Vor fast drei Jahren wurde die Datenschutzgrundverordnung (DS-GVO) in allen Mitgliedstaaten der EU geltendes Recht. Die Verordnung regelt den Umgang mit personenbezogenen Daten. Sie gilt nicht nur für Unternehmen, sondern auch für Vereine, die Daten ihrer Mitglieder verarbeiten. Dazu gehören Name, Anschrift und Alter, auch Fotos oder Videoaufnahmen, im Sport sogar die immer wichtiger werdenden Leistungsdaten. Der DS-GVO ist es übrigens egal, wie viele Mitglieder ein Verein hat, ob es sich um den ADAC oder den Lohnsteuerhilfeverein handelt, einen Bundesligaverein, einen Bezirksligisten oder einen Minigolfclub.
Jüngst geriet das Thema Verein und Datenschutz durch die Datenaffäre beim VfB Stuttgart in den Fokus. Die Datenschutzaufsichtsbehörde des Landes Baden-Württemberg (LfDI-BW) hatte die Übermittlung tausender E-Mail Adressen von Vereinsmitgliedern an eine PR-Agentur in den Jahren 2017 und 2018 untersucht. Die Daten waren weitergegeben worden, um mithilfe der Agentur vor der Mitgliederversammlung Stimmen für eine Ausgliederung der Profifußballabteilung in eine Aktiengesellschaft zu aktivieren. Für das LfDI-BW waren das klare und schwere Datenschutzverstöße. Es verhängte ein Bußgeld von 300.000 Euro plus ein paar Verhaltensauflagen gegen die VfB Stuttgart AG. Es hätte schlimmer kommen können, dachten viele.
Die DS-GVO verschafft Aufsichtsbehörden in der Tat einen relativ breiten Spielraum für Sanktionen, insbesondere bei Bußgeldern. Die sollen schmerzhaft sein, nicht zuletzt um den korrekten Umgang mit anvertrauten Personendaten sicherzustellen. Die Höhe eines verhängten Bußgeldes stünde allerdings außer Verhältnis zum Sanktionszweck, wenn sie existenzgefährdendes Ausmaß annimmt. Was schmerzhaft aber nicht vernichtend ist, richtet sich daher nach der Größe und dem Kapital der für den Verstoß verantwortlichen Stelle aber auch nach dem Ausmaß des Verstoßes. Das gilt für Vereine wie für Wirtschaftsunternehmen.
Muss nun jeder von ihnen, ob klein oder groß, mit einem aufsichtsrechtlichen Verfahren rechnen? Eher nein. Die Aufsichtsbehörden betreiben nach der Causa VfB nicht etwa flächendeckendes Screening bei Sportvereinen, um mal zu schauen, wie es dort mit dem Datenschutz bestellt ist. Dazu fehlen ihnen die Ressourcen. Sie werden bei Beschwerden tätig. Vereinsmitglieder sind zwar nicht als Beschwerdehansel verschrien, könnten es aber übelnehmen, wenn ihre Kontaktdaten zu Werbezwecken an das Unternehmen des Mäzens übermittelt werden. Eltern könnten sich daran stören, dass ihre Kinder im Training ungefragt gefilmt werden. Insofern sollten sich Vereine einen allzu sorglosen oder ungeschickten Umgang mit den Daten ihrer Mitglieder nicht erlauben.
Verantwortlich für den Datenschutz im Verein ist der Verein selbst. Kümmern muss sich der Vorstand. Zwei Dinge muss er im Blick haben. Erstens, muss der Verein organisatorische Dinge umsetzen, um datenschutzkonform aufgestellt zu sein. Zweitens muss er beim Umgang mit Personendaten sicherstellen, dass die beabsichtigte Verwendung vom Gesetz gedeckt ist. Damit wäre viel getan.
Zu den organisatorischen Dingen gehört, einen Datenschutzbeauftragten einzusetzen. Das ist allerdings erst nötig, wenn mindestens zehn Personen im Verein (auch Ehrenamtliche) regelmäßig mit der Verwaltung von Mitgliederdaten beschäftigt sind. Der Datenschutzbeauftragte kann eine Person innerhalb oder außerhalb des Vereins sein, idealerweise niemand, der selbst mit der Datenverarbeitung befasst ist (und sich
damit selbst kontrollieren würde).
Erfolgt eine elektronische Verwaltung der Mitglieder oder Vereinsangestellten (etwa der Mitgliedsbeiträge oder Lohnabrechnung) ist ein Verzeichnis der Datenverarbeitungstätigkeiten zu führen. Darin sind sämtliche nicht nur gelegentlichen Verarbeitungen der Mitgliederdaten zu beschreiben und Angaben zum Zweck der Datenverarbeitung zu machen.
Für alle gespeicherten Daten sind Löschfristen vorzusehen, denn die Daten dürfen nur solange aufbewahrt werden, wie sie zur Zweckerfüllung erforderlich sind. Welche Fristen vorzusehen sind, hängt im Einzelfall vom jeweiligen Zweck des Vereins ab. Bei kleineren Vereinen genügt, wenn die Fristen im Verarbeitungsverzeichnis stehen. Bei größeren Vereinen empfiehlt sich, ein detailliertes Lösch- und Sperrkonzept zu schreiben. Nach Fristablauf sind die betroffenen Daten zu löschen.
Beim Umgang mit Mitgliederdaten kann sich der Verein entweder auf gesetzliche Erlaubnisse berufen oder er holt eine Einwilligung ein. Nachteil der Einwilligung ist, dass sie jederzeit widerrufen werden kann, deshalb ist sie nicht immer der Weisheit letzter Schluss.
Beim Beitritt eines Mitglieds darf ein Verein die Personendaten erheben, die er für die Begründung und Durchführung des Mitgliedsverhältnisses benötigt, ohne dass es dafür der Einwilligung des Mitglieds bedarf. Das Mitglied muss allerdings über die durchzuführenden Datenverarbeitungen und deren Zwecke informiert werden, das kann im Mitgliedsantrag geschehen. Dabei ist auch über die Betroffenenrechte zu informieren. Jedes Mitglied kann jederzeit Auskunft über seine beim Verein gespeicherten Daten verlangen und die Daten berichtigen oder sie löschen lassen, sofern keine Aufbewahrungspflichten bestehen, zum Beispiel für die Steuer.
Anders ist es in Fällen, in denen die Mitglieder ohne weitere Informationen nicht mit einer Datenverarbeitung rechnen müssen. Ob eine Nutzung der Mitgliederdaten zulässig ist, muss daher in jedem Einzelfall geprüft werden. Die Grenzen sind meist dort, wo der Satzungszweck des Vereins endet. Dass sportliche Leistungen unter Nennung von Namen der Mitglieder im Vereinskreis bekannt gegeben (die Mannschaftsaufstellung der Erwachsenen- oder Jugendmannschaften oder von Torschützen), dürfte dem Vereinszweck entsprechen. Die Weitergabe von Daten an Sponsoren oder, wie im Fall VfB, an PR-Agenturen, um Einfluss auf die Mitglieder bei der Stimmabgabe zu nehmen, in der Regel nicht. Hier käme man um Einholung einer vorherigen Einwilligung nicht herum.
Werden Geburtstagslisten im Vereinsheft veröffentlicht, kann dies vom Vereinszweck erfasst sein, wenn dieser, wie oft bei kleinen Vereinen, auch darin besteht, die persönliche Verbundenheit der Mitglieder und den Kontakt untereinander zu fördern. Indiz dafür kann eine geringe Mitgliederanzahl sein.
Im Übrigen können auch berechtigte Interessen des Vereins als Rechtsgrundlage der Datenverarbeitung dienen. Ist diese zur Wahrung der berechtigten Interessen des Vereins erforderlich, muss eine Abwägung mit den Interessen des Mitglieds vorgenommen werden.
Das berechtigte Interesse kann eine taugliche Rechtsgrundlage sein, um Fotos vom sportlichen Einsatz der Mitglieder anzufertigen und vereinsintern oder auf der Website zu veröffentlichen. Im Rahmen der Interessenabwägung lässt sich als Abwägungsleitlinie auf § 23 des Kunsturhebergesetzes (KUG) zurückgreifen, der schon vor Geltung der DS-GVO die Verwendung der Abbildungen von Personen regelte und nach wie vor in Kraft ist. Die Vorschrift erlaubt die Veröffentlichung von Bildern des „Zeitgeschehens”, zu dem auch Sportveranstaltungen von regionaler oder lokaler Bedeutung zählen können.
Fabian Reinholz
Fabian Reinholz ist Sportrechtsexperte der Berliner Kanzlei Härting Rechtsanwälte. Für die Hartplatzhelden gewann er 2010 den Prozess vor dem Bundesgerichtshof gegen den Württembergischen Fußballverband.