Tz. 11
Stand: EL 137 – ET: 06/2024
Eine gesetzliche Grundlage kann der Vereinszweck sein, der in der Vereinssatzung angegeben sein muss. Die Mitgliedschaft im Verein ist vertragliche Grundlage für die Verarbeitung der Daten durch den Verein. Es dürfen aber nur die Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind und die dem Vereinszweck laut der Satzung entsprechen.
Sieht die Vereinssatzung die Verarbeitung personenbezogener Daten vor, die weder für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses noch für die Erreichung des Vereinszwecks erforderlich sind, sind diese Regelungen der Vereinssatzung unwirksam. Eine nachträgliche Änderung des Vereinszwecks durch Mehrheitsbeschluss führt nicht automatisch dazu, dass die Datenverarbeitung sich automatisch auf diesen Zweck erstreckt. Erfordert der neue Vereinszweck eine weitergehende Verarbeitung personenbezogener Daten, darf die Satzung nur insoweit geändert werden, wie der neue Verarbeitungszweck mit dem ursprünglichen in einem Zusammenhang steht (vgl. Art. 6 Abs. 4 Buchst. a DSGVO, Erwägungsgrund 50). Kriterien der Vereinbarkeit des neuen mit dem alten Zweck definiert die DSGVO nicht. Jede Änderung ist im Einzelfall auf ihre Vereinbarkeit hin zu prüfen.
Innerhalb des Vereins sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung des Vereins bestimmt. Für den Umgang mit den Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Daten kennen, verarbeiten und nutzen darf.
Nicht zulässig ist es, dass alle Mitglieder auf die Daten der anderen Mitglieder zugreifen können, es sei denn, dass der Vereinszweck gerade darin besteht, mit Menschen, die sich in derselben Situation befinden, in Kontakt treten und sich austauschen zu können. Sollte dies der Fall sein, empfiehlt es sich, die Vereinsmitglieder frühzeitig mit dem Aufnahmeantrag darüber zu informieren.
Hinweis:
Der Verein sollte im Rahmen der Satzung oder gesondert eine Datenschutzordnung oder Datenschutzrichtlinie erstellen, die die Grundzüge der Datenerhebung, -verarbeitung und -nutzung schriftlich regelt. Auf die gesonderte Datenschutzordnung sollte die Satzung ausdrücklich hinweisen. Es ist empfehlenswert, sich beim Aufbau der Datenschutzregelungen am Weg der Daten von der Erhebung über die Speicherung, Nutzung, Verarbeitung (insbesondere Übermittlung) bis zu ihrer Sperrung und Löschung zu orientieren. Dabei ist jeweils konkret festzulegen, welche Daten (z. B. Name, Vorname, Adresse, E-Mail-Adresse usw.) von welchen Personen (z. B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen) für welche Zwecke verwendet werden, ggf. auch, ob Vordrucke und Formulare zum Einsatz kommen. Die bloße Wiedergabe des Wortlauts der Bestimmungen der DSGVO bzw. des BDSG-neu in keinem Fall ausreichend, hier dürfte es schon an der Verständlichkeit für jedermann scheitern.