Eine Art Gütesiegel zur neuen Datenschutz-Grundverordnung - aber nicht von einer offiziellen Institution

Teil 2: Wassersport-Vereine und das neue Datenschutz-Recht – Anpassungen prüfen

In diesem Teil der vierteiligen Beitragsserie wird darauf eingegangen, nach welchen Gesichtspunkten Datenverarbeitungen im Verein nach der neuen Datenschutz-Grundverordnung gegebenenfalls anzupassen sind.

Zurück zum Teil 1: Grundlagen

7 Anpassung der Verarbeitungsprozesse an den Datenschutz

Dieser Teil stellt nach der Bestandsaufnahme den wohl schwierigsten Teil der Umstellung auf die neue Verordnung dar. Die Verordnung enthält in Artikel 5 – recht abstrakt – sehr viele einzelne, aber insofern nicht neue Vorgaben zur Datenverarbeitung, die ich nicht alle mit Bezug auf alle Einzelheiten beleuchten kann, obwohl dieser Teil des Artikels schon sehr lang wird. Im Wesentlichen geht es um folgende Regeln, die für Vereine relevant sind:

7.1 “Braucht’s das?” – Datensparsamkeit

Personenbezogene Daten dürfen nur erhoben und verarbeitet werden und gespeichert werden, wenn dies für einen nachvollziehbaren Zweck auch erforderlich ist. Das Paradebeispiel für eine überflüssige Datenerhebung ist die Angabe einer Telefonnummer in einem Online-Shop, wenn nicht die Lieferung von Sperrgut avisiert werden muss oder der Kunde unbedingt telefonisch beworben werden möchte. Der Shop-Betreiber benötigt sie zumeist einfach nicht. In Vereinen sind ähnliche nutzlose oder nutzlos werdende Datenerhebungen und -speicherungen denkbar:

  • Namen von Verwandten eines Mitglieds, die selbst nicht Mitglied sind (Ausnahmen sind denkbar: Der Verein gratuliert den Kindern mit Einverständnis der gesetzlichen Vertreter persönlich zum Geburtstag und benötigt daher Name und Adresse oder Telefonnummer).
  • Essenswünsche zum längst vergangenen Vereinsfest;
  • Familienstand der Mitglieder (Ausnahme denkbar: außer bei der Verwaltung von vergünstigten Familienmitgliedschaften; sind aber allgemein Partner zugelassen, ist die Speicherung des Merkmals “verheiratet” überflüssig);
  • Geburtsort der Mitglieder (auch beim schlimmsten Rechtsstreit benötigt man den nicht; Anschriftenermittlungen sind auch mit einer früheren Adresse möglich);
  • Personalausweiskopie oder -nummer (damit kann man nichts nachweisen und nichts anfangen; legitim ist es, sich den Ausweis vorlegen zu lassen, um Daten zu überprüfen oder zu übernehmen),
  • Foto des Mitglieds, es sei denn, es wird für Einlasskontrollen verwendet.

7.2 Richtigkeit der Daten

Eigentlich selbstverständlich sein sollte, dass die gespeicherten Daten auch richtig sein sollten, weil man sonst mit unrichtigen Daten arbeitet. Daher sollte man auch darauf achten, dass die Daten von vornherein richtig erhoben werden. Leider ist dies nicht überall bewährte Praxis. Tippfehler geschehen auch schnell. Bewährt hat es sich, Betroffenen nach einer Eingabe noch einmal ein Datenblatt auszudrucken und zu übergeben, damit sie Unrichtigkeiten berichtigen können.

7.3 Zweckbindung

In einigen Vereinen heikel ist das Gebot der Zweckbindung. Es muss von vornherein festgelegt sein, wofür Daten erhoben und verwendet werden. Ob die Erhebung, Nutzung und Weitergabe rechtmäßig ist, muss an dieser Stelle noch nicht geprüft werden. Erst muss jeder Zweck überlegt werden, dann kann man anhand dessen überprüfen, wie der Zweck verfolgt werden kann. Eine Lösung gibt es immer, man muss bloß die richtige finden. Dazu kommen wir erst im nächsten Abschnitt.

7.3.1 Den Zweck bitte vorher festlegen

Weshalb es wichtig ist, den Zweck der Erhebung von vornherein festzulegen (er muss dann dokumentiert werden; dazu auch später): Ein späterer Zweckwechsel ist bei einmal erhobenen Daten nicht ohne Weiteres möglich. Wenn man sich einmal festlegt, bindet man sich in einem gewissen Maße.

7.3.2 Wann ist ein Zweckwechsel möglich

Ein späterer Zweckwechsel ist allgemein nur nach den Vorgaben des Artikels 6 Absatz 4 der Datenschutz-Grundverordnung möglich.  Es gibt bei dieser schwer verständlichen Vorschrift leider keine klare Anleitung, sondern es ist eine Abwägung zu treffen und zu betrachten, wozu die Daten eigentlich erhoben worden sind, wie “verwandt” der neue Zweck damit ist, wie sensibel die Daten sind und wie nachteilig der Zweckwechsel für die Betroffenen ist. In fast jedem Fall kann man hier mit guten Gründen verschiedene Ansichten vertreten, was das Ergebnis betrifft. Auch deshalb hat der deutsche Gesetzgeber die Vorschrift in § 24 Absatz 1 des neuen Bundesdatenschutzgesetzes dahin gehend konkretisiert, dass er zumindest – auch vorbehaltlich einer “Rest-Abwägung” – aus zwei Gründen einen Zweckwechsel erlaubt:

  1. […] zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten […] oder

  2. […] zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche[…].

Mithin ist es jedenfalls möglich, vorhandene Daten zu verwenden, um beispielsweise  Strafanzeigen zu erstatten oder jemanden zu verklagen – soweit erforderlich. Der untreue Schatzmeister ist also durch den Datenschutz nicht vor einer Strafanzeige und Schadenersatzforderungen geschützt. Einfache “Vereinsinterna” fallen aber nicht ohne Weiteres unter diese Ausnahme.

7.3.3 Beispiele für ungerechtfertigte Zweckwechsel im Vereinsalltag

Einige Zweckwechsel, die manchmal “einfach so” stattfinden, sind nicht ohne Weiteres gerechtfertigt.

Es sind mir nicht aus dem Wassersport-, aber anderen Bereichen Fälle bekannt, in denen gegen eine großzügige Spende Mitgliederlisten für Werbezwecke an ein gewerbetreibendes Mitglied herausgegeben worden sind.

Einen häufigeren Verstoß gegen die Zweckbindung stellt allerdings das zumindest in seinen Ausmaßen ungeahnte Veröffentlichen oder Verbreiten von Daten dar. Ist es bei einem Wettbewerb noch völlig offensichtlich, dass Zeit oder andere Bewertungselemente der Teilnehmer genommen, bei der Veranstaltung verkündet und bei einer Prämierung auch hervorgehoben werden, ist die Veröffentlichung in Vereins- oder Verbandszeitschriften und oder Internet (vielleicht zudem noch mit vollem Namen, Geburtsdatum, Wohnort und eventuell sogar der Wohngegend) sicherlich kein offensichtlicher Zweck der Erhebung von Teilnehmer-, Mitglieder- oder

Auch die bereits zuvor erwähnte Nutzung von (Nicht-) Zahlungsdaten für Vereinsausschlussverfahren kann ohne ausreichende vorherige Festlegung einen ungerechtfertigten Zweckwechsel darstellen. In vielen Vereinen wird die Nichtzahlung vereinsöffentlich in einer Mitgliederversammlung namentlich benannt, damit über den Ausschluss des säumigen Mitglieds berichtet oder entschieden werden kann. Dies ist legitimer Teil eines satzungsmäßigen Verfahrens und an und für sich nicht zu beanstanden – es sei denn, es handelt sich um einen Zweckwechsel. Da würde die Abwägung wohl zu Gunsten des Vereinsmitglieds ausfallen, dessen Reputation und Vereinsmitgliedschaft auf dem Spiel stehen.

7.3.4 Und was soll das?

Nun kann man fragen: Welche Bürokrat hat sich das denn ausgedacht – man kann Daten wie bisher nutzen, muss aber vor der Erhebung den Zweck festlegen und darf diesen Zweck nicht einfach wechseln, nur weil man “das Aufschreiben vergessen hat”?

Und hier die Antwort: Ganz genau das will der Gesetzgeber. Und es steht in einem ganz engen Zusammenhang mit dem nächsten Grundprinzip: Der Transparenz. Denn ohne Zweckbindung wird die Transparenz erschwert.

7.4 Transparenz

“Transparenz” klingt simpel, ist es aber im Zusammenhang mit dem Datenschutz nicht. Ich muss etwas ausholen.

Eine Art Gütesiegel zur neuen Datenschutz-Grundverordnung - aber nicht von einer offiziellen Institution
Nicht illustrative Gütesiegel (dieses hier ist keines), sondern tatsächliche Aussagen zum Thema schaffen Transparenz.

7.4.1 Transparenz versus Einfachheit

Kennen Sie Franz Kafka und sein Werk “Der Prozess“? Franz Kafka, der beruflich erfolgreicher Beamter war, Unfallverhütungsvorschriften entwickelte und Betriebe in Gefahrenkassen einteilte, verkehrte in seinen Romanen gesellschaftliche und staatliche Abläufe ins beängstigend Groteske. “Der Prozess” berichtet davon, wie gegen einen Mann ein Strafverfahren läuft, wobei der Angeklagte weder über Abläufe noch über Beweismittel und erst Recht nicht über die Anklagepunkte informiert und zum Schluss hingerichtet wird. Seine Nachfragen werden mit dem sinngemäßen Hinweis beantwortet, dass alles schon seine Richtigkeit habe. Dem armen Opfer war nie klar, was da eigentlich ablief, obwohl es sich in seiner vertrackten Situation sicherlich auch komplizierte Erklärungen angehört hätte. Kennen sie den Spruch: “Das hat schon seine Richtigkeit” woanders her? Oder den Spruch: “Das ist zu kompliziert, das dauert jetzt zu lang”? Zunächst so viel: Im Zusammenhang mit dem Datenschutz sind diese Sprüche stets falsch.

Kennen Sie auch das? Sie schauen bei mehreren Versandhändlern nach Waren, sagen wir, Werkzeugkästen, und kaufen dann keinen. Am nächsten Tag lesen Sie diesen Blog, und in einem kleinen Werbefenster wird Ihnen Reklame für Werkzeugkästen angezeigt. Sie wundern sich, woher ich (oder mein Server) weiß, dass Sie sich für Werkzeugkästen interessiert hatten. Die Lösung: Natürlich weiß ich das nicht. Ich werde es auch nie erfahren. Ich blende bloß Werbung aus demselben Werbenetzwerk ein wie der Anbieter für Werkzeugkästen. Das Werbenetzwerk legt kleine Dateien (Cookies) auf Ihrem Computer ab und ruft sie wieder ab, wenn seine Anzeigen wieder eingeblendet werden. Auch das Werbenetzwerk weiß nicht, wer Sie sind, sondern nur, was mit Ihrem Computer gemacht wurde. Die meisten Leser werden es nicht wissen. Dabei kläre ich ordnungsgemäß hier darüber auf. Abstellen können sie den Zauber mit Bezug auf meinen Blog übrigens, falls nicht bereits geschehen, hier. Sie sehen an diesem Beispiel: Ich teile völlig transparent mit, was geschieht. Transparenz bedeutet nicht Aufdrängen. Von jeder Seite dieses Blogs aus ist die Datenschutzerklärung verlinkt, und dort kann man alles finden und nachlesen.

N.B.: Die Einverständnis-Häkchen im “Cookie-Banner” in meinem Blog haben nichts mit dem Datenschutzrecht zu tun, sondern mit den Geschäftsbedingungen von Google. Ich dürfte Sie aus datenschutzrechtlicher Sicht auch ohne jedes Einverständnis mit Werbe-Cookies zumüllen, weil Werbung ein “berechtigtes Interesse” (zu dem ich unten ausführlich komme) darstellt: “Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

7.4.2 Transparenz und Zweckbindung

Halten wir also fest; nun “wird ein Schuh draus”:

  • Sie müssen die Zwecke der Verarbeitung personenbezogener Daten vorher festlegen,
  • Sie dürfen den Betroffenen nicht einfach nur sagen, alles habe schon seine Ordnung, und
  • Sie müssen die Informationen verfügbar halten, aber nicht aufdrängen.

Nun muss noch hinzugefügt werden, dass der Betroffene zumindest bei der Erhebung seiner Daten über die Datenerhebung selbst und ihre Zwecke aufzuklären ist; dazu komme ich später.

Im Ergebnis ist also der Betroffene so früh wie möglich darüber zu informieren, welche Daten wozu erhoben werden. Spätere Änderungen sind nur erschwert möglich. “Planmäßige Überraschungen” sollen vermieden werden.

7.4.3 Ein Beispiel aus dem prallen Leben

Beispiel: Herr Wasserfuhr (fiktive Person) ist neu im Verein, nimmt an einem Bootsrennen teil und gewinnt den dritten Platz. Er weiß, dass seine Anschrift und sein Geburtstag im elektronischen Mitgliederregister des Vereins gespeichert sind. Bei der Siegerehrung freut er sich. Er weiß auch, dass Ergebnislisten der Wettbewerbe des Vereins – als Liste – im Internet veröffentlicht werden. Drei Tage später liest er auf der Vereinshomepage aber folgende detaillierte Meldung: “Herr Oliver Wasserfuhr aus dem Reuterkiez in Berlin hat am Samstag zu seinem 53. Geburtstag bravourös den dritten Platz eingenommen.” Hätte Herr Wasserfuhr gewusst, dass dies veröffentlicht wird, hätte er nicht teilgenommen: Bei seiner frisch eroberten Flamme hat er sich fünf Jahre jünger gegeben, und seine Ex-Frau sollte eigentlich nicht erfahren, wo er nun wohnt. Wegen seines eher seltenen Namens wird er über Google auch sofort gefunden.
Herr Wasserfuhr schuldet dem Klempner Maier noch 250 Euro, die er aus diversen Gründen nicht bezahlen wollte. Maier liest im Internet, dass Wasserfuhr Vereinsmitglied ist, und fragt ein Vorstandsmitglied, ob es nicht gegen einen Obulus für die Vereinskasse die neue Adresse herausrücken könne, damit er seine Mahnung zustellen und gegebenenfalls Wasserfuhr verklagen könne. Das Vorstandsmitglied findet die Schilderung Maiers, dass der Wasserfuhr dem Maier Geld schuldet, plausibel und entscheidet, dass er der Gerechtigkeit Genüge tun müsse und die Adresse herausgibt – das dient ja schließlich der Rechtswahrung.
Die Zwecke der Erhebung der Daten wurden vom Verein nicht zuvor ausdrücklich festgelegt und auch Wasserfuhr nie mitgeteilt.
Hätte Wasserfuhr all dies gewusst, hätte er nie an dem Rennen teilgenommen oder zumindest den Webmaster des Vereins um Zurückhaltung gebeten.

Einzig erkennbarer (und damit durch schlüssiges Verhalten festgelegter) Zweck der Erhebung der Daten in der Mitgliederdatei war die Verwaltung der Mitgliedschaft und nicht die Veröffentlichung der Daten. Erkennbarer Zweck der Erhebung der Wettbewerbsdaten war zunächst die Prämierung. Wasserfuhr konnte auch erkennen, dass es im Verein üblich ist, die Wettbewerbsergebnisse als Liste im Internet zu veröffentlichen. Nicht erkennbar und auch nicht zuvor festgelegt war aber, dass die Daten aus der Mitgliederdatei (Geburtstag, Alter, Wohnsitz) für die Öffentlichkeitsarbeit ausgeschlachtet werden. Mit der Veröffentlichung dieser Daten aus der Mitgliederdatei hat daher ein Zweckwechsel stattgefunden. Dem Interesse des Wasserfuhr, dass diese persönlichen Daten nicht veröffentlicht werden, steht kein berechtigtes Interesse des Vereins gegenüber, das einer Abwägung standhalten könnte. Auch für die “Außenwerbung” des Vereins ist die Veröffentlichung der Daten und damit der Zweckwechsel schlicht überflüssig; es handelt sich um “Klatsch” und keine Beschreibung des eigentlichen Wettkampfs. Auch die Weitergabe der Adresse an Klempner Maier ist ein Zweckwechsel. Dieser Zweckwechsel ist nicht durch die erwähnte Ausnahmeregelung (Geltendmachung von Rechten) gedeckt, weil damit nur die Rechte des Verarbeitenden gemeint sind, also des Vereins. Natürlich legitimiert auch die Bezahlung keinen Zweckwechsel. Der Klempner kann sich die neue Adresse auch legal über das Melderegister oder eine Auskunftei besorgen.

Es ist (mit einigen Ausnahmen in den Bereichen des Journalismus oder dem Schutz der Wirtschaft vor zahlungsunfähigen Schuldnern) keine Rechtfertigung für die Veröffentlichung oder Weitergabe von Daten im Wege eines Zweckwechsels, dass jemand aus privaten, vermeintlich unmoralischen Gründen etwas verheimlicht, oder dass ein anderer sein Recht durchsetzen möchte. Wer Daten verarbeitet, ist kein Ritter der Gerechtigkeit. Ob Wasserfuhr nun mit seinen Schwindeleien “selbst schuld” hat, ob “man das macht”, was er macht, oder ob der Klempner zu Recht eine Forderung geltend macht, hat nicht der Verein zu entscheiden.

7.4.4 Was ich bis hierhin noch nicht gesagt habe

Um es klarzustellen: Bis hierhin habe ich nicht gesagt, dass irgendeine Verarbeitung zu irgendeinem Zweck nicht erlaubt sei. Ich habe insbesondere nicht gesagt, dass die Veröffentlichung von Mitgliederdaten zu irgendeinem Zweck von vornherein verboten ist. Ich habe bislang nur gesagt, dass der Zweck der Erhebung von Daten von vornherein festzulegen ist und alle künftigen Verwendungen umfassen soll.

7.5 Integrität und Vertraulichkeit

Ein weiteres Erfordernis ordnungsgemäßer Datenverarbeitung sind die Integrität und Vertraulichkeit.  Damit sind die “technisch-organisatorischen Maßnahmen” gemeint, die bereits im alten Bundesdatenschutzgesetz erwähnt sind.  Geschützt werden müssen die Daten, kurz gesagt, vor unberechtigtem Zugriff und Verlust; Stichworte sind Passwortschutz, Virenschutz, Firewall und Backups. Bei der Übertragung von Daten über das Internet sind die Daten zu verschlüsseln. Webseiten, über die personenbezogene Daten übertragen werden, sind mit SSL zu verschlüsseln. Bei der Buchhaltung sind technisch-organisatorische Maßnahmen auch nach den “Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)” für die elektronische Vereinsbuchhaltung erforderlich. Sowohl für Datenschutzzwecke als auch für das Finanzamt sind sie zu dokumentieren; für Steuerzwecke sind sie Teil der obligatorischen Verfahrensbeschreibung.

Teil 3: Wassersport-Vereine und das neue Datenschutz-Recht – Rechtsgrundlagen – folgt in Kürze

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.