Datenschutz im Verein und Verband

Transkript

1 Datenschutz im Verein und Verband Dr. Frank Weller Rechtsanwalt und Mediator Europäisches Institut für das Ehrenamt Dr. Weller & Uffeln GbR

2 Die Erfindung des Datenschutzes 1983: Volkszählungsurteil des Bundesverfassungsgerichts Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 GG) maßgeblich u.a.: Grundsatz der Verhältnismäßigkeit

3 Anwendungsbereich BDSG/ nicht-öffentliche Stellen( 2 Abs.4) sämtliche Personen und Personenvereinigungen, wie z.b. Privatpersonen, Einzelfirmen, Selbständige, Freiberufler AG, GmbH, KG etc. Vereine, Verbände, egal ob gemeinnützig oder rechtsfähig Bürgerinitiativen etc.

4 Begriffsbestimmungen ( 3) Erheben = Beschaffen von Daten Verarbeiten = Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (siehe nähere Definitionen) Nutzen = jede Verwendung personenbezogener Daten

5 Begriffsbestimmungen ( 3) Beispiele für personenbezogene Daten: Name, Adresse, Familienstand, Beruf, Geburtsdatum, Staatsangehörigkeit, Vertrags- und Besitzverhältnisse, Partei- und Vereinsmitgliedschaften, Überzeugungen, Aussehen, Eigenschaften, Krankheiten etc. nicht Daten juristischer Personen

6 Zentraler Grundsatz ( 4) Ein Verein/Verband darf personenbezogene Daten nur erheben, verarbeiten oder nutzen, soweit eine Vorschrift des BDSG oder eine sonstige Rechtsvorschrift dies erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat.

7 28 BDSG als maßgeblicher Erlaubnistatbestand im BDSG Datenverarbeitung zulässig im Rahmen der Zwecke eines rechtsgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses (Mitgliedschaft)

8 28 BDSG als maßgeblicher Erlaubnistatbestand im BDSG Wortlaut 28 Abs. 1 Nr. 1/2 BDSG: Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1.wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist

9 28 BDSG Wortlaut 28 Abs. 1 Nr. 1/2 BDSG: 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt

10 28 BDSG Abs. 1 Nr. 3: allgemein zugängliche Daten Abs. 2: Übermittlung/Nutzung für fremde Zwecke Abs. 3: Verarbeitung/Nutzung für Zwecke der Werbung oder des Adresshandels

11 28 - Überblick: Besondere Arten personenbezogener Daten wie z.b. Angaben über ethnische Herkunft, politische Meinungen, religiöse/philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit ( 3 Abs. 9) dürfen nur stark eingeschränkt erhoben, verarbeitet, genutzt werden ( 28 Abs. 6-9), meist Einwilligung erforderlich oder Satzungsklausel (Koronarsport!)

12 DV im Verein/Verband Maßstab für rechtliche Prüfung: Satzung des Vereins/Verbands prägend für rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis

13 Abstufung unter Beachtung des Vereins-/Verbandszwecks Datenverarbeitung etc. zulässig für Daten, die für den Vereinszweck unbedingt erforderlich sind oder zumindest in einem unmittelbaren Zusammenhang mit diesem stehen, ohne die ein geregeltes Funktionieren des Vereins also nicht möglich ist Satzung Zweck

14 Beachtung Vereins-/ Verbandszweck Name und Anschrift des Mitglieds Bankverbindung bei Lastschrifteinzug (Satzung!) Eintrittsdatum Lizenzen Funktionen im Verein TelNr/ Vorstandsmitglied Geburtsdatum (Wettkampfklasse, Stimmrecht bei Volljährigkeit) -Adr. allgemein, wenn Satzung zulässt

15 Beachtung Vereins- /Verbandszweck Datenverarbeitung etc. zulässig, wenn für den Vereinszweck nicht unabdingbar, aber nützlich aber nur, soweit Daten zur Wahrung berechtigter Interessen des Vereins erforderlich sind und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluß der DV überwiegt

16 Beachtung Vereins- /Verbandszweck berechtigte Interessen des Vereins: dem Vereinszweck gemäß Satzung dienende, vernünftige ideelle oder wirtschaftliche Interessen

17 Beachtung Vereins- /Verbandszweck schutzwürdige Interessen des Betroffenen: der Verwirklichung rechtmäßiger Zielsetzungen dienend, insbesondere dem Schutz der Privatsphäre oder der Vermeidung persönlicher oder wirtschaftlicher Nachteile (auch hier Satzungszweck beachten)

18 Beachtung Vereins-/ Verbandszweck z.b. TelNr/ -Adresse einfaches Mitglied Geburtsjahr (Statistik) Helferlisten etc. Grenzen zur 1. Alternative sind fließend

19 Datenübermittlung Zulässigkeit unterschiedlich nach Art der Datenverwendung zu beurteilen: z.b. interne Nutzung vs. Übermittlung an Dritte Wer ist Dritter? - Personen außerhalb des Vereins - unbefugte Personen innerhalb des Vereins (Aufgabe!)

20 Datenübermittlung Vorsicht bei Veröffentlichungen in Vereinszeitung, Presse, Internet, z.b. Ehrungen, Gratulationen, Hinweise auf Helfer sehr sorgfältige Interessenabwägung nur unbedingt notwendige Daten besser: Einwilligung einholen oder Datenschutzklausel in Satzung oder Vereinbarung

21 Datenübermittlung Ergebnis: bei Ehrungen, Gratulationen und Übermittlungen aus wirtschaftlichen Gründen (Sponsoring): Interesse der betroffenen Person überwiegt meist Einwilligung erforderlich

22 Exkurs: Hessisches Datenschutzgesetz gilt für Behörden+sonstige öffentliche Stellen des Landes, der Gemeinden und Kreise sowie der sonstigen der Aufsicht des Landes unterstehenden jur. Pers. des öffentl. Rechts+für deren Vereinigungen ungeachtet ihrer Rechtsform DV zulässig, wenn zur rechtmäßigen Aufgabenerfüllung der Stelle und für den jeweils damit verbundenen Zweck erforderlich oder Einwilligung

23 Exkurs: TMG Telemediengesetz 1,2: Telemedien=elektronische Informations- und Kommunikationsdienste (z.b. Webseiten, Foren, Newsletter) 5, 6: Info-Pflichten: Impressum, Anbieterkennzeichnung 12, 14, 15: Erhebung, Verwendung von Daten 13: weitere Info-Pflichten

24 Einwilligung des Betroffenen ( 4a) Schriftform erforderlich, soweit nicht wg. besonderer Umstände andere Form angemessen elektronische Form ( ) statt schriftlicher Form nur statthaft, wenn mit elektronischer Signatur nach dem Signaturgesetz ( 126a BGB) versehen Schriftform bei Netzwerken, Internetforen ( 13 TMG)

25 Datengeheimnis ( 5) Den bei der DV beschäftigten Personen ist untersagt, Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Sie sind bei Aufnahme Tätigkeit auf Datengeheimnis persönlich zu verpflichten!

26 ... Datengeheimnis ( 5) Wer ist bei der DV beschäftigt? alle Mitarbeiter/Innen, die Daten verarbeiten, auch wenn nur (geringer) Teil der Tätigkeit nicht nur AN, sondern auch Praktikanten, freie MA etc.

27 Datengeheimnis ( 5) bei DV beschäftigt ehrenamtliche MA (weite Auslegung des Begriffs beschäftigt, Rechtsgrundlage Beschäftigung unerheblich, Auftragsverhältnis zum Verein/Verband reicht aus, z.b. Webmaster, Administratoren) Personen, die auf DV Einfluß nehmen, z.b. durch Weisungen

28 Datengeheimnis ( 5) bei DV beschäftigt externes Dienstleistungs-/ Wartungspersonal (Verpfl. durch Fa?) auch MA, die Daten lediglich zur Kenntnis nehmen = nutzen (Schreibkräfte, Kursleiter etc.) Vertretungsvorstand ( 26 BGB) muss sich nicht selbst verpflichten

29 Datengeheimnis ( 5) Definition unbefugt : jede rechts- oder vertragswidrige Nutzung; auch Überschreitung interner Zuständigkeit, z.b. im Verein

30 Technische und organisatorische Maßnahmen ( 9) Verein/Verband muss technische und organisatorische Maßnahmen treffen, um Datenschutz und Datensicherheit zu gewährleisten soweit Aufwand dafür angemessen ist Näheres siehe Anlage zu 9 8 Gebote des Datenschutzes Nutzung als Checkliste

31 Ansprüche des Betroffenen auf Berichtigung Löschung/Sperrung Auskunft

32 Anspruch auf Löschung/Sperrung ( 35), wenn Speicherung unzulässig ist Daten für Zweck der Speicherung nicht mehr erforderlich sind Sperrung statt Löschung unter bestimmten Voraussetzungen (Aufbewahrungsfristen!)

33 Datenschutzbeauftragter ( 4f) ist vom Verein/Verband schriftlich zu bestellen, wenn in der Regel mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden

34 Datenschutzbeauftragter/ Voraussetzungen ( 4f) mit DV beschäftigte Personen? unerheblich, ob AN od. freier MA Beschäftigungsverhältnis = Vertragsbeziehung mit Weisungsbefugnis also auch ehrenamtl. Auftragsverhältnis im Verein

35 Datenschutzbeauftragter/ Voraussetzungen ( 4f) ständig mit automatisierter DV beschäftigt? regelmäßige AufgWahrnehmg, nicht unbedingt Hauptaufgabe nicht nur unmittelb. Tätigkeit an DV-Anlage, sondern auch Vor- + Nacharbeiten + Nutzung

36 Datenschutzbeauftragter/ Voraussetzungen ( 4f) beschäftigt in diesem Sinne: jeder, der im Auftrag des Vereins regelmäßig mit der EDV-gestützten (Mitglieder)verwaltung arbeitet und hierbei personenbezogene Daten erhebt, verarbeitet, nutzt

37 Datenschutzbeauftragter/ Voraussetzungen ( 4f) also z.b.: Vorstand Abteilungsleiter Webmaster externer Dienstleister (Firma mit mehreren Beschäftigten zählt hier als 1 Person)

38 Datenschutzbeauftragter/ Voraussetzungen ( 4f) auch: Schreibkräfte, Kursleiter die lediglich aus DV stammende Angaben nutzen (z.b. Adressen, Teilnehmerlisten)

39 Datenschutzbeauftragter/ persönl. Voraussetzungen ( 4f) nicht bestellt werden dürfen Mitglieder des Vorstands oder für die Datenverarbeitung des Vereins/Verbands verantwortliche Personen/EDV-Leiter einschränkend auszulegen

40 Datenschutzbeauftragter/ Vorauss./Funktion ( 4f) muss die zur Aufgabenerfüllung erforderliche Fachkunde + Zuverlässigkeit haben untersteht direkt dem Vorstand ist auf dem Gebiet Datenschutz weisungsfrei + darf wg. dieser Tätigkeit nicht benachteiligt werden unabhängig, aber nicht entscheidungsbefugt unterliegt Verschwiegenheitspflicht über Betroffene + hat u.u. abgeleitetes Zeugnisverweigerungsrecht; jeder Betroffene kann sich jederzeit an ihn wenden

41 Aufgaben des Datenschutzbeauftragten( 4g) wirkt auf Einhaltung Datenschutzgesetze hin (z.b. durch Kontrollen), insbesondere: überwacht ordnungsgemäße Anwendung DV-Programme (z.b. 9) macht Datenverarbeiter mit gesetzlichen Vorschriften+ Datenschutz vertraut

42 Wenn kein Datenschutzbeauftragter bestellt werden muss, hat der Leiter der nicht- öffentlichen Stelle (z.b. Vereinsvorstand!) die Aufgaben des Datenschutzbeauftragten anders sicherzustellen ( 4g IIa)

43 Weitere Informationen z.b. betreffend Satzung, Mitgliederversammlung, Haftung, Steuern, Datenschutz etc.:

44 Herzlichen Dank für Ihre Aufmerksamkeit! Europäisches Institut für das Ehrenamt Dr. Weller & Uffeln GbR Internet: RA Dr. Frank Weller, Wetzlar Tel.: ra@weller-hilft.de Internet: RA Malte Jörg Uffeln, Gründau Tel.: ra-uffeln@t-online.de Internet: