Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten richtet sich nach Art. 6 Abs. 1 DSGVO. Damit eine Verarbeitung rechtmäßig ist, müssen personenbezogene Daten entweder mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage, die sich aus der DSGVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergibt, verarbeitet werden (Art. 6 Abs. 1 DSGVO; Erwägungsgrund 40 DSGVO).
Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO.
Neben der Einwilligung des Mitglieds kommt als Rechtsgrundlage für die Verarbeitung personenbezogener Daten vor allem Art. 6 Abs. 1 lit. b) DSGVO in Betracht.
Auch ohne Einwilligung des Mitglieds kann danach der Verein personenbezogene Daten der Mitglieder verarbeiten, die zur Erfüllung des Mitgliedschaftsvertrages zwischen Verein und Mitglied erforderlich sind.
Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Satzung und ergänzende Regelungen (z. B. eine Vereinsordnung) vorgegeben wird. Die Satzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten genutzt werden können.
Erhebt ein Verein personenbezogene Daten von einer betroffenen Person (z. B. Vereinsmitglied, Teilnehmer an einem Wettbewerb oder Lehrgang), so sind die Zwecke, für welche die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (Art. 5 Abs. 1 lit. b) DSGVO).
Aus dem Vertragsverhältnis folgt, dass der Verein bei der Erhebung, Verarbeitung und Nutzung von Daten die Datenschutzgrundrechte seiner Mitglieder angemessen berücksichtigen muss.
Den Verein trifft die Pflicht, die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich festzulegen.
Entsprechende Datenschutzregelungen können entweder in die Vereinssatzung aufgenommen oder in einem gesonderten Regelwerk niedergelegt werden. Für Letzteres gibt es keine feste Bezeichnung, am gebräuchlichsten sind noch die Begriffe "Datenschutzordnung", "Datenschutzrichtlinie" oder "Datenverarbeitungsrichtlinie".
Die Datenschutzordnung kann, wenn die Vereinssatzung nichts anderes bestimmt, vom Vorstand oder von der Mitgliederversammlung beschlossen werden und muss nicht die Qualität einer Satzung haben.
Ein Verein darf aufgrund des Art. 6 Abs. 1 lit. b) DSGVO beim Vereinsbeitritt (Aufnahmeantrag) und während der Vereinsmitgliedschaft nur solche Daten von Mitgliedern erheben, die für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind.
Damit dürfen – auch ohne (!) ausdrückliche Einwilligung des Mitglieds – alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum, ferner Bankverbindung, IBAN und BIC) notwendig sind.
Rein vereinsrechtlich erfordern die neuen Regelungen der DSGVO keine Änderung der Satzung.
Aber: die Satzung ist die Grundlage für die Mitgliedschaft im Verein und regelt die Tragweite und die Ziele der Mitgliedschaft sowie die damit verbundenen Rechte und Pflichten der Mitglieder im Verhältnis zum Verein. Die Satzung dient daher auch der Ausgestaltung des Mitgliedschaftsverhältnisses und regelt die Befugnisse des Vereins.
Auf der Grundlage des Art. 6 Abs. 1 lit. b) DSGVO dient daher die Satzung auch der Konkretisierung der personenbezogenen Daten, die der Verein im Rahmen des Vereinszwecks (Art. 5 Abs. 1 lit. b) DSGVO) zwingend von den Mitgliedern benötigt.
Für die Erhebung dieser Daten ist daher keine Einwilligung der Mitglieder erforderlich, auf diese sollte auch in diesen Fällen verzichtet werden, da ein möglicher späterer Widerruf der Einwilligung den Vollzug des Mitgliedschaftsvertrages unmöglich machen kann.