Personenbezogene Daten im Schaukasten des Vereins veröffentlichen: Geht das?

Vor dem Hallenbad, mitten im Dorf, in den Kleingärten, vor den Vereinsheimen: Es gibt sie noch, die Schaukästen von Vereinen, in denen über aktuelle Nachrichten rund um das Vereinsgeschehen und den Mitgliedern berichtet wird. Doch dürfen personenbezogenen Daten dort einfach so veröffentlich werden? Mit dieser Frage beschäftigte sich die LDI Brandenburg (51. Tätigkeitsbericht 2021, S. 50/51).

Kommunikation zwischen Vorstand und Mitglied erfolgte über den Schaukasten

Ein Mitglied eines Garagenvereins beschwerte sich darüber, dass der Vorstand seine vertrauliche Korrespondenz sowie andere Dokumente in Schaukästen auf dem Vereinsgelände veröffentlicht hatte. Das Vereinsmitglied reagierte nicht auf postalisch zugestellte, offizielle Schreiben. Daraufhin veröffentlichte der Vorstand diese über die Schaukästen. Alle anderen Mitglieder sowie Gäste des Vereins konnten so Name und Wohnanschrift des Adressaten sowie Einzelheiten des dem Schriftwechsel zu Grunde liegenden Sachverhalts entnehmen. Die Aufforderung des Vereinsmitglieds, das Schreiben aus den Schaukästen zu entfernen und die eigene Reaktion veröffentlichte der Vorstand ebenfalls im Schaukasten. Davon waren zusätzlich auch Daten dritter Personen betroffen.

Als Begründung gab der Verein u. a. an, dass eine solche „offene“ Korrespondenz sowohl von der Vereinssatzung als auch von einem Mitgliederbeschluss umfasst sei.

Erforderlich: Einwilligung oder andere Rechtsgrundlage

Hierzu die LDI: Das Offenlegen personenbezogener Daten in einem Schaukasten stellt eine Verarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. Hierfür bedürfe es entweder einer Einwilligung der betroffenen Person oder einer anderen Rechtsgrundlage nach Art. 6 DSGVO. In dem zu prüfenden Verfahren fehle es an einem solchen Erlaubnistatbestand.

Vereinssatzung oder Mitgliederbeschluss stellt keine Einwilligung dar

Weder eine Vereinssatzung noch ein Mitgliederbeschluss würden eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a DSGVO darstellen. Die pauschale Einwilligungsklausel in einer Satzung, die sich nicht auf bestimmte Datenverarbeitungszwecke beschränke, sei unwirksam. Grundsätzlich könne nur die betroffene Person ihre Einwilligung „für einen oder mehrere bestimmte Zwecke“ abgeben. Eine solche Einwilligung habe der Beschwerdeführer nicht erteilt.

Offenlegung wird auch nicht durch Mitgliedschaftsvertrag gedeckt

Die Offenlegung personenbezogener Daten des Betroffenen im Vereinsschaukasten sei auch nicht vom Mitgliedschaftsvertrag gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO gedeckt gewesen. Es fehle bereits an dem Tatbestandsmerkmal der Erforderlichkeit der Veröffentlichung zur Vertragserfüllung. Diese läge vor, wenn die konkrete Art und Weise der Verarbeitung geeignet wäre, den mit der Datenverarbeitung verfolgten Zweck zu erreichen, und es keine andere, weniger in die Grundrechte und Grundfreiheiten eingreifende Möglichkeit gäbe (sogenanntes milderes Mittel).

Soweit eine Reaktion eines Vereinsmitglieds auf postalisch verschickte Schreiben ausgeblieben sei, habe der Verein unter Nutzung einer Postzustellungsurkunde einen wirksamen Zugang von zum Beispiel Rechnungen oder Kündigungen sicherstellen können.

Mangels Erforderlichkeit könnten die beschriebenen Datenverarbeitungen auch nicht auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden, weil sie nicht zur Wahrung berechtigter Interessen des Vereins oder Dritter erforderlich gewesen waren. Insoweit käme es hier gar nicht mehr auf eine Abwägung der Interessen des Vorstandes mit denen des Mitglieds an.

Die LDI Brandenburg sprach gegen den Verein eine Verwarnung gemäß Art. 58 Abs. 2 lit. b DSGVO aus.

Tipps und Hinweise für Vereine

Vereine sollten auf jeden Fall folgende Hinweise beachten und beherzigen:

  • In den Schaukasten gehören (Verein-)Satzungen, offizielle Schreiben an alle Mitglieder, Veranstaltungshinweise und allgemeine Nutzungshinweise etc.
  • Nicht hierhin gehören Schreiben an einzelne Mitglieder von datenschutzrechtlich hoher Relevanz wie Kündigungen, Mahnungen, Rechnungen und ähnlichem.
  • Deren Zugang muss auf andere Weise rechtssicher erreicht werden (z. B. Einschreiben mit Rückschein, Einwurf per Boten und Vermerk, Postzustellungsurkunde und Zustellung durch den Gerichtsvollzieher im Extremfall).

Veranstaltungen mit Heike Mareck

Aufbewahrungsfristen 2024

Die Tabelle mit über 200 Dokumentenarten

Welche Unterlagen dürfen im Jahr 2024 datenschutzkonform vernichtet werden? Welche müssen weiterhin aufbewahrt werden? Jedes Jahr die gleichen Fragen. Die Tabelle verschafft den Überblick für das Jahr 2024.

Videoüberwachung in Fitness-Studios

Das sagt die Rechtsprechung: Die Videoüberwachung im Bereich einer Umkleide, der Trainingsfläche und der Aufenthaltsbereiche in einem Fitnessstudio ist eine Datenschutzverletzung.

Ist die Fahrzeug-Identifizierungsnummer (FIN) ein „personenbezogenes Datum“ nach der DSGVO?

Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug- Identifizierungsnummern bereitstellen. Ermöglicht diese Nummer, den Halter eines Fahrzeugs zu identifizieren, und stellt sie daher ein personenbezogenes Datum dar, ist diese Verpflichtung mit der Datenschutz-Grundverordnung (DSGVO) vereinbar.

Livestream-Unterricht in der Schule

Für Livestream-Unterricht während der Corona-Pandemie wurden Lehrer und Lehrerinnen im Land Hessen, im Gegensatz zu den Schülern, aufgrund einer nationalen Vorschrift, nicht nach ihrer Einwilligung in die Verarbeitung der personenbezogenen Daten gefragt. Hiergegen ging der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium vor dem Verwaltungsgericht vor.

Praktische Lösungen für aktuelle Probleme mit Google Fonts, Facebook und Co.

Feierabend oder Pause gemacht und auf dem Schreibtisch sensible Mandantendaten liegen gelassen bzw. den Computer nicht gesperrt? Solche Situationen betreffen die IT-Sicherheit und den Datenschutz in der Anwaltskanzlei.