EDÖB: Übermittlung von Vereinsmitgliederdaten an Kredikartenprovider

Dem Vereinsvorstand werden zahlreiche Personendaten über seine Mitglieder anvertraut. Für den Umgang mit diesen Daten hat der EDÖB bereits ein Merkblatt veröffentlicht (vgl. dazu unseren Beitrag). Eine Weitergabe muss demnach die Voraussetzungen der allgemeinen Grundsätze der Datenverarbeitung erfüllen.

Mit Mitteilung vom 15. November 2021 veröffentlichte der EDÖB einen Fall aus der Praxis, welcher die Bedeutsamkeit der Statuten sowie der informierten Einwilligung für die Weitergabe von Vereinsmitgliederdaten deutlich macht.

Um was geht es?

Der Schweizer Schiesssportverband (SSV) stellte Anfang Mai mehr als 50'000 lizensierten Schützinnen und Schützen einen neuen Mitgliederausweis zu.

Diese neue Lizenzkarte ist gleichzeitig auch eine Visa-Kreditkarte. 0.1 % der mit diesem Kartensystem generierten Umsätze soll der SSV-Jugendförderung zukommen.

Gemäss den Angaben des SSV ist die Kreditkarte für Lizenzmitglieder «kostenlos und mit keinen Verpflichtungen verbunden». Nicht-Lizensierte können die Kreditkartenfunktion für CHF 20/Jahr dazu buchen (vgl. https://www.swissshooting.ch/de/service/ssv-mitgliederkarte/).

Wo liegt das Problem?

Damit eine Lizenzkarte mit Kreditkartenfunktion herausgeben werden kann, musste der SSV ein Finanzdienstleister hinzuziehen. Der Auftrag ging an die ehemalige BonusCard.ch AG. Diese gehört heute zur Cornèr Bank AG.

Zur Ausstellung der Karte übermittelte der SSV die folgenden Daten seiner Mitglieder:

·         Vollständiger Name

·         Adresse

·         Geburtsdatum

·         Mitgliedernummer und Barcode-Kennnummer des jeweiligen Schiesstands

·         E-Mail-Adresse

·         Mobiltelefonnummer (wenn beim SSV bekannt)

Der SSV stützt sich für die Datenbekanntgabe auf seine Statuten. Jedoch wurden zahlreiche Sportlerinnen und Sportler des SSV von dem Erhalt der Visa-Kreditkarte überrascht. Sie waren mit der Datenbekanntgabe nicht einverstanden und meldeten sich deswegen beim EDÖB.

Zu welchem Schluss kommt der EDÖB?

Der EDÖB kommt zum Schluss, dass der Kreditkartenprovider nicht ausschliesslich als Auftragsbearbeiter (für die Herstellung der Lizenzkarte) handle. Es liege vielmehr eine eigentliche Datenbekanntgabe vor, da die Cornèr Bank die Daten auch für ihre eigenen Zwecke verwenden wird.

Betreffend die datenschutzrechtlichen Gebote der Transparenz und der Zweckbindung hält der EDÖB fest, dass der SSV als Verantwortlicher eigentlich die Grundlage der vorliegenden Datenbekanntgabe geschaffen habe: Seit 2016 sehen die Statuten des SSV eine Bekanntgabe für kommerzielle Zwecke vor (inkl. Widerspruchsmöglichkeit).

Das Problem: Die Bestimmung ist einzig in den Statuten des SSV enthalten. Der Grossteil der 36 Unterverbände mit den über 2000 angeschlossenen Vereinen kennt keine analoge Regelung.

Gemäss EDÖB hätten die einzelnen Mitglieder damit alles in allem nur erschwert von der Statutenregelung Kenntnis nehmen können.

Wie geht der SSV nun vor?

In Absprache mit dem EDÖB wird der SSV via Webseite, Newsletter und Mitgliederzeitschrift erneut über die Bekanntgabe zum kommerziellen Zweck informieren und auf das Widerspruchsrecht aufmerksam machen.

Der SSV wird zudem sicherzustellen haben, dass die Daten der Mitglieder ohne Kreditkartenfunktion separat behandelt und von der Cornèr Bank nicht für ihre eigenen kommerziellen Zwecke verwendet werden.

Fazit

Bemerkenswert ist, dass sich der EDÖB nicht dazu äussert, ob der SSV mit seinem Vorgehen gegen das Datenschutzrecht verstiess. Einerseits bejaht er die Rechtsgrundlage für die Datenbekanntgabe, andererseits qualifizierte er die Zugänglichkeit der Informationen als zu umständlich. Mit der Vorgabe des weiteren Vorgehens an den SSV will der EDÖB die gebotene Transparenz und damit die Datenschutzrechtskonformität sicherstellen.