1. Informationspflichten (Art. 12–23 DSGVO)
Tz. 21
Stand: EL 137 – ET: 06/2024
Werden personenbezogene Daten direkt bei der betroffenen Person abgefragt, so hat der Verein – aus Gründen der Transparenz von Datenverarbeitungsprozessen im Zeitpunkt der Datenerhebung – eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (s. Art. 13 Abs. 1 und Abs. 2 DSGVO). Daraus folgt, dass der Verein in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt, auf Folgendes hinweisen muss:
Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
Kontaktdaten des Datenschutzbeauftragten,
Zwecke der Verarbeitung (im Einzelnen aufzählen),
Rechtsgrundlage der Verarbeitung,
berechtigte Interessen i. S. d. Art. 6 Abs. 1 Buchst. f DSGVO,
Empfänger oder Kategorien von Empfängern (z. B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, Veröffentlichung im Internet),
Absicht über Drittlandtransfer (z. B. bei Mitgliederverwaltung in der Cloud) sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit,
Speicherdauer der personenbezogenen Daten,
Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung),
Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung,
Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde.
Teilt der Verantwortliche die vorgesehenen Informationen nicht, nicht vollständig oder inhaltlich unrichtig mit, so verletzt er seine Informationspflichten und kann gemäß Art. 83 Abs. 5 Buchst. b DSGVO mit einem Bußgeld geahndet werden.
Werden personenbezogene Daten auf andere Weise als bei der betroffenen Person erhoben, muss der Verein zusätzlich die betroffene Person über die Kategorie der verarbeiteten personenbezogenen Daten und über die Quelle der erhobenen Daten informieren. Der Verein muss diese Informationen innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats nach der Erhebung erteilen.
Hinweis:
Eine Vereins-Homepage bedarf eines Impressums und einer Datenschutzerklärung. Hier finden sich im Internet Hilfestellungen, z. B. Datenschutzhinweis-Generatoren (vgl. auch Kurzpapier Nr. 10; https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/ds-gvo---kurzpapiere-155196.html.
Eine Veröffentlichung im Internet bietet für Vereine gute Möglichkeiten der Selbstdarstellung, birgt im Falle fehlenden Passwortschutzes aber gleichzeitig erhebliche datenschutzrechtliche Risiken, weil personenbezogene Daten weltweit abgerufen werden können, also auch außerhalb des Geltungsbereichs der DSGVO. Zudem können im Internet abgerufene Daten verfälscht oder zur Profilbildung verwendet werden. Eine Veröffentlichung im Internet sollte daher stets mit Einwilligung des Betroffenen erfolgen.
2. Widerspruch (Art. 21 DSGVO) und Widerruf (Art. 7 DSGVO)
Tz. 22
Stand: EL 137 – ET: 06/2024
Der allgemeine Widerspruch richtet sich gegen eine rechtmäßige Datenverarbeitung auf Basis einer gesetzlichen Erlaubnisnorm (öffentliches Interesse oder berechtigtes Interesse). Der Betroffene muss den Widerspruch mit seiner besonderen Situation anhand des Einzelfalls begründen.
Ein Anwendungsfall ist der Werbewiderspruch gegen eine Datennutzung, die zum Zwecke des Direktmarketings erfolgt (s. Art. 21 Abs. 2, 3 DSGVO). Der Widerspruch ist hier jederzeit möglich.
Beachte!
Die Nutzung der Daten des Vereins für eigene Mitglieder- und Spendenwerbung fällt nicht hierunter, da sie regelmäßig vom Vereinszweck gedeckt sein dürfte (s. Art. 6 Abs. 1 Buchst. b DSGVO).
Daten Dritter, die dem Verein bekannt sind, etwa von Personen, die regelmäßig Eintrittskarten für Spiele beziehen, darf der Verein für Werbezwecke nutzen, wenn diese entweder darin eingewilligt haben oder der Verein berechtigte Interessen an der Nutzung zu Werbezwecken hat und keine Interessen oder Grundrechte des Dritten überwiegen (s. Art. 6 Abs. 1 Buchst. f DSGVO).
Der Widerruf bezieht sich auf die Rücknahme einer vom Betroffenen erteilten Einwilligung. Diese kann jederzeit widerrufen werden (s. Art. 7 Abs. 3 DSGVO). Eine Selbstbindung an die Einwilligung des Betroffenen besteht nicht, so dass die Einwilligung wenig Rechtssicherheit bietet.
Verwechselt der Betroffene bei der Ausübung seiner Rechte die Bezeichnungen Widerruf und Widerspruch, ist der Verpflichtete ggf. zur Umdeutung im Sinne des Betroffenen verpflichtet, erfolgt die Verarbeitung sowohl auf Grundlage einer Einwilligung als auch auf gesetzlicher Erlaubnisnorm, finden ggf. beide Rechte nebeneinander Anwendung.
Beachte!
Bei der Anmeldung zu einem Vereins-Newsletter ist eine doppelte Bestätigung der Anmeldung erforderlich, sog. Double-Opt-in-Verfahren. Hierbei muss die Eintragung in die Abonnentenliste in einem zweiten Schritt bestätigt werden. I.d.R. erhält der Abo-Interessent hierbei eine E-Mail-Nachricht mit der Bitte, die Eintragung zu bestätigen. Die Registrierung ist dann erst mit Zugang der Bestätigungs-E-Mail abgeschlossen.
3. Recht auf Löschung (Art. 17 DSGVO)
Tz. 23
Stand: EL 137 – ET: 06/2024
Ist die Verarbeitung unrechtmäßig, besteht ein Recht auf unverzügliche Löschung. Zu löschen is...