Erhebung und Speicherung von Mitgliederdaten
Die KG Siegburger Ehrengarde e.V. – im Nachfolgenden „Verein“ – genannt – erhebt und speichert gemäß der am 25. Mai 2018 EU-weit in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) nur solche Mitgliederdaten, welche zur Erreichung des satzungsgemäßen Zweckes sowie zur Pflege und Aufrechterhaltung des gesellschaftlichen Lebens im Verein notwendig sind. Konkret sind dies im Wesentlichen die Daten, welche das Mitglied bzw. der/die Erziehungsberechtigte eines minderjährigen Mitgliedes mit dem Aufnahmeantrag selbst angibt sowie solche Daten, welche sich unmittelbar daraus ergeben: vollständiger Name, Geburtsdatum, Tag des Ein- und ggf. Austritts, Art der Mitgliedschaft (maßgeblich für die Höhe des Jahresbeitrages), Postanschrift, Rufnummern (Telefon, Telefax, Mobilfunk), Online-Erreichbarkeit (E-Mail Adressen) sowie die Bankverbindung.
Nutzung von Mitgliederdaten
Innerhalb des Vereins sind die Aufgaben abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung bestimmt. Für den Umgang mit Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennt, verarbeitet oder nutzt. So greift etwa der geschäftsführende Vorstand auf alle Mitgliederdaten zu, wenn er diese zur Aufgabenerledigung benötigt. Auch müssen der Vereinsgeschäftsstelle alle Mitgliederdaten regelmäßig für die Mitgliederverwaltung und -betreuung zur Verfügung stehen. Dabei werden die Daten grundsätzlich nur zur Verfolgung des Vereinszwecks bzw. zur Betreuung und Verwaltung von Mitgliedern genutzt (Art. 6 Abs. 1 lit. b) DS-GVO). Nur ausnahmsweise ist es möglich, dass diese Daten für sonstige berechtige Interessen des Vereins oder Dritter genutzt werden, allerdings immer vorausgesetzt, dass dem keine schutzwürdigen Interessen der Vereinsmitglieder entgegen stehen (Art. 6 Abs. 1 lit. f) DS-GVO).
Der Geschäftsführer speichert und pflegt alle ihm von den Mitgliedern zur Verfügung gestellten Daten ausschließlich lokal in einem Vereinsverwaltungsprogramm sowie in Listenform mittels Office-Software. Diese Daten werden allerdings mit Inkrafttreten der neuen DS-GVO nicht mehr wie bisher – auch nicht passwortgeschützt – online auf der Vereins-Homepage oder mittels einer Cloud-Lösung zur Ansicht oder zum Download zur Verfügung gestellt. Eine Liste der Geburtstage aller Mitglieder mit den dazugehörigen Konatktdaten erhält nur das Vorstandsmitglied, welches für die Übersendung von entsprechenden Glückwünschen zuständig ist. Für den elektronischen Versand von Vereinsinformationen verwendet die Geschäftsstelle soweit bekannt die Mailadressen der aktiven Vereinsmitglieder. Hier wird durch die Nutzung der „Blindkopie („BCC“) sichergestellt, dass kein Empfänger Zugriff auf den Verteiler der E-Mails hat. Bankverbindungsdaten nutzen nur der Geschäftsführer und der Schatzmeister zur Ankündigung bzw. Durchführung des Beitragseinzuges im SEPA-Lastschriftverfahren, zu dem das zahlungspflichtige Mitglied vorher schriftlich eingewilligt hat. Die Daten von nicht mehr dem Verein angehörenden Personen werden nur insoweit gespeichert und verwendet, als sie beispielsweise für eine Kontaktaufnahme aus Anlass von Vereinsjubiläen oder das Führen einer Chronik erforderlich sind.
Nutzung von Daten Dritter
Daten Dritter, etwa von Lieferanten, Besuchern oder anderen Vereinen, werden nur gespeichert und genutzt, wenn dies für die Begründung oder Durchführung eines rechtsgeschäftlichen Schuldverhältnisses (Vertrag) mit diesen Personen erforderlich ist (Art. 6 Abs. 1 lit. b) DS-GVO) oder der Verein ein berechtigtes Interesse daran hat und nicht erkennbar ist, dass dem schutzwürdige Interessen der Betroffenen entgegenstehen (Art. 6 Abs. 1 lit. f) DS-GVO, s. o. Nr. 2.1). Diese Daten werden grundsätzlich nur zu dem Zweck verwendet, zu dem sie der Verein erhoben oder erhalten hat. Lediglich dann, wenn eine Weiterverarbeitung der Daten mit dem Zweck der ursprünglichen Datenerhebung als vereinbar anzusehen ist, kann fallweise eine Zweckänderung erfolgen (Art. 6 Abs. 4 DS-GVO).
Nutzung der Daten des Vereins für Spendenaufrufe und Werbung
Vereine haben regelmäßig ein erhebliches Interesse an der Mitglieder- und Spendenwerbung, um einen ausreichenden Mitgliederbestand und genügend finanzielle Mittel sicherzustellen. Die Daten seiner Mitglieder nutzt der Verein nur für Spendenaufrufe und für Werbung zur Erreichung der eigenen Ziele des Vereins (Art. 6 Abs. 1 lit. b) DS-GVO). Die Nutzung von Mitgliederdaten für die Werbung Dritter ist ohne Einwilligung der Mitglieder (s. o. Nr. 1.3.4) grundsätzlich nicht zulässig.
Daten Dritter, die dem Verein bekannt sind, etwa von Personen, die regelmäßig Eintrittskarten für Veranstaltungen beziehen, nutzt der Verein für Werbezwecke nur dann, wenn diese entweder darin eingewilligt haben (s.o. Nr. 1.3.4) oder der Verein ein berechtigtes Interesse an der Nutzung zu Werbezwecken hat und keine Interessen oder Grundrechte des Dritten überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO). In diese Interessenabwägung einbezogen werden die vernünftigen Erwartungen der betroffenen Person, welche auf ihrer Beziehung zu dem Verein beruhen (Erwägungsgrund 47 DS-GVO). Die vernünftigen Erwartungen werden bei werblichen Ansprachen maßgebend durch die Informationen nach Art. 13, 14 DS-GVO zu den Zwecken der Datenverarbeitung bestimmt (s.o. Nr. 1.3.2). Informiert der Verein daher transparent und umfassend über eine vorgesehene Nutzung der Daten, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Daten entsprechend genutzt werden. Zu beachten ist jedoch, dass die von der Werbung betroffene Person ein jederzeitiges Widerspruchsrecht hat (Art. 21 Abs. 2 DS-GVO). Ein solcher Widerspruch hat zur Folge, dass die personenbezogenen Daten für Werbezwecke nicht mehr verwendet werden dürfen (Art. 21 Abs. 3 DS-GVO). Widerspricht der Adressat der Nutzung seiner Daten für Werbezwecke gegenüber dem Verein, so wird dies respektiert. Telefonische Werbung bei Dritten findet ohne ausdrückliche Einwilligung des Betroffenen nicht statt, ebenso wenig in der Regel E-Mail-Werbung.
Der Verein kann auch eine Firma beauftragen, mit Hilfe der Daten, die ihr der Verein im Rahmen einer Auftragsdatenverarbeitung zugänglich macht, solche Werbemaßnahmen durchzuführen (s. o. Nr. 3.2). Sollte dieser Fall eintreten, so wird die eingeschaltete Firma verpflichtet, sowohl die vom Verein überlassenen, als auch die bei der Werbeaktion erhobenen Daten nicht für eigene Zwecke – insbesondere für Werbeaktionen für Dritte – zu nutzen und sämtliche Daten nach Abschluss der Aktion vollständig an den Verein abzuliefern.
Verarbeitung personenbezogener Daten durch den Verein, insbesondere Übermittlung an Dritte
Zur Datenübermittlung gehört jede Art von Veröffentlichung personenbezogener Angaben, z.B. in einer Tageszeitung oder im Internet. Nach Art. 6 Abs. 1 lit. b) DS-GVO können die Daten von Mitgliedern weitergegeben werden, wenn dies zur Erreichung des Vereinszwecks, insbesondere zur Verwaltung und Betreuung der Mitglieder erforderlich ist. Darüber hinaus darf der Verein die Daten seiner Mitglieder und anderer Personen auch zu einem anderen Zweck als zu dem, zu dem sie erhoben worden sind, übermitteln, wenn der Verein oder der Empfänger daran ein berechtigtes Interesse hat und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO, s.o. Nr. 2.1). Dies betrifft beispielsweise die Nennung von Namen im Rahmen der Presse- und Öffentlichkeitsarbeit des Vereins.
Erfassung von Daten im Zusammenhang mit dem Hosting unserer Website
Die von uns in Anspruch genommenen Hosting-Leistungen dienen der Zurverfügungstellung der folgenden Leistungen: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, Sicherheitsleistungen sowie technische Wartungsleistungen, die wir zum Zwecke des Betriebs dieses Onlineangebotes einsetzen. Hierbei verarbeiten wir, bzw. unser Hostinganbieter Bestandsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten, Nutzungsdaten, Meta- und Kommunikationsdaten von Kunden, Interessenten und Besuchern dieses Onlineangebotes auf Grundlage unserer berechtigten Interessen an einer effizienten und sicheren Zurverfügungstellung dieses Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO (Abschluss Auftragsverarbeitungsvertrag).
Wir, bzw. unser Hostinganbieter, erhebt auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider. Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.
Erstellung, Speicherung und Veröffentlichung von Fotografien und Bewegtbildern
Die rechtliche Zulässigkeit der Veröffentlichung und Verbreitung von Foto- und Videoaufnahmen von Personen durch die damit befassten Organe des Vereins steht nicht im direkten Zusammenhang mit der DS-GVO, sondern sie ist in den §§ 22 und 23 des Kunsturhebergesetzes (KUG) geregelt. Da jedoch auch Bilder von Personen prinzipiell personenbezogene Daten im Sinne des Datenschutzrechts sind, soll dieses Thema hier der Vollständigkeit halber angesprochen werden. So ist die Veröffentlichung von Foto- und Videoaufnahmen zwar grundsätzlich nur mit Einwilligung der abgebildeten Person zulässig, doch von diesem allgemeinen Grundsatz kennt das Gesetz einige Ausnahmen, welche auch auf das Vereinsleben zutreffen. Es gilt, dass die Veröffentlichung von Aufnahmen von öffentlichen Vereinsveranstaltungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben, auch ohne deren Einwilligung zulässig ist. Gleiches trifft zu, wenn abgebildete Personen als nur „Beiwerk“ im Hintergrund einer Veranstaltung, neben einer Landschaft oder sonstigen Örtlichkeit erscheinen.
Die Einwilligung muss nicht zwingend schriftlich erfolgen, sondern sie kann fallweise auch konkludent erfolgen. Dies bedeutet konkret, dass jede Person, welche aktiv oder als Gast an einer Veranstaltung (an welcher der Verein teilnimmt oder die er selbst ausrichtet) teilnimmt, aufgenommen und diese Aufnahme auch veröffentlicht werden darf. Insbesondere trifft dies zu, wenn sich die betreffende Person auf eine Bühne begibt oder auf andere Weise aktiv zur Schau stellt bzw. durch entsprechende Gestik erkennen lässt, dass die Aufnahme von ihr gewollt ist. Das „Recht am eigenen Bild“ wird also insoweit eingeschränkt, solange die Veröffentlichung nicht im Einzelfall berechtigte Interessen des bzw. der Abgebildeten verletzt. Besonderen Schutz genießt allerdings die Veröffentlichung von Aufnahmen im Internet, da die Veröffentlichung hier weltweit zugänglich ist und die Abgebildeten (durch automatisierte Verfahren) identifiziert werden können.
Bekanntgabe von personenbezogenen Daten zur Wahrnehmung satzungsmäßiger Mitgliederrechte
Die Satzung des Vereins sieht unter anderem vor, dass der Antrag auf Einberufung einer außerordentlichen Mitgliederversammlung davon abhängig gemacht werden, dass eine bestimmte Mindestzahl von Mitgliedern die Einberufung verlangt. Der Verein muss es dem Antragsteller durch Einsicht in die Mitglieder-Unterlagen oder durch Überlassung einer Adressliste ermöglichen, eine ausreichende Anzahl anderer Mitglieder für die Unterstützung eines solchen Antrages zu erreichen. Die Bekanntgabe von Mitgliederdaten für diesen Zweck ist wegen der Pflicht des Vereins, die Ausübung satzungsmäßiger Rechte zu ermöglichen, regelmäßig im Vereinsinteresse erforderlich, ohne dass Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f) DS-GVO). Um Missbräuchen entgegenzuwirken, wird der Verein in diesem Fall eine Zusicherung verlangen, dass die Adressen nicht für andere Zwecke verwendet werden.
Einwilligung in die Nutzung von personenbezogenen Daten und Widerruf
Im Gegensatz zum bisherigen Bundesdatenschutzgesetz (BDSG), das für Einwilligungen grundsätzlich die Schriftform und nur ausnahmsweise auch die elektronische Form zuließ, ermöglicht die neue DS-GVO, dass die Einwilligung schriftlich, elektronisch, mündlich oder sogar konkludent erfolgen kann. Der Verein hat die Regelungen der DS-GVO durch Beschluss der Mitgliederversammlung vom 20. April 2018 im Rahmen einer Satzungsänderung bzw. Satzungs-Neufassung umgesetzt und alle Mitglieder über deren diesbezügliche Rechte informiert. Insofern geht der Verein von Konkludenz bei der Einwilligung zur Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten aus, solange dem nicht widersprochen wird. Dieser Widerspruch kann jedoch jederzeit erfolgen. Desweiteren kann der Umfang der vom Verein zu nutzenden Daten auch von vornherein oder zu einem späteren Zeitpunkt beschränkt werden.
Einsetzen eines Datenschutzbeauftragten
Der Verein hat einen Datenschutzbeauftragen nur dann zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nimmt der Verein Verarbeitungen vor, die einer Datenschutzfolgeabschätzung gemäß Art. 35 DS-GVO (s.u. Nr. 7.2) unterliegen, so ist ebenfalls ein Datenschutzbeauftragter zu benennen (§ 38 Abs. 1 BDSG-neu). Beides ist hier zum gegenwärtigen Zeitpunkt nicht der Fall.