Häufig gestellte Fragen und die passenden Antworten

Von der Frage, ob von Bestandsmitgliedern eine erneute Einwilligung eingeholt werden muss, ist die Frage abzugrenzen, ob die Bestandsmitglieder und Bestandskunden über die Datenverarbeitung nachträglich informiert werden müssen. Nach Artikel 13 DSGVO bestehen die Informationspflichten gegenüber der betroffenen Person, wenn die Daten bei dieser erhoben werden. Artikel 14 DSGVO regelt die Informationspflicht für den Fall, dass die Daten nicht bei der betroffenen Person unmittelbar erhoben werden. Eine Aussage, wie mit sogenannten „Altfällen“, also den Bestandsmitgliedern, umzugehen ist, enthalten weder die DSGVO noch die Erwägungsgründe. Da weder der Wortlaut des Artikel 13 DSGVO noch der des Artikel 14 DSGVO auf Bestandsmitglieder zutreffen, wird wohl überwiegend die Ansicht vertreten, dass keine Verpflichtung besteht, die Bestandsmitglieder gesondert zu informieren

Bei den Informationspflichten bzw. der Datenschutzerklärung handelt es sich um eine einseitige Äußerung des Vereins, die keiner Zustimmung durch die betroffene Person bedarf. Diese hat die Informationen lediglich zur Kenntnis zu nehmen, wofür der Verein nachweispflichtig ist. Bei der Einwilligung ist es dagegen erforderlich, dass eine entsprechende Reaktion seitens der betroffenen Person vorliegt. Die in der Vergangenheit teilweise verwendeten sogenannten „Widerspruchs-Lösungen“ sind allerdings unzulässig. Darunter ist zum Beispiel ein solches Vorgehen zu verstehen, wonach die Erklärung unterbreitet wird, dass wenn nicht innerhalb einer bestimmten Frist, z.B. von zwei Wochen, keine ablehnende Rückmeldung vorliege, das Einverständnis angenommen werde. Solche Fiktionen sind datenschutzrechtlich unzulässig! Das Schweigen der angeschriebenen Person kann nicht als Zustimmung gewertet werden. Liegt keine Rückmeldung vor, darf die Datenverarbeitung nicht vorgenommen werden, wenn diese nur auf der Grundlage einer Einwilligung der Person erfolgen darf. 

Nach der DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht. Dies dürfte für die Sportvereine in der Regel nicht zutreffen. Nach dem BDSG (§ 38) ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei sind alle Personen unabhängig von ihrem Status zu berücksichtigen (z.B. ehrenamtlich Tätige Vorstandsmitglieder, selbständige Übungsleiter). Unabhängig von der Anzahl der Personen ist ein Datenschutzbeauftragter zu benennen, wenn eine Datenschutz-Folgeabschätzung durchzuführen ist. Dies ist zum Beispiel der Fall, wenn umfangreich Gesundheitsdaten verarbeitet werden. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden.

Der Datenschutzbeauftragte ist auf der Grundlage seiner beruflichen Qualifikation und des Fachwissens zu bestellen, die er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Darüber hinaus muss er in der Lage sein, die vorgeschriebenen Aufgaben erfüllen zu können:

• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
• Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften
• Anlaufstelle für die und Zusammenarbeit mit der Aufsichtsbehörde. 

Da sicherzustellen ist, dass es zu keinem Interessenkonflikt kommt, sollte der Datenschutzbeauftragte nicht dem Vorstand angehören. Dies gilt insbesondere für den Vorstand nach § 26 BGB. Wenn kein Interessenkonflikt erkennbar ist, soll es unschädlich sein, wenn der Datenschutzbeauftragte zum Beispiel als Beisitzer dem Gesamtvorstand angehört.

Die Kontaktdaten des Datenschutzbeauftragten sind (z.B. auf der Homepage des Vereins) zu veröffentlichen und der jeweiligen Aufsichtsbehörde mitzuteilen.

Kunsturhebergesetz

Die Fragen, ob und inwiefern das Anfertigen, die Veröffentlichung und das Archivieren von Fotos, insbesondere von digitalen Fotos, zulässig sind, kann seit der Geltung der DSGVO rechtlich nicht eindeutig beantwortet werden. Das Anfertigen von Fotos wurde in der Vergangenheit in Deutschland grundsätzlich als zulässig angesehen. Spezielle Regelungen, die das Anfertigen verbieten, gab es nicht. Lediglich die Veröffentlichung von Bildern, auf denen Personen abgebildet sind, war im Kunsturhebergesetz geregelt. Das Kunsturhebergesetz sah vor, dass Bilder von Personen nur mit Einwilligung der abgebildeten Personen veröffentlicht werden dürfen. Allerdings sind im Kunsturhebergesetz auch Ausnahmen vorgesehen. Handelt es sich um Personen aus dem Bereich der Zeitgeschichte, sind die Personen nur Beiwerk einer Örtlichkeit oder Landschaft oder Teilnehmer an Versammlungen, dann konnten die Bilder auch ohne die Einwilligung der abgebildeten Personen veröffentlicht werden.

Zwar handelte es sich bei der Anfertigung und der Veröffentlichung von Bildern auch um einen Datenverarbeitungsvorgang – aus den Bildern kann abgeleitet werden, wann eine Person wo evtl. mit wem war –, in der Vergangenheit wurden die Regelungen des Kunsturhebergesetzes jedoch als spezielle Regelungen vorrangig angewendet. Das Kunsturhebergesetz ist nicht aufgehoben worden, sondern gilt auch weiterhin.

DSGVO

Seit dem 25.05.2018 wird jedoch argumentiert, dass die Regelungen der DSGVO vorrangig zu beachten sind, da diese als europarechtliche Vorschriften dem Kunsturhebergesetz vorgehen. Insofern besteht derzeit eine erhebliche Unsicherheit, wie mit der Anfertigung, Veröffentlichung und Archivierung von Personenbildern umzugehen ist. Hierzu werden unterschiedliche Ansichten vertreten. Teilweise wird die Ansicht vertreten, dass für die Anfertigung eines Bildes und dessen Veröffentlichung insbesondere im Internet die Einwilligung der abgebildeten Person erforderlich ist (vgl. Merkblatt des Landesbeauftragten für Datenschutz Baden-Württemberg, Datenschutz im Verein nach der Datenschutzgrundverordnung (DSGVO), Seite 28). Dagegen vertritt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in einem Vermerk die Auffassung, dass Fotos von einer unüberschaubaren Anzahl von Menschen, die nicht von Journalisten gefertigt und veröffentlicht werden, zur Wahrung berechtigter Interessen des Verantwortlichen (=Vereins) veröffentlicht werden können. Allerdings weist dieser auch darauf hin, dass die Rechtslage derzeit überwiegend unsicher sei (a.a.O. Seite 9). Dagegen vertritt das Bundesministerium des Inneren die Ansicht, dass das Kunsturhebergesetz einschließlich die darin enthaltenen Ausnahmen als sogenanntes Regelungsgesetz weiterhin gilt. Auf der Internetseite des BMI heißt es:

„Für die Veröffentlichung von Fotografien enthält das Kunsturhebergesetz (KunstUrhG) ergänzende Regelungen, die auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung fortbestehen. Das Kunsturhebergesetz stützt sich auf Artikel 85 Absatz 1 der Datenschutz-Grundverordnung, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Es steht nicht im Widerspruch zur Datenschutz-Grundverordnung, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der Datenschutz-Grundverordnung ein.“

(vgl. https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html; Frage: Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig? zuletzt abgerufen am 13.07.2018).

Vorsicht! 

Die Rechtslage im Hinblick auf das Anfertigen und die Veröffentlichung von Fotos und Videos, auf denen Personen abgebildet sind, ist demnach derzeit vollkommen unklar. Die Vereine sollten diesbezüglich zurückhaltend sein und die weitere Entwicklung beobachten. Zur Absicherung sollten nur Fotos und Videos veröffentlicht werden, bei denen die abgebildeten Personen in die Veröffentlichung nachweisbar eingewilligt haben. Allerdings sind den Personen dabei vorab folgende Informationen zur Verfügung zu stellen:

Wer ist der datenschutzrechtlich Verantwortliche?

Für welche Zwecke werden die Fotos/Videos angefertigt und wo sollen sie für wie lange veröffentlicht werden?

Es ist darauf hinzuweisen, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. 

Bei der Veröffentlichung von Mitgliederlisten, Ergebnislisten, Mannschaftsaufstellungen aber auch von Daten von Übungsleitern und Funktionären sind verschiedene Aspekte zu beachten. Grundsätzlich ist zu unterscheiden zwischen Veröffentlichungen in Aushängen und Vereinspublikationen einerseits und im Internet andererseits. Die Veröffentlichung der vereinseigenen Kontaktdaten von Funktionären und Trainern ist sowohl in Aushängen als auch im Internet zulässig. Für die Veröffentlichung von privaten Kontaktdaten oder eines Bildes, insbesondere im Internet, wird die Einwilligung erforderlich sein. Die Veröffentlichung von Mannschaftsaufstellungen und Spiel- und Wettkampfergebnissen in Aushängen und im Internet dient der Wahrung der berechtigten Interessen des veranstaltenden Vereins. Berechtigte Interessen oder die Beeinträchtigung von Grundrechten und Grundfreiheiten der betroffenen Personen, die einer Veröffentlichung entgegenstehen, sind in der Regel nicht erkennbar. Allerdings sollten die Angaben im Internet auf das absolut Notwendige beschränkt werden. Es wird empfohlen, allenfalls Vor- und Nachname Vereinszugehörigkeit, das erzielte Ergebnis und ggf. das Alter anzugeben. Ferner sollen diese Daten im Internet nur für eine begrenzte Zeit eingestellt werden, wenn es sich um Freizeit- und Breitensportler handelt. Allerdings sind die betroffenen Personen im Vorfeld auf geeignete Weise zu informieren. Dies kann bei Mitgliedern über die Satzung geschehen. Bei Nichtmitgliedern kann dies über die Anmeldung erreicht werden.

Die Veröffentlichung von persönlichen Angaben (z.B. Hochzeit, Geburt eines Kindes, runde Geburtstage) sollte nur auf der Grundlage einer ausdrücklichen Einwilligung erfolgen. Die öffentliche Bekanntgabe von Vereinsausschlüssen, Spielsperren oder Sportgerichtsentscheidungen ist aufgrund der Prangerwirkung gegenüber den betroffenen Personen unzulässig. In diesem Zusammenhang dürfen allenfalls die Personen hiervon Kenntnis erhalten, die diese im Rahmen ihrer Aufgaben benötigen.

Der Verein muss zur Erfüllung der Anforderungen an die Anbieterkennzeichnungspflicht (§ 5 TMG) folgende Angaben bereitstellen:

• Vollständig ausgeschriebener Vereinsname einschließlich des Rechtsformzusatzes; Anschrift des Vereinssitzes;
• Benennung des gesetzlichen oder rechtsgeschäftlichen Vertreters;
• Vereinsregister bei dem der Verein eingetragen ist nebst Registernummer;
• Kontaktinformationen, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation ermöglichen (mindestens Angabe einer E-Mail-Adresse und eines weiteren elektronischen oder eines nicht-elektronischen Kommunikationsmittels, z.B. einer elektronischen Anfragemaske oder einer Telefonnummer).

Es besteht keine Verpflichtung, den Datenschutz in der Satzung zu verankern. Allerdings kann die Satzung die Ziele und Zwecke vorgeben, für die die Daten verarbeitet werden dürfen (vgl. Merkblatt des Landesbeauftragten für den Datenschutz des Landes Baden-Württemberg „Datenschutz im Verein nach der Datenschutzgrundverordnung (DSGVO)“, Seite 7; „Praxis-Reihe Datenschutzbestimmungen praktisch umsetzen – Nr. 1 Datenschutz bei Vereinen“ des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Seite 7).

Anhand der Satzung kann dann begründet werden, dass eine bestimmte Datenverarbeitung zur Erfüllung des Vertrages (hier: das Mitgliedschaftsverhältnis) erforderlich im Sinne des Artikel 6 Absatz 1 b) DSGVO ist. Eine Satzungsklausel kann aber keine Einwilligung der betroffenen Personen ersetzen bzw. fingieren.

Folgendes Formulierungsbeispiel kann für die Satzung zum Thema Datenschutz verwendet werden:

§ 23 Datenschutz

1)         Zur Erfüllung der Zwecke und Aufgaben des Vereins werden unter Beachtung der Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) personenbezogene Daten über persönliche und sachliche Verhältnisse der Mitglieder im Verein verarbeitet.

2)         Soweit die in den jeweiligen Vorschriften beschriebenen Voraussetzungen vorliegen, hat jedes Vereinsmitglied insbesondere die folgenden Rechte:

- das Recht auf Auskunft nach Artikel 15 DS-GVO,

- das Recht auf Berichtigung nach Artikel 16 DS-GVO,

- das Recht auf Löschung nach Artikel 17 DS-GVO,

- das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DS-GVO,

- das Recht auf Datenübertragbarkeit nach Artikel 20 DS-GVO,

- das Widerspruchsrecht nach Artikel 21 DS-GVO und

- Recht auf Beschwerde bei einer Aufsichtsbehörde nach Artikel 77 DS-GVO.

3)         Den Organen des Vereins, allen Mitarbeitern oder sonst für den Verein Tätigen ist es untersagt, personenbezogene Daten unbefugt zu anderen als dem jeweiligen zur Aufgabenerfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, Dritten zugänglich zu machen oder sonst zu nutzen. Diese Pflicht besteht auch über das Ausscheiden der oben genannten Personen aus dem Verein hinaus.

4)         Zur Wahrnehmung der Aufgaben und Pflichten nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz bestellt der geschäftsführende Vorstand einen Datenschutzbeauftragten.

Die Frage, welche konkreten Daten nach einer Kündigung zu löschen sind und welche Daten im Rahmen der Aufbewahrungspflichten vorzuhalten sind, kann nicht pauschal beantwortet werden. Nach § 147 der Abgabenordnung sind zum Beispiel alle Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen zehn Jahre lang aufzubewahren. Dazu zählen zum Beispiel die Buchungsbelege, die steuerrelevanten Daten über Spender oder die Daten, die erforderlich sind, um eine Beitragszahlung in dem Aufbewahrungszeitraum nachzuweisen. Diese Unterlagen, die zwangsläufig personenbezogene Daten enthalten, sind während der Aufbewahrungspflicht aufzubewahren, ihre Verarbeitung ist aber in der Form einzuschränken, dass auf sie im Alltagsgeschäft nicht zugegriffen werden darf.

Ferner besteht eine sechsjährige Aufbewahrungsfrist für Geschäftsbriefe, mit denen in gleicher Weise zu verfahren ist. Gelöscht werden müssen die Daten, die nicht den unter die gesetzlichen Aufbewahrungsfristen unterliegen. Dies kann die Bankverbindung sein, aber auch die Kontaktdaten wie die E-Mail-Adresse oder die Handynummer. Die Frage, ob bestimmte Daten für Zwecke einer Vereinschronik vorgehalten werden dürfen, ist noch nicht abschließend geklärt. Vielfach haben die Vereine ein berechtigtes Interesse daran, die Zusammensetzung von Gremien, Mannschaften oder Sportgruppen oder auch hervorragende sportliche Ergebnisse von Vereinssportlern für die Nachwelt zu dokumentieren. Hier könnte mit der Wahrung berechtigter Interessen argumentiert werden. Ob ein Widerspruch der betroffenen Person dagegen dazu führt, dass diese Form der Verarbeitung zu unterbleiben hat, kann ebenfalls derzeit noch nicht abschließend beantwortet werden. Dies ist jedenfalls dann der Fall, wenn entgegenstehende Interessen oder die Grundrechte und Grundfreiheiten der Person dem entgegenstehen. Ob dies der Fall ist, hängt dann vom jeweiligen Einzelfall ab. 

Die Nutzung des Massenger-Dienstes „WhatsApp“ ist aus datenschutzrechtlicher Sicht höchst problematisch.
So heißt es im Jahresbericht 2017 der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen auf Seite 94 f.:

„Ein weiterer Kritikpunkt: WhatsApp liest bei der Installation Telefonnummern und weitere Datenkategorien aus, die im Adressbuch auf dem Gerät der Nutzerinnen und Nutzer gespeichert sind. Anschließend erfolgt ein Abgleich dieser Daten mit der Datenbank aller durch WhatsApp gespeicherten Bestandsdaten. Dies geschieht unabhängig davon, ob die Telefonnummern anderen WhatsApp-Nutzerinnen und -Nutzern gehören und ob diese damit einverstanden sind oder davon überhaupt auch nur wissen. Besonders brisant dabei ist: Für die Weitergabe dieser Daten sind die Nutzerinnen und Nutzer von WhatsApp datenschutzrechtlich verantwortlich. Über die Nutzung für rein private oder familiäre Zwecke hinaus wären, mangels einer gesetzlichen Erlaubnis für die Weitergabe der Daten, grundsätzlich die Einwilligungen aller Personen einzuholen, deren Telefonnummern im Adressbuch gespeichert sind. Wenn die Nutzerinnen und Nutzer dies nicht können, dann sollten sie bei der Installation der App zumindest darauf achten, dass der App, soweit dies technisch möglich ist, keine Zugriffsrechte auf das Adressbuch des Endgerätes eingeräumt werden. Alternativ sollten Nutzerinnen und Nutzer ein Endgerät oder ein Benutzerprofil auf ihrem Endgerät verwenden, in dessen Adressbuch außer der eigenen Telefonnummer keine weiteren vorhanden sind. (…) Bei der Nutzung von WhatsApp bestehen viele Rechtsunsicherheiten, insbesondere was das Hochladen der Adressbuchdaten unbeteiligter Dritter an WhatsApp und die Weitergabe von Kundinnen- und Kundendaten an Facebook betrifft.“

Vor diesem Hintergrund wird die Ansicht vertreten, dass der Verein, der offiziell WhatsApp-Gruppen einrichtet, einen Datenschutzverstoß begeht, wenn durch den Zugriff von WhatsApp auf das Telefonadressbuch der Nutzerinnen und Nutzer auch Daten von im Telefonadressbuch gespeicherten Personen an WhatsApp ohne deren ausdrückliche Einwilligung übermittelt werden.

In der Bundesrepublik Deutschland wird zwischen dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einerseits und den jeweiligen Landesbeauftragten für Datenschutz und Informationsfreiheit unterschieden. Der oder die Bundesbeauftragte ist in erster Linie zuständig für die öffentlichen Stellen des Bundes. In den einzelnen Bundesländern sind die Landesbeauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörden eingerichtet. Diese sind zum Beispiel für die nicht-öffentlichen Stellen zuständig, die ihren Sitz in dem jeweiligen Bundesland haben. Die zuständige Aufsichtsbehörde für Vereine, die ihren Sitz in Nordrhein-Westfalen haben, ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf, die zuständige Aufsichtsbehörde.