Die Verarbeitung personenbezogener Daten ist grundsätzlich unzulässig. Nur wenn das Gesetz die Verarbeitung erlaubt oder der betroffene Inhaber der personenbezogenen Daten einwilligt, darf eine Verarbeitung stattfinden. Widerruft ein Mitglied – oder ein Dritter, dessen Daten gespeichert sind – seine Einwilligung, muss eine Löschung unverzüglich erfolgen.
Wann müssen personenbezogene Daten gelöscht werden?
Hat ein Verein in zulässiger Weise personenbezogene Daten gespeichert, darf er sie allerdings nicht „auf ewig“ behalten. Art. 17 DS-GVO regelt vielmehr, dass personenbezogene Daten auch dann gelöscht wer-
den müssen, wenn sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind. Dann müssen diese Daten auch unabhängig von einem Widerruf oder einem Widerspruch des Betroffenen gelöscht werden.
Tritt ein Mitglied aus dem Verein aus, ohne dass er die Löschung seiner Daten verlangt, ist eine unmittelbare Datenlöschung zunächst nicht erforderlich. Das Gleiche gilt beim Tod eines Vereinsmitglieds; ein Anspruch der Hinterbliebenen auf Löschung besteht in der Regel nicht.
Löst sich der Verein auf, ist der im Verein Verantwortliche, im Übrigen der Vorstand als Ganzes, verpflichtet, für die ordnungsgemäße und sachgerechte Löschung der personenbezogenen Daten zu sorgen. Das Gleiche gilt, wenn eine Vereinssparte eingestellt wird oder sich der Vereinszweck ändert, in Bezug auf die dann nicht mehr erforderlichen Daten. Sind Daten unrechtmäßig erhoben worden, müssen sie gelöscht werden, auch ohne Geltendmachung eines Löschungsanspruchs seitens des Betroffenen.
Achtung: Bußgelder drohen
In der Praxis hat sich gezeigt, dass Daten von Vereinen vor allem immer dann gelöscht werden, wenn ein Betroffener dies in Bezug auf seine Daten verlangt. Die Löschung aus anderen, hier genannten Gründen unterbleibt meist, weil die Auffassung besteht: „Wo kein Kläger, da kein Richter.“
Das ist allerdings falsch und kann zur Verhängung von Bußgeldern führen. Dies kann geschehen, wenn ein Betroffener die Löschung verlangt und der Verein dem nicht nachkommt; hier muss vom Verein binnen eines Monats gehandelt werden. Ein Bußgeld kann auch vom Landesdatenschutzbeauftragten veranlasst werden, sei es bei einer Überprüfung der Datenschutztätigkeit im Rahmen seiner Aufsichtsbefugnisse (in der Praxis der Vereine des Schwäbischen Chorverbandes bisher noch nicht vorgekommen) oder auf Anzeige eines Betroffenen oder eines Dritten.
Die Löschungsverpflichtung des Vereins sollte deshalb ernst genommen werden. Das „Recht auf Vergessenwerden“ in Art. 17 DS-GVO gehört zu den wichtigen Bestimmungen des materiellen Datenschutzes, ebenso wie die Verpflichtung des Vereins zur Datensparsamkeit (Erhebung nur der personenbezogenen Daten, die für die Erledigung der Aufgaben des Vereins und seine vertraglichen Verpflichtungen erforderlich sind oder für welche eine Einwilligung des Betroffenen besteht).
Was zählt zu personenbezogenen Daten?
Übrigens: Ton- und Bildaufnahmen gehören ebenfalls zu den personenbezogenen Daten. Das heißt aber nicht, dass diese gelöscht werden müssen, ebenso wenig Berichte in der Vereinszeitung oder auf der Homepage, wenn sie der Archivierung oder Berichterstattung dienen. Die Ausnahme ist immer: Der Betroffene verlangt es.
Hierher gehört auch das Auskunftsrecht des Betroffenen; dieser hat das jederzeitige Recht, den Verein zur Auskunft darüber aufzufordern, welche seiner personenbezogenen Daten der Verein gespeichert hat. Auch die Verletzung dieser Auskunftspflicht kann eine Anzeige beim Datenschutzbeauftragten und ein Bußgeld nach sich ziehen, ebenso unter Umständen Schadenersatzforderungen gemäß Art. 83 DS-GVO, im Übrigen eine anwaltliche Abmahnung mit Gebührenanforderungen.
Löschungspflicht vs. Aufbewahrungspflicht
Den Löschungspflichten und Löschungsansprüchen können allerdings gesetzliche Aufbewahrungspflichten entgegenstehen, etwa steuerliche Aufbewahrungspflichten (zehn Jahre, fünf Jahre, bei bestehenden Ansprüchen wegen der Anspruchsverjährung drei Jahre etc.).
Der im Verein für den Datenschutz Verantwortliche muss ein Löschkonzept für den Verein erstellen, was mit relativ wenig Aufwand möglich ist. Weitere Informationen dazu lassen sich der DIN 66398 entnehmen.
Beim Löschen beachtet werden möge: Es genügt nicht die einfache Betätigung der Löschfunktion, da solchermaßen gelöschte Daten wiederhergestellt werden können. Die zu löschenden Daten sollten vielmehr überschrieben werden.
Fazit
Zugegeben: Das Löschen von Daten kann lästig sein. Der Verantwortliche muss immer wieder überprüfen, ob personenbezogene Daten zur Löschung anstehen. Es erscheint dabei empfehlenswert, in regelmäßigen Abständen, etwa zum Jahresschluss, eine Überprüfung vorzunehmen. Dabei ist ein erstelltes Löschungskonzept unbedingt hilfreich. Wenn Sie Fragen haben, besteht die Möglichkeit, sich bei der Geschäftsstelle des Schwäbischen Chorverbandes oder im Rahmen der kostenlosen Erstberatung des SCV zu informieren. Machen Sie von dieser Möglichkeit Gebrauch!
Rechtsanwalt Christian Heieck
Weiherstraße 6, 72213 Altensteig
Telefon: 07453 1677
Telefax: 07453 9554596
Email: kanzlei@rechtsanwalt-heieck.de
Dieser Beitrag gibt die Auffassung, Kenntnisse und Erfahrungen des Autors aus vielen Jahren Vereinsrechtpraxis wieder. Wir bitten dennoch um Verständnis, wenn im Hinblick auf die Vielfalt der individuellen Fallgestaltungen, die im Vereinsrecht vorkommen, eine Haftung für die gegebenen Aus-künfte im Hinblick auf konkrete Einzelfälle nicht übernommen werden kann.