Mitgliederdaten: Wann haben Mitglieder
Anspruch auf eine Liste der Mitglieder-E-Mails?

Vereinsplatz WND

E-Mail-Kommunikation ist in den meisten Vereinen eine Selbstverständlichkeit. Dennoch darf der
Verein die E-Mail-Adressen der Mitglieder nicht ohne Weiteres herausgeben. Wann er das darf oder
sogar muss, hat das Oberlandesgericht (OLG) Hamm geklärt.

Der Fall vor dem OLG Hamm
Im konkreten Fall ging es um einen Verein mit rd. 5.500 Mitgliedern. Die Satzung des Vereins nimmt mehrfach Bezug auf die Möglichkeit, mit den Mitgliedern per E-Mail zu kommunizieren. Eine ausdrückliche Verpflichtung der Mitglieder, eine E-Mail-Adresse mitzuteilen, sieht die Satzung aber nicht vor. Der Verein kommuniziert mit seinen Mitgliedern selbst auch per E-Mail. Das klagende Mitglied wollte in Vorbereitung der MV mit den anderen Mitgliedern in Kontakt treten, um eine Opposition gegen das Vorgehen des Vorstands zu organisieren. Der Vorstand verweigerte die Herausgabe der E-Mail-Listen. Er vertrat die Ansicht, das Mitglied habe auch nach der Rechtsprechung des BGH keinen Anspruch auf
deren Überlassung. Er machte zudem datenschutzrechtliche Bedenken geltend. Mitglieder könnten allenfalls beanspruchen, dass der Verein die Daten einem Treuhänder überlasse. Dieser Auffassung widerspricht das OLG klar. Es hat den Verein dazu verpflichtet, dem Mitglied eine Liste seiner Mitglieder mit Namen, Anschriften und E-Mail-Adressen in elektronisch verwertbarer Form zu übermitteln. Den Rechtsanspruch darauf begründet das Gericht aus dem Mitgliedschaftsverhältnis (OLG Hamm,
Urteil vom 26.04.2023, Az. 8 U 94/22

Wichtig: Offen lässt das OLG, ob sich ein Anspruch auf Herausgabe der Daten auch aus § 810 BGB ergeben kann. Danach hat eine Person ein Einsichtsrecht in Urkunden, wenn darin ein zwischen ihr und einem anderen bestehendes Rechtsverhältnis beurkundet ist und sie ein rechtliches Interesse an der Einsicht hat.

Recht auf Einsicht
Das OLG stellt klar, dass einem Vereinsmitgliedkraft seines Mitgliedschaftsrechts ein Recht auf Einsicht in die Bücher und Urkunden des Vereinszusteht, wenn es ein berechtigtes Interesse darlegenkann, dem kein überwiegendes Geheimhaltungsinteressedes Vereins oder berechtigteBelange der Vereinsmitglieder entgegenstehen.

Wann besteht ein „berechtigtes Interesse“?
Wann das Mitglied ein berechtigtes Interesse hat, kann – so das OLG – nicht abstrakt-generell geklärt werden, sondern muss aufgrund der konkreten Umstände des einzelnen Falls beurteilt werden. In jedem Fall besteht das Recht auf Herausgabe, wenn es darum geht, das erforderliche Stimmenquorum für ein Minderheitenbegehren zur Einberufung einer MV zu erreichen.

Ein berechtigtes Interesse liegt nach Rechtsprechung des BGH außerdem darin, mit der Vielzahl von Mitgliedern, von denen regelmäßig nur
ein kleiner Teil an der MV teilnimmt, in Kontakt zu treten, um eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren (BGH, Beschluss vom 21.06.2010, Az. II ZR 219/09). Dabei müssen sich die auskunftbegehrenden Mitglieder nicht auf die Möglichkeit der Kontakt-aufnahme über eine Vereinszeitschrift oder ein vom Verein eingerichtetes Internetforum verweisen lassen.

Verweis auf andere Kommunikationsform?
Bei der Bewertung, ob ein Interesse berechtigt ist, kommt es nicht nur darauf an, was als Mindestmaß
erforderlich ist, um einen Kontakt herzustellen, so das OLG. Die muss auch bezogen auf die technischen Möglichkeiten und gesellschaftlichen Gepflogenheiten erfolgen. E-Mail hat in vielen Bereichen den Postbrief und das Telefax abgelöst. Daher hat die E-Mail-Adresse heute in vielen Bereichen mindestens denselben Stellenwert wie die postalische Adresse.

Will ein Mitglied eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren, kann der Vorstand es nicht auf andere Kommunikationswege verweisen. Dafür sprechen nach Auffassung des OLG die Vorzüge der unmittelbaren, individualisierten und kostengünstigen Kommunikationsform. Eigeninteressen des Vereins stehen dem nicht entgegen. Das – mögliche – gegenläufige Interesse einzelner Mitglieder an Nichtbelästigung wiegt für sich nicht schwer und überwiegt in einem solchen Fall nicht. E-Mail unterscheidet sich qualitativ auch von der Kommunikation über ein vom Verein zur Verfügung gestelltes internetbasiertes Mitgliederforum (BGH, Beschluss vom
25.10.2010, Az. II ZR 219/09). Das bietet nämlich keine – einer Kontaktaufnahme mit den übrigen
Vereinsmitgliedern – gleichwertige Möglichkeit, ihr Mitgliedschaftsrecht auszuüben.

Was steht der Herausgabe entgegen?
Es muss geprüft werden, ob wesentliche Interessen des Vereins oder der Mitglieder der Herausgabe
der Mitgliederdaten entgegenstehen.

Kostenargument zählt nicht: Das Kostenargument lässt das OLG nicht gelten. Bei einem Verein der Größe des behandelten Falls sei davon auszugehen, dass die Mitgliederliste in professioneller Weise aktuell geführt wird und daher unschwer zur Verfügung steht.


Belästigung der Mitglieder hat kein Gewicht: Auch das Interesse der Mitglieder, nicht durch E-Mails belästigt zu werden, hält das OLG für nachrangig. Das Mitgliedschaftsverhältnis begründet nämlich eine Sonderverbindung, für die die Grundsätze für eine belästigende Werbung (§ 7 Abs. 2 Nr. 2 UWG) nicht gelten. Im Gegenteil besteht mit dem Vereinsbeitritt die Vermutung, auch zu der damit einhergehenden Kommunikation bereit zu sein. Dass einzelne Mitglieder sich gegen die Weitergabe ihrer EMail-Adressen aussprechen, steht einer Übermittlung der E-Mail-Adressen nicht entgegen. Außerdem haben die Mitglieder die Möglichkeit, sich vor einer wahrgenommenen Belästigung mit einfachen Mitteln zu schützen. Soweit nicht im Einzelfall eine Pflicht zur Angabe besteht, können sie dies schlicht dadurch tun, dass sie dem Beklagten keine E-Mail-Adresse mitteilen. Soweit sie die Vorzüge der E-Mail-Korrespondenz
(nur) im Verhältnis zum Verein nutzen wollen, können sie die Mitteilung der E-Mail-Adresse mit einem Weitergabeverbot verbinden. Und schließlich können Sie für die Zwecke des Vereinsverhältnisses eine besondere E-Mail-Adresse einrichten oder bestimmte Absender als „Spam“ definieren oder blockieren.

Satzungsmäßige Einschränkungen?
Aus der Satzung des Vereins ergaben sich keine Einschränkungen des mitgliedschaftlichen Informations-anspruchs. Es war nicht geregelt, dass die E-Mail-Adressen nicht oder nur an einen Treuhänder heraus-gegeben werden dürften. Es wäre ohnehin fraglich, ob solche Einschränkungen überhaupt zulässig sind. Das mitgliedschaftliche Informationsrecht darf nämlich nicht grundsätzlich eingeschränkt werden. Außerdem war in der Satzung an mehreren Stellen die Kommunikation per E-Mail sogar vorgesehen.

Herausgabe ist mit Datenschutz vereinbar
Auch datenschutzrechtliche Bedenken sah das OLG nicht. Zwar gilt auch hier die Datenschutzgrund-verordnung (DSGVO). Die Mitgliederliste enthält personenbezogene Daten i. S. v. Art. 4 Nr. 1 DSGVO. Zulässig ist nach Art. 6 Abs. 1b DSGVO aber die Verarbeitung „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“. Vereinsgründung und -beitritt begründen einen solchen Vertrag. Die Pflicht des Vereins, dem Mitglied eine Mitgliederliste mit Namen, Adressen und E-Mail-Adressen
zu übermitteln, ergibt sich – so das OLG – bereits durch eine Interessenabwägung. Andernfalls könnte die Mitglieder ihre Mitgliedschaftsrechte nämlich nicht effektiv ausüben oder sie liefen sogar ins Leere. Auch datenschutzrechtlich muss anerkannt werden, dass das klagende Mitglied die E-Mail-Adressen für eine effektive Ausübung seiner Mitgliedschaftsrechte benötigt. Zudem unterliegt auch das Mitglied, den strengen Auflagen der DSGVO.

Nein. Der nach § 26 BGB vertretungsberechtigte Vorstand des Vereins ist verpflichtet, dafür Sorge zu tragen, dass im Verein die datenschutzrechtlichen Bestimmungen eingehalten werden. Das bedeutet aber nicht, dass nur er im Verein personenbezogene Daten verarbeiten dürfte.

Vielmehr kann er auch organisieren, dass andere Personen ebenfalls auf die personenbezogenen Daten der Mitglieder zugreifen können. Er muss dann jedoch darauf achten, dass der Zugriff nur durch Personen erfolgt, die im Rahmen der nach Art. 6 Abs. 1 DSGVO erlaubten Verarbeitung durch den Verein tätig werden. Außerdem dürfen diese Personen nur insoweit Zugriff haben, als das für ihre jeweilige konkrete Tätigkeit im Verein erforderlich ist.

So dürfen zum Beispiel die Übungsleiter eines Vereins Zugriff auf die Namen und gegebenenfalls Telefonnummer der Mitglieder des Vereins haben, die an seinen Übungsstunden teilnehmen. Die Mitarbeiterin der Geschäftsstelle, die neben dem Schriftverkehr mit den Mitgliedern auch die Beitragsrechnungen erstellt und verschickt, dar Zugriff auf die Namen und Anschriften der Mitglieder haben.

Jedenfalls muss jeder Mitarbeiter des Vereins, egal ob haupt-, neben- oder ehrenamtlich tätig, vom vertretungsberechtigten Vorstand bezüglich der Einhaltung der datenschutzrechtlichen Bestimmungen belehrt werden.

Der Verband kann die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn ihn eine der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen dazu ermächtigt.

So ist denkbar, dass der Sportbetrieb des Verbandes so organisiert ist, dass für die Teilnahme daran auch die Mitglieder des Mitgliedsvereines einen Spielerpass benötigen, der aufgrund der Struktur dieser Sportart nur vom Verband ausgestellt wird. Dann darf der Mitgliedsverein die personenbezogenen Daten der am Sportbetrieb teilnehmenden Mitglieder, soweit das für die Ausstellung des Spielerpasses erforderlich ist, an den Verband weiterleiten. Der Verband wiederum darf die Daten für die Ausstellung des Spielerpasses verarbeiten, aber auch nur dafür.

Ebenso ist die Verarbeitung der personenbezogenen Daten der Mitglieder der Mitgliedsvereine durch den Verband auch ohne Einwilligung der betroffenen Personen rechtlich möglich, wenn diese Personen aufgrund der ausdrücklichen Regelungen in der Satzung des Mitgliedsvereins und auch des Verbandes durch die Mitgliedschaft im Mitgliedsverein auch die im Verband erwerben.

Andere Fallgestaltungen für eine erlaubte Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Personen sind denkbar, können aber nur im Einzelfall geprüft werden.

Jedenfalls darf der Verband die personenbezogenen Daten der Mitglieder seiner Mitgliedsvereine verarbeiten, wenn er dazu jeweils die Einwilligung der einzelnen Mitglieder hat. Das muss der Verband dann auch beweisen können (Art. 7 Abs. 1 DSGVO).

Nein. Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Art. 6 Abs. 1 DSGVO aufgezählten Rechtsgrundlagen gegeben ist. Ein einseitiges Anordnen des Duldens einer bestimmten Verarbeitung kennt Art. 6 Abs. 1 DSGVO nur für den Fall, dass ein Gesetz dies vorsieht. Also reicht ein Beschluss der Mitgliederversammlung als Berechtigung für eine bestimmte Datenverarbeitung nicht aus.

Eine Veröffentlichung von personenbezogenen Daten der Mitglieder ist dem Verein nur erlaubt, wenn eine der in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen für die konkrete Veröffentlichung greift.

In der Regel deckt die Mitgliedschaft im Verein rechtlich nicht auch die Veröffentlichung von personenbezogenen Daten der Mitglieder auf der Internetseite ab. Denn die Veröffentlichung mag zwar im Interesse des Vereins sein, aber für die Erfüllung der Mitgliedschaft oder aber der Erfüllung der Vereinszwecke nicht erforderlich. Bei einer Teilnahme an Wettkämpfen durch Mitglieder eines Sportvereins kann dies aber auch anders zu bewerten sein. Denn die Teilnahme an Wettbewerben gehört Sportvereinen zur Erfüllung des Vereinszwecks. Deshalb sind die Verarbeitungen personenbezogener Daten erlaubt, soweit das für die Durchführung des Wettkampfes erforderlich ist. Deshalb kann im Einzelfall die Veröffentlichung von Teilnehmerlisten oder auch die Veröffentlichung von Ergebnislisten von der Wettkampfteilnahme bereits abgedeckt sein. In der Regel besteht hier jedoch kein Interesse an der Veröffentlichung von Ergebnissen, welche sportlich nicht relevant sind.

In der Regel wird die Veröffentlichung personenbezogener Daten auf der Internetseite des Vereins nur mit ausdrücklicher Einwilligung der betroffenen Personen möglich sein. Diese Einwilligung kann aber jederzeit widerrufen werden und der Verein muss auch beweisen können, dass ihm die Einwilligung wirksam erteilt worden ist (Art. 7 Abs. 1 DSGVO).

Gemäß Art. 39 Abs. 1 lit. b DSGVO ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Verein verantwortlich. Er hat nicht nur eine allein beratende und unterstützende Funktion. Vielmehr wird er ab dem 25.05.2018 in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen durch den Verein verantwortlich sein.

Damit geht jedoch die Gefahr einer höheren Haftung des Datenschutzbeauftragten einher. Denn verletzt er diese Überwachungspflicht schuldhaft oder berät er falsch, kann er in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Soweit der Datenschutzbeauftragte Mitglied des Vereins ist und für den Verein ehrenamtlich tätig ist, bzw. vom Verein nicht mehr als 720,00 € jährlich erhält, kann er jedoch in den Genuss des Schutzes durch § 31b BGB kommen, so dass er dem Verein nur im Fall grober Fahrlässigkeit haftet.

Grundsätzlich sind keine besonderen Regelungen zum Datenschutz in der Vereinssatzung oder in einer den Datenschutz regelnden Vereinsordnung notwendig. Grund dafür ist, dass das Einhalten der datenschutzrechtlichen Bestimmungen schon aufgrund des Gesetzes erfolgen muss. Einer gesonderten Anordnung dazu bedarf es in der Satzung nicht. Soweit bei der Datenerhebung den betroffenen Personen bestimmte Informationen mitzuteilen sind (Art. 13 DSGVO), genügt ein Text in der Satzung oder einer Vereinsordnung ebenfalls nicht. Denn nach dem ausdrücklichen Wortlaut der DSGVO müssen diese Informationen zum Zeitpunkt der Datenerhebung der betroffenen Person mitgeteilt werden. Dass die Person die Informationen woanders oder später einsehen kann, genügt nicht. Letztlich kann auch über die Satzung oder eine Vereinsordnung keine wirksame Einwilligung in die Verarbeitung personenbezogener Daten erteilt werden. Denn die DSGVO verlangt, dass die betroffene Person bezüglich der Einwilligung eine unmissverständlich abgegebene Willensbekundung getätigt hat. Der Beitritt zum Verein alleine reicht aber keinesfalls für eine solche unmissverständliche Willensbekundung zur Einwilligung in die Verarbeitung personenbezogener Daten aus.

Nicht jeder Verein braucht einen Datenschutzbeauftragten. Es gibt jedoch verschiedene gesetzliche Regelungen, in welchen Fällen ein Datenschutzbeaufragter zwingend zu benennen ist.

Nach Art. 37 Abs. 1 lit. c DSGVO muss der Verein auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Das dürfte bei den allermeisten Vereinen nicht der Fall sein.

Allerdings muss ein Verein nach § 38 Abs. 1 Satz 1 BDSG (in der ab dem 25.05.2018 geltenden Fassung) einen Datenschutzbeauftragten benennen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Automatisiert bedeutet, dass die Verarbeitung unter Einsatz von technischen Hilfsmitteln erfolgt (z.B. Computer, Tablets, Smartphones etc.).  Mit „beschäftigt“ sind alle mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gemeint. „Beschäftigte“ des Vereins im Sinne des Sozialversicherungsrechts brauchen diese Personen nicht zu sein. Bei der Feststellung dieser Personenzahl ist es irrelevant, ob die Personen dem Vorstand angehören, ob sie haupt-, neben- oder ehrenamtlich tätig sind. Ständig sind diese Personen mit der automatisierten Verarbeitung beschäftigt, wenn die automatisierte Verarbeitung zu deren Aufgabengebiet gehört, auch wenn die Verarbeitung nur gelegentlich erfolgt.

Allerdings ist nach § 38 Abs. 1 Satz 2 BDSG (in der ab dem 25.05.2018 geltenden Fassung) unabhängig von der Zahl der mit der automatisierten Datenverarbeitung beschäftigten Personen die Bestellung eines Datenschutzbeauftragten durch den Verein erforderlich, wenn der Verein Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Das ist zum Beispiel bei Vereinen möglich, die in nicht geringem Umfang Gesundheitsdaten verarbeiten.

Gemäß Art. 2 Abs. 1 DSGVO gilt diese uneingeschränkt „für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“, es sei denn, dass Aufnahmen zu rein privaten Zwecken gemacht werden (Art. 2 Abs. 1 lit. c DSGVO).

Fotografien von Personen, die heute fast ausschließlich mit Digitalkameras aufgenommen werden, stellen grundsätzlich personenbezogene Daten dar. Es handelt sich um physische und physiologische Merkmale, die auch sofort, mit den entsprechenden Metadaten, digital gespeichert werden. Die Metadaten umfassen dabei zumindest Ort und Zeit des Bildes. Weiterhin lassen sich Gesichter mit entsprechenden Datenbanken abgleichen und sich so weitere Daten ermitteln, wie z.B. die Namen der abgebildeten Personen (Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, S. 2).

Deshalb ist für das rechtmäßige Fertigen und jeweilige weitere Verwenden von Fotos das Eingreifen einer der in Art. 6 Abs. 1 DSGVO enthaltenen Rechtsgrundlagen erforderlich.

Zuerst einmal muss angemerkt werden, dass eine rechtmäßige Verarbeitung der personenbezogenen Daten der Mitglieder eines Vereins nicht zwingend deren Einwilligung dafür voraussetzt. Vielmehr muss nach Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) nur eine der dort aufgeführten Rechtsgrundlagen für die konkrete Verarbeitung gegeben sein. Die „Einwilligung“ ist nur eine dieser Rechtsgrundlagen.

So darf der Verein nach Art. 6 Abs. 1 lit. b DSGVO alle personenbezogenen Daten der Mitglieder verarbeiten, die für die Abwicklung des Mitgliedschaftsverhältnisses erforderlich sind. Das sind insbesondere Name, Vorname, Adresse, Geburtsdatum und gegebenenfalls Kontodaten zur Abbuchung der Beiträge. Eine Einwilligung des jeweiligen Mitglieds zu dieser Verarbeitung ist nicht erforderlich.

Die Telefonnummer (oder auch die E-Mail-Adresse) ist in der Regel für die Abwicklung des Mitgliedschaftsverhältnisses nicht erforderlich. Allerdings hat der Verein ein berechtigtes Interesse daran, mit seinen Mitgliedern in Vereinsangelegenheiten kurzfristig in Verbindung treten zu können. Nach Art. 6 Abs. 1 lit. f DSGVO ist diese Verarbeitung dann auch ohne Einwilligung der betroffenen Mitglieder zulässig, wenn das vorgenannte Interesse des Vereins das Interesse des Mitglieds, dass die Verarbeitung unterbleibt, überwiegt.

Schließlich gibt es auch gesetzliche Vorschriften, die eine bestimmte Verarbeitung personenbezogener Daten verlangen. In diesen Fällen ist die Verarbeitung ebenfalls ohne Einwilligung der betroffenen Mitglieder zulässig (Art. 6 Abs. 1 lit. c DSGVO). So sind Vereine zum Beispiel verpflichtet, auch nach dem Ausscheiden von Mitgliedern bestimmte personenbezogene Daten der Mitglieder noch 10 Jahre für steuerliche Zwecke aufzubewahren (§ 147 AO).

Nur wenn keine der vorgenannten Rechtsgrundlagen für die vom Verein konkret gewollte Verarbeitung einschlägig ist, dann benötigt der Verein für die Verarbeitung der personenbezogenen Daten die Einwilligung der davon betroffenen Person. Erteilt die Person diese Einwilligung nicht, dann darf der Verein die Verarbeitung nicht vornehmen. Da die Person mit der Verweigerung der Einwilligung nur die ihr zustehenden verfassungsmäßigen Rechte auf Informationelle Selbstbestimmung wahrnimmt, ist die Verweigerung in der Regel auch kein ausreichender Grund für einen Ausschluss eines die Einwilligung verweigernden Mitglieds aus dem Verein.

Abschließend sei noch angemerkt, dass selbst wenn die betroffene Person die Einwilligung erteilt, sie diese jederzeit ohne Angabe von Gründen widerrufen darf (Art. 7 Abs. 3 DSGVO). Dann muss ab diesem Zeitpunkt die Verarbeitung für die Zukunft unterbleiben, es sei denn, dass eine der anderen in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen gegeben ist.