Datenschutzanforderungen für österreichischen Castingverband gemäß DSGVO
DSGVO Art 4-7, 9, 12-21, 24, 28, 32-37; DSG § 6
Rechtsgrundlage für Datenverarbeitung – Einwilligungserklärung einholen – Rechtsgrundlage für Datenverarbeitung im Verband – Zweckbindungsgrundsatz und Löschungspflicht – Datenschutzrechtliche Informationspflichten – Besondere Kategorien von Daten – Datensicherheit im Verein – Meldepflicht bei Datenschutzverletzungen – Verpflichtung von Mitarbeitern zum Datengeheimnis – Verzeichnis von Verarbeitungstätigkeiten – Vertrag mit Auftragsverarbeiter – Bestellung eines verpflichtenden Datenschutzbeauftragten – Pflicht zur Datenschutzfolgenabschätzung – Rechte der Mitglieder gemäß DSGVO – Dokumentation und Rechenschaftspflicht – Conclusio
Ob auf kultureller Ebene, im sportlichen Bereich, auf Bildungsebene oder auf sozialer Ebene – viele Bürger engagieren sich in Vereinen. Im Zuge der Vereinstätigkeit sind sie immer mit rechtlichen Fragestellungen konfrontiert, beispielsweise mit Fragen des Vereins-, Arbeits-, Sozial- Steuer- sowie Datenschutzrechts. Insbesondere sind datenschutzrechtliche Themen im heutigen IT-Alltag nicht wegzudenken. Auch bei den betroffenen Personen wächst die Sensibilität für Datenschutz.
Für Vereine gilt die Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG). Vereine die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Mitgliederdaten entscheiden, sind deshalb Verantwortliche (Art 4 Z 7 DSGVO). Sofern ein Verein personenbezogene Daten ihrer Mitglieder, Spender, Kunden, … erhebt, verarbeitet speichert sowie übermittelt, müssen die datenschutzrechtlichen Grundsätze (Art 5 DSGVO beachtet werden. Der Vereinsvorstand als Verantwortlicher ist für die Einhaltung der Datenschutzvorgaben verantwortlich.
Personenbezogene Daten dürfen von Verantwortlichen nur verarbeitet werden, soweit die DSGVO und das DSG oder eine andere rechtliche Bestimmung (Gesetz, Vereinssatzung, …) dies zulässt oder die betroffene Person eingewilligt hat. Welche Daten durch den Verein erhoben und verarbeitet werden, hängt von den Vereinszielen ab.
Rechtsgrundlage für Datenverarbeitung
Vereine dürfen auf Grundlage des Art 6 DSGVO persönliche Daten der Mitglieder erheben, verarbeiten, speichern sowie übermitteln. Als Rechtsgrundlage dient im Verein häufig der Vertrag über die Mitgliedschaft gemeinsam mit der Vereinssatzung. Das Versenden von Newslettern oder die Veröffentlichung personenbezogener Informationen auf der Vereinswebseite setzt zur Erreichung des Vereinszwecks eine Einwilligungserklärung der betroffenen Mitglieder voraus.
In folgenden Fallbeispielen wird veranschaulicht, welche Rechtsgrundlagen bei Datenverarbeitung durch Vereine angewandt werden können:
Fall 1 – Castingverband
– Erfüllung eines Vertrages:
In der Regel wird zwischen dem Spieler und dem Verein ein zivilrechtlicher Vertrag abgeschlossen. Um den vertraglichen Verpflichtungen gerecht zu werden, kann der Verein für die Dauer der Mitgliedschaft des Spielers sowie seiner Teilnahme am Spielbetrieb die Daten verarbeiten.
– Berechtigtes Interesse:
Ein Verein hat die Verpflichtung gegenüber des österreichischen Castingverbandes den Betrieb zu gewährleisten. Dies bedeutet beispielsweise, dass die Daten jedes einzelnen, sich im „Kader“ befindlichen, Spielers vor Spielbeginn bekannt gegeben werden müssen.
– Einwilligung:
Ein Spieler kann zur Verarbeitung und Veröffentlichung weiterer persönlicher Daten die über die Spielbetriebsrelevanz hinausgehen, einwilligen. Zu denken ist an ein Glückwunschschreiben zur Hochzeit eines Spielers, einschließlich Familienfoto, auf der Vereinswebseite.
Fall 2 – NGO (gemeinnützige Hilfsorganisation), spendenfinanziert
– Berechtigtes Interesse:
NGOs haben ein überwiegend berechtigtes Interesse bei der Verwaltung von Spenderdaten.
– Rechtliche Verpflichtung:
Weiters verbarbeiten sie Daten ihrer Spender für die Erfüllung einer gesetzlichen Verpflichtung, wie zum Beispiel die steuerrechtliche Spendenabsetzung.
– Einwilligung:
Eine Einwilligung des Spenders ist für die Datenbekanntgabe auf der Vereinswebseite erforderlich, sofern keine vertragliche bzw. satzungsrechtliche Grundlage vorhanden ist.
Fall 3 – Bildungsverein mit wirtschaftlicher Tätigkeit
– Erfüllung eines Vertrages:
Bildungsvereine verarbeiten Kundendaten zur Erfüllung der vertraglichen Verpflichtungen, wie zum Beispiel Kursanmeldung.
– Rechtliche Verpflichtung:
Daneben existieren für Bildungsvereine rechtliche Vorschriften, die unter bestimmten Voraussetzungen eine Verarbeitung ihrer Kundendaten zulassen. Zu denken ist an die steuerrechtliche Aufbewahrungsfrist.
– Einwilligung:
Bei der Veröffentlichung von Kundendaten müssen Bildungsvereine folgendes beachten: Grundsätzlich umfasst die vertragliche Vereinbarung im Bildungsverein nicht die Veröffentlichung von Kundendaten auf der Vereinswebseite. Die Veröffentlichung ist zwar im Interesse des Vereins, aber für die Erfüllung des Vertrags oder der Vereinszwecke nicht notwendig. Daher darf die Veröffentlichung der Daten nur mit ausdrücklicher Einwilligung der betroffenen Kunden erfolgen.
– Berechtigtes Interesse:
Bildungsvereine haben ein berechtigtes Interesse die Daten ihrer Kunden zu verwalten, beispielsweise im Rahmen der Zusendung von neuen Kursangeboten.
Einwilligungserklärung einholen
Kann sich ein Verein für eine Datenverarbeitung nicht auf eine Rechtsgrundlage stützen, so muss er die Einwilligung einholen. Die Einwilligung darf schriftlich, elektronisch sowie mündlich erfolgen. Die ARGE DATEN empfiehlt Einwilligungen schriftlich mit eigenhändiger Unterschrift der betroffenen Personen einzuholen und aufzubewahren. Die Betroffenen haben jederzeit das Recht die Einwilligung zu widderrufen (Art 7).
Wenn die Einwilligung zusammen mit anderen Erklärungen (beispielsweise Beitrittserklärung) abgegeben wird, ist sie besonders hervorzuheben. Betroffene müssen von sich aus, aktiv eine eindeutige Handlung zur Einwilligung zum Ausdruck bringen.
Rechtsgrundlage für Datenverarbeitung im Dachverband
Wenn ein Verein beabsichtigt, die Daten seiner Mitglieder regelmäßig einer Dachorganisation bzw. einem anderen Verein zu übermitteln, sollte dies in der Vereinssatzung geregelt sein. Dadurch wird klargestellt, dass die Übermittlung im Vereinsinteresse erforderlich ist und keine Interessen oder Grundrechte der Vereinsmitglieder überwiegen.
Bei Fehlen einer Satzungsregelung müssen Vereine die Mitglieder über die Übermittlung ihrer Daten an die Dachorganisation bzw. an den anderen Verein und den Übermittlungszweck informieren. Darüber hinaus ist der Verein weiters verpflichtet die Einwilligung der Mitglieder einzuholen. Wenn beide Kriterien erfüllt sind, ist eine datenschutzkonforme Datenübermittlung an dritte Dachorganisationen bzw. Vereine gewährleistet.
Am praktischen Beispiel wird veranschaulicht, welche möglichen Rechtsgrundlagen bei der Datenverarbeitung im Dachverband in Betracht zu ziehen sind: Der Österreichische Fußball-Bund (=ÖFB) als Dachverband ist die gemeinnützige Vereinigung der Fußball-Landesverbände Österreichs (Landesverbände der neun Bundesländer), einschließlich der vielen Fußballvereine. Ein Bundes-Dachverband (ÖFB), der die persönlichen Daten der Mitglieder (Fußballspieler) seiner Mitgliedsvereine (Fußballvereine) verarbeitet, benötigt eine Rechtsgrundlage oder eine Einwilligung der betroffenen Mitglieder. Beispielsweise ist der ÖFB für die Ausstellung von Spielerpässen aller Spieler zuständig ist (§§ 2 iVm 3 Statuten des ÖFB, https://www.oefb.at/OeFB-Satzungen-2017-.pdf?:fi=true&:s=UCKr… ).
Grundsätzlich darf der ÖFB die Spielerdaten verarbeiten, sofern eine ausdrückliche Vorschrift (Zweckbestimmung) dies in der Vereinssatzung (Fußballvereine) und auch in den Verbandssatzungen (ÖFB und Fußball-Landesverbände) vorsieht. Eine zulässige Datenverarbeitung wäre nur unter diesen Voraussetzungen gewährleistet. Andernfalls müsste gesondert geprüft werden, ob (a) eine vertragliche Grundlage zwischen dem Fußballverein und dem Spieler vorhanden ist oder (b) ein berechtigtes Interesse des Vereins besteht oder (c) die Einwilligung der Spieler einzuholen ist. Infolgedessen wäre eine datenschutzrechtliche Übermittlungsbefugnis der Fußballvereine begründet.
Zweckbindungsgrundsatz und Löschungspflicht
Das Erheben und Verarbeiten von Mitgliederdaten ist grundsätzlich nur zur Erfüllung des jeweiligen Zwecks zulässig (Art 6 Abs 1 lit b DSGVO). Eine Datenspeicherung ist nur so lange möglich, wie es für die Erfüllung des Zwecks erforderlich ist. Unter strengen Bestimmungen ist eine darüber hinaus gehende Weiterverarbeitung zulässig. Zu denken ist beispielsweise an die steuerrechtliche Aufbewahrungspflicht der Vereine. Nach Beendigung der Mitgliedschaft ist eine Weiterarbeitung unzulässig, da die Daten für den Zweck der Verarbeitung nicht mehr erforderlich sind. Insofern besteht gemäß Art 17 DSGVO ein Löschungsanspruch der Mitglieder bei einem Austritt aus dem Verein. Vereine sollten für sämtliche Verarbeitungszwecke entsprechende Löschkonzepte und -fristen festlegen.
Bei der zweckentfremdeten Weiterverarbeitung der Mitgliederdaten (beispielsweise nach Beendigung der Mitgliedschaft) oder einer Erhebung ohne festgelegten Zweck handelt es sich um einen Datenschutzverstoß gemäß Art 83 Abs 5 DSGVO der mit hohen Geldstrafen bedroht wird.
Besondere Kategorien von Daten
Je nach Vereinszweck werden im Verein Daten erhoben und verarbeitet, die die DSGVO als besonders schützenswert hervorhebt. Zu ihnen zählen beispielsweise Angaben über die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (Art 9 DSGVO). Die Einwilligungserklärung muss klar und deutlich darauf hinweisen, dass die Einwilligung auch besondere Kategorien von Daten umfasst.
Datenschutzrechtliche Informationspflichten
Jeder Verein muss das Transparenzgebot einhalten. Das umfasst die Informierung der Mitglieder zum Zeitpunkt der Erhebung der Daten (Art 12-14 DSGVO).
Folgende Angaben müssen in der Information enthalten sein:
Wer welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage über welchen Zeitraum verarbeitet.
Weiters müssen Angaben über die Betroffenenrechte gemäß Art 15-21 DSGVO, das Bestehen eines Beschwerderechts bei der Datenschutzbehörde und die Pflicht zur Bereitstellung der Daten, enthalten sein. Nähre Informationen über die Informationspflicht der Vereine sind dem Art 13 und 14 DSGVO zu entnehmen.
Vereine sollten gemeinsam mit dem Mitgliedsantrag auch die Datenschutz-Informationen in Schriftform aushändigen. Darüber hinaus ist es auch sinnvoll die Informationen auf der Vereinswebseite zu hinterlegen, wenn sie auch die Möglichkeit zur Online-Mitgliedschaft auf ihrer Vereinswebseite an.
Datensicherheit im Verein
Vereine sind verpflichtet organisatorische und technische Maßnahmen zu treffen, um eine unrechtmäßige Datenverarbeitung zu vermeiden. Dies impliziert auch Beschränkungen der Zugriffsmöglichkeiten der Vereins-Mitarbeiter. Falls Vereine mit Hilfe von Verteilerlisten eMails an ihre Mitglieder versenden, dann sollte der Blindkopie-Modus (BCC) verwendet werden. Damit ist ein unberechtigtes Empfangen von fremden eMail-Adressen ausgeschlossen. Des Weiteren ist eine Übermittlung von eMails in verschlüsselter Form zu gewährleisten.
Meldepflicht bei Datenschutzverletzungen
Kommt es bei der Verarbeitung von Mitgliederdaten zu Sicherheitsvorfällen (beispielsweise Datendiebstahl, Hacking, Fehlversendung, Datenverlust von unverschlüsselten Mitgliederdaten, …), so bestehen datenschutzrechtliche Meldepflichten (Art 33-34 DSGVO). Die Aufsichtsbehörde ist grundsätzlich über den Sicherheitsvorfall zu unterrichten. Hingegen sind betroffene Personen nur bei hohem Risiko zu informieren.
Verpflichtung von Mitarbeitern zum Datengeheimnis
Angestellte Mitarbeiter sowie ehrenamtliche Mitarbeiter im Verein, die mit der Verarbeitung von personenbezogenen Daten betraut sind, sind auf das Datengeheimnis gemäß § 6 DSG zu verpflichten. Die Verpflichtung der Mitarbeiter muss bei Aufnahme der Tätigkeit erfolgen.
Verzeichnis von Verarbeitungstätigkeiten
Vereine müssen, wegen der regelmäßigen Verarbeitung der Mitgliederdaten (beispielsweise Mitgliederverwaltung, Lohnabrechnung, Beitragsverwaltung, Veröffentlichung von Mitgliederdaten und -fotos, …) ein Verzeichnis sämtlicher Verarbeitungstätigkeiten führen (Art 30 DSGVO). Das Verzeichnis soll auch als Grundlage zur Veranschaulichung der Datenverarbeitungsvorgänge dienen. Das Verarbeitungsverzeichnis ist schriftlich oder in elektronischer Form zu führen.
Vertrag mit Auftragsverarbeiter
Viele Vereine nutzen eine externe Adressverwaltung oder einen externen Mailserver. Wenn Vereine die Mitgliedsdaten nicht selbst erfassen und verwalten, dann müssen sie mit Auftragsverarbeitern (in der Regel IT-Unternehmen) einen Vertrag zur Auftragsverarbeitung schließen (Art 28 DSGVO). Der Verein darf nur Auftragsverarbeiter beauftragen, die eine hinreichende Garantie für eine verordnungskonforme Datenverarbeitung gewährleisten kann. Die umfassende Datenschutzverantwortung liegt immer beim Verein.
Bestellung eines verpflichtenden Datenschutzbeauftragten
Vereine müssen sicherstellen, dass für die verpflichtende Bestellung eines Datenschutzbeauftragten eine geeignete Person zur Wahrnehmung der Funktion als Datenschutzbeauftragter im Verein bestimmt wird (Art 37 Abs 1 DSGVO). Wenn keine Gründe gemäß Art 37 Abs 1 für die verpflichtende Bestellung eines Datenschutzbeauftragten vorliegen, dann sollten die Vereine dies mit einer Begründung dokumentieren. In jedem Fall müssen Vereine einen Datenschutzbeauftragten bestellen, wenn die Kerntätigkeit des Vereins eine umfangreiche Verarbeitung besonderer Datenkategorien oder strafrechtlich relevanter Daten ist, wie dies bei weltanschaulichen oder religiösen Beratungsstellen, Parteien, Gewerkschaften, gesellschaftspolitisch engagierte NGOs oder dergleichen der Fall ist.
Pflicht zur Datenschutzfolgenabschätzung
Vereine sind in der Regel verpflichtet eine Datenschutzfolgenabschätzung durchzuführen, wenn eine aufgrund der Art, des Umfangs, der Umstände und Zwecke ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hätte (Art 35-36 DSGVO). Vereine sollten die Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewerten. Schließlich sollten geeignete Maßnahmen, Garantien und Verfahren geprüft werden, um bestehende Risiken einzudämmen und verordnungskonform zu verarbeiten. Hier wird eine Zusammenarbeit mit der Datenschutzbehörde verlangt.
Rechte der Mitglieder gemäß DSGVO
Ferner ist zu berücksichtigen, dass betroffene Mitglieder die ihre Daten bekannt gegeben haben, jederzeit zu Folgendem berechtigt sind (Art 7, 15-21 DSGVO):
– die kostenlose Auskunft darüber, welche Daten von ihnen gespeichert und verarbeitet sind
– die Richtigstellung von falschen oder veralteten Daten
– die Löschung von Daten, die nicht mehr benötigt werden
– die Übertragung der Daten auf einen neuen Verein
– die Erhebung eines Widerspruchs gegen die Datenverarbeitung
– der Widerruf einer Einwilligungserklärung
Dokumentation und Rechenschaftspflicht
Vereine müssen den Nachweis erbringen, dass die Verarbeitung von Mitgliederdaten nach den in der DSGVO normierten Rechtmäßigkeitsvorschriften erfolgt ist. Dafür wird ein Verarbeitungsverzeichnis geführt, in dem alle Mitgliederdaten dokumentiert werden. Dieses Verarbeitungsverzeichnis soll als eine wesentliche Grundlage zur Umsetzung der Dokumentationspflichten gemäß Art 24 DSGVO dienen.
Ferner erfolgt eine Dokumentation der Einwilligungserklärungen von Mitgliedern, der technischen und organisatorischen Sicherheitsmaßnahmen, der Risikoabschätzung und eine Dokumentation der Vereinbarungen mit Auftragsverarbeitern.