Datenschutz im Verein und Verband Dr. Frank Weller Rechtsanwalt und Mediator Europäisches Institut für das Ehrenamt Dr. Weller & Uffeln GbR
Die Erfindung des Datenschutzes 1983: Volkszählungsurteil des Bundesverfassungsgerichts Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 GG) maßgeblich u.a.: Grundsatz der Verhältnismäßigkeit
Anwendungsbereich BDSG/ nicht-öffentliche Stellen( 2 Abs.4) sämtliche Personen und Personenvereinigungen, wie z.b. Privatpersonen, Einzelfirmen, Selbständige, Freiberufler AG, GmbH, KG etc. Vereine, Verbände, egal ob gemeinnützig oder rechtsfähig Bürgerinitiativen etc.
Begriffsbestimmungen ( 3) Erheben = Beschaffen von Daten Verarbeiten = Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (siehe nähere Definitionen) Nutzen = jede Verwendung personenbezogener Daten
Begriffsbestimmungen ( 3) Beispiele für personenbezogene Daten: Name, Adresse, Familienstand, Beruf, Geburtsdatum, Staatsangehörigkeit, Vertrags- und Besitzverhältnisse, Partei- und Vereinsmitgliedschaften, Überzeugungen, Aussehen, Eigenschaften, Krankheiten etc. nicht Daten juristischer Personen
Zentraler Grundsatz ( 4) Ein Verein/Verband darf personenbezogene Daten nur erheben, verarbeiten oder nutzen, soweit eine Vorschrift des BDSG oder eine sonstige Rechtsvorschrift dies erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat.
28 BDSG als maßgeblicher Erlaubnistatbestand im BDSG Datenverarbeitung zulässig im Rahmen der Zwecke eines rechtsgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses (Mitgliedschaft)
28 BDSG als maßgeblicher Erlaubnistatbestand im BDSG Wortlaut 28 Abs. 1 Nr. 1/2 BDSG: Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1.wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist
28 BDSG Wortlaut 28 Abs. 1 Nr. 1/2 BDSG: 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt
28 BDSG Abs. 1 Nr. 3: allgemein zugängliche Daten Abs. 2: Übermittlung/Nutzung für fremde Zwecke Abs. 3: Verarbeitung/Nutzung für Zwecke der Werbung oder des Adresshandels
28 - Überblick: Besondere Arten personenbezogener Daten wie z.b. Angaben über ethnische Herkunft, politische Meinungen, religiöse/philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit ( 3 Abs. 9) dürfen nur stark eingeschränkt erhoben, verarbeitet, genutzt werden ( 28 Abs. 6-9), meist Einwilligung erforderlich oder Satzungsklausel (Koronarsport!)
DV im Verein/Verband Maßstab für rechtliche Prüfung: Satzung des Vereins/Verbands prägend für rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis
Abstufung unter Beachtung des Vereins-/Verbandszwecks Datenverarbeitung etc. zulässig für Daten, die für den Vereinszweck unbedingt erforderlich sind oder zumindest in einem unmittelbaren Zusammenhang mit diesem stehen, ohne die ein geregeltes Funktionieren des Vereins also nicht möglich ist Satzung Zweck
Beachtung Vereins-/ Verbandszweck Name und Anschrift des Mitglieds Bankverbindung bei Lastschrifteinzug (Satzung!) Eintrittsdatum Lizenzen Funktionen im Verein TelNr/E-Mail Vorstandsmitglied Geburtsdatum (Wettkampfklasse, Stimmrecht bei Volljährigkeit) E-Mail-Adr. allgemein, wenn Satzung E-Mail zulässt
Beachtung Vereins- /Verbandszweck Datenverarbeitung etc. zulässig, wenn für den Vereinszweck nicht unabdingbar, aber nützlich aber nur, soweit Daten zur Wahrung berechtigter Interessen des Vereins erforderlich sind und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen am Ausschluß der DV überwiegt
Beachtung Vereins- /Verbandszweck berechtigte Interessen des Vereins: dem Vereinszweck gemäß Satzung dienende, vernünftige ideelle oder wirtschaftliche Interessen
Beachtung Vereins- /Verbandszweck schutzwürdige Interessen des Betroffenen: der Verwirklichung rechtmäßiger Zielsetzungen dienend, insbesondere dem Schutz der Privatsphäre oder der Vermeidung persönlicher oder wirtschaftlicher Nachteile (auch hier Satzungszweck beachten)
Beachtung Vereins-/ Verbandszweck z.b. TelNr/E-Mail-Adresse einfaches Mitglied Geburtsjahr (Statistik) Helferlisten etc. Grenzen zur 1. Alternative sind fließend
Datenübermittlung Zulässigkeit unterschiedlich nach Art der Datenverwendung zu beurteilen: z.b. interne Nutzung vs. Übermittlung an Dritte Wer ist Dritter? - Personen außerhalb des Vereins - unbefugte Personen innerhalb des Vereins (Aufgabe!)
Datenübermittlung Vorsicht bei Veröffentlichungen in Vereinszeitung, Presse, Internet, z.b. Ehrungen, Gratulationen, Hinweise auf Helfer sehr sorgfältige Interessenabwägung nur unbedingt notwendige Daten besser: Einwilligung einholen oder Datenschutzklausel in Satzung oder Vereinbarung
Datenübermittlung Ergebnis: bei Ehrungen, Gratulationen und Übermittlungen aus wirtschaftlichen Gründen (Sponsoring): Interesse der betroffenen Person überwiegt meist Einwilligung erforderlich
Exkurs: Hessisches Datenschutzgesetz gilt für Behörden+sonstige öffentliche Stellen des Landes, der Gemeinden und Kreise sowie der sonstigen der Aufsicht des Landes unterstehenden jur. Pers. des öffentl. Rechts+für deren Vereinigungen ungeachtet ihrer Rechtsform DV zulässig, wenn zur rechtmäßigen Aufgabenerfüllung der Stelle und für den jeweils damit verbundenen Zweck erforderlich oder Einwilligung
Exkurs: TMG Telemediengesetz 1,2: Telemedien=elektronische Informations- und Kommunikationsdienste (z.b. Webseiten, Foren, Newsletter) 5, 6: Info-Pflichten: Impressum, Anbieterkennzeichnung 12, 14, 15: Erhebung, Verwendung von Daten 13: weitere Info-Pflichten
Einwilligung des Betroffenen ( 4a) Schriftform erforderlich, soweit nicht wg. besonderer Umstände andere Form angemessen elektronische Form (E-Mail) statt schriftlicher Form nur statthaft, wenn mit elektronischer Signatur nach dem Signaturgesetz ( 126a BGB) versehen Schriftform bei Netzwerken, Internetforen ( 13 TMG)
Datengeheimnis ( 5) Den bei der DV beschäftigten Personen ist untersagt, Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Sie sind bei Aufnahme Tätigkeit auf Datengeheimnis persönlich zu verpflichten!
... Datengeheimnis ( 5) Wer ist bei der DV beschäftigt? alle Mitarbeiter/Innen, die Daten verarbeiten, auch wenn nur (geringer) Teil der Tätigkeit nicht nur AN, sondern auch Praktikanten, freie MA etc.
Datengeheimnis ( 5) bei DV beschäftigt ehrenamtliche MA (weite Auslegung des Begriffs beschäftigt, Rechtsgrundlage Beschäftigung unerheblich, Auftragsverhältnis zum Verein/Verband reicht aus, z.b. Webmaster, Administratoren) Personen, die auf DV Einfluß nehmen, z.b. durch Weisungen
Datengeheimnis ( 5) bei DV beschäftigt externes Dienstleistungs-/ Wartungspersonal (Verpfl. durch Fa?) auch MA, die Daten lediglich zur Kenntnis nehmen = nutzen (Schreibkräfte, Kursleiter etc.) Vertretungsvorstand ( 26 BGB) muss sich nicht selbst verpflichten
Datengeheimnis ( 5) Definition unbefugt : jede rechts- oder vertragswidrige Nutzung; auch Überschreitung interner Zuständigkeit, z.b. im Verein
Technische und organisatorische Maßnahmen ( 9) Verein/Verband muss technische und organisatorische Maßnahmen treffen, um Datenschutz und Datensicherheit zu gewährleisten soweit Aufwand dafür angemessen ist Näheres siehe Anlage zu 9 8 Gebote des Datenschutzes Nutzung als Checkliste
Ansprüche des Betroffenen auf Berichtigung Löschung/Sperrung Auskunft
Anspruch auf Löschung/Sperrung ( 35), wenn Speicherung unzulässig ist Daten für Zweck der Speicherung nicht mehr erforderlich sind Sperrung statt Löschung unter bestimmten Voraussetzungen (Aufbewahrungsfristen!)
Datenschutzbeauftragter ( 4f) ist vom Verein/Verband schriftlich zu bestellen, wenn in der Regel mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden
Datenschutzbeauftragter/ Voraussetzungen ( 4f) mit DV beschäftigte Personen? unerheblich, ob AN od. freier MA Beschäftigungsverhältnis = Vertragsbeziehung mit Weisungsbefugnis also auch ehrenamtl. Auftragsverhältnis im Verein
Datenschutzbeauftragter/ Voraussetzungen ( 4f) ständig mit automatisierter DV beschäftigt? regelmäßige AufgWahrnehmg, nicht unbedingt Hauptaufgabe nicht nur unmittelb. Tätigkeit an DV-Anlage, sondern auch Vor- + Nacharbeiten + Nutzung
Datenschutzbeauftragter/ Voraussetzungen ( 4f) beschäftigt in diesem Sinne: jeder, der im Auftrag des Vereins regelmäßig mit der EDV-gestützten (Mitglieder)verwaltung arbeitet und hierbei personenbezogene Daten erhebt, verarbeitet, nutzt
Datenschutzbeauftragter/ Voraussetzungen ( 4f) also z.b.: Vorstand Abteilungsleiter Webmaster externer Dienstleister (Firma mit mehreren Beschäftigten zählt hier als 1 Person)
Datenschutzbeauftragter/ Voraussetzungen ( 4f) auch: Schreibkräfte, Kursleiter die lediglich aus DV stammende Angaben nutzen (z.b. Adressen, Teilnehmerlisten)
Datenschutzbeauftragter/ persönl. Voraussetzungen ( 4f) nicht bestellt werden dürfen Mitglieder des Vorstands oder für die Datenverarbeitung des Vereins/Verbands verantwortliche Personen/EDV-Leiter einschränkend auszulegen
Datenschutzbeauftragter/ Vorauss./Funktion ( 4f) muss die zur Aufgabenerfüllung erforderliche Fachkunde + Zuverlässigkeit haben untersteht direkt dem Vorstand ist auf dem Gebiet Datenschutz weisungsfrei + darf wg. dieser Tätigkeit nicht benachteiligt werden unabhängig, aber nicht entscheidungsbefugt unterliegt Verschwiegenheitspflicht über Betroffene + hat u.u. abgeleitetes Zeugnisverweigerungsrecht; jeder Betroffene kann sich jederzeit an ihn wenden
Aufgaben des Datenschutzbeauftragten( 4g) wirkt auf Einhaltung Datenschutzgesetze hin (z.b. durch Kontrollen), insbesondere: überwacht ordnungsgemäße Anwendung DV-Programme (z.b. 9) macht Datenverarbeiter mit gesetzlichen Vorschriften+ Datenschutz vertraut
Wenn kein Datenschutzbeauftragter bestellt werden muss, hat der Leiter der nicht- öffentlichen Stelle (z.b. Vereinsvorstand!) die Aufgaben des Datenschutzbeauftragten anders sicherzustellen ( 4g IIa)
Weitere Informationen z.b. betreffend Satzung, Mitgliederversammlung, Haftung, Steuern, Datenschutz etc.: - www.ehrenamt-europa.eu - www.weller-hilft.de - www.uffeln.eu
Herzlichen Dank für Ihre Aufmerksamkeit! Europäisches Institut für das Ehrenamt Dr. Weller & Uffeln GbR Internet: www.ehrenamt-europa.eu RA Dr. Frank Weller, Wetzlar Tel.: 0 64 41 20 81 260 email: ra@weller-hilft.de Internet: www.weller-hilft.de RA Malte Jörg Uffeln, Gründau Tel.: 0 60 51 1 89 79 email: ra-uffeln@t-online.de Internet: www.uffeln.eu