Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juli 2024 weitere Informationen zur Bearbeitung von Personendaten im Rahmen der Vereinsarbeit herausgegeben. Hierbei geht der EDÖB insbesondere auf Neuerungen aufgrund des im vergangenen Jahr in Kraft getretenen neuen Schweizer Datenschutzgesetzes (DSG) ein (wir berichteten). Zum Verständnis des folgenden Textes sei darauf hingewiesen, dass, anders als in der Datenschutz-Grundverordnung (DSGVO), im DSG von Datenbearbeitung (statt Datenverarbeitung) und Personendaten (statt personenbezogene Daten) gesprochen wird.

Wir möchten dies zum Anlass nehmen, Ihnen hier eine kurze Zusammenfassung über die aus unserer Sicht besonders relevanten Punkte zur Vereinsarbeit in puncto Datenschutz nach dem DSG auf Basis der Erläuterungen des EDÖB hierzu zu geben.

Datenschutzrechtliche Verantwortlichkeit und Einhaltung der Datenschutzvorschriften

Im Rahmen einer Vereinsmitgliedschaft von Personen werden auch regelmäßig Personendaten von diesen bearbeitet. Dies sind üblicherweise Kontaktdaten wie Name, Adresse, E-Mail-Adresse etc. Darüber hinaus werden aber ggf. auch Fotoaufnahmen erstellt und veröffentlicht. Denkbar ist auch, dass, insbesondere in Sportvereinen, auch Fitnessdaten der Mitglieder erhoben und bearbeitet werden.

Aufgrund der Bearbeitung von Personendaten im Rahmen des Vereinslebens finden die üblichen Regelungen aus dem DSG sowie der Datenschutzverordnung (DSV) Anwendung für Vereine in der Schweiz. Das bedeutet, dass auch Vereine die Rechtmäßigkeit der Bearbeitung von Personendaten sicherstellen und den verschiedenen datenschutzrechtlichen Verpflichtungen nachkommen müssen. Hierunter fallen z. B. die Umsetzung der Informationspflicht bzw. die Umsetzung von Betroffenenrechten.

Im Außenverhältnis ist der Verein in seiner Gesamtheit Verantwortlicher. Die Einhaltung der Vorschriften aus dem Datenschutzrecht sind durch den Vereinsvorstand sicherzustellen.

Gleichwohl ist zu beachten, dass bei Verstößen gegen die Datenschutzvorschriften die natürliche Person gebüßt wird, die vorsätzlich den Datenschutzverstoß begeht bzw. eine entsprechende Verpflichtung vorsätzlich unterlässt (vgl. Art. 60 ff. DSG).

Eintritt in den Verein

Beim Eintritt in einen Verein werden regelmäßig Personendaten erhoben, die für die Mitgliedschaft im Verein benötigt werden. Der Vereinsvorstand darf nur die Personendaten von den Mitgliedern erheben, die für den Vereinszweck tatsächlich benötigt werden. In diesem Rahmen ist auch zu beachten, dass die von der Datenbearbeitung betroffenen Personen vorab insbesondere über den Zweck und Umfang der Bearbeitung zu informieren sind. Es ist sicherzustellen, dass den Informationspflichten nach Art. 19 ff. DSG Rechnung getragen wird.

Eine Bearbeitung zu anderen Zwecken kann eine Persönlichkeitsverletzung der betroffenen Person bedingen. Daher sollte immer vorab geprüft werden, inwiefern es für (ggf. weitere) Datenbearbeitungen einer vorherigen Einwilligung der Betroffenen bedarf bzw. ob eine Datenbearbeitung ggf. generell nur mit der Einwilligung der betroffenen Person zulässig erfolgen kann.

Mitgliedschaft im Verein

Im Rahmen der Vereinsorganisation werden regelmäßig Informationen vom Vereinsvorstand per Mail an die Vereinsmitglieder gesendet. Beim regulären Versand einer E-Mail an viele Datenempfänger werden die E-Mail-Adressen der einzelnen Datenempfänger den jeweils anderen Datenempfängern in der E-Mail bekanntgegeben. Dies ist jedoch nur zulässig, wenn alle Datenempfänger in diese Bekanntgabe vorab eingewilligt haben und auch eindeutig vorab festgelegt ist, zu welchem Zweck die Daten bearbeitet werden. Um eine Bekanntgabe der E-Mail-Adressen der Vereinsmitglieder an alle anderen Mitglieder zu unterbinden, sollten E-Mails nicht im offenen Verteiler, sondern ausschließlich mit der „BCC“ (Blind Carbon Copy)-Funktion versendet werden. Somit kann verhindert werden, dass die E-Mail-Adressen im Rahmen des Versandes einer Rundmail sämtlichen Mitgliedern im Verteiler bekannt gegeben werden.

Die Problematik einer Datenbekanntgabe von Vereinsmitgliedern stellt sich jedoch nicht nur innerhalb des Vereins, denn es können auch Dritten Daten von Vereinsmitgliedern bekannt gegeben werden. Dies ist grundsätzlich nur dann zulässig, wenn die Vereinsmitglieder hierüber vorab informiert wurden – insbesondere über den Zweck der Weitergabe – und dieser Weitergabe auch ausdrücklich zugestimmt haben bzw. dieser nicht vorab widersprochen haben. Eine Bekanntgabe an Dritte kann jedoch auch gerechtfertigt sein, wenn es eine gesetzliche Verpflichtung zur entsprechenden Bekanntgabe gibt.

Wenn Fotos von Mitgliedern veröffentlicht werden sollen, z. B. auf dem Internetauftritt des Vereins, ist hierfür vorab eine Einwilligung der jeweiligen Mitglieder  einzuholen. Die Einwilligung muss freiwillig sein und kann von den Betroffenen jederzeit mit Wirkung für die Zukunft widerrufen werden. Die jeweilige Fotoaufnahme ist dann durch den Verein zu löschen.

Fazit

Bei der Bearbeitung von Personendaten in Vereinen in der Schweiz finden die Regelungen aus dem DSG und der DSV Anwendung und sind zu beachten. Es ist besonders wichtig, dass die betroffenen Personen transparent und unter Berücksichtigung der gesetzlichen Anforderungen über die Bearbeitung ihrer Daten informiert werden. Es ist auch sicherzustellen, dass die Datenbearbeitung rechtmäßig und verhältnismäßig erfolgt, dies gilt auch für Datenbekanntgaben. Es dürfen nur die Daten erhoben und bearbeitet werden, die tatsächlich für den Bearbeitungszweck erforderlich sind. Wenn die Personendaten nicht mehr für den Zweck benötigt werden und auch keine gesetzlichen Aufbewahrungsfristen eine längere Speicherdauer normieren, sind die Personendaten zu löschen bzw. zu anonymisieren.