Beginn Inhaltsbereich

Beginn Navigator

Verlaufsnavigation

Ende Navigator



Umgang mit Mitgliederdaten in einem Verein

Ein Verein verfügt über zahlreiche Personendaten (bspw. Adresse, Geburtsdatum, Telefonnummern, Fotografien) seiner Mitglieder. Mit diesen Angaben muss sorgfältig umgegangen werden. Der Vereinsvorstand, dem diese Daten zur Erfüllung seiner Aufgaben anvertraut sind, trägt die Verantwortung für den datenschutzkonformen Umgang.

Die allgemeinen Grundsätze des Datenschutzgesetzes sind:

  • Das Transparenzprinzip: Es verlangt eine offene und umfassende Information über Zweck und Umfang der bearbeiteten Mitgliederdaten. Dazu gehört beispielsweise auch, dass den Mitglie­dern mitgeteilt wird, ob ihre Personendaten an Dritte weitergegeben werden und - sofern dies der Fall ist - an wen und zu welchem Zweck dies geschieht.
  • Das Verhältnismässigkeitsprinzip: Es erlaubt nur die Bearbeitung jener Mitgliederdaten, die tatsächlich nötig sind, um den angestrebten Zweck zu erreichen.
  • Das Zweckbindungsprinzip: Es verpflichtet den Verein, die Mitgliederdaten nur zu dem Zweck zu bearbeiten, der bei der Beschaffung angegeben wurde, der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

Beschränkte Anzahl Daten

Die Mitgliedschaft in einem Verein verpflichtet nicht dazu, möglichst viele Angaben über die eigene Person bekannt zu geben. Der Vereinsvorstand darf nur jene Personendaten von den Mitgliedern verlangen, die in einem direk­ten Zusammenhang mit dem Vereinszweck stehen. Will er darüber hinaus Daten erheben und bearbeiten, so muss der Vorstand die Mitglieder vorgängig darüber informieren, zu welchem Zweck er die Angaben verwenden will. Zudem muss er darauf hinweisen, dass es dem Mitglied freigestellt ist, die fraglichen Daten mitzuteilen.

Weitergabe von Daten an Dritte ausserhalb des Vereins

Die Bekanntgabe von Mitgliederdaten (z.B. einzelner Adressen oder ganzer Adresslisten) an Dritte ist nur zulässig, wenn:

  1. vorgängig die Einwilligung eines jeden Mitglieds dazu eingeholt wird oder allen Mitgliedern unter vorgängiger Mitteilung des Empfängers und des Zwecks der Bekanntgabe ein Wider­spruchs­recht eingeräumt wird,
    oder
  2. aus den Vereinsstatuten klar hervorgeht, welche Mitgliederdaten zu welchem Zweck (z.B. Werbung, Sponsoring) an Dritte bekannt gegeben werden dürfen und der Dritte im Einzelfall genau bezeichnet wird;
    oder
  3. ein Gesetz die Datenbearbeitung erlaubt oder vorschreibt (z.B. Bekanntgabe in einem Strafverfahren).

Bekanntgabe von Mitgliederdaten innerhalb des Vereins

Die vereinsinterne Bekanntgabe von Mitgliederdaten ist nur zulässig, wenn:

  1. vorgängig die Einwilligung eines jeden Mitglieds dazu eingeholt wird oder allen Mitgliedern unter vorgängiger Mitteilung des Empfängers und des Zwecks der Bekanntgabe ein Wider­spruchsrecht eingeräumt wird,
    oder
  2. aus den Vereinsstatuten klar hervorgeht, in welchen Fällen eine Bekanntgabe erfolgt (z.B. Aushändigung von Listen mit Vorname, Name und Adresse);
    oder
  3. die Liste zur Ausübung von Mitgliedschaftsrechten benötigt wird (z.B. Einberufung einer ausserordentlichen Mitgliederversammlung, Art. 64 Abs. 3 ZGB).

Vorsicht ist geboten, wenn ein (Regional-)Verein Mitgliederdaten an den (schweizerischen) Dach­ver­band weitergibt. Verein und Dachverband sind voneinander unabhängige juristische Personen mit eigener Rechtspersönlichkeit, weshalb der Dachverband als Drittperson gilt. Eine Bekanntgabe von Mitgliederdaten des Vereins an den Verband ist daher grundsätzlich nur mit Einwilligung der Betrof­fe­nen möglich. Oder mit anderen Worten: Ein Verband kann den Verein grundsätzlich nicht dazu ver­pflich­ten, ihm Mitgliederdaten bekannt zu geben.

Mitglieder dürfen die Bekanntgabe ihrer Personendaten verbieten (Sperrrecht) oder jederzeit eine einmal gegebene Einwilligung teilweise oder ganz widerrufen.

Veröffentlichung im Internet

Mit einer Veröffentlichung im Internet sind besondere Risiken verbunden. Das Internet ist ein weltweit zugängliches Medium, und was dort einmal veröffentlicht ist, kann kaum mehr gelöscht werden. Der EDÖB schlägt deshalb folgendes Vorgehen vor.

  1. Der Vorstand formuliert präzise und umfassend den durch die Veröffentlichung zu erreichen­den Zweck. Danach ist zu prüfen, ob beispielsweise eine der folgenden Überlegungen zu sinnvolleren Resultaten führt:
  2. Sind die zur Veröffentlichung ins Auge gefassten Informationen für den verfolgten Zweck wirklich erforderlich?
  3. Ist die weltweite Veröffentlichung (insbesondere von Fotografien) wirklich sinnvoll und zweck­mässig?
  4. Ist es nicht besser, nur einem beschränkten Personenkreis - etwa dem Vorstand oder allen Mitgliedern - einen gesicherten Zugang zu gewähren? Dies kann mit Benutzeridentifikation und Pass­wort erreicht werden. Für die vertrauliche Übertragung stehen heute erprobte Ver­schlüs­se­lungssysteme, wie beispielsweise das SSL-Protokoll (Secure Socket Layer), zur Verfügung. Die Schlüssellänge sollte dabei dem aktuellen Stand der Technik entsprechen.

Sieht der Vorstand tatsächlich nicht von einer allgemeinen Veröffentlichung im Internet ab, muss er das betroffene Vereinsmitglied zuerst über die zu publizierenden Personendaten und die damit ver­bun­denen Risiken informieren. Anschliessend ist die Einwilligung des Mitglieds einzuholen.

Verringerung der Gefahr von Missbräuchen bei der Datenbearbeitung und -bekanntgabe

Als Grundregel gilt, dass nur jene Daten über Vereinsmitglieder bearbeitet bzw. bekannt gegeben werden dürfen, die unbedingt notwendig sind. Besonders schützenswerte Personendaten (beispielsweise Daten über politische Tätigkeiten oder religiöse Ansichten, Gesundheitsdaten etc. vgl. Art. 3 Bst. c DSG) und Persönlichkeitsprofile (vgl. Art. 3 Bst. d DSG) sollten nicht veröffentlicht werden.

Gibt ein Verein Mitgliederdaten an Dritte bekannt, muss er den Bearbeitungszweck schriftlich festhalten und vom Datenempfänger eine ebensolche Zusicherung verlangen, dass dieser die Daten nicht für andere Zwecke verwendet (der Vorstand kann auch eine Konventionalstrafe vorsehen).

Die Mitgliederdaten können auf Papier oder elektronischen Datenträgern weitergegeben werden. Der Vorstand muss im Einzelfall entscheiden, welche Form die Persönlichkeit der Mitglieder weniger stark gefährdet.

Nicht mehr benötigte Daten müssen gelöscht werden. Deshalb müssen die Verantwortlichen u.a. auch regelmässig überprüfen, ob die Veröffentlichung der Mitgliederdaten im Internet noch immer sinnvoll und notwendig ist.

Auskunftsrecht und weitere Rechtsansprüche der betroffenen Personen

Gemäss Datenschutzgesetz hat jede Person (bzw. ihr Rechtsvertreter) das Recht, beim Inhaber einer Datensammlung Auskunft darüber zu verlangen, ob und welche Daten über sie bearbeitet werden.

Der EDÖB stellt Ihnen für ein solches Auskunftsgesuch Musterbriefe und weitere Informationen zur Verfügung.

Ist die Bearbeitung der Mitgliederdaten widerrechtlich, so liegt eine Persönlichkeitsverletzung vor. In diesem Fall sollte das betroffene Mitglied zuerst beim Vorstand eine sofortige Korrektur verlangen. Unternimmt der Vorstand nichts gegen die Datenschutzverletzung oder verweigert er eine rechtmässige Datenbearbeitung, so kann sich das Mitglied gestützt auf Art. 15 DSG an den Zivilrichter wenden. Es kann insbesondere verlangen, dass die Personendaten berichtigt oder vernichtet werden oder dass die Bekanntgabe an Dritte gesperrt wird. Bei der Verletzung von Mitgliedschaftsrechten kann zudem auch gestützt auf Art. 75 ZGB der Richter angerufen werden.

Stand: Juli 2013


Ende Inhaltsbereich