der Beiträge. Eine Einwilligung des jeweiligen Mitglieds zu dieser Verarbeitung ist nicht erforderlich.
Die Telefonnummer (oder auch die E-Mail-Adresse) ist in der Regel für die Abwicklung des Mitgliedschaftsverhältnisses nicht erforderlich. Allerdings hat der Verein ein berechtigtes Interesse daran, mit seinen Mitgliedern in Vereinsangelegenheiten kurzfristig in Verbindung treten zu können. Nach Art. 6 Abs. 1 lit. f DSGVO ist diese Verarbeitung dann auch ohne Einwilligung der betroffenen Mitglieder zulässig, wenn das vorgenannte Interesse des Vereins das Interesse des Mitglieds, dass die Verarbeitung unterbleibt, überwiegt.
Schließlich gibt es auch gesetzliche Vorschriften, die eine bestimmte Verarbeitung personenbezogener Daten verlangen. In diesen Fällen ist die Verarbeitung ebenfalls ohne Einwilligung der betroffenen Mitglieder zulässig (Art. 6 Abs. 1 lit. c DSGVO). So sind Vereine zum Beispiel verpflichtet, auch nach dem Ausscheiden von Mitgliedern bestimmte personenbezogene Daten der Mitglieder noch 10 Jahre für steuerliche Zwecke aufzubewahren (§ 147 AO).
Nur wenn keine der vorgenannten Rechtsgrundlagen für die vom Verein konkret gewollte Verarbeitung einschlägig ist, dann benötigt der Verein für die Verarbeitung der personenbezogenen Daten die Einwilligung der davon betroffenen Person. Erteilt die Person diese Einwilligung nicht, dann darf der Verein die Verarbeitung nicht vornehmen. Da die Person mit der Verweigerung der Einwilligung nur die ihr zustehenden verfassungsmäßigen Rechte auf Informationelle Selbstbestimmung wahrnimmt, ist die Verweigerung in der Regel auch kein ausreichender Grund für einen Ausschluss eines die Einwilligung verweigernden Mitglieds aus dem Verein.
Abschließend sei noch angemerkt, dass selbst wenn die betroffene Person die Einwilligung erteilt, sie diese jederzeit ohne Angabe von Gründen widerrufen darf (Art. 7 Abs. 3 DSGVO). Dann muss ab diesem Zeitpunkt die Verarbeitung für die Zukunft unterbleiben, es sei denn, dass eine der anderen in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen gegeben ist.
Im Einzelfall kann es bereits durch die Anmeldung zum Wettbewerb abgedeckt sein, dass Starter- und Ergebnislisten erstellt und veröffentlicht werden, wenn dies in der konkreten Sportart tatsächlich erforderlich ist (Art. 6 Abs. 1 b DSGVO). Das ist zum Beispiel in Einzelsportarten mit „Ranking“ der Fall, die bei jedem einzelnen Start eines Sportlers Auswirkung auf dessen Bewertung haben. Weiter muss hier dann auch genau geprüft werden, ob die Veröffentlichung im Internet tatsächlich „erforderlich“ ist, da weltweit und von jeder Person darauf zugegriffen werden kann. Denkbar wäre nämlich, je nach Zweck der Veröffentlichung, dass diese auch anders möglich ist (z.B. in einem geschlossenen Teilnehmerbereich der Internetseite).
Weiterer Fall ist, dass der Veranstalter ein objektives berechtigtes Interesse an der Veröffentlichung der Ergebnisliste im Internet hat und dieses Interesse des Vereins das Interesse des einzelnen teilnehmenden Sportlers, dass seine Daten nicht veröffentlicht werden, überwiegt, (Art. 6 Abs. 1 f DSGVO). Es bestehen jedoch erhebliche Bedenken, ob gerade bei einer Veröffentlichung aller Teilnehmerergebnisse im weltweit abrufbaren Internet das Interesse des Veranstalters an der Veröffentlichung tatsächlich überwiegt. Das kann sicher wohl nur für die ersten drei Plätze angenommen werden. Doch selbst hier kann der betroffene Sportler bei besonderen Gründen in seiner Person widersprechen.
Ist die Erstellung und Veröffentlichung der Wettkampfergebnisse nicht im vorgenannten Sinn „erforderlich“ oder im „überwiegenden berechtigten Interesse des Veranstalters“, dann reicht es ab dem 25.05.2018 für die Einholung einer wirksamen Einwilligung des teilnehmenden Sportlers nicht mehr aus, wenn nur in der Ausschreibung darauf hingewiesen wird. Denn die neuen Regelungen verlangen, dass wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen und von den anderen Sachverhalten klar zu unterscheiden sein muss. Das ist bei einem Ausschreibungstext nicht gegeben.
Letztlich führt selbst die rechtmäßige Veröffentlichung nicht dazu, dass diese dann für immer im Internet stehen dürfen. Nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO) sind die Daten zu löschen, wenn es die ursprünglichen Zwecke, für die sie verarbeitet wurden, nicht mehr erfordern.
Letztlich kommt es also auf den jeweiligen Einzelfall an, ob die Ergebnislisten erstellt, veröffentlicht werden können und wann sie gelöscht werden müssen.