„Alle Deutschen haben das Recht, Vereine und Gesellschaften zu bilden.“
In Deutschland gibt es mehr als 600.000 gemeinnützige Organisationen, von denen 95 % Vereine sind, so eine Umfrage der Bertelsmann-Stiftung aus 2017.
Bei den meisten Idealvereinen handelt es sich um eingetragene Vereine (e.V.). Die Vereinsvielfalt wird getragen durch das überwiegend ehrenamtliche Engagement der Mitglieder. Auch wenn einige Vereine in den letzten Jahren mit abnehmender Mitgliederzahl zu kämpfen hatten, gab es wiederum andere Vereine, wie z.B. Fördervereine, die verstärkt gegründet wurden.
Vereinsarbeit findet immer auch im Rahmen bestehender Gesetze statt. Je nach Tätigkeit des Vereins hat dieser mehr oder weniger stark rechtliche Vorgaben umzusetzen, die in den letzten Jahren umfangreicher wurden. Zu den rechtlichen Vorgaben gehören auch die DSGVO, das Telemediengesetz oder das UWG.
Vür die Vereine gab und gibt es von einigen Aufsichtsbehörden sehr gute Veröffentlichungen im Internet, die unterstützen und Vorlagen bieten. Helfen diese nicht weiter oder bleiben Fragen, sollten auch Vereine auf fachkundige Berater zurückgreifen. Das gilt insbesondere für Vereine, die auch Gesundheitsdaten verarbeiten.
Der nachfolgende Beitrag und weitere Folgen werden Themen aufgreifen, die entweder in den Tätigkeitsberichten der Aufsichtsbehörden angesprochen wurden oder die in der Praxis immer wieder anzutreffen sind.
DER VEREIN UND DAS VEREINSKONTO
Das Vereinskonto und das Geldwäscherecht
Das Vereinsleben wird durch die Mitglieder getragen. Rechtlich ist das Mitgliedschaftsverhältnis ein vertragsähnliches Verhältnis, so dass Art. 6 Abs. 1 lit. b DS-GVO für die Durchführung des Mitgliedschaftsverhältnisses die Rechtsgrundlage ist. Verarbeitet werden dürfen die Daten, die für diesen Zweck erforderlich sind.
Zu den Tätigkeiten eines Vereins gehört auch die Führung des Vereinskontos. Bei Eröffnung des Kontos hat die Bank auf jeden Fall die Personen zu identifizieren, die eine Bankvollmacht erhalten sollen. In der Regel sind es der Kassierer und Mitglieder des Vorstandes. Ein Verein aus Berlin übergab im Jahr 2019 zu diesen Zwecken einer Bank Personalausweiskopien der geplanten Bevollmächtigten, die Steueridentitätsnummern sowie einen Auszug aus dem Vereinsregister. Rechtsverkehr mit dem Ausland war durch den Verein nicht geplant. Die Bank vertrat die Auffassung, dass sie nach dem Geldwäschegesetz und der Abgabenordnung verpflichtet sei, Personalausweiskopien von allen Vorstandsmitgliedern zu erhalten, obwohl diese keine Kontovollmacht erhalten sollten.
Nach dem Geldwäschegesetz dürfen Banken bei Eröffnung eines Kontos eine Kopie des Personalausweises der wirtschaftlich Berechtigten anfertigen, um diese zu identifizieren. Erhoben werden dürfen die Namen der Mitglieder des Vertretungsorgans, aber auch das Geburtsdatum, der Geburtsort und die Anschrift. Die Bank war der Auffassung, dass sie von allen Vorstandsmitgliedern zu diesem Zweck Personalausweiskopien erhalten könne. Da der Bank jedoch einen Auszug aus dem Vereinsregister erhielt, hatte sie bereits die Namen, Geburtsdaten und Wohnorte aller Vorstandsmitglieder. Da bei Eingehung einer Geschäftsbeziehung die Identifikationsanforderungen der Bank abhängig sind von der Risikoeinschätzung der Geschäftsbeziehung, d. h. die Maßnahmen der Bank richten sich nach dem Geldwäsche- und Terrorismusfinanzierungsrisiko, war die Berlinerische Datenschutzbeauftragte der Auffassung, dass die Bank keine Rechtsgrundlage hatte, auch von den Vorstandsmitgliedern eine Kopie des Personalausweises zu erhalten, die keine Bankvollmacht bekommen sollten. Die Aufsichtsbehörde kam daher zu dem Schluss, dass die Bank in der Regel nicht die Personalausweiskopien von Vorstandsmitgliedern verlangen darf, die keine Kontovollmacht erhalten. (Vergleiche Jahresbericht 2019 der Berliner Beauftragen für den Datenschutz und Informationsfreiheit, Seite 151).
SCHEIDEN TUT WEH
Das Ausschlussverfahren
Trotz jahrelanger Harmonie kann der Punkt kommen, an dem der Vorstand ein Ausschlussverfahren in Erwägung zieht. Die Landesbeauftragte für den Datenschutz Niedersachsen beschäftigte sich in ihrem 26. Tätigkeitsbericht 2020, Seite 184 mit der Frage, ob und welche Verarbeitung personenbezogener Daten im Falle eines Ausschlussverfahrens zulässig ist. In dem Fall wurden personenbezogenen Daten der vom Ausschlussverfahren betroffenen Mitglieder aus öffentlichen Quellen wie z.B. der Zeitung oder sozialen Medien bzw. Daten, die von Dritten übermittelt wurden, verarbeitet. Fraglich ist natürlich, ob die Verarbeitung dieser personenbezogenen Daten überhaupt zulässig ist. Wie eingangs erwähnt, erfolgt die Datenverarbeitung innerhalb des Vereins in der Regel auf Grundlage von Art. 6 lit. b DSGVO. Zu einem Vertragsverhältnis gehören aber nicht nur die Begründung und Durchführung, sondern auch seine Beendigung. Im Falle einer Beendigung sind von den Vertragsparteien dann auch noch nachvertragliche Pflichten zu beachten. Die Aufsichtsbehörde war der Auffassung, dass im Rahmen von vereinsinternen Untersuchungen über die Aufrechterhaltung einer Mitgliedschaft auch personenbezogene Daten verarbeitet werden dürfen, die aus den genannten Quellen stammen. Zur Klärung der Frage, ob eine Mitgliedschaft im Einklang mit dem Vereinszweck oder der Satzung stehe bzw. ein Mitglied sich vereinsregelkonform verhalte, dürfe ein Verein auch auf Daten zurückgreifen, die öffentlich zugänglich seien oder ihm anonym zugespielt würden. Bei dieser Entscheidung muss mit Sicherheit der Einzelfall betrachtet werden und insbesondere die Frage nach der Schwere des schädigenden Verhaltens. Nicht jede missliebige Meinungsäußerung wird eine Datenverarbeitung legitimieren.
DIE ÖFFENTLICHKEIT
Die Veröffentlichung von Daten
In Vereinen wird vielleicht noch eher gestritten, als in geschäftlichen Beziehungen. Das ULD wurde daher mit einem Fall beschäftigt, bei dem es um das Aushängen von Schriftverkehr in öffentlich zugänglichen Schaukästen des Vereins ging (Tätigkeitsbericht 2019 des ULD). Ein Vereinsvorsitzender hatte ein Schreiben eines Vereinsmitgliedes an die anwaltliche Vertretung des Vereinsvorstandes in einem öffentlich zugänglichen Schaukasten ausgehängt. In dem ausgehängten Schreiben waren jedoch verschiedene personenbezogene Daten des Vereinsmitgliedes enthalten. Auch hier stellte sich natürlich die Frage nach der Rechtsgrundlage der Veröffentlichung des Schreibens, da auch die Offenlegung personenbezogener Daten eine Verarbeitung ist, die einer Rechtsgrundlage bedarf. In der Regel wird man sich als Verantwortlicher auf das berechtigte Interesse nach Art. 6 lit. f DS-GVO berufen wollen. Problematisch war allerdings die Erforderlichkeit der Offenlegung im Schaukasten. Das ULD wies darauf hin, dass zu prüfen gewesen sei, ob anstelle der Veröffentlichung alternative Maßnahmen vorhanden seien, die nicht oder weniger tief in das Recht der betroffenen Person eingreifen würden und es dem Verein dennoch erlaubten, seine Interessen wirksam durchzusetzen. So hätten andere Vorstandskollegen die Information z.B. auch postalisch erhalten können. Insbesondere kann man bei einem öffentlich zugänglichen Glaskasten natürlich auch die Frage stellen, ob nicht eine Prangerwirkung erzielt wird. Da es an der Erforderlichkeit mangelte, war die Offenlegung durch das öffentliche Aushängen im Schaukasten rechtswidrig.
NUR WEIL ES VIELE MACHEN, IST ES NICHT RICHT
Die Informationspflichten
Abschließend sei noch ein Thema angesprochen, das hartnäckig immer wieder falsch behandelt wird: Die Information nach Art. 13, 14 DSGVO. Beide Regelungen legen fest, wann und welche Informationen betroffenen Personen zur Verfügung zu stellen sind. Keine der genannten Regelungen und auch keine andere Regelung schreiben zwingend vor, dass die betroffene Person den Empfang, geschweige denn die Kenntnisnahme der Information, zu quittieren hat. Dies gilt auch für die Datenschutzerklärung auf der Webseite. Nichtsdestotrotz hat sich aus rechtlich nicht nachvollziehbaren Gründen eingebürgert, dass der eine oder andere Verantwortliche zwingend eine Unterschrift oder auf der Webseite ein Opt-in für die Kenntnisnahme oder sogar eine Einverständniserklärung für die Datenschutzhinweise- bzw. -erklärung haben will. Vor dem Hintergrund der damit einhergehenden zivilrechtlichen Probleme sollte von derartigen Pflichtfeldern und schon aufgrund der fehlenden Verpflichtung in Artt. 13, 14 oder 12 DSGVO abgesehen werden. Es lässt sich hier auch die Auffassung vertreten, dass der Zwang einen Verstoß gegen die DSGVO darstellt, weil die DSGVO selbst eben diesen nicht kennt.
WIE GEHT ES WEITER
Was jetzt?
Der nächste Beitrag wird sich damit beschäftigen,
- was die Aufsicht zu „Negativlisten“ sagt
- warum es an der Zeit ist, die Datenschutzerklärung auf der Webseite mal einer Verabeitung zu unterziehen
- was Vereine bei Werbung beachten sollten.
Sollten Sie bereits jetzt Fragen zu den Themen haben, berate ich Sie gern anwaltlich dazu.