Dieser Artikel wurde in den „BvD-News 2/22“ veröffentlicht und erscheint auf vereint.digital als Zweitveröffentlichung.
Er ist aus Perspektive der Stiftung Datenschutz geschrieben und ordnet die Aktivitäten der Stiftung Datenschutz in einen größeren Kontext ein.
Gemäß den Erhebungen des Freiwilligensurvey engagieren sich in Deutschland knapp 30 Millionen Menschen freiwillig. Dieses Engagement findet in etwa 600.000 eingetragenen Vereinen, aber auch in Organisationen und Gruppierungen anderer Rechtsnatur statt. Für sie alle gilt die Datenschutzgrundverordnung (DSGVO), denn die Grenzen der Haushaltsausnahme sind sehr eng gesteckt und gemeinschaftsbezogenes Engagement verlässt per Definition diesen Bereich. Daher stellt sich die Frage, an welchen Stellen Engagierte Informationen zur DSGVO finden und von welchen Stellen sie hierbei unterstützt werden.
Hilfestellung zur DSGVO-Umsetzung erhalten Vereine und ehrenamtlich Engagierte vor allem aus den vorhandenen Strukturen ihres jeweiligen Bereichs. Viele Verbände waren zum Anwendungsbeginn der DSGVO in 2018 aktiv und bemühen sich, Materialien für die durch sie vertretenen Mitgliedsorganisationen zur Verfügung zu stellen. Dies reicht von einfachen Linksammlungen bis hin zu umfangreichen Paketen mit Handlungsleitfäden und Vorlagen. Besonders die Sportverbände waren und sind hier recht aktiv. Es gibt jedoch auch Verbände, die nur auf allgemeine Informationen verweisen oder gar keine Informationen zur DSGVO bereithalten.
Da längst nicht alle Vereine und Gruppierungen in Form von Verbänden organisiert sind, ist es wichtig, dass es zusätzlich zu diesen Angeboten auch allgemeine Informationen zur DSGVO gibt. In diesem Bereich sind die Datenschutzaufsichtsbehörden der Länder aktiv geworden, denen die Aufsicht über Vereine als nichtöffentliche Stellen obliegt. Bei immerhin zwölf der 16 Aufsichtsbehörden gibt es spezifische Informationen zum Datenschutz im Verein. Diese Handreichungen sind in den meisten Fällen jedoch sehr abstrakt gehalten und gehen an manchen Stellen kaum über den Gesetzeswortlaut hinaus.
Daneben gibt es noch weitere Akteure, die Engagierten Datenschutzwissen als eines von mehreren Themen vermitteln. So zum Beispiel Deutschland sicher im Netz e.V. mit seinem Angebot „Digitale Nachbarschaft“ oder die Deutsche Stiftung für Engagement und Ehrenamt mit ihrer Webinarreihe #DSEEerklärt. Zudem findet man einige Angebote kommerzieller Anbieter, die Informationen zu rechtlichen Themen im Vereinskontext anbieten. Datenschutz ist bei diesen Angeboten jedoch nur ein Bestandteil und den datenschutzspezifischen Informationen fehlt an vielen Stellen die notwendige Tiefe.
Die Stiftung Datenschutz ergänzt diese Möglichkeiten seit kurzem mit ihrem Angebot „Datenschutz im Ehrenamt“. Hier versuchen wir, die aus unserer Sicht notwendige, inhaltliche Tiefe mit einer praxisnahen Darstellung der Inhalte zu verbinden. Bei vielen Fragestellungen ist jedoch eine Einzelfallbetrachtung notwendig, so dass auch wir an manchen Stellen um abstrakt gehaltene Betrachtungen nicht umhinkönnen. Ein gewisses Maß an Einarbeitung von Seiten der Vereine und engagierter Personen ist also notwendig.
DSGVO-Compliance aus Sicht eines Vereins
Damit die Befassung mit Datenschutz in einem Verein zum Thema wird, muss als erstes ein Bewusstsein hierfür entstehen. Häufig sind es einzelne Aktive, die den Einsatz bestimmter digitaler Hilfsmittel hinterfragen: „Dürfen wir die Mitgliederliste einfach in die Dropbox packen?“, „Was muss man bei der Nutzung von Office 365 beachten?“, „Wie ist das jetzt eigentlich mit Zoom? Ist das DSGVO-konform oder nicht?“. Aber auch beim konkreten Handeln des Vereins entstehen Fragen: „Müssen wir uns etwas unterschreiben lassen, wenn wir auf einer Veranstaltung fotografieren?“, „Dürfen wir mögliche Interessenten für Veranstaltungen einfach so anschreiben?“, Wie lange dürfen wir Mitgliederdaten aufbewahren?“.
Um von der Befassung mit derartigen Fragestellungen zu echter Datenschutz-Compliance zu kommen, müssen zwei wichtige Perspektivwechsel stattfinden: Zum einen muss der Blick von der einzelnen Verarbeitungstätigkeit hin zu einem Gesamtüberblick gerichtet werden. Zum anderen muss der Vereinsvorstand erkennen, dass Datenschutz ein zentrales Compliance-Thema ist und nicht durch einzelne Aktive singulär im Rahmen ihrer Aktivität bearbeitet werden kann. Dies zu erkennen, kann abschreckend wirken und zu einer „den Kopf in den Sand stecken“-Mentalität führen. Dieser Aspekt hat jedoch gar nicht so sehr mit den materiellen Anforderungen der DSGVO zu tun, sondern liegt vielmehr im Verantwortlichkeitsbegriff und der Rolle des Vorstands begründet.
Doch auch wenn dieser Perspektivwechsel vollzogen wurde und ausreichend Informationsquellen vorhanden sind, gibt es weitere Hürden: Zeit ist im ehrenamtlichen Engagement ein knappes Gut. Wer schon seine wertvolle Freizeit opfert, will den Einsatz für die Sache eher ungern mit Compliance-Themen ausbremsen. Dieser Aspekt taucht natürlich auch im unternehmerischen Kontext, in Form eines unerwünschten Kostenfaktors, auf. Dennoch hat Compliance im unternehmerischen Kontext eine andere Bedeutung als im ehrenamtlichen Engagement, wo individueller Einsatz stärker im Vordergrund steht.
Die Komplexität des Datenschutzrechts ist ein weiteres bremsendes Element. Um die weiter oben beispielhaft erwähnten Fragen zur Zulässigkeit einzelner Verarbeitungstätigkeiten zu beantworten, muss man recht tief in die Materie einsteigen und stößt dabei unweigerlich auf auslegungsbedürftige Begriffe und ungeklärte Rechtsfragen. Daher müssen die Antworten auf solche, aus Sicht der Fragestellenden vermeintlich einfachen Fragen, sehr komplex ausfallen. Auch dieser Aspekt ist nicht vereinsspezifisch, aber kommt hier stärker zum Tragen, da eine individuelle, fachliche Begleitung in den allermeisten Vereinen nicht vorhanden ist und auch nicht finanzierbar wäre.
Vereinsspezifische Fragestellungen bei der Auslegung von Normen
Bei der Auslegung von Normen tauchen teilweise auch Fragestellungen auf, welche sich im wirtschaftlichen Kontext in der Form gar nicht stellen. Ein schönes Beispiel hierfür ist die Personengrenze des § 38 Abs. 1 Bundesdatenschutzgesetz (BDSG), wonach ein Datenschutzbeauftragter zwingend zu benennen ist, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Über Sinn und Zweck dieser Regelegung in Form eines konkreten Schwellwerts wird viel diskutiert. Häufig wird argumentiert, dass diese Norm des bundesdeutschen Gesetzgebers, im Gegensatz zu den risikobasierten Regelungen der DSGVO, eine höhere Klarheit in der Rechtsanwendung schaffe.
Bei Vereinen erhöht diese Norm die Unsicherheit jedoch enorm. Zum einen ist der hier weit auszulegende Beschäftigtenbegriff, anders als im unternehmerischen Kontext, im Kontext von Vereinen alles andere als intuitiv. Dass hier sämtliche für den Verein tätige Personen, unabhängig von Vereinsmitgliedschaft, Anstellungsverhältnis oder Bezahlung, hinzuzuzählen sind, überrascht Vereinsverantwortliche. Dieses potentielle Missverständnis ist durch entsprechende Erläuterungen noch vergleichsweise einfach aufzuklären.
Höchst unglücklich wird es bei der Frage, welche Form der Tätigkeit für den Verein erforderlich ist, um die Kriterien „in der Regel“ und „ständig“ zu erfüllen. Im Gegensatz zu Unternehmen, bei denen Vollzeitbeschäftigung noch immer die Regel ist, finden Tätigkeiten für einen Verein fast immer in Teilzeit statt. Im Kontext ehrenamtlichen Engagements zumeist sogar nur kleinste Bruchteile einer regulären wöchentlichen Arbeitszeit. Der Unterschied zwischen einer Kopfzählung und einer Zählung in Form von Vollzeitäquivalenten ist im Fall der meisten Vereine daher enorm. Dass hier dennoch von einer Kopfzählung auszugehen ist, ist herrschende Meinung in der Literatur und wird auch von den Aufsichtsbehörden so vertreten.
Der zweite Aspekt dieser Fragestellung betrifft die Frage der Tätigkeiten der in Frage stehenden Personen. Von Mitarbeitenden einer Geschäftsstelle abgesehen, spielt die automatisierte Datenverarbeitung bei den allermeisten Vereinen nur eine untergeordnete. Ob eine solche Tätigkeit, welche nicht zur Kernaufgabe der Person gehört und in vielen Fällen auch nur gelegentlich erfolgt, dennoch das Kriterium der ständigen Beschäftigung erfüllt, ist umstritten.
Auch die Aufsichtsbehörden scheinen in dieser Frage uneins zu sein. Das DSK-Kurzpapier Nr. 12 gibt in Bezug auf die Regelungen des § 38 Abs. 1 BDSG nur den Gesetzeswortlaut wieder und hilft daher nicht weiter. Mit Ausnahme von Thüringen und Hamburg, sind jedoch bei allen Aufsichtsbehörden der Länder Informationen zur nationalen Benennungspflicht zu finden. In Berlin und Brandenburg nur in allgemeiner Form zur Benennungspflicht von DSB, bei allen anderen sogar als Teil der vereinsspezifischen Informationsmaterialien.
Teils sind die Ausführungen mit Positiv- und Negativbeispielen aus dem Vereinskontext versehen. Übungsleiter oder Sporttrainer, dessen Hauptaufgabe im Training und nicht in der Verarbeitung der Mannschaftsliste liegen, werden von einigen Aufsichtsbehörden explizit als Negativbeispiel genannt. Vereine, die Informationsmaterialien dieser Bundesländer lesen, kommen somit zum Schluss, dass diese für die 20 Personen-Grenze nicht mitgezählt werden müssen. Andere Aufsichtsbehörden nennen diese Personen wiederrum als Beispiele für Personen, die hinzugezählt werden müssen oder weisen lediglich darauf hin, dass Umfang und Intensität der Datenverarbeitung irrelevant sind. In diesen Fällen dürften Vereine also zu dem Schluss kommen, dass diese für die 20 Personen-Grenze mitgezählt werden müssen. Ein Teil der Aufsichtsbehörden gibt auch nur den Wortlaut des § 38 BDSG wieder oder weist auf die ungeklärten Fragen hin, so dass deren Materialien Vereinen in dieser Frage nicht weiterhelfen.
Dieses sehr gemischte Bild ist in der folgenden Abbildung visualisiert:
Problematische Folgen durch Unsicherheit
Die äußerst diffuse Informationslage zur Benennungspflicht von Datenschutzbeauftragten im Kontext von Vereinen ist deshalb problematisch, da Vereine in ihren Bemühungen zur Datenschutz-Compliance unnötig behindert werden. Dass es eine Benennungspflicht gibt, ist recht weit bekannt, so dass sich viele Vereinsaktive die Frage stellen, ob ihr Verein unter diese Pflicht fällt. Stoßen sie nun auf auslegungsbedürftige oder gar widersprüchliche Informationen, kann Resignation einsetzen, die nicht nur diese Frage, sondern die gesamte DSGVO-Umsetzung betrifft.
Diesem Aspekt wird in der regelmäßig wiederkehrenden Diskussion um die nationale Benennungspflicht kaum Aufmerksamkeit geschenkt. Die zentrale Fragestellung ist meistens, ob eine Erhöhung bzw. Absenkung dieser Personengrenze zu einer tatsächlichen Entlastung im Datenschutz führen kann oder nur zu einem Wegschauen durch Verantwortliche führt, da sie nicht durch fachkundige Personen in der Umsetzung begleitet werden. Die debattierten Lösungsmöglichkeiten umfassen daher meist keine Konkretisierungen der Norm, sondern drehen sich um die Anzahl der Personen, eine komplette Streichung der Regelung oder die Einführung anderer Kriterien.
Die hohe Auslegungsbedürftigkeit der Norm könnte durch den Bundesgesetzgeber jedoch ohne weiteres adressiert werden, indem Legaldefinitionen für die verwendeten Begriffe in das BDSG aufgenommen werden. Das BDSG a.F. enthielt in § 3 immerhin noch eine Definition für den Begriff der automatisierten Verarbeitung, die in der seit dem 25. Mai 2018 gültigen Fassung nicht mehr enthalten ist. Doch obwohl die Unbestimmtheit der verwendeten Begriffe in der Kommentarliteratur diskutiert wird, wird dies scheinbar nicht als Problem der Norm aufgefasst. Die im Oktober 2021 veröffentlichte Evaluation des BDSG durch die Bundesregierung enthält keinerlei Auseinandersetzung zu dieser Frage. Lediglich die Sinnhaftigkeit der kopfzahlbasierten Berechnung der Personenzahl wird dort diskutiert.
Der kürzlich vom Freistaat Bayern in den Bundesrat eingebrachte Antrag schlägt eine erneute Anpassung der nationalen Benennungspflicht vor. Interessanterweise steht dort aber nicht eine Anhebung der Personenzahl zur Debatte, sondern es wird eine Beschränkung auf Personen, deren Kerntätigkeit in Verarbeitungen gemäß Art. 37 Abs. 1 lit. b) und c) DSGVO liegt, vorgeschlagen. Hiermit solle der risikobasierte Ansatz der DSGVO in der nationalen Regelung zur Benennungspflicht umgesetzt werden. Für Vereine würde eine entsprechende Änderung tatsächlich eine klarere Auslegung der Benennungspflicht bedeuten, da nur sehr wenige Vereine Personen mit entsprechenden Kerntätigkeiten beschäftigen dürften.
Gleichzeitig enthält der bayerische Antrag einen Vorschlag, der Ausnahmen für ehrenamtlich Engagierte von der nationalen Benennungspflicht schaffen soll. Dort ist von nichtgewerblich tätigen Vereinen, gemeinnützigen Unternehmen und gemeinnützigen Dienstleistungen als Abgrenzungsmerkmalen die Rede. Je nach konkreter Ausgestaltung, würde dies erneut massives Potential für Unklarheiten bei der Auslegung der Norm mit sich bringen. Im schlimmsten Fall müsste dann noch zusätzlich zwischen den Tätigkeiten von Personen in den sogenannten vier Sphären gemeinnütziger Organisationen unterschieden werden. Eine solche Regelung könnte die Unsicherheit im Umgang mit der Norm somit erhöhen, obwohl sie eine Erleichterung für ehrenamtlich Engagierte schaffen soll.
Weitere Beispiele für Unklarheiten im Kontext von Vereinen
Die nun recht ausführlich durchgeführte Betrachtung steht exemplarisch für eine Vielzahl von Fragestellungen, bei denen sich in Vereinen und in anderer Form Engagierte mit der Komplexität des Datenschutzrechts konfrontiert sehen. Fachliche Begleitung in Form eines Datenschutzbeauftragten haben nur die wenigsten Vereine und in den meisten Fällen sind es pflichtbewusste Vorstände oder Aktive, die sich selbst an der Auslegung der Normen versuchen. Diese Problematik kommt zur hohen Anzahl an Pflichten, welche die DSGVO bereithält und den Anforderungen der praktischen Umsetzung, wie im Fall der Informationspflichten, hinzu.
Die Unklarheiten rund um das Zusammenspiel von DSGVO und Kunsturhebergesetz (KunstUrhG) beim Veröffentlichen von Fotos sind ein weiteres Beispiel, welches im Vereinskontext höchst relevant ist. Die Dokumentation in Form von Fotos spielt in vielen Vereinen eine bedeutende Rolle und die Unsicherheiten in diesem Bereich führen bereits zu Abschreckungseffekten (sogenannte chilling effects), bei denen Vereine ihre Aktivitäten aus Unsicherheit vor gesetzlichen Vorgaben einschränken. So erreichen uns nicht nur Fragen, ob und unter welchen Voraussetzungen Fotos angefertigt werden dürfen, sondern auch ob die fotografische Dokumentation der letzten Jahrzehnte nun vernichtet werden müsse.
Ein weiteres Beispiel einer nationalen Regelung, deren Auslegung im Fall von Vereinen eine größere Komplexität mit sich bringt, ist die Frage der Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb (UWG). Vereine wollen verständlicherweise für ihre Sache werben und bedienen sich hierzu häufig auch Formen der direkten Ansprache, welche eine unzumutbare Belästigung gemäß § 7 UWG darstellen kann. Bei Vereinen stellt sich allerdings die Frage, ob diese überhaupt in den Anwendungsbereich des UWG fallen, da die Vereinsaktivität in vielen Fällen keine geschäftliche Handlung im direkten Sinne darstellt, aber mittelbar zu einer Absatzförderung weiterer Marktteilnehmer führen kann.
Ein viel grundsätzlicherer Bereich ist die Prüfung des berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO. Der Spielraum für Datenverarbeitung auf Basis der Vereinssatzung als Vertrag mit den Mitgliedern ist meistens sehr begrenzt. Vieles von dem, was das Vereinsleben ausmacht und gängige Praxis ist, beinhaltet Datenverarbeitungen, die im Rahmen eines berechtigten Interesses liegen können. Die hierfür notwendige Interessenabwägung durchzuführen, ist jedoch dermaßen komplex, dass viele Vereine hiervor zurückschrecken und im Zweifel lieber auf Einwilligungen setzen. Aufsichtsbehörden und Anwälte, welche die hohen Anforderungen der Prüfung betonen, tragen dazu bei, dass oftmals unnötige und den formellen Anforderungen nicht genügende Einwilligungen eingeholt werden. Ob dies die Rechtssicherheit der Vereine wirklich erhöht, ist diskussionswürdig. In jedem Fall trägt es zur allseits bekannten Einwilligungsmüdigkeit bei und erzeugt ein nicht gerade konstruktives Bild vom Datenschutz.
Schlussfolgerungen und Handlungsoptionen relevanter Akteure
Die hier aufgeführten Beispiele verdeutlichen, dass im Kontext ehrenamtlichen Engagements nicht nur die materiellen Anforderungen der DSGVO eine hohe Hürde mit sich bringen, sondern auch bei der Auslegung von Normen Schwierigkeiten entstehen. Dies hängt zum einen mit spezifischen Konstellationen ehrenamtlich betriebener Organisationen zusammen, welche bei der Gesetzgenese nur eine untergeordnete Rolle spielen. Aber auch in Fällen, in denen Vereine bei der Anwendung der DSGVO vor denselben Herausforderungen wie Unternehmen stehen, existiert ein wichtiger Unterschied: Es sind nur in seltenen Fällen Möglichkeiten für qualifizierte Einzelfallberatung vorhanden.
Unabhängig von der Frage, ob aufgrund formeller Anforderungen ein Datenschutzbeauftragter benannt werden müsste – die meisten Vereine haben keinen. Selbst wenn sie sich der Erforderlichkeit dessen bewusst wären, müssten die finanziellen Mittel hierfür aufgebracht werden und entsprechende Kapazitäten am Markt vorhanden sein. Bei punktueller Beratung zu einzelnen Fragen ohne die dauerhafte Benennung eines Datenschutzbeauftragten sieht es nicht anders aus. Folglich müssen die meisten Vereine auf interne Ressourcen zurückgreifen, was wiederrum gute Informationsmöglichkeiten und ausreichende zeitliche Kapazitäten voraussetzt.
Die Datenschutzaufsichtsbehörden der Länder tragen mit ihren Informationsangeboten bereits einen Teil zu den Informationsmöglichkeiten für Vereine bei. Inhaltliche Diskrepanzen, wie beim oben diskutierten Beispiel der nationalen Benennungspflicht, stiften dabei aber zusätzliche Verwirrung. Vereinen ist es nicht vermittelbar, dass zwei Sportvereine ähnlicher Größe aufgrund von Mannschaftslisten in einem Bundesland der Benennungspflicht unterliegen sollen und im anderen nicht. Hier ist eine bessere Abstimmung notwendig.
Politisch könnte für Vereine auch einiges erreicht werden, indem der Gesetzgeber für Klarstellungen in relevanten Bereichen sorgt. Oft werden auf Bundesebene Bereichsausnahmen für ehrenamtliches Engagement gefordert, was aufgrund des europarechtlichen Kontexts und den Vorgaben der Grundrechtecharta keine Option ist. Anstatt sich in der Diskussion auf Bereichsausnahmen oder Erleichterungen anderer Art zu versteifen, könnte mit einem Fokus auf die leichtere Anwendbarkeit durch klarere Auslegung bereits einiges erreicht werden.
Verbände, welche auch als politische Interessenvertretung von Vereinen fungieren, beteiligen sich gerne an den Forderungen nach Bereichsausnahmen für ehrenamtliches Engagement. Doch gerade ihnen kommt eine bedeutende Rolle im Aufzeigen von gangbaren Lösungen für ihre Mitgliedsorganisationen zu. Mit guten Mustern und Informationspaketen haben sie die Möglichkeit, kniffelige Fragen des Datenschutzrechts für eine ganze Gruppe an Vereinen zu beantworten, die sich ansonsten alle Vereine einzeln stellen müssen. Verhaltensregeln gemäß Art. 40 DSGVO wären darüber hinaus eine Möglichkeit, die etablierte Praxis im Handeln der einzelnen Vereine, aber auch im Zusammenspiel mehrerer Vereine innerhalb der Verbandsstruktur, auf solide Füße zu stellen.
Insgesamt scheinen die Unterstützungsmöglichkeiten für Vereine und ehrenamtlich Engagierte stark ausbaufähig. Dass sich hier, im Gegensatz zur Wirtschaft und dem öffentlichen Bereich, weniger Strukturen herausgebildet haben, erstaunt angesichts der schwachen Finanzmittel im Bereich des freiwilligen Engagements nicht allzu sehr. Bedenkt man jedoch, dass mehr als ein Drittel der Bevölkerung Deutschlands freiwillig engagiert ist und sich direkt oder indirekt mit der DSGVO-Anwendung im jeweiligen Bereich befassen müsste, wird die Notwendigkeit hierfür deutlich. Denn rein zahlenmäßig sind die etwa 45 Millionen Erwerbstätigen in Deutschland keine so viel größere Gruppe, als die der freiwillig Engagierten.