1. Rechtsvorschriften

Bei der Mitgliedschaft in einem Verein handelt es sich um ein rechtsgeschäftsähnliches Schuldverhältnis im Sinne des § 28 Abs. 1 Satz 1 Nr. 1 BDSG2, dessen Rahmen und Inhalt im Wesentlichen durch die Vereinssatzung vorgegeben wird.
§ 28 Abs. 1 Satz 1 Nr. 1 BDSG sieht vor, dass das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Ge- schäftszwecke zulässig ist, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist. Datenschutzrechtlich unerheblich ist, ob der Verein ins Vereinsregister eingetragen ist oder ob es sich um einen nicht rechtsfähigen Verein handelt.

Regelungen in Vereinssatzungen dürfen nicht im Widerspruch zu den geltenden datenschutzrechtlichen Bestimmungen des BDSG stehen. Ein Verein kann folglich durch die Satzung zu nichts berechtigt werden, was den Bestimmungen des Datenschutzes zuwiderläuft. Gleichwohl können Satzungsregelungen die einzuhaltenden Datenschutzgrundsätze ausdrücklich her- vorheben und betonen.

Aus dem Mitgliedsverhältnis folgt, dass ein Verein bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten das Grundrecht auf informationelle Selbstbestimmung seiner Mitglieder angemessen zu berücksichtigen hat, das heißt, dass er mit den Daten seiner Mitglieder sorgfältig umzugehen und diese grundsätzlich nur im Rahmen des Geschäftszwecks des Vereins zu verwenden hat.

2. Einwilligung

Für den Umgang mit Mitgliedsdaten im Verein ist in der Regel der § 28 Abs. 1 Satz 1 Nr. 1 BDSG die maßgebliche Rechtsgrundlage. Kann sich ein Verein für eine beabsichtigte Datenerhebung, -verarbeitung oder -nutzung nicht auf eine Rechtsgrundlage stützen, muss er die Einwilligung der betroffenen Mitglieder einholen. Die Voraussetzungen, die das BDSG an eine informierte Einwilligung stellt, ergeben sich aus § 4a BDSG:

• Die Einwilligung muss auf einer freien Entscheidung beruhen. Hierzu ist erforderlich, dass die betroffene Person zuvor ausreichend darüber informiert worden ist, welche Daten zu welchem Zweck vom Verein erhoben, gespeichert und genutzt werden bzw. an wen sie gegebenenfalls übermittelt werden sollen. Außerdem muss der betroffenen Person die Möglichkeit eingeräumt werden, die Einwilligung zu verweigern, ohne dass sie dadurch Nachteile be- fürchten muss.
• Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Die Einwilligung muss grundsätzlich schriftlich erfolgen. Wenn sie zusammen mit anderen Erklärungen abgegeben wird, ist sie besonders hervorzuheben. In der Praxis wer- den erforderliche Einwilligungserklärungen in der Regel bereits beim Vereinsbeitritt eingeholt. In diesem Fall müs- sen diese abzugebenden Erklärungen klar von der Bei- trittserklärung abgegrenzt sein (z. B. räumliche Trennung durch Absätze; Fett- oder Kursivdruck), damit für die Be- troffenen klar erkennbar ist, dass sie weitere Erklärungen abgeben.3. Datenschutzverantwortung des Vereinsvorstandes

  Der Vereinsvorstand, der den Verein nach außen vertritt
  (§ 26 Abs. 1 Satz 2 Bürgerliches Gesetzbuch, BGB), nimmt für den Verein in Bezug auf die Verwaltung der Mitgliedsdaten die Aufgaben der verantwortlichen Stelle (§ 3 Abs. 7 BDSG) wahr. Bei ihm liegt die Datenschutzverantwortung.

Bei der Delegation von Aufgaben im Verein sind die Vorgaben des BDSG zur Gewährleistung von Datenschutz und Datensicherheit zu beachten. Auch wenn ein Verein sich dafür entscheidet, die Mitgliedsdatenverwaltung an einen externen Anbieter zu vergeben, bleibt die Verantwortung für die erfolgende Auftragsdatenverarbeitung bei ihm als Auftraggeber (§ 11 Abs. 1 BDSG).

Quellen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Vereine/Inhalt/Datenschutz_im_Verein/Datenschutz_im_Verein1.pdf

http://www.dtfb.de/download/MerkblattDatenschutz.pdf