.png)
Rechtmäßigkeit der Verarbeitung im Verein
Wann darfst Du personenbezogene Daten verarbeiten und welche Rechtsgrundlage musst Du hierzu wählen?
.svg)
.svg)
Wann darfst Du personenbezogene Daten verarbeiten und welche Rechtsgrundlage musst Du hierzu wählen? Der folgende Beitrag soll Dir einen kurzen Überblick verschaffen.
Rechtsgrundlagen sind die wesentliche Voraussetzung für eine datenschutzkonforme Verarbeitung personenbezogener Daten. Grundsätzlich gilt ein Verbot mit Erlaubnisvorbehalt, was nichts anderes bedeutet, als dass die Datenverarbeitung erst einmal unzulässig ist, bis eine geeignete Rechtsgrundlage die Datenverarbeitung erlaubt. Diese ist stets durch die verantwortliche Stelle zu wählen.
Die Wahl der Rechtsgrundlage ist immer davon abhängig welche Art personenbezogener Daten Du verarbeiten willst. In Art. 6 DSGVO werden sechs Rechtsgrundlagen genannt, die für eine Verarbeitung „einfacher“ personenbezogener Daten herangezogen werden können. Zu den einfachen Daten gehören bspw. Name, Adresse oder das Geburtsdatum. Willst Du „sensible“ personenbezogene Daten verarbeiten, musst du bei der Rechtsgrundlagenwahl aus den Möglichkeiten des Art. 9 DSGVO schöpfen. Klassische Beispiele für die sensiblen Daten sind u.a. Gesundheitsdaten, Angaben zur Religion oder zur sexuellen Orientierung.
Bitte beachte, dass die Wahl der Rechtsgrundlage vor Beginn der Datenverarbeitung stattgefunden haben muss, da diese Bestandteil der Informations- und Dokumentationspflichten ist.
Wenn Du jetzt möglicherweise eine Liste mit den Turnierergebnissen der letzten drei Sportevents deines Vereins veröffentlichen willst, benötigst Du dafür eine geeignete Rechtsgrundlage.
Doch welche kannst du nutzen?
Folgend greifen wir einmal die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO auf:
- Einwilligungserklärung
Die Einwilligungserklärung gilt als Allheilmittel unter den Rechtsgrundlagen. Allerdings sind hier einige Anforderungen zu beachten. Bitte beachte insbesondere die formellen Voraussetzungen, welche Art. 7 und die Erwägungsgründe 32 bzw. 42 DSGVO an die Einwilligung knüpfen. Dazu zählt bspw., dass Dein Verein das Vorhandensein einer Einwilligungserklärung jederzeit nachweisen muss und die Einwilligungserklärung in einer einfachen und verständlichen Sprache verfasst ist. Des Weiteren muss die Abgabe der Einwilligungserklärung freiwillig erfolgen. Hierzu muss die betroffene Person eine echte und freie Wahl haben und somit in der Lage sein, die Abgabe der Einwilligungserklärung ggf. zu verweigern, ohne Nachteile deswegen zu erleiden. Idealerweise liegt für jeden Verarbeitungszweck eine geeignete Einwilligungserklärung vor. Die betroffenen Personen können ihre Einwilligungserklärung zudem jederzeit (mit Wirkung in die Zukunft) widerrufen. - Vertragserfüllung
Unter der vertraglichen Verpflichtung ist grundsätzlich die Vertragsanbahnungsphase, Durchführung sowie das Ende der vertraglichen Beziehung zu verstehen. Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitglieder*innen und dem Verein zu betrachten. Durch die Vereinssatzung und ergänzende Regelungen (z.B. Beitragsordnung) ergeben sich die Vereinsziele, für welche die Mitglieder*innendaten verwendet werden dürfen. Der Vertrag über die Mitgliedschaft ist somit die zentrale Rechtsgrundlage, wenn es um die Verwaltung des Vereins und die Betreuung der Mitglieder geht. - Rechtliche Verpflichtung
Sofern du personenbezogene Daten deiner Vereinsmitglieder*innen verarbeiten musst, um gesetzlichen Anforderungen nachzukommen, bspw. einer steuerrechtlichen Aufbewahrungspflicht, kannst Du die Datenverarbeitung auf diese konkrete gesetzliche Rechtsgrundlage stützen. - Schutz lebenswichtiger Interessen
Diese Rechtsgrundlage betrifft vor allem Einrichtungen für die öffentliche Gesundheit und dürfte für Dich in der Regel nicht relevant sein. - Wahrnehmung einer öffentlichen Aufgabe
Die Wahrnehmung einer öffentlichen Aufgabe dürfte in der Regel nicht für Vereine einschlägig sein. Dennoch ist es denkbar, dass Du mit Deinem Verein Aufgaben wahrnimmst, die der Gesetzgeber auf Dich übertragen hat. Sollte dies der Fall sein, kannst Du Dich möglicherweise auf diese Rechtsgrundlage beziehen. - Berechtigtes Interesse
Auch das berechtigte Interesse ist grundsätzlich für eine Vielzahl von Datenverarbeitungsvorgängen als Rechtsgrundlage heranzuziehen. Wichtig ist, dass Du Dein berechtigtes Interesse bzw. das berechtigte Interesse eines Dritten stets dokumentieren musst. Dies kann im Rahmen einer Interessenabwägung in drei Schritten erfolgen. Im ersten Schritt sind die konkreten berechtigten Interessen zu ermitteln. Sodann ist die Erforderlichkeit der von Dir beabsichtigten Datenverarbeitung darzulegen. Am Ende sind die Vorüberlegungen mit den Interessen der betroffenen Personen abzuwägen. Hierbei sind insbesondere die Eingriffe in die Grundrechte der betroffenen Personen zu prüfen.
Zusammenfassung
Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Für die Ausgangsfrage nach einer geeigneten Rechtsgrundlage für den Aushang der letzten Turnierergebnisse kommt sowohl die Einwilligung der betroffenen Personen oder bspw. das berechtigte Interesse in Betracht. Entscheidend ist, dass der Verein als verantwortliche Stelle eine Entscheidung und notwendige Vorbereitungen trifft. In vielen Fällen dürfte auch der Vertrag über die Mitgliedschaft zwischen dem Verein und den jeweiligen Mitglieder*innen die zentrale Rechtsgrundlage für eine Datenverarbeitung sein. Insofern sind die zuständigen (ehrenamtlichen) Mitarbeiter*innen in jedem Verein über die Notwendigkeit des Vorhandenseins einer geeigneten Rechtsgrundlage zu sensibilisieren.
Nähere Informationen zu diesem Thema mit vielen weiteren Anwendungsbeispielen, findest Du nachfolgend unter:
- Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK);
Kurzpapier Nr. 17, Besondere Kategorien personenbezogener Daten; Stand: 27.03.2018;
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_17.pdf - Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK);
Kurzpapier Nr. 20, Einwilligung nach der DSGVO; Stand: 22.02.20219;
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf - Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK);
Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien; Stand: 03/ 2022,
Ab Seite 12;
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2019-OH-Anbieter_Telemedien.pdf
.png)
