Winterthur, 28. November 2024
Kategorie: Datenschutz
Datenschutz in Vereinen
Wer einem Verein beitritt, gibt eine Vielzahl persönlicher Daten preis: Namen, Adressen, Geburtsdaten und in einigen Fällen auch Fotos oder sportliche Leistungen. Mit der Erhebung dieser Daten geht eine grosse Verantwortung einher und Vereine müssen sich an die Datenschutzvorschriften halten.
Worauf müssen Vereine achten?
Der Vorstand eines Vereins haftet für den korrekten Umgang mit Mitgliederdaten. Er darf nur die Daten erheben, die mit dem Vereinszweck, der in den Statuten festgelegt ist, im Zusammenhang stehen. Werden die Daten für andere Zwecke verwendet, wie zum Beispiel Werbung oder Veröffentlichung auf der Website, muss der Vorstand die Mitglieder vorher darüber informieren und ihre Zustimmung einholen.
Grundsätze des Datenschutzes
Folgende Grundsätze muss der Vorstand beachten:
- Zweckbindung: Daten dürfen nur für den ursprünglich angegebenen Zweck verwendet werden.
- Transparenz: Mitglieder müssen wissen, welche Daten bekanntgegeben werden und für welchen Zweck.
- Verhältnismässigkeit: Es dürfen nur Daten bearbeitet werden, die zur Erfüllung des Vereinszwecks wirklich notwendig sind.
Verantwortlicher nach Art. 5 j DSG
Der Verein tritt als juristische Person nach aussen als Verantwortlicher auf. Strafrechtliche Sanktionen treffen jedoch auch die natürliche Person, die für die Einhaltung des DSG verantwortlich ist und gegen die Bestimmungen verstösst.
Innerhalb des Vereins ist der Vorstand dafür zuständig, dass alle Datenschutzvorgaben eingehalten werden. Oft wird eine Person im Vorstand oder eine externe Stelle damit betraut. Falls eine Geschäftsstelle eingesetzt wird, muss der Vorstand Datenbearbeitungsrichtlinien erstellen und die Umsetzung überwachen. Die Verantwortung für den Datenschutz kann auch an eine bestimmte Person übertragen werden, die einen Überblick über die Datenbearbeitungen hat. Wichtig ist, dass die Rollen klar definiert sind, um eine ordnungsgemässe Umsetzung sicherzustellen.
Wann brauchen Vereine eine Einwilligung?
Daten dürfen auch ohne ausdrückliche Zustimmung bearbeitet werden, solange dies zur Erfüllung des Vereinszwecks erforderlich ist. Eine Einwilligung ist jedoch nötig, wenn besonders schützenswerte Personendaten, wie Gesundheitsinformationen, erfasst oder für Profiling mit hohem Risiko verwendet werden.
Werden Personendaten entgegen den oben genannten Grundsätzen bearbeitet, beispielsweise zu einem anderen Zweck, kann dies zu einer Persönlichkeitsverletzung der betroffenen Person führen. Ein überwiegendes privates oder öffentliches Interesse sowie eine Einwilligung kann diese Verletzung rechtfertigen.
Ein einfaches Beispiel: Möchte der Verein Fotos von Veranstaltungen veröffentlichen, muss er vorher die Zustimmung der abgebildeten Mitglieder einholen. Diese Zustimmung kann jederzeit widerrufen werden.
Wann darf ein Verein Personendaten vereinsintern weitergeben?
Der Vorstand ist für die Information der Mitglieder verantwortlich. Bei elektronischer Kommunikation muss er die „Blindkopie“-Funktion nutzen, um E-Mail-Adressen zu schützen. Die Weitergabe von Mitgliederdaten, wie einer Liste mit Adressen, ist nur erlaubt, wenn jedes Mitglied zuvor zugestimmt hat und der Verwendungszweck (z. B. für Vereinsaktivitäten, nicht für Werbung) klar festgelegt ist.
Wann darf ein Verein Personendaten an Dritte weitergeben?
Die Weitergabe von Mitgliederdaten an Dritte ist nur erlaubt, wenn die Mitglieder über den Zweck informiert wurden und zugestimmt haben oder die Möglichkeit hatten, Widerspruch einzulegen. Dabei muss klar sein, welche Daten (z. B. Adresse, Geburtsdatum, Telefonnummer) weitergegeben werden, zu welchem Zweck (z. B. Werbung, Lizenzvergabe) und an wen (z. B. Sponsoren, Verbände). Eine solche Regelung kann in den Statuten oder speziellen Vorschriften festgelegt werden. Auch gesetzliche Vorgaben, wie etwa in Strafverfahren, können eine Datenweitergabe an Dritte erfordern.
Rechte und Pflichten
- Datenminimierung: Die Pflicht zur Datenminimierung erfordert, dass nur die für den jeweiligen Zweck notwendigen Personendaten bearbeitet werden. Dabei muss ein angemessenes Verhältnis zwischen Zweck und Mittel gewahrt bleiben. Daten müssen gelöscht oder anonymisiert werden, sobald sie nicht mehr benötigt werden, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht, wie etwa für Jahresberichte oder Rechnungen (10 Jahre).
- Informationspflicht: Bei der Datenerhebung muss über die Datenquelle, den Zweck und die verantwortliche Stelle informiert werden. Dies gilt auch für indirekt erhobene Daten.
- Betroffenenrechte: Personen haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten, die innerhalb von 30 Tagen kostenfrei erfolgen muss.
- Datenschutz-Folgenabschätzung (DSFA): Bei riskanten Datenbearbeitungen muss eine DSFA durchgeführt werden, besonders bei neuen Technologien oder sensiblen Daten.
- Bearbeitungsreglement: Vereine, die besonders schützenswerte Daten in grossem Umfang bearbeiten oder Profiling mit hohem Risiko durchführen, müssen ein Reglement erstellen.
- Verzeichnis der Bearbeitungstätigkeiten: Vereine und Verbände müssen ein Verzeichnis führen, es sei denn, die Datenbearbeitung birgt geringe Risiken.
- Verhaltenskodizes: Berufs- und Branchenverbände können spezifische Verhaltenskodizes zur Anwendung des DSG erarbeiten.
Fazit:
Vereine müssen sich intensiv mit Datenschutz befassen, vom Sammeln der Daten bis hin zur Verwendung und Veröffentlichung. Die Rechte der Mitglieder müssen gewahrt und die Daten sicher aufbewahrt werden. Wer die nötigen Schritte geht, schützt nicht nur die Privatsphäre der Mitglieder, sondern auch den Verein vor möglichen rechtlichen Konsequenzen.
Quelle: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/freizeit_sport/datenbearbeitung_vereine.html