Für Vereine

Verarbeitet ein Verein ganz oder teilweise automatisiert personenbezogene Daten seiner Mitglieder und sonstiger Personen (Sponsoren, Förderer, ehrenamtliche oder hauptamtliche Mitarbeitende, Lieferanten, etc.) oder erfolgt eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, ist nach Art. 2 Abs. 1 DSGVO deren Anwendungsbereich eröffnet.

Unerheblich ist dabei, ob der Verein eingetragen ist und damit eine eigene Rechtspersönlichkeit besitzt, oder ob es sich um einen nicht rechtsfähigen Verein handelt.

Welche personenbezogenen Daten ein Verein erhalten und verarbeiten darf, regeln im Normalfall die Vereinsstatuten. Entsprechend dem Grundsatz der Datenminimierung unter der DSGVO dürfen Vereine nur jene personenbezogenen Daten erheben und verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.

Der Verein ist für die Einhaltung sämtlicher datenschutzrechtlicher Vorgaben der DSGVO und des nationalen Datenschutzgesetzes verantwortlich. Nicht die Vereinsorgane (z.B. Vorstand oder Mitgliederversammlung) oder ein eventuell bestellter Datenschutzbeauftragter sind „Verantwortliche“ aus Datenschutzsicht, sondern der Verein selbst.

Personenbezogene Daten sind heute in jedem Verein in der einen oder anderen Weise präsent, weshalb Datenschutz ein Thema ist, dem sich kein Verein ganz entziehen kann. Die ehrenamtlich oder hauptamtlich tätigen Mitarbeitenden im Verein haben ebenfalls mit Daten zu tun und es ist unumgänglich, dass auch sie die neuen Anforderungen im Datenschutz kennen und Sie alle gemeinsam daran arbeiten, dass Ihr Verein datenschutzkonform ist.

Bei der Aufnahme der Tätigkeit sind Beschäftigte (z.B. Vorstand und/oder Kassier), die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt. Nähere Informationen sowie ein Muster für eine Verpflichtungserklärung finden Sie hier.

Art. 30 DSGVO sieht vor, dass jeder Verantwortliche ein Verzeichnis der unter ihrer Verantwortung ausgeführten Datenverarbeitungstätigkeiten führen muss.

Der Inhalt des Verzeichnisses ist in Art. 30 Abs. 1 DSGVO für den Verantwortlichen detailliert beschrieben. Nähere Hinweise zum Inhalt des Verzeichnisses finden Sie hier. Eine Vorlage sowie ein auf einen Verein zugeschnittenes Muster eines Verzeichnisses finden Sie hier oder siehe unten.

Das Verzeichnis ist schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann.

Das Verzeichnis muss im Verein verfügbar sein und der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung gestellt werden.

Bevor Sie beginnen, das Verzeichnis zu erstellen, machen Sie eine Bestandsaufnahme aller personenbezogenen Daten, die Sie in Ihrem Verein verarbeiten und stellen Sie sich die folgenden Fragen:

• Welche Daten verarbeiten Sie in Ihrem Verein? (Kontaktdaten der Mitglieder oder Sponsoren, eventuell sensible Daten wie Gesundheitsdaten, etc.)
• Welchen Personen(gruppen) lassen sich die Daten zuordnen? (Vereinsmitglieder, Sponsoren, Mitarbeitende, Kunden, Lieferanten, Besucher Ihrer Internetseite, etc.)
• Zu welchem Zweck verarbeiten Sie die Daten? (zur Mitgliederverwaltung, etc.) 
• Auf welchem Weg haben Sie die Daten erhalten? (direkt von der betroffenen Person oder aus einem öffentlichen Verzeichnis, etc.)
• Wie lange behalten Sie die Daten?
• Wie sicher sind die Daten bei Ihnen, etwa in Bezug auf die Zugänglichkeit?
• Teilen Sie die Daten mit Dritten und wenn ja, auf welcher Grundlage?

Ausnahmen von der Pflicht, ein Verzeichnis zu führen:

Nur Unternehmen/Vereine mit weniger als 250 Beschäftigten sind von dieser Pflicht ausgenommen (vgl. Art. 30 Abs. 5 DSGVO), wenn

• die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
• die Verarbeitung nur gelegentlich erfolgt und
• die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

Vereine, die regelmässig Mitgliederverwaltung und Beitragsabrechnung oder Lohnverrechnung durchführen, müssen ein – vom Umfang her überschaubares – Verzeichnis ihrer Verarbeitungstätigkeiten führen.

Vereine müssen nur jene Datenverarbeitungen in das Verzeichnis aufnehmen, die unter die oben genannten drei Varianten fallen. Beispielsweise wird ein Verein bei regelmässiger Durchführung die Mitgliederverwaltung, die Veröffentlichung von Fotos der Mitglieder auf der Internetseite und Beitragsabrechnung durchführt, nur diese in das Verzeichnis aufnehmen. Andere Daten, die er nur gelegentlich verarbeitet, muss er nicht verzeichnen.

Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Person, so hat der Verein zum Zeitpunkt der Datenerhebung eine entsprechende datenschutzrechtliche Information vorzunehmen (Art. 13 Abs. 1 und Abs. 2 DSGVO). Daraus folgt, dass der Verein etwa in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt (z.B. Antrag auf Mitgliedschaft, Einwilligungserklärung zur Veröffentlichung von Fotos auf der Internetseite des Vereins, Spendenformular, etc.), auf Folgendes hinweisen muss:

• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters (=Verein);
• Kontaktdaten des Datenschutzbeauftragten (sofern der Verein einen bestellen muss);
• Zwecke der Verarbeitung (bitte im Detail aufzählen; z.B. Aufnahme der Daten in das Mitglieder- oder Sponsorenverzeichnis; Veröffentlichung Fotos, Betrieb der Internetseite etc.);
• Rechtsgrundlage der Verarbeitung (z.B. Mitgliedsvertrag, berechtigte Interessen, Zustimmung oder gesetzliche Verpflichtung);
• Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezogener Daten an eine Versicherung oder den Dachverband);
• Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in einer ausländischen Cloud);
• Speicherdauer der personenbezogenen Daten;
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung);
• Hinweis auf jederzeitiges Widerrufsrecht bei Einwilligung;
• Hinweis auf Beschwerderecht bei der Aufsichtsbehörde (=Datenschutzstelle).

Das Informationsblatt kann im Vereinslokal gut sichtbar aufgelegt oder ausgehängt werden, oder Sie geben den Betroffenen eine Kopie mit. Es muss nicht unterzeichnet werden, sondern dient nur der Information!

Vergessen Sie nicht, auch die Besucher Ihrer Internetseite zu informieren, was mit ihren Daten passiert, während Sie sich Ihre Internetseite anschauen! Nähere Informationen zur Ausgestaltung einer Datenschutzerklärung sowie Bausteine für eine solche Erklärung finden Sie hier.

Eines der wesentlichen Ziele bei der europäischen Reform des Datenschutzes durch die DSGVO ist die Stärkung der Betroffenenrechte. Sie müssen daher sicherstellen, dass in Ihrem Verein Verfahren vorhanden sind, die es erlauben, die Rechte der betroffenen Personen zu wahren.

Informationen darüber, welche Rechte den betroffenen Personen zustehen und was diese konkret beinhalten, finden Sie hier.

Für die Gewährung dieser Rechte gelten gemäss Art. 12 DSGVO die folgenden Grundsätze:

• Art. 12 Abs. 5 DSGVO bestimmt, dass die Auskunft grundsätzlich unentgeltlich erteilt werden muss;
• Zur konkreten Frist für die Beantwortung eines Ersuchens bestimmt Art. 12 Abs. 3 DSGVO, dass diese ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats oder bei komplexen Sachverhalten innerhalb von drei Monaten, zu erfolgen hat;

• Gemäss Art. 12 Abs. 3 DSGVO ist ein Auskunftsersuchen nach Möglichkeit auf elektronischem Wege zu beantworten, wenn es auf elektronischem Wege gestellt wurde. Wenn aber ein anderer Weg geeigneter, vor allem sicherer erscheint, ist jener zu wählen.

  Diese Aufgabe wird umso seltener auf Sie zukommen, je besser Sie die Betroffenen informieren. Je transparenter und nachvollziehbarer die Datenverarbeitung in Ihrem Verein durchgeführt wird, umso seltener wird mit Anfragen von Betroffenen zu rechnen sein.

Gemäss Art. 6 DSGVO steht die Verarbeitung personenbezogener Daten unter dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Das heisst im Grundsatz bleibt jegliche Datenverarbeitung verboten, soweit sie nicht ausdrücklich erlaubt ist.

Eine Auflistung mit den zulässigen Rechtfertigungsgründen für die Verarbeitung personenbezogener Daten findet sich in Art. 6 Abs. 1 DSGVO.

Was bedeutet dies konkret für einen Verein?

Als Verein müssen Sie vor jeder Verarbeitung personenbezogener Daten prüfen, welche rechtmässige Grundlage für die konkrete Verarbeitungstätigkeit in Frage kommt. Achten Sie darauf, von Beginn an mit der richtigen Grundlage zu arbeiten, denn Sie sollten nicht zu einem späteren Zeitpunkt ohne Grund zu einer anderen Grundlage wechseln.

Nachstehend finden Sie nähere Informationen dazu, auf welchen Rechtfertigungsgrund Sie im Verein die einzelnen Datenverarbeitungen basieren können:

Art. 6 Abs. 1 Bst. b (Erfüllung vertraglicher Verpflichtungen):

• Mitgliederverwaltung (Führen eines (internen) Mitglieder- oder Sponsorenverzeichnisses; Anwesenheitslisten bei Veranstaltungen, etc.);
• Beitragsverwaltung;
• Korrespondenz mit Mitgliedern oder Sponsoren;
• Einladungen zu Vereinsveranstaltungen.

Art. 6 Abs. 1 Bst. a (Einwilligung)

Für bestimmte Arten der Verarbeitung personenbezogener Daten bedarf es einer eindeutigen Einwilligungserklärung der Mitglieder, der Sponsoren oder anderer betroffener Personen. Dabei muss die Zustimmung zu einem genau festgelegten Zweck der Verarbeitung erfolgen, etwa

• für die Zusendung von Newslettern oder Werbung, die über den Vereinszweck hinausgeht;
• für Spendenwerbung per E-Mail;
• für die Veröffentlichung von Fotos oder Videos im Internet;
• für die Veröffentlichung von privaten Ereignissen (Heirat, Geburt eines Kindes, etc.) am Schwarzen Brett;
• für die meisten Fälle der Verarbeitung besonderer Kategorien von personenbezogenen Daten durch einen Verein;

• Weitergabe von Mitgliederdaten an Versicherungsunternehmen oder Versicherungsvertreter im Rahmen von Gruppenversicherungsverträgen.

Idealerweise erfolgt die Einwilligung schriftlich (z.B. Papier- oder Online-Formular). Einwilligungserklärungen können Vereine zum Beispiel im Antrag auf Mitgliedschaft integrieren oder auf jedem weiteren Formular zur Verfügung stellen.

Für die Gestaltung eines entsprechenden Formulars zur Einholung der Einwilligung ist zu raten, die einzelnen Verarbeitungszwecke (z. B. Spendenwerbung per E-Mail, Zusendung von Newslettern, Veröffentlichung von Fotos) in jeweils separaten Einwilligungs­erklärungen zu formulieren, die vom (künftigen) Mitglied ebenso separat angekreuzt/ angeklickt oder unterzeichnet werden müssen. Dem Mitglied muss die Freiheit verbleiben, sich für oder gegen einzelne der beabsichtigten Verarbeitungen zu entscheiden.

Nähere Informationen zur Einwilligung finden Sie hier. Ein Muster für die Einwilligung zur Veröffentlichung von personenbezogenen Daten im Internet finden Sie unten.

Art. 6 Abs. 1 Bst. f (berechtigten Interessen des Verantwortlichen oder eines Dritten)

• Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen;
• Veröffentlichung der Kontaktdaten des Vorstands im Internet, Jahresbericht, etc.;
• Veröffentlichung von Ergebnissen aus Wettbewerben. Die Wettbewerbe werden im Regelfall öffentlich ausgetragen und der Verein hat ein sogenanntes „berechtigtes Interesse“ daran, relevante Ergebnisse der Aussenwelt zugänglich zu machen;
• Fotos von öffentlichen Veranstaltungen, bei denen die Ansammlung von Menschen – und nicht eine konkrete Person – im Vordergrund steht;
• Weitergabe von Daten an den Dachverband;
• Weitergabe von Daten an Gemeinden zwecks finanzieller Unterstützung des Vereins.

Wenn ein Verein nachweisen muss, dass er ein berechtigtes Interesse an einer bestimmten Datenverarbeitung hat und die Rechte und Freiheiten der einzelnen Betroffenen nicht überwiegen, ist es für ihn von Vorteil, wenn er bereits aus den in den Statuten genannten Zielen und Zwecken des Vereins ableiten kann, welche Datenverarbeitungen zur Erreichung der Vereinszwecke erforderlich sind und daher in seinem berechtigten Interesse liegen.   Beispiel: In den Statuten heisst es, Ziel und Zweck des Vereins ist es unter anderem "das Vereinsleben über die Zeit zu dokumentieren (Archiv)". So ist klar, dass ein Verein dazu auch personenbezogene Daten von seinen Mitgliedern erheben und speichern kann.

Folgende Fälle können nicht immer eindeutig einem der genannten Rechtfertigungsgründe zugeordnet werden. Es hängt von den jeweiligen Umständen ab, welche Rechtfertigung zum Tragen kommt:

Weitergabe der Mitgliederlisten an Vereinsmitglieder:

Bei den Vereinsmitgliedern handelt es sich im Verhältnis zum Verein um Dritte. Vereinsmitglieder dürfen also nicht einfach Einsicht in die Daten der anderen Mitglieder haben. Das heisst es darf ihnen nicht ohne weiteres eine Mitgliederliste weitergegeben werden.

Vielmehr müssen die rechtlichen Voraussetzungen für die Zulässigkeit einer Weitergabe vorhanden sein.

Besteht der Vereinszweck darin, die persönlichen oder geschäftlichen Kontakte zu pflegen, ist die Herausgabe einer Mitgliederliste zur Erreichung des Vereinsziels nach Art. 6 Abs. 1 Bst. b) DSGVO zulässig. Dieser Vereinszweck muss sich aus den Vereinsstatuten ergeben. Dies kann insbesondere bei Selbsthilfe- und Ehemaligenvereinen der Fall sein. Welche Angaben dabei in die Mitgliederliste aufgenommen werden dürfen, hängt vom jeweiligen Vereinszweck ab, wobei die Interessen und die schutzwürdigen Belange der Mitglieder angemessen zu berücksichtigen sind. Bei der Herausgabe der Mitgliederliste ist darauf hinzuweisen, dass diese nur für Vereinszwecke verwendet werden darf und eine Verwendung für andere Zwecke (insbesondere für kommerzielle Zwecke) sowie die Überlassung der Liste an Dritte nicht zulässig ist.

Dient die Datenübermittlung an andere Vereinsmitglieder nicht der Förderung des Vereinszwecks, können personenbezogene Daten der Vereinsmitglieder durch den Verein an andere Vereinsmitglieder nur übermittelt werden, wenn der Verein oder der Empfänger ein berechtigtes Interesse daran hat. Dabei hat die Übermittlung zu unterbleiben, wenn erkennbar ist, dass Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 Bst. f) DSGVO). In letzterem Fall bedarf es einer Einwilligung.

Personenbezogene Daten in Aushängen oder Publikationen des Vereins

Obwohl die Aushänge oft innerhalb des Vereinsgebäudes erfolgen, können sie auch von Besuchern, etc. und somit Dritten eingesehen werden.  

Personenbezogene Daten dürfen daher nach Art. 6 Abs. 1 Bst. b) und Bst. f) DSGVO nur offenbart werden, wenn es für die Erreichung des Vereinszwecks unbedingt erforderlich ist - was etwa bei Spielergebnissen oder Veranstaltungshinweisen angenommen werden kann - oder wenn der Verein oder die Personen, die davon Kenntnis nehmen können, ein berechtigtes Interesse an der Veröffentlichung haben und Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Bei folgenden Informationen ist von einem Überwiegen der Interessen der Betroffenen auszugehen und die Einwilligung einzuholen:

• Informationen aus dem persönlichen Lebensbereich eines Vereinsmitglieds (z.B. Eheschliessungen, Geburt von Kindern, Abschluss von Schul- und Berufsausbildungen);
• Informationen zu Spenden eines Vereinsmitgliedes oder externer Sponsoren.

Nutzung der Daten des Vereins für Spendenaufrufe und Werbung

Die Daten seiner Vereinsmitglieder darf der Verein

• nur für Spendenaufrufe und für Werbung zur Erreichung der eigenen Ziele des Vereins nutzen (Art. 6 Abs. 1 Bst. b) DSGVO);
• für die Werbung oder Spendenaufrufe Dritter ausschliesslich mit Einwilligung der Mitglieder nutzen.

Die Daten Dritter, die dem Verein bekannt sind, etwa von Personen, die regelmässig Eintrittskarten für Wettbewerbe, Konzerte oder Ausstellungen beziehen, darf der Verein für eigene Werbezwecke nutzen,

• wenn diese Personen entweder eingewilligt haben oder
• der Verein berechtigte Interessen an der Nutzung zu Werbezwecken hat und keine Interessen oder Grundrechte des Dritten überwiegen (Art. 6 Abs. 1 Bst. f) DS-GVO). Informiert der Verein transparent und umfassend über eine vorgesehene Nutzung der Daten, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Daten entsprechend genutzt werden. Zu beachten ist jedoch, dass die von der Werbung betroffene Person ein jederzeitiges Widerspruchsrecht hat, auf das der Verein ausdrücklich hinzuweisen hat (Art. 21 Abs. 4 DSGVO).

Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäss den Weisungen der verantwortlichen Stelle (Auftraggeber). Auftraggeber und Auftragsverarbeiter regeln ihre jeweiligen Rechte und Pflichten in einem Auftragsverarbeitungsvertrag.

Prüfen Sie, ob für Ihren Verein Auftragsverarbeiter tätig sind und wenn ja, schliessen Sie mit diesen einen Auftragsverarbeitungsvertrag. Dies ist zum Beispiel der Fall, wenn Sie Ihre Daten in einer Cloud speichern, Ihren Newsletter von einem externen Dienstleister versenden lassen oder die Buchhalung oder Lohnverrechnung auslagern.

Nähere Informationen zur Auftragsverarbeitung finden Sie hier.

Die DSGVO verlangt, dass Sie geeignete technische und organisatorische Massnahmen ergreifen, um die Datenschutzgrundsätze umzusetzen und die individuellen Rechte der Betroffenen zu wahren.

In der Praxis bedeutet dies, dass Datensicherheit  gemäss Art. 25 DSGVO mittels Technikgestaltung (privacy by design) und datenschutzfreundlichen Voreinstellungen (privacy by default) schon im Vorfeld der Datenverarbeitung wie auch nachgehend während des gesamten Datenverarbeitungsprozesses verwirklicht werden muss. Dieses Konzept ist nicht neu, sondern war bereits vor Geltung der DSGVO als "Privacy by Design" Teil des Datenschutzrechts. Neu ist allerdings, dass die DSGVO es zu einer gesetzlichen Verpflichtung macht.

Was bedeutet dies konkret?

Der Verantwortliche muss gemäss Art. 25 DSGVO geeignete technische und organisatorische Massnahmen treffen, um die in Art. 5 DSGVO festgelegten Datenschutzgrundsätze wirksam umzusetzen und die Rechte der von einer Datenverarbeitung betroffenen Personen zu schützen.

• Privacy by Design findet sich beispielsweise bei der Pseudonymisierung von Daten.
• Privacy by Default wiederum findet sich zum Beispiel verwirklicht bei Einstellungen zur Speicherfrist oder der Zugänglichkeit von Daten.

Bei der Auswahl der technischen und organisatorischen Massnahmen ist gemäss Art. 25 Abs. 1 DSGVO der „Stand der Technik“ zu beachten, welcher jedoch gesetzlich nicht weiter präzisiert wird.

Es wird empfohlen, sich hier an den national oder international anerkannten Standards, wie z.B. ISO-Standards, zu orientieren.

Die Massnahmen sind des Weiteren gemäss Art. 25 Abs. 1 DSGVO nach Massgabe der „unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ einzusetzen.

Im Rahmen einer Risikoanalyse ist dabei zu prüfen, in welchem Umfang und zu welchem Zweck personenbezogene Daten bearbeitet werden sollen, um welche Art von Daten es sich handelt (Schutzbedarf der Daten) und welche Risiken/Gefahren mit der Datenbearbeitung für die betroffenen Personen einhergehen. Im Rahmen einer solchen Risikoanalyse ist insbesondere auch die Eintrittswahrscheinlichkeit einer möglichen Datenschutzverletzung zu prüfen und sind zu ihrer Verhinderung geeignete Abhilfemassnahmen zu setzen.