Vereinsarbeit ist vielfältig, wie die Übersichten verschiedener Städte über ihre Vereine zeigen. Gemeinsam ist allen Vereinen, dass sie vom menschlichen Miteinander geprägt sind. Selbiges führt aber leider nicht immer zu einem friedlichem Miteinander.
Die „Negativliste“
Bei vereinsinternen Auseinandersetzung kann schonmal die Idee entstehen, eine „Negativliste“ über „vereinsschädigenden Personen“ zu führen. Wie man in der Presse immer wieder lesen kann, werden solche Listen ja auch von anderen Organisationen geführt. Ein Verein aus Schleswig-Holstein führte eine „Negativliste“ über Personen, die sich in der Vergangenheit vereinsschädigend verhielten. Mit der Liste sollte erreicht werden, dass diese Person auch zukünftig nicht wieder im Verein aktiv werden könnten. Das Führen der Liste wurde auf der Mitgliederversammlung beschlossen. Mit der Frage der Zulässigkeit einer solchen Liste hatte sich dann das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Tätigkeitsbericht 2019 zu beschäftigen. Abgesehen von der Fragwürdigkeit solcher Listen im Allgemeinen, konnte der Verein weder die Frage nach der Rechtsgrundlage für eine solche Liste beantworten noch welche konkreten Sachverhalte vorliegen müssten, damit eine Person in die Liste aufgenommen würde. Ebenso wenig konnte beantwortet werden, welches “Wohlverhalten“ eine Person an den Tag legen müsse, um wieder aus der Liste gestrichen zu werden. Der Verein hatte mit dem Führen der Liste gleich mehrere Datenschutzverstöße begangen: fehlende Rechtsgrundlage, fehlende Dokumentation der Zwecke, fehlende Festlegung der erforderlichen Daten, Festlegung der Gründe für die Aufnahme in die Liste, Speicherdauer, Löschregelungen etc. Letztlich hatte der Verein aber auch noch gegen die Transparenzpflicht verstoßen, weil betroffene Personen unter anderem über die Gründe für eine solche Speicherung und ihre Rechte informiert hätten werden müssen. Von daher war das Führen der Liste im Ergebnis unzulässig.
DIE DARSTELLUNG IM INTERNET
Webseiten und die Datenschutzerklärung
Fast jeder Verein betreibt eine Website und verarbeitet somit stets personenbezogene Daten. Er gilt damit als Verantwortlicher im Sinne der DSGVO. Die meisten Webseite haben neben dem Impressum eine Datenschutzerklärung, die auch nach den Vorgaben der Aufsichtsbehörden gut aufrufbar sind. Die Datenschutzinformationen (Datenschutzerklärung) sind von unterschiedlicher Qualität. Neben eigenen Texten werden auch die Texte von Generatoren für die Inhalte verwendet. Voraussetzung für die Verwendung solcher Generatoren ist einerseits das Verständnis, was, einfach gesprochen, so alles für die Webseite verbaut wurde. Andererseits, welche „rechtlichen Begriffe“ welche Definition und Rechtsfolgen haben.
Was dem „beruflichen“ Leser, auch bei Verwendung von Generatoren ins Auge springt, sind folgende Punkte:
- Überlegen Sie genau, welche Techniken auf der Webseite zum Einsatz kommen sollen. Verantwortlich für die Seite und ihre Datenverarbeitungen ist der Verein, d.h. der Vorstand. Von daher kann nur empfohlen werden, sich genau erklären zu lassen, was verwendet wird und auch zu fragen, was datenschutzrechtlich Schwierigkeiten machen kann. Nicht jede kreative Idee der Medienagentur ist datenschutzrechtlich eine gute Idee. Haben Sie Verständnis, wenn die Medienagentur keine datenschutzrechtliche Aussage treffen will. Es gehört nicht zu den Aufgaben von Medienagenturen „Datenschutzinformationen“ zu erstellen. Haftungsrechtlich ist die Agentur gut damit beraten.
- Manche Datenschutzinformationen haben nur Teile der nach Art. 13, 14 DS-GVO zwingend vorgeschriebenen Informationen. Folgen Sie dem Inhalt der Vorschriften, um alle erforderliche Punkte aufzuführen. Achten Sie dabei auch auf den Wortlaut der Vorgaben. Ein Beschwerderecht bei der „zuständigen Aufsichtsbehörde“ sieht Art. 13 DS-GVO nicht vor.
- Andere wiederum schöpfen aus dem Vollen getreu dem Motto: „Viel hilft viel“. Im Datenschutzrecht ist dies jedoch nur bedingt der Fall. Informationen nach der DS-GVO sollen präzise und transparent sein. „One-size-fits-all“ gibt es nicht. Von daher beschränken Sie sich in den Datenschutzinformationen für die Webseite Ihres Vereins neben den Pflichtangaben nur auf die Tools, die tatsächlich auf der Webseite zu einer Verarbeitung personenbezogene Daten führen. Juristisch intransparent sind Datenschutzinformationen, die X verschieden Verarbeitungen oder noch soziale Netzwerke aufführen, die aber entweder nicht auf der Seite zum Einsatz kommen oder nicht mehr existieren.
- Wer nur die „Cookie-Richtlinie“ auf seiner Webseite anbietet, erfüllt nicht die Vorgaben von Art. 13 DS-GVO. Zum einen gibt es keine rechtsverbindliche „Cookie-Richtlinie“, zum anderen ist der Begriff irreführend, wenn sich dahinter die (Pflicht)Informationen nach Art. 13 ff. DS-GVO verbergen.
- Überprüfen Sie Datenschutzerklärungen regelmäßig. Dies sollte nicht nur bei technischen Überarbeitungen erfolgen, sondern auch aufgrund rechtlich relevanter Änderungen. Selbst die großen Anbieter ändern hin und wieder rechtliche Vorgaben oder Erbringen ihre Leistungen von einem anderen Standort aus. So erbringt Google bereits seit Anfang 2019 viele Dienste durch die Google Ireland Limited. In der Konsequenz führt dies auch zu entsprechendem Anpassungsbedarf der rechtlichen Ausführung.
Auch Vereine haben als Anbieter von Webseiten, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für die Webseiten durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese gesichert sind gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind.
Die Vorkehrungen nach Punkt 1 müssen den Stand der Technik berücksichtigen. Eine Vorkehrung ist z.B. die Anwendung der mittlerweile fast immer anzutreffenden Verschlüsselung der Internetverbindung. Zusätzlich sollte aber z.B. auch geklärt werden, ob nicht ein Wartungsvertrag sinnvoll ist, um z.B. WordPress immer auf dem aktuellen Stand zu halten, um Sicherheitslücken zeitnah zu schließen.
DER DAUERBRENNER
Werbung per e-Mail
Vereine haben ein Interesse an Werbung, um ihre Tätigkeit der Öffentlichkeit vorzustellen oder um weitere Mitglieder zu gewinnen.
Unproblematisch ist die Verarbeitung von personenbezogenen Daten für Werbezwecke nach der DS-GVO, weil diese bereits eine Privilegierung der Direktwerbung vorsieht. Ebenso bedarf es keiner gesonderten Einwilligung der Mitglieder, wenn die zur Mitgliedschaft verarbeiteten Daten, wie z.B. die E-Mail-Adresse, verwendet wird, um vereinsrelevante Informationen zu verschicken.
Anders sieht es jedoch bei Werbung mit dem Kommunikationsweg aus. Ungeachtet der Regelung der DS-GVO ist bei Werbung immer auch das Gesetz über den unlauteren Wettbewerb, speziell § 7 UWG zu beachten: bei Werbung unter Verwendung elektronischer Post (E-Mail) ist die vorherige ausdrückliche Einwilligung des Adressaten erforderlich. An diese Einwilligung sind die Anforderungen nach Art. 6 Abs. 1 lit. a, 7 und 4 Nr. 11 DS-GVO geknüpft. Wichtig ist, dass aus der Information zur Einwilligung genau hervorgeht, wofür die Einwilligung erteilt werden soll.
Diese Regelung gilt uneingeschränkt auch für Vereine, die per E-Mail Werbung machen möchten. Auch sie benötigen vorab die freiwillige informierte Einwilligung der Adressaten. Auch die viel zitierte „Bestandskundenwerbung“ ist nicht einfach zulässig, auch wenn es noch so oft geschrieben wird. Natürlich könnte sich ein Verein überlegen, ob er nicht seine Mitglieder (seine „Bestandskunden“) bewerben möchte. Dazu müssen alle Voraussetzungen von § 7 Abs. 3 UWG erfüllt sein. Der Verein muss dies Streitfall darlegen und beweisen können. Ein Verstoß gegen § 7 Abs. 3 UWG ist ein Verstoß gegen das Wettbewerbsrecht und somit auch ein Verstoß gegen die DS-GVO. Problematisch ist bereits die Erfüllung der Voraussetzung, dass der Versender der Mail von dem Adressaten dessen E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten haben muss und die Adresse zur Direktwerbung für „eigene ähnliche Waren oder Dienstleistungen“ verwendet werden soll. Die Rechtsprechung zu diesem Kriterium zeigt, dass an die Begriffe hieran erhebliche Anforderungen geknüpft sind. Um so schwieriger wird es bei einem Verein, dessen „Dienstleistung“ in der Regel aus der Satzung folgt.
Gleichzeitig ist § 7 Abs. 2 UWG aber auch die gesetzliche Regelung, die E-Mail Werbung für die Gewinnung neuer Mitglieder verhindert, wenn keine ausdrückliche Einwilligung der potentieller Neumitglieder vorliegt.
Wer sich ausführlicher mit dem Thema der „Bestandskundenwerbung „beschäftigen möchte, dem sei der 35. Tätigkeitsbericht Datenschutz 2019, Kapitel 1.6, des LfDI Baden-Württemberg empfohlen. Dieser enthält eine verständliche Erläuterung und im Anhang auch eine gute grafische Darstellung der Problematik von § 7 Abs. 3 UWG.
Sollten trotz aller öffentlichen Hilfestellungen Fragen bleiben, berate ich Sie gern anwaltlich dazu. Manches Detail in einem Gespräch kann zu einer deutlich anderen rechtlichen Beurteilung führen.
