Das oberösterreichische Vereinshandbuch

2. Datenschutz im Verein
In den meisten Vereinen wurde das Thema Datenschutz
bislang kaum beachtet. Grund dafür, dass sich nunmehr
auch das Vereinswesen damit befassen muss, ist die am
25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung
der Europäischen Union (kurz: DSGVO), mit der
vor allem eine massive Verschärfung der Strafen und
Haftungen im Datenschutzrecht einhergeht. Zudem
verlangt die DSGVO dem einzelnen Verein ein hohes
Maß an Eigenverantwortung bei der Umsetzung des
Datenschutzrechts ab.
Ein Ignorieren dieser Pflichten ist daher in Zukunft keine
Option mehr; jeder Verein wird sich mit der Umsetzung
der DSGVO auseinanderzusetzen haben. Vorstandsmitglieder
werden auch ein vitales Eigeninteresse an einer
korrekten Umsetzung haben, um eine persönliche Haftung
für Datenschutzverstöße zu vermeiden. Der Vereinsvorstand
ist nämlich für die Einhaltung der Datenschutzvorgaben
verantwortlich.
Mit dem „Datenschutz-Deregulierungsgesetz 2018“
wurde kurz vor Inkrafttreten der DSGVO mit einem
österreichischen Sondergesetz geregelt, dass bei Erstverstößen
gegen das Datenschutzrecht Verwarnungen
ausgesprochen sowie das Prinzip „Beraten statt Strafen“
greifen soll. Gerade für den ehrenamtlichen Bereich ist
diese Regelung eine bedeutende Entlastung. Selbstverständlich
werden dadurch dauerhafte oder wiederholte
Verstöße nicht legitimiert und führen weiterhin zu möglicherweise
hohen Strafen und Haftungen.
2.1 Was sind überhaupt „Daten“?
In Artikel 4 der DSGVO heißt es kryptisch: „Daten sind
alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen“.
Daten sind somit sämtliche Informationen, die mit einer
natürlichen Person in Verbindung stehen oder in
Verbindung gebracht werden können, also persönliche
Daten. Das Speichermedium oder das Dateiformat
(Excel-Tabelle eines kleinen Vereins, Datenbanksystem
eines großen Vereins etc.) mit denen die Daten
gespeichert werden, ist für den Datenbegriff irrelevant.
Wesentlich ist, ob es sich inhaltlich um Angaben
über Personen handelt.
Unter diese Datenbegriff fallen etwa:
Name, Geburtsdatum, Adresse, E-Mail, Telefonnummer,
Einkommen, Bankverbindung, Lebenslauf, Persönliche
Präferenzen, Einkaufsverhalten, Werturteile,
Zahlungsmoral, IP-Adresse, Gesundheitsdaten und
viele mehr.
2.2 Der Grundsatz im Datenschutzrecht
Der wichtigste Grundsatz im Datenschutzrecht lautet:
Die Speicherung und Verwendung von persönlichen
Daten ist grundsätzlich verboten, außer eine gesetzliche
Ausnahme greift.
Für jede Verwendung von persönlichen Daten im Verein
ist daher zu prüfen, ob eine gesetzliche Ausnahme
vorliegt.
Diese Ausnahmen sind etwa:
- Erfüllung eines Vertrages
Diese Ausnahme stellt für Vereine den praktisch wichtigsten
Rechtfertigungsgrund für Speicherung von Mitgliederdaten
dar. Die Mitgliedschaft in einem Verein ist
rechtlich eine Art Vertrag; somit ist die Datenspeicherung
und –verwendung durch die Vertragserfüllung gerechtfertigt.
Soweit die Datenverarbeitung zur Verwaltung
des Mitgliedsverhältnisses notwendig ist, ist dies
daher ohne Zustimmung möglich. Besondere Vorsicht
ist bei der Weitergabe von Mitgliederdaten an Dritte geboten
(siehe unten).
- Erfüllung einer rechtlichen Verpflichtung
Sämtliche gesetzlich angeordneten Datenspeicherungen
oder Datenübermittlungen werden von dieser
Ausnahme erfasst.
Darunter fällt etwa die Datenspeicherung im Zuge der
verpflichtenden Führung einer Buchhaltung und deren
Aufbewahrung. Auch Auskunfts- und Meldepflichten
gegenüber Behörden können demnach natürlich nicht
mit der Berufung auf „Datenschutz“ vermieden werden.
B
OBERÖSTERREICHISCHES VEREINSHANDBUCH 29