Die Weitergabe von personenbezogenen Daten stellt ebenso eine Datenverarbeitung dar wie deren Veröffentlichung. Deshalb sind auch sie nur zulässig, wenn für sie eine der oben genannten Rechtsgrundlagen (Kapitel 5) vorliegt.
Typische Beispiele für den Verein können sein:
Datenübermittlung an andere Vereine (z. B. an den Dachverband für Ehrungsanträge, an Sport-Fachverbände für Spielerpässe oder -pläne)
Dies ist zulässig, solange die Datenübermittlung erforderlich ist, um einem Mitglied die ihm zugesicherten Leistungen bieten zu können (im Sinne der Vertragserfüllung, Art. 6 Abs. 1 Buchst. b DSGVO).
Eine alternative Rechtsgrundlage kann zum Tragen kommen, wenn der Verein eigene berechtigte Interessen an der Datenübermittlung besitzt (Art. 6 Abs. 1 Buchst. f DSGVO). Welche Interessen als berechtigt gelten, kann sich auch aus der Vereinssatzung ergeben. Zudem muss eine Abwägung vorgenommen werden zwischen der Erfüllung des Vereinszwecks einerseits und den Interessen des Betroffenen andererseits. Demnach ist die Übermittlung nicht zulässig, wenn der einzelne Betroffene ein entgegenstehendes, höherwertiges Interesse am Schutz seiner Privatsphäre besitzt. Dies kann im Einzelfall jedoch schwer zu bestimmen sein.
Als dritte Möglichkeit kommt die Einwilligung des Betroffenen in Betracht (Art. 6 Abs. 1 Buchst. a und Art. 7 DSGVO). Holen Sie diese vorab und nachweisbar beim Betroffenen ein, um auf der sicheren Seite zu sein.
Datenübermittlung an die Presse (z. B. Sportverein informiert über Spielergebnisse und sportliche Einzelleistungen)
Eine Rechtsgrundlage hierfür könnte Art. 6 Abs. 1 Buchst. f DSGVO darstellen, wenn eine Interessenabwägung ergibt, dass der Verein ein berechtigtes Interesse an der Veröffentlichung hat und das Mitglied kein entgegenstehendes, höherwertiges Interesse an einer Nichtübermittlung besitzt. Da die Abwägung in jedem Einzelfall anders ausgelegt werden und zu einem anderen Ergebnis kommen kann, ist auch hier auf der sicheren Seite, wer auf eine Einwilligung zurückgreift. Die Einwilligung kann für den Einzelfall eingeholt oder pauschal für alle Fälle dieser Art abgegeben werden. Das Mitglied muss jedoch jederzeit seinen Widerspruch einlegen können, dieser ist dann auch zu beachten.
Veröffentlichung von Mitgliederdaten auf der Vereinshomepage, in sozialen Netzwerken oder in der Mitgliederzeitung
Wenn die Veröffentlichung nicht unmittelbar dem Vereinszweck dient, sollte ebenfalls eine vorherige Einwilligung des Betroffenen eingeholt werden. Denn eine der anderen Rechtsgrundlagen wird vermutlich nicht zutreffen.
Der Text der Einwilligung muss in einer klaren und einfachen Sprache erfolgen und von anderen Sachverhalten klar zu unterscheiden sein (Art. 7 DSGVO) – ein "Verstecken" im Kleingedruckten wäre nicht zulässig.
Veröffentlichung einer Mitglieder- oder Spendenliste (beispielsweise im Internet oder in der Vereinszeitung)
Es handelt sich hier um denselben Sachverhalt wie oben – personenbezogene Daten werden anderen zur Kenntnis gegeben. Daher ist er auch so wie oben zu beurteilen: Es sollte die schriftliche Einwilligung jedes einzelnen Betroffenen vor der Veröffentlichung eingeholt werden. Dies gilt insbesondere für Vereine, die sensible Daten verarbeiten (z. B. Gesundheitsdaten, politische Überzeugungen, religiöse oder weltanschauliche Überzeugungen).
Datenweitergabe zu Werbezwecken (z. B. Verkauf von Mitgliederadressen an ein Versandhaus)
Eine Datenweitergabe an Externe wird in der Regel nicht zulässig sein, weil die Interessen des Mitglieds am Schutz seiner Privatsphäre höher anzusiedeln sind als die Interessen des Vereins an einer Einnahmequelle. Das ergibt die Interessenabwägung, wenn man auf die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DSGVO zurückgreift. Eine Datenweitergabe zu Werbezwecken wäre allenfalls zulässig, wenn jeder Betroffene seine Einwilligung dazu erteilen würde.
Datenweitergabe aufgrund von Outsourcing (z. B. Versand der Mitgliederzeitung durch Druckerei, Auslagerung der Mitgliederverwaltung, Beitragseinzug durch Steuerberater)
Wenn der Verein eine externe Stelle damit beauftragt, personenbezogene Daten in seinem Namen zu verarbeiten, gelten oftmals spezielle Regeln. Es könnte eine Auftragsverarbeitung vorliegen. In diesem Fall gelten die Vorgaben des Art. 28 DSGVO. Es ist dann in einer Vereinbarung festzuhalten, wie mit den Daten umgegangen wird und welche Schutzmaßnahmen getroffen werden (dazu mehr in Kapitel 7.3).