Vereine unterliegen den Vorgaben des Bundesdatenschutzgesetzes (BDSG). Gem. § 4 Abs. 1 BDSG dürfen personenbezogene Daten von einem Verein nur erhoben, verarbeitet oder genutzt werden, wenn eine Vorschrift des BDSG oder eine sonstige Rechtsvorschrift dies erlaubt oder soweit die Betroffenen eingewilligt haben.

Bei einer Mitgliedschaft im Verein handelt es sich um ein rechtsgeschäftsähnliches Schuldverhältnis im Sinne des § 28 Abs. 1 Satz 1 Nr. 1 BDSG. Die genaue Ausgestaltung dieses Rechtsverhältnisses ergibt sich durch die Satzung des Vereins und die in dem Verein geltenden Regeln, soweit sie sich aus (schriftlichen) Beschlüssen, Geschäftsordnungen oder der im Verein gepflegten Praxis ergeben. Aus der Rechtsbeziehung folgt, dass sowohl der Verein gegenüber den Mitgliedern, aber auch die Mitglieder untereinander und dem Verein gegenüber die Interessen des jeweils Anderen angemessen berücksichtigen müssen. Dieses gilt insbesondere auch bei der Erhebung, Verarbeitung und Nutzung von Daten, bei der das informationelle Selbstbestimmungsrecht der Betroffenen angemessen zu berücksichtigen ist.

Der Vorstand eines Vereins ist in Bezug auf die Verwaltung der Daten seiner Mitglieder verantwortliche Stelle im Sinne des §3 Abs. 7 BDSG. Satzungsgemäß berufene Funktionsträger des Vereins haben daher im Rahmen der Erfüllung ihrer Aufgaben für den Verein Zugriff auf die Mitgliederdaten und können diese auch im Rahmen der Satzung und Beschlüsse nutzen.

Vereinsmitglieder, die im Verein keine Funktionen ausüben, sind datenschutzrechtlich im Verhältnis zum Verein dagegen „Dritte“ im Sinne des §3 Abs. 8 Satz 2 BDSG. Jede Weitergabe von Mitgliederdaten an sie stellt – genauso wie die Weitergabe an Personen außerhalb des Vereins – daher eine Datenübermittlung im Sinne des §3 Abs. 4 Nr. 3 BDSG dar. Dieses aber ist nur unter bestimmten Umständen zulässig:

1. Mitgliederdaten dürfen nach den Vorschriften den BDSG zunächst selbstverständlich an Dritte herausgegeben werden, wenn die beispielsweise auf einer Liste verzeichneten Mitglieder damit einverstanden sind. Dazu bedarf es regelmäßig dem Vorliegen einer Einwilligung, die gem. §4a Abs. 1 BDSG der Schriftform bedarf und den sonstigen Vorgaben der Vorschrift genügt.
2. Einer gesonderten schriftlichen Zustimmungserklärung bedarf es dagegen in aller Regel nicht, wenn es in dem Verein üblich und dem Mitglied (bei Eintritt) bekannt oder sogar in der Satzung geregelt ist, dass Mitgliederverzeichnisse veröffentlicht werden oder Daten zur Erfüllung des Vereinszwecks an Dritte übermittelt werden, gerade dann, wenn dieses der Erfüllung des Vereinszweckes dient (Fördervereine, berufliche Netzwerke, Singleclubs etc.). Dann ist die Übermittlung von Daten in dem Umfange (aber auch nur in diesem) an Dritte ohne weiteres möglich, wie in dem vom Mitglied akzeptierten Verzeichnis Daten enthalten sind. Sind aber in diesem öffentlichen Verzeichnis nur Firmenanschriften verzeichnet, wäre die Übermittlung der Privatadresse von der Einwilligung z.B. aber nicht umfasst.
3. Schließlich kann die Übermittlung noch aus den weiteren, in § 28 BDSG genannten Gründen gestattet sein, insbesondere zur Wahrung berechtigter Interessen eines Dritten gem. § 28 Abs. 2a BDSG.

Wenn funktionslose Mitglieder den Vorstand eines Vereines um Auskunft über Daten anderer Mitglieder ersuchen, ohne dass eine Einwilligung der Betroffenen vorliegt und es auch in dem Verein nicht Praxis ist, die Adressdaten aller Mitglieder (vereinsintern) zu veröffentlichen, beurteilt sich die Zulässigkeit der Datenübermittlung allein nach §28 Abs. 2a BDSG, also danach, ob das auskunftsersuchende Vereinsmitglied ein berechtigtes Interesse an der Kenntnis der Daten hat und ob bei pauschaler Abwägung keine schutzwürdigen Interessen der betroffenen Mitglieder der Datenübermittlung entgegenstehen. Hierbei handelt es sich um eine Einzelfallentscheidung, die der Vereinsvorstand auf die konkrete Situation bezogen zu treffen hat.

Ein berechtigtes Interesse im Sinne des § 28 Abs. 2 a BDSG ist ein „nach vernünftigen Erwägungen durch die Sachlage gerechtfertigtes, also tatsächliches Interesse, das wirtschaftlicher oder ideeller Natur sein kann“ (vgl. Auernhammer, BDSG 90 § 28 Rn. 18). Das OLG Saarbrücken (AZ: 1 U 450/07-142, Urteil vom 02.04.2008) hat unter Zugrundelegung des gleichen Rechtsgedanken und aus allgemeinen vereinsrechtlichen Grundsätzen bei Vorliegen solcher berechtigter Interessen weitergehend nicht nur ein Recht, sondern sogar einen Anspruch auf diese Daten gefolgert: „Der Anspruch (auf Herausgabe der Kontaktdaten) beruht darauf, dass sich der Einzelne bei privatrechtlichen Vereinen freiwillig dem Verein angeschlossen hat und damit mit den anderen Mitgliedern in eine gewollte Rechtsgemeinschaft eingetreten ist, die von ihm auch fordert, dass er den anderen Mitgliedern bei berechtigtem Interesse derselben den Kontakt mit ihm durch Angabe seiner Personalien ermöglicht“ (so auch: Bayerischer VGH München, Beschluss vom 5.10.1998 Az.: 21 ZE 98.2707).

Entscheidend für die Rechtfertigung, zugleich aber auch Anspruchsvoraussetzung für die Übermittlung der Daten, ist damit ein im Einzelfall „berechtigtes Interesse“ eines Mitgliedes an diesen Informationen über die anderen Mitglieder, das entgegenstehende Interessen des Vereins und der Betroffenen überwiegt.

Das Gesetz kennt lediglich dafür den Fall des konkreten Minderheitenbegehrens gem. § 37 BGB: Aus der Weigerung eines Vorstandes, ein bestimmtes Begehren zeitnah auf einer Mitgliederversammlung zu besprechen und dazu einzuladen, kann sich selbstverständlich ein Anspruch ergeben, die Adressen der übrigen Mitglieder zu erfahren, um das für eine außerordentliche Versammlung nötige Quorum überhaupt erreichen zu können.

Darüber hinaus hat die Rechtsprechung ein berechtigtes Interesse aber auch aus „allgemeinen vereinsrechtlichen Grundsätzen“ in anderen Gründen bejaht, unabhängig von einem konkreten Minderheitenbegehren:

Im einem vom OLG Hamburg entschiedenen Fall (Az.: 6 U 38/08, Urteil vom 03. 01.2008) wurde ein solches berechtigtes Interesse beispielsweise in einem Fall angenommen, bei dem es konkreten Streit zwischen dem Vorstand und einigen Mitgliedern insbesondere um die Gültigkeit von Satzungsänderungen und die Gültigkeit von Beschlüssen von Mitgliederversammlungen gab, was von den Klägern als „falsche Kursänderung“ betrachtet wurde. Hier sah das Gericht ein berechtigtes Interesse auf Herausgabe der Mitgliederlisten an einen Treuhänder an, damit die klagenden Mitglieder – auch ohne eine außerordentliche Mitgliederversammlung anzustreben – durch Kenntnis der Daten der übrigen Mitglieder der Organisation für die Mitgliederversammlung auf eigene Kosten eine Opposition gegen die Vereinsführung, einschließlich einer Kandidatur für Führungspositionen, gegen den bestehenden Vorstand organisieren können. Das  OLG Saarbrücken (AZ: 1 U 450/07-142, Urteil vom 02.04.2008) bejahte einen Anspruch in einem ähnlichen Fall, in dem insbesondere die Gültigkeit von Wahlen zur Debatte stand und dem Kläger keine vergleichbaren Möglichkeiten der Wahlwerbung eröffnet waren, während ein anderes Mitglied unter Verletzung des Gebotes der Chancengleichheit die Mitgliederdaten für seine Wahlwerbung genutzt hat.

Soweit im Einzelfall kein berechtigtes Interesse gegeben ist, ist dagegen grundsätzlich ein entgegenstehendes Interesse der von der Übermittlung betroffenen übrigen Mitglieder anzunehmen, dass die Übermittlung der Mitgliederdaten an Dritte verbietet.

Während bei Vereinen, bei denen nach Größe und Vereinszweck eine besondere persönliche Verbundenheit zwischen den Vereinsmitgliedern besteht oder bei denen die Pflege des persönlichen Kontakts sogar einen wesentlichen Bestandteil des Vereinszwecks darstellt, die Weitergabe der Mitgliederdaten ggf. auf die Grundlage des § 28 Abs. 2 a BDSG oder sogar des §28 Abs. 1 S. 1Nr. 1 gestützt werden kann, stellt sich das besonders bei größeren Vereinen anders dar:

Wer in bundesweit agierende Vereine mit mehreren tausend Mitgliedern eingetreten ist oder gar in „Massenorganisationen“ wie beispielsweise Amnesty International, Greenpeace oder auch dem ADAC, ist sich darüber bewusst, dass dort die Mitglieder grundsätzlich nicht alle anderen Mitglieder des Vereins kennen und diese Kenntnis auch nicht erforderlich ist, um am „Vereinsleben“ teilzunehmen. Hier kann auch nicht von vornherein angenommen werden, dass alle Vereinsmitglieder schon allein wegen der Tatsache ihrer gemeinsamen Mitgliedschaft in dem besagten Verein ein Interesse an der Übermittlung oder Nutzung ihrer Daten durch andere, funktionslose Mitglieder hätten. Im Gegenteil – gerade in solchen Vereinen würden es die meisten Mitglieder als unzulässigen „SPAM“ ansehen, wenn sie unverlangt E-Mails ihnen gänzlich unbekannter, funktionsloser Mitglieder erhalten würden. Die Nutzung oder gar Herausgabe einer Liste mit den Daten aller Mitglieder des Vereins an ein Einzelmitglied kann sich daher nur als datenschutzrechtlich unzulässig erweisen, wenn nicht wie in den zuvor beschriebenen Urteilen konkret berechtigte Interessen vorgetragen werden, die demgegenüber überwiegen.     

Insofern überrascht aktuell das Landgericht Münster mit einem, wenn auch nur im Eilverfahren gefassten und auch noch nicht rechtskräftigen Beschluss: In diesem lässt die erkennende Kammer erkennen, dass es ihr für den Anspruch auf die Nutzung aller E-Mail-Adressen offenbar bereits genügt, wenn ein Mitglied lediglich die Absicht hat, bei einer bereits ordnungsgemäß einberufenen Mitgliederversammlung für ein Vorstandsamt zu kandidieren. Anders als in den vorgenannten obergerichtlichen Verfahren treten in diesem konkreten Fall Umstände wie Chancenungleichheiten oder gar die Notwendigkeit des Aufbaus einer Opposition etc. nicht hinzu und werden auch noch nicht mal behauptet.

Würde aber bereits die bloße Kandidatur für ein Vorstandsamt bei großen Vereinen genügen, einem einfachen Mitglied einen Anspruch auf die Übermittlung oder Nutzung aller (E-Mail-) Adressen des Vereins zu vermitteln, hätte dieses erhebliche negative Auswirkungen gerade für große, mitgliederstarke Vereine:

Absehbare Folge ist, dass nicht nur besonders datensensible Personen davon zurückschrecken werden, überhaupt einem Verein beizutreten oder in ihm zu verbleiben, wenn ihre Daten vom Vorstand vor Wahlen möglicherweise an eine Vielzahl von Bewerbern zur Nutzung überlassen werden müssen und sie damit rechnen dürften, auch von diesen eine Vielzahl unverlangter (E-Mail-) Nachrichten zu erhalten. Unter dem Aspekt der Chancengleichheit würde zudem schon der erfolgreiche Anspruch eines Mitgliedes genügen, um auch den weiteren Kandidaten diese Möglichkeit einräumen zu müssen. In der Mehrheit dürften die Mitglieder von großen Vereinen wenigstens die generelle Löschung ihrer E-Mail-Adresse aus den Verzeichnissen des Vorstandes verlangen und damit gerade großen Organisationen eine „Explosion“ bei den Portokosten bescheren.

Die wie vom OLG Hamburg gewählte Lösung, einer missbräuchlichen Nutzung zu begegnen, indem die Daten nicht an das Mitglied direkt übermittelt, sondern an einen Treuhänder übergeben werden, der die Nachrichten des einfachen Mitglieds versendet und sie vorher auf strafbare Inhalte oder gegen kommerziell werbende Botschaften prüft, ändert aus Sicht der übrigen Mitglieder des Vereins nichts: Schließlich erhalten sie auch dann eigentlich unerwünschte „Zwangsbenachrichtigung“ ihnen unbekannter Mitglieder, gegen deren (erstmaligen oder weiteren) Erhalt sie sich jeweils gesondert durch Widersprüche erwehren müssen. Auch die (vorherige) Bekanntgabe des Urteils durch den Verein oder den Treuhänder reduziert in der Praxis die Belastung für die Betroffenen nicht.

Dabei erweist sich die Vermittlung eines Anspruches auf Nutzung gerade von E-Mail-Adressen als fatal: Im Unterschied zur Nutzung einer Liste von Postadresse aller Vereinsmitglieder, ist mit der Versendung von Nachrichten keine nennenswerte logistische und gar kostenmäßige Hürde verbunden. Die Herstellung und Versendung Tausender, Hundertausender oder gar Millionen von Briefen durch „notorische Querulanten“, wie sie jede Massenorganisation in ihren Reihen erdulden muss, ist schon wegen der damit verbundenen hohen Portokosten weitaus weniger wahrscheinlich, als die Versendung einer gleichen Zahl von E-Mail-Nachrichten.

Die Wertung der Gerichte zur belästigenden Wirkung von SPAM-Mails ist ansonsten daher auch sehr eindeutig: Unverlangte Mails im E-Mail-Postfach werden als stärkere Belastung angesehen, als unverlangte Werbung im Post-Briefkasten. Bereits die einmalige Zusendung unverlangter E-Mail-Werbung kann daher – selbst wenn es um die Werbung politischer Parteien im Vorfeld einer demokratischen Wahl geht – als unzulässiger SPAM und damit als Verletzung der Persönlichkeitsrechte der Betroffenen bewertet werden (vgl. BGH, Beschluss vom 20.05.2009 – Az. I ZR 218/07). Zu keiner anderen Wertung wird man dann aber kommen können, wenn es nur um die Wahlwerbung von Kandidaten für einen Vereinsvorstand geht, ohne dass ein besonderer Grund ausnahmsweise hinzutritt.

Das ausnahmsweise berechtigte Interesse eines einzelnen Mitgliedes die grundsätzlichen Interessen der übrigen Mitglieder überwiegen können und es dann auch in ihrem (mittelbaren) Interesse ist, von ihnen Unbekannten unverlangte Nachrichten über den Verein zu erhalten, dürfte weitgehender juristischer Konsens sein, auch wenn eine grundsätzliche Klärung dieser Frage durch den BGH bislang nicht erfolgt ist. Je größer der Verein ist und je weniger die Mitglieder direkten kommunikativen Austausch „aller mit allen“ erwarten, umso konkreter und schwerer muss dabei aber auch das Interesse wiegen, aus dem sich ausnahmsweise ein Anspruch des Einzelnen funktionslosen Mitgliedes ergeben soll, allen anderen Mitgliedern seine persönliche Nachrichten aufdrängen zu dürfen. Eine normale Kandidatur für eine normale Vereinswahl kann dabei jedenfalls nicht ausreichen.

In den kürzlich vom Datenschutzbeauftragten Rheinland-Pfalz veröffentlichten  Hinweisen zum Einsatz von Google Analytics bei Internet-Angeboten wird die Kritik im wesentlichen mit der Übermittlung von vollständigen IP-Adressen an das US-Unternehmen begründet: „Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist“.

Die Frage, ob IP-Adressen als personenbezogene Daten oder als Pseudonyme verstanden werden können, ist jedoch umstritten: Während der informelle Gesprächskreis der Datenschützer, der sog. „Düsseldorfer Kreis“ bereits seit geraumer Zeit eine sehr weitreichende Auffassung vertritt, dass IP-Adressen als „personenbeziehbare“ Daten gelten müssten und daher nicht als Pseudonyme verstanden werden können (So auch: AG Mitte Urteil. v. 27.3.2007 – 5 C 314/06), wurde dieses gerichtlich jedoch in der Vergangenheit auch schon anders beurteilt (AG München, Urteil vom 30. 9. 2008, Az. 133 C 5677/08).

Auch sonst erscheint die Auffassung des „Düsseldorfer Kreis“ als zu weitgehend, da letztlich jedes technische Datum auf eine Person bezogen werden kann, wenn alle Umstände der Kommunikation sowie die persönlichen Stammdaten bekannt sind. Dieses ist jedoch ein theoretisches Problem. Entscheidend ist im vorliegenden Fall der Umstand, sich der konkrete Personenbezug nämlich nicht allein aus der Kenntnis der IP-Adresse herleiten lässt, sondern, dass es stets weiterer Angaben bedarf um die IP-Adresse auf eine bestimmte Person zurückzuführen. Da Google-Analytics ausschließlich die IP-Adressse des Webseiten Besuchers erhebt und – jedenfalls nach Angaben des Unternehmens – keine weiteren persönlichen Daten erhebt oder mit diesem Datum kombiniert, darf man davon ausgehen, dass die Auswertung auf Grund anonymer Daten erfolgt, da faktisch keine Möglichkeit besteht, den Bezug zu einer benennbaren Person (dem konkreten Besucher der Seite) herzustellen. Die Nutzung von Google Analytics in Deutschland ist dann aber nicht gesetzwidrig. 

Beim Einsatz von Google Analytics oder ähnlichen Webanalyse Systemen, die IP-Adressen speichern, ist der Website-Betreiber aber in jedem Fall verpflichtet, einen entsprechenden Hinweis bezüglich der Erfassung und Nutzung der Daten auf der Webseite zu platzieren – da sich dieses aber auch schon aus den Nutzungsbedingungen von Google, sollte dieses nicht übersehen werden!

Fazit: Die Diskussion um die rechtliche Einordnung von IP-Adressen dürfte noch eine Weile andauern. Der von den Datenschutzbeauftragte verwendete Begriff der “personenbeziehbarkeit” von IP-Adressen erweist sich bei näherer Betrachtung als ”Kampfbegriff” gegen Google und schießt über das (gerechtfertigte) Ziel hinaus, Google zu mehr datenschutzrechtlicher Transparenz zu zwingen. Wer es aus Web Analyse Sicht braucht, sollte Google Analytics deswegen noch nicht abschalten. Dennoch sollte sich Google um eine Lösung bemühen, damit nicht die Nutzer des Dienstes den Rechtsstreit austragen müssen, falls es tatsächlich zu ersten Bußgeldverfahren kommen sollte. Wer will, kann aber auch mit Diensten wie  analytics-anonym selber die IP-Adresse vor Übermittlung an Gogle anonymisieren lassen.