Ein Verein ist ein auf Dauer angelegter Zusammenschluss von Personen zur Verfolgung eines bestimmten Zwecks, der einen Gesamtnamen führt, nach außen als Einheit auftritt und in seinem Bestand vom Wechsel seiner Mitglieder unabhängig ist.

Ein Verein fällt gemäß § 2 Abs. 1 Satz 1 EKD-Datenschutzgesetz (DSG-EKD) unter das EKD-Datenschutzgesetz, wenn er der Evangelischen Kirche in Deutschland, den Gliedkirchen, den gliedkirchlichen Zusammenschlüssen oder einer kirchlichen juristischen Person des öffentlichen Rechts zugeordnet ist. Die Evangelische Kirche in Deutschland sowie die Gliedkirchen führen gemäß § 2 Abs. 1 Satz 3 DSG-EKD jeweils eine Übersicht über die für ihren Bereich bestehenden Zuordnungen.

Bei Eintritt in einen Verein entsteht ein Vertragsverhältnis zwischen dem Mitglied und dem Verein. Der Verein darf gemäß § 6 Nr. 5 DSG-EKD bei Eintritt eines Mitglieds nur solche personenbezogenen Daten erheben, die zur Erfüllung des Vertrags, das heißt für die Begründung und Verwaltung der Mitgliedschaft sowie zur Verfolgung des Vereinszwecks erforderlich sind. Dazu können z. B. Vorname, Name, Adresse und gegebenenfalls auch die Kontodaten des Mitglieds gehören.

Gemäß § 6 Nr. 5 DSG-EKD kann der Verein alle personenbezogenen Daten seiner Mitglieder erheben und nutzen, die zur Verfolgung des Vereinszwecks und für die Durchführung des zwischen dem Verein und den Mitgliedern bestehenden Vertrags erforderlich sind. Der Zweck, den der Verein verfolgt, ergibt sich aus der Vereinssatzung sowie den die Satzung ergänzenden Regelungen (z. B. Vereinsordnungen).

Weitere personenbezogene Daten der Vereinsmitglieder darf der Verein gemäß § 6 Nr. 4 i.V.m. § 6 Nr. 8 DSG-EKD nur verarbeiten, wenn er ein berechtigtes Interesse an der Verarbeitung hat und keine schutzwürdigen Interessen der betroffenen Person überwiegen.

Führt der Verein Geburtstags- oder Adresslisten über seine Vereinsmitglieder, die diesen auch zugänglich gemacht werden sollen, ist zu beachten, dass Vereinsmitglieder „Dritte“ im Sinne des § 4 Nr. 12 DSG-EKD sind und daher grundsätzlich keinen Zugriff auf die personenbezogenen Daten anderer Vereinsmitglieder haben dürfen.

Eine Offenlegung personenbezogener Daten der Vereinsmitglieder gegenüber anderen Vereinsmitgliedern ist nur dann zulässig, wenn das Führen einer Geburtstags- oder Adressliste den Vereinszweck fördert (§ 9 Abs. 1 Nr. 1 DSG-EKD) oder der Verein oder die empfangenden Vereinsmitglieder ein berechtigtes Interesse an der Offenlegung haben und keine schutzwürdigen Interessen der betroffenen Personen entgegenstehen (§ 9 Abs. 1 Nr. 3 DSG-EKD). Dabei ist zu berücksichtigen, dass die Vereinsmitglieder sich grundsätzlich darauf verlassen dürfen, dass ihre Daten vom Verein ausschließlich zur Förderung des Vereinszwecks und zur Verwaltung der Mitglieder genutzt werden.

Ist keine Rechtsgrundlage gegeben, ist die Erstellung einer Adress- oder Geburtstagsliste nur mit Einwilligung der betroffenen Personen zulässig.

Ein Dachverband ist im Verhältnis zu seinen Mitgliedsvereinen Dritter im Sinne des § 4 Nr. 12 DSG-EKD. Er darf grundsätzlich keinen Zugriff auf die von den Mitgliedsvereinen erhobenen personenbezogenen Daten der Vereinsmitglieder haben.

Eine Offenlegung der personenbezogenen Daten der Vereinsmitglieder gegenüber einem Dachverband ist gemäß § 8 Abs. 6 DSG-EKD nur zulässig, wenn dies zur Erfüllung der Aufgaben der offenlegenden oder der empfangenden Stelle erforderlich ist und sofern sichergestellt ist, dass bei der empfangenden Stelle ausreichende Datenschutzmaßnahmen getroffen werden und nicht offensichtlich berechtigte Interessen der betroffenen Person entgegenstehen.

Ist der Verein vertraglich verpflichtet, personenbezogene Daten der Vereinsmitglieder an den Dachverband zu übermitteln, sollte sich dies aus der Satzung des Vereins ergeben. In Fällen, in denen keine Pflicht zur Offenlegung von personenbezogenen Daten gegenüber dem Dachverband besteht, sind die Mitglieder frühzeitig über die Offenlegung ihrer Daten zu informieren und darauf hinzuweisen, dass sie der Offenlegung der Daten widersprechen können.

Der offenlegende Verein ist verpflichtet sicherzustellen, dass der Dachverband die offengelegten personenbezogenen Daten ausschließlich zu dem festgelegten Zweck verarbeitet.

Bei Austritt eines Mitglieds muss der Verein prüfen, ob die personenbezogenen Daten des ausgetretenen Mitglieds gemäß § 21 Abs. 1 DSG-EKD zu löschen sind. Z. B. sind die personenbezogenen Daten des ausgetretenen Mitglieds gemäß § 21 Abs. 1 Nr. 2 DSG-EKD zu löschen, wenn ihre Kenntnis für den Verein zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.

In Einzelfällen kann es erforderlich sein, dass der Verein auch noch nach dem Austritt eines Mitglieds dessen personenbezogene Daten speichert. In welchen Fällen eine Verarbeitung auch noch nach Austritt des Mitglieds möglich ist, ergibt sich aus § 21 Abs. 3 DSG-EKD. In Fällen, in denen zum Beispiel das ausgetretene Mitglied mit Mitgliedsbeiträgen im Rückstand ist, könnte die Speicherung gemäß § 21 Abs. 3 Nr. 5 DSG-EKD zur Geltendmachung von Rechtsansprüchen weiterhin erforderlich sein. Auch ist die Speicherung personenbezogener Daten von ausgetretenen Mitgliedern erforderlich, sofern gesetzliche Aufbewahrungspflichten, z. B. zu Abrechnungszwecken oder aufgrund steuerlicher Verpflichtungen bestehen.

Empfehlenswert ist die Erstellung eines Löschkonzepts, aus dem sich ergibt, zu welchem Zeitpunkt welche Arten von personenbezogenen Daten zu löschen sind.

Aufgrund ihrer herausgehobenen Stellung darf die „dienstliche“ Erreichbarkeit (z. B. Telefonnummer, E-Mailadresse) der Funktionsträger, die im Verein mit Aufgaben der Öffentlichkeitsarbeit oder mit der Vertretung des Vereins betraut sind, auf der Homepage des Vereins und in anderen Vereinspublikationen veröffentlicht werden. Eine Einwilligung der betroffenen Personen ist nicht erforderlich.

Eine Veröffentlichung der privaten Kontaktdaten der Funktionsträger ist nur mit Einwilligung der betroffenen Personen zulässig.

Sind im Verein Beschäftigte i.S.v. § 4 Nr. 20 DSG-EKD tätig, so darf der Verein – wie jede andere kirchliche Stelle auch – die personenbezogenen Daten der Beschäftigten auf der Grundlage von § 49 DSG-EKD verarbeiten.

Gemäß § 49 Absatz 1 DSG-EKD dürfen Beschäftigtendaten verarbeitet werden, soweit dies zur Begründung, Durchführung oder Abwicklung des Beschäftigungsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen erforderlich ist. Die Verarbeitung von Beschäftigtendaten ist auch zulässig, sofern eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht.

Weitere personenbezogene Daten der Beschäftigten dürfen nur auf der Grundlage einer Einwilligung verarbeitet werden. Aufgrund der bestehenden Abhängigkeit der Beschäftigten werden im Beschäftigungsverhältnis gemäß § 49 Absatz 3 DSG-EKD erhöhte Anforderungen an die Einwilligung gestellt. Bei der Beurteilung der Wirksamkeit einer Einwilligung sind insbesondere die Freiwilligkeit und die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.

Grundsätzlich darf ein Verein ohne Einwilligung keine personenbezogenen Daten von Personen verarbeiten, die nicht Mitglied des Vereins sind.

Gemäß § 6 Nr. 4 i.V.m. § 6 Nr. 8 DSG-EKD ist die Verarbeitung von personenbezogenen Daten Dritter ausnahmsweise zulässig, soweit dies zur Wahrnehmung der berechtigten Interessen des Vereins erforderlich ist und keine schutzwürdigen Interessen der betroffenen Person überwiegen.

Für die Verarbeitung personenbezogener Daten, die weder zur Durchführung des Vertragsverhältnisses noch zur Verfolgung des Vereinszwecks erforderlich sind, ist eine Einwilligung der betroffenen Person erforderlich. Dabei sind die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen. Eine Einwilligung ist z. B. in Fällen erforderlich, in denen Fotos von Vereinsmitgliedern in Vereinszeitschriften veröffentlicht werden sollen oder in Fällen, in denen geplant ist, Mitgliederdaten zu Werbezwecken oder zu Spendenaufrufen zu nutzen und dies nicht vom Vereinszweck umfasst ist. Auch bei der Veröffentlichung von personenbezogenen Daten im Internet oder in Vereinszeitschriften ist eine Einwilligung der betroffenen Person erforderlich.

Erhebt der Verein die personenbezogenen Daten unmittelbar bei der betroffenen Person, muss er die in § 17 DSG-EKD genannten Informationen z. B. in Form eines Infoblattes bereithalten und der betroffenen Person diese auf Verlangen mitteilen. Die Beitrittswilligen sollten vor Aufnahme in den Verein über die Verarbeitung der personenbezogenen Daten informiert werden. Dies kann z. B. gemeinsam mit dem Aufnahmeantrag erfolgen.

Der Verein hat darüber hinaus die Möglichkeit, Regelungen zum Datenschutz in der Vereinssatzung oder in den Vereinsordnungen zu treffen. Die jeweiligen Regelungen dürfen nicht im Widerspruch zu den Regelungen des DSG-EKD stehen.

Erhebt der Verein die personenbezogenen Daten nicht bei der betroffenen Person, so richten sich die Informationspflichten nach § 18 DSG-EKD.

Im Übrigen verweisen wir auf unsere Arbeitshilfe zur Umsetzung von Informationspflichten, die Sie auf unserer Homepage unter folgendem Link erreichen: https://datenschutz.ekd.de/infothek-items/arbeitshilfe-zur-umsetzung-von-informationspflichten/