Fachstelle für Vereine

Datenschutz

Die Bestimmungen des Datenschutzgesetzes gelten auch für Vereine.

Adressen und sonstige personenbezogene Angaben dürfen nur gesammelt werden, sofern sie für die Ausübung des Vereinszwecks notwendig sind. Sie dürfen nur mit Zustimmung des Mitglieds an Dritte weitergegeben werden. Das Mitglied selbst hat in Bezug auf seine persönlichen Daten gegenüber dem Verein ein Auskunftsrecht.

Weiterführende Hinweise zu wichtigen Aspekten dieses Unterthemas finden Sie unten auf dieser Seite.

Die Mitgliederversammlung und jedes einzelnen Mitglied haben ein einklagbares Auskunftsrecht über die Vereinsführung, wenn sie ein berechtigtes Interessen nachweisen können (z.B. um abzuklären, ob es einen Antrag an die Vereinsversammlung stellen will oder um Einsicht in die Mitgliederliste zwecks Einberufung einer ausserordentlichen Mitgliederversammlung zu erhalten). Der Verein selbst hat dagegen auch ein Geheimhaltungsinteresse und muss die Bestimmungen des Datenschutzes beachten. Das muss dem Auskunftsinteresse des Mitglieds gegenübergestellt werden und führt je nachdem dazu, dass das Mitglied keine oder nur teilweise Auskunft erhält .lt.

Die Bestimmungen des Datenschutzgesetzes gelten auch für Vereine. Alle Mitgliederdaten (Adressen und sonstige personenbezogene Notizen) dürfen nur gesammelt werden, sofern sie für die Ausübung des Vereinszwecks notwendig sind. Ebenso dürfen sie nur mit Zustimmung des Mitglieds an Dritte weitergegeben werden. Das Mitglied selbst hat in Bezug auf seine persönlichen Daten gegenüber dem Verein ein Auskunftsrecht.

Frage

Vereine nehmen eine Zunahme der Auskunftsersuchen über die Datenbearbeitung wahr. Was ist dabei zu beachten?

Antwort

Die Auskunftspflicht wurde ebenfalls neu geregelt. Die Vereine sollten sich darauf vorbereiten und den Ablauf bei Auskunftsersuchen definieren. Zunächst muss die Identität der Auskunft ersuchenden Person ermittelt werden (z.B. mittels ID). Danach muss der Person mitgeteilt werden, welche Daten über sie zu welchen Zwecken bearbeitet werden, wie lange diese aufbewahrt werden und woher die Daten stammen. Gegebenenfalls ist mitzuteilen, welche Empfänger:innen welche Daten erhalten (z.B. Dachverband, Druckerei usw.). Die Auskunft sollte in der Regel schriftlich innert 30 Tagen kostenlos erteilt werden.

Die Bestimmungen des Datenschutzgesetzes gelten auch für Vereine. Alle Mitgliederdaten (Adressen und sonstige personenbezogene Notizen) dürfen nur gesammelt werden, sofern sie für die Ausübung des Vereinszwecks notwendig sind. Ebenso dürfen sie nur mit Zustimmung des Mitglieds an Dritte weitergegeben werden. Das Mitglied selbst hat in Bezug auf seine persönlichen Daten gegenüber dem Verein ein Auskunftsrecht.

Frage

Wie viele Vereine kommunizieren wir über Email, Chat-Tools, elektronische Newsletter und digitale Ablagen. Wie wissen wir als Vorstand, welche digitalen Tools datenschutzrechtlich unbedenklich sind?

Antwort

Der Vorstand muss die Seriosität der Anbieter prüfen und sich vergewissern, dass sie die Datensicherheit gewährleisten (falls der Anbieter Personendaten des Vereins im Rahmen eines Auftrags bearbeitet, z.B. bei einer Cloud-Lösung). Dies tut der Vorstand durch Nachfragen beim Anbieter. Evtl. verfügt der Anbieter auch über bestimmte Qualitätslabels bzw. Zertifizierungen im Bereich des Datenschutzes. Ein Verein muss den Anbieter vertraglich in die Pflicht nehmen, d.h. sich zusichern lassen, dass seriös, sicher und vertraulich mit den Daten umgegangen wird.

Frage

Das neue Datenschutzgesetz ist in Kraft. Was müssen Vereine beachten?

Antwort

Das neue Datenschutzgesetz enthält keine spezifischen Bestimmungen für Vereine. Sie müssen aber die zahlreichen neuen Pflichten und Vorgaben des Gesetzes einhalten. Die wichtigste Neuerung ist die Ausweitung der Informationspflicht. Bei der Erhebung von Personendaten müssen Vereine die betroffenen Personen darüber informieren, welche Daten erhoben und zu welchen Zwecken sie bearbeitet werden. In der Praxis wird dieser Informationspflicht in der Regel mit einer Datenschutzerklärung auf der Website nachgekommen.

Frage

Wer ist in unserem Verein für den Datenschutz zuständig?

Antwort

Ein Verein verfügt über viele Personendaten, hauptsächlich seiner Mitglieder. Damit muss er sorgfältig umgehen. Der Vereinsvorstand trägt die
Verantwortung für den datenschutzkonformen Umgang mit diesen Daten. Er ist namentlich dafür verantwortlich, dass der Verein über eine Datenschutzerklärung verfügt und die Mitgliederdaten konsequent vor Missbräuchen schützt.

Zum Thema Fotorechte im Internet sind zwei Bereiche zu beachten: das Urheberrecht und das Recht am eigenen Bild (Persönlichkeitsrechte). Urheberrecht entsteht automatisch zum Zeitpunkt der Schöpfung eines Werkes. Auch Websites können urheberrechtlich geschützt sein, z.B. das Design, der Code, die Texte oder die Fotos. Bei der Veröffentlichung von Fotos auf der Website muss der Verein unbedingt sicherstellen, dass er die Fotos verwenden darf (Nutzungsrecht). Und er muss das Einverständnis der abgebildeten Personen mit der Veröffentlichung haben (Recht am eigenen Bild). Aufgepasst: wer Material anderer (z.B. eine PPT-Präsentation) auf seiner Website veröffentlicht, kann für darin abgebildete, urheberrechtlich geschützte Fotos belangt werden!

Frage

Unser Verein ist jetzt auch auf Facebook. Um die Seite attraktiv zu gestalten, möchten wir Fotos von unseren Aktivitäten ins Netzt stellen. Manchmal sind da gut erkennbare Personen abgebildet. Müssen diese angefragt werden? Die Bilder auf unserer Facebookseite können ja nur von „Freunden" angeschaut werden.

Antwort

Fotos gehören zu den schützenswerten Personendaten und dürfen grundsätzlich nur mit Einwilligung  der abgebildeten Personen verwendet werden. Auch wenn man auf Facebook die Zugänglichkeiten einschränken kann, ist es trotzdem ein offenes Medium, dessen Reiz ja gerade darin besteht, dass immer mehr Personen immer mehr Einblicke gewinnen. Zudem ist ein Verein ja daran interessiert, möglichst viele „Freunde" zu haben.

Ich rate deshalb, keine Fotos ohne Einwilligung der betreffenden Personen zu  veröffentlichen. Die Anfrage an die Vereinsmitglieder bietet gleichzeitig die Gelegenheit, mit diesen in Kontakt zu treten.

Generell sind Aufnahmen zu verwenden, auf denen die Menschen nur bedingt oder in einer Menge erkennbar sind. Weiter sollen die Fotos nicht mit dem Namen der Abgebildeten versehen werden und keine Bilder verwendet werden, die persönlichkeitsverletzend sind oder Rückschlüsse auf religiöse oder politische Einstellungen zulassen, Drogenkonsum oder kriminelle Handlungen zeigen, Sozialhilfebezug dokumentieren, etc.

Selbstverständlich sind Bilder auf Antrag der Abgebildeten sofort zu löschen.

Ein Model Release ist die schriftliche rechtliche Freigabe, die in der Regel von der abgebildeten Person eines Fotos unterzeichnet wird und die dem Fotografen / der Fotografin oder dem Verein die Erlaubnis zur Veröffentlichung des Bilds erteilt.

Frage

Wir haben auf unserer Webseite Bilder veröffentlicht, die wir via Google gefunden haben. Nun haben wir eine Abmahnung von Rechtsanwälten aus Deutschland erhalten. Müssen wir diese ernst nehmen?

Antwort

Auf Schweizer Websites finden häufig mutmassliche Urheberrechtsverletzungen durch unberechtigt verwendete Bilder statt. Es kommt deshalb zu vielen Abmahnungen infolge der Verwendung solcher Bilder auf Schweizer Websites, insbesondere auch aus Deutschland, wo sich eine eigentliche Abmahnindustrie etabliert hat. Typische Abmahnfallen sind "Bilderklau" via Google oder Wikipedia, Verletzung von Lizenzbedingungen bei "kostenlosen" oder "lizenzfreien" Bildern und die Internetveröffentlichung von Präsentationen oder Vereinszeitschriften mit Bildern.

Bei den abgemahnten Bildern ist häufig fraglich, ob sie in der Schweiz urheberrechtlich geschützt sind. Ein fehlender Schutz in der Schweiz bedeutet allerdings nicht, dass keine Abmahnungen aus Deutschland möglich sind. Im Zweifelsfall müsste ein Gericht entscheiden. Aus diesem Grund sollte in jedem Einzelfall sorgfältig überprüft werden, wie auf eine solche Abmahnung richtig reagiert wird.

Wer falsch reagiert, verschlechtert allenfalls die eigene Rechtsposition. In (fast) jedem Fall falsch ist die Reaktion, solche Abmahnungen als Altpapier zu entsorgen. Auch lassen sich solche Abmahnungen normalerweise nicht mit einer Entschuldigung beim Gegenanwalt erledigen. Es hilft auch nicht, den Gegenanwalt zu beschimpfen.

Empfehlungen von RA Martin Steiger zum richtigen Vorgehen bei Abmahnungen

Jede Person hat ein Recht am eigenen Bild, kann also entscheiden, ob, wo, wann es als Print oder online veröffentlicht werden darf. Es braucht also eine Zusage der Abgebildeten, z.B. mit einem sog. Model Release. Ein ergänzendes Reglement betreffend der Bildinhalte hinsichtlich des Rechts am eigenen Bild von Mitgliedern resp. der Nutzung dieses Materials durch den Verein ist darum ebenfalls wichtig.

Es empfiehlt sich, die Nutzungsrechte des Vereins an urheberrechtlich geschütztem Material und das Recht am eigenen Bild der Vereinsmitglieder in separaten Reglementen festzuhalten. Die Ausarbeitung derartiger Reglemente liegt in der Regel in der Kompetenz des Vorstands, sofern dies in den Statuten entsprechend geregelt ist. Ein Reglement der Abgebildeten regelt die Verwendung von Bildern, auf denen Mitglieder des Vereins abgebildet sind, respektive die Nutzung dieses Materials durch den Verein.

Es empfiehlt sich, die Nutzungsrechte des Vereins an urheberrechtlich geschütztem Material und das Recht am eigenen Bild der Vereinsmitglieder in separaten Reglementen festzuhalten. Die Ausarbeitung derartiger Reglemente liegt in der Regel in der Kompetenz des Vorstands, sofern dies in den Statuten entsprechend geregelt ist. Das Reglement für Fotografierende regelt die Nutzungsrechte des Vereins an urheberrechtlich geschütztem Material, das von Mitgliedern des Vereins erstellt wird, z.B. Fotos, Clips, Illustrationen etc.

Urheberrecht entsteht automatisch zum Zeitpunkt der Schöpfung eines Werkes. Es existiert weder ein Register, noch ist das Anbringen des © Symbols Voraussetzung für den Schutz. Der Urheber ist die (natürliche) Person, die das Werk geschaffen hat (Schöpferprinzip). Folgende Kriterien müssen erfüllt sein, damit man von einem „Werk“ im Sinne des Urheberrechts (geschützt nach Art. 2 des URG) spricht: 1. geistige Schöpfung; 2. individueller Charakter; 3. im Bereich der Literatur und Kunst. Als Werke gelten aber auch Computerprogramme. Die Aufzählung im Gesetz ist nicht abschliessend; auch die Website eines Vereins kann beispielsweise urheberrechtlich geschützt sein (Design, Code, Texte, Fotos). Mit der Revision des Urheberrechts ist mit Art. 2 Abs. 3 bis eine wichtige Ergänzung hinzugekommen: Fotografien gelten auch dann als Werke, auch wenn sie keinen individuellen Charakter haben.

Frage

Was gibt es zur Aufbewahrungspflicht von Mitgliederdaten zu beachten? Müssen wir z.B. Rechnungen für gestellte Jahresbeiträge anonymisieren?

Antwort

Daten müssen gelöscht werden, sobald sie zur Bearbeitung nicht mehr erforderlich sind und keine gesetzliche Aufbewahrungspflicht besteht. Solange noch offene Forderungen oder z.B. ein Rechtsstreit bestehen, müssen die Daten nicht gelöscht werden. Weiter besteht etwa im Bereich der Buchführung eine 10-jährige Aufbewahrungspflicht für Jahresberichte, Jahresrechnungen, Buchungsbelege und Revisionsberichte (vgl. Art. 958f OR). Enthalten solche Dokumente Personendaten, dürfen sie erst nach Ablauf der Frist gelöscht werden. Neuerdings müssen Vereine, die zur Eintragung im Handelsregister verpflichtet sind, ein Mitgliederverzeichnis führen. Sie müssen die Angaben über jedes Mitglied während fünf Jahren nach dem Austritt des Mitglieds aufbewahren (vgl. Art. 61a ZGB).

Frage

Vereine nehmen eine Zunahme der Auskunftsersuchen über die Datenbearbeitung wahr. Was ist dabei zu beachten?

Antwort

Die Auskunftspflicht wurde ebenfalls neu geregelt. Die Vereine sollten sich darauf vorbereiten und den Ablauf bei Auskunftsersuchen definieren. Zunächst muss die Identität der Auskunft ersuchenden Person ermittelt werden (z.B. mittels ID). Danach muss der Person mitgeteilt werden, welche Daten über sie zu welchen Zwecken bearbeitet werden, wie lange diese aufbewahrt werden und woher die Daten stammen. Gegebenenfalls ist mitzuteilen, welche Empfänger:innen welche Daten erhalten (z.B. Dachverband, Druckerei usw.). Die Auskunft sollte in der Regel schriftlich innert 30 Tagen kostenlos erteilt werden.

Die Bestimmungen des Datenschutzgesetzes gelten auch für Vereine. Alle Mitgliederdaten (Adressen und sonstige personenbezogene Notizen) dürfen nur gesammelt werden, sofern sie für die Ausübung des Vereinszwecks notwendig sind. Ebenso dürfen sie nur mit Zustimmung des Mitglieds an Dritte weitergegeben werden. Das Mitglied selbst hat in Bezug auf seine persönlichen Daten gegenüber dem Verein ein Auskunftsrecht.

Frage

Darf bei einer brieflichen Abstimmung gefordert werden, dass die Mitglieder mit Vorname, Name und Unterschrift antworten müssen?

Antwort

Sie müssen sicherstellen, dass nur berechtigte Personen an der Abstimmung bzw. an den Wahlen teilnehmen. Deshalb ist es richtig, dass die abstimmenden Personen identifiziert werden können. Bei der Auszählung kann dann eine unabhängige Person diese Wahlzettel zählen und die Resultate werden ohne Zuordnung der Stimmenden erfasst. Wenn Sie eine volle Anonymität z.B. bei Wahlen sicherstellen wollen, müssten Sie separate Stimmausweise erstellen, die mit dem Abstimmungs- bzw. Wahlzettel zurückgeschickt werden müssen (analog politische Wahlen). Dieses Vorgehen würden wir empfehlen, wenn eine Wahl sehr umstritten ist. 

Frage

Braucht es wegen dem neuen Datenschutzgesetz eine Anpassung der Statuten?

Antwort

Wir empfehlen, dass Vereine bei einer nächsten Statutenrevision einen Artikel zum Thema Datenschutz aufnehmen. Darin wird geregelt, wie der Verein mit Daten umgeht und wie resp. in welchen Fällen z.B. die zweckmässige Weitergabe von Mitgliederdaten an die anderen Mitglieder erlaubt ist. Zur Unterstützung gibt es in den vitamin B Musterstatuten neu den Art. 13 zum Datenschutz mit Musterformulierungen und Kommentaren: vitaminb.ch/vereinswissen/arbeitshilfen

Frage

Das neue Datenschutzgesetz ist in Kraft. Was müssen Vereine beachten?

Antwort

Das neue Datenschutzgesetz enthält keine spezifischen Bestimmungen für Vereine. Sie müssen aber die zahlreichen neuen Pflichten und Vorgaben des Gesetzes einhalten. Die wichtigste Neuerung ist die Ausweitung der Informationspflicht. Bei der Erhebung von Personendaten müssen Vereine die betroffenen Personen darüber informieren, welche Daten erhoben und zu welchen Zwecken sie bearbeitet werden. In der Praxis wird dieser Informationspflicht in der Regel mit einer Datenschutzerklärung auf der Website nachgekommen.

Alle Notizen, Adressen, Karteieinträge, Dateien im Computer und Akten inklusive Fotos, die sich auf die Mitglieder beziehen und Angaben über sie enthalten, sind Daten. Sie sind geschützt und dürfen nicht ohne Zustimmung der betroffenen Personen weitergegeben werden (Datenschutz).

Frage

Ein Mitglied möchte eine ausserordentliche Mitgliederversammlung einberufen und hat uns darum gebeten, ihm die Kontaktdaten aller Mitglieder auszuhändigen. Dürfen wir das?

Antwort

Wenn ein Fünftel (resp. je nach Statuten weniger) der Mitglieder eine ausserordentliche Mitgliederversammlung verlangt, muss der Vorstand diese einberufen. In der Praxis bedeutet dies, dass die vereinsinterne Weitergabe von Mitgliederdaten in diesem Fall erlaubt ist, da sie zur Ausübung von Mitgliedschaftsrechten benötigt werden, nämlich zur Einberufung einer ausserordentlichen Mitgliederversammlung (Art. 64 Abs. 3 ZGB). In diesem Fall sollten aber nur so viele Daten herausgegeben werden, wie zur Ausübung dieses Rechts wirklich nötig ist (z.B. Namen und Adressen). Die weitergegebenen Daten dürfen vom Mitglied einzig für diesen Zweck genutzt und müssen anschliessend vernichtet werden, worauf das entsprechende Mitglied ausdrücklich hinzuweisen ist. Alternativ zur Herausgabe der Daten kann der Vorstand anbieten, die Informationen im Namen des Mitglieds an die anderen Mitglieder zu verschicken.

Der Verein führt eine Mitgliederliste oder eine Mitgliederdatei und vermerkt darin die wichtigsten Angaben zu den einzelnen Mitgliedern (Mitgliederdaten).

Frage

Wann darf ein Verein Personendaten vereinsintern weitergeben?

Antwort

Dazu braucht es in aller Regel die Einwilligung jedes Mitglieds oder die vorgängige Information über den Zweck der Datenweiterleitung mit der Möglichkeit zum Widerspruch. Die zweckmässige Weitergabe von Mitgliederdaten an die anderen Mitglieder kann in den Statuten festgehalten werden. Dazu gehören z.B. die Information zur Weitergabe von Listen mit Mitgliederdaten an Dachverbände oder ein Hinweis, dass die Mitgliederliste im geschützten Mitgliederbereich der Website allen Mitgliedern zur Verfügung gestellt wird. Mitglieder dürfen eine einmal erteilte Einwilligung jederzeit widerrufen.

Frage

Wer ist in unserem Verein für den Datenschutz zuständig?

Antwort

Ein Verein verfügt über viele Personendaten, hauptsächlich seiner Mitglieder. Damit muss er sorgfältig umgehen. Der Vereinsvorstand trägt die
Verantwortung für den datenschutzkonformen Umgang mit diesen Daten. Er ist namentlich dafür verantwortlich, dass der Verein über eine Datenschutzerklärung verfügt und die Mitgliederdaten konsequent vor Missbräuchen schützt.