DATENSCHUTZBEAUFTRAGTER IM VEREIN

Trotz der gemeinnützigen Funktion der Vereine bleiben diese nicht von den Richtlinien der DSGVO, die am 25. Mai 2018 in Kraft traten, verschont. Erfüllt ein Verein gewisse Kriterien, so ist auch ein Datenschutzbeauftragter im Verein unerlässlich.

So gut wie jeder Verein fällt unter die DSGVO. Denn damit ein Verein seine Mitglieder auch entsprechend betreuen kann, verarbeitet er die personenbezogenen Daten seiner Mitglieder. Eben jene Verarbeitung ist es, die von der Datenschutzgrundverordnung sehr streng reglementiert wird und an dessen Regelungen man sich deshalb auch unbedingt als Verein halten sollte.

Artikel 37 der DSGVO regelt dabei genau, unter welchen Umständen es notwendig ist, einen Datenschutzbeauftragten im Verein zu benennen. Entsprechend des Absatzes eins lassen sich daraus Kriterien ableiten, die einem Vereinsvorstand helfen, um herauszufinden, ob sein Verein einen Datenschutzbeauftragten braucht:

1. Wenn die Verarbeitung der personenbezogenen Daten von einer Behörde oder einer öffentlichen Stelle durchgeführt wird. Eine Ausnahme stellen dabei Gerichte dar, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln.                                                                                                           
2. Wenn die Kerntätigkeit einer Person im Umgang mit den personenbezogenen Daten steht, also die Durchführung von Verarbeitungsvorgängen umfasst, für die eine umfangreiche und regelmäßige Überwachung der Personen notwendig ist.                                                                     
3. Die Kerntätigkeit besteht in der umfangreichen Verarbeitung von Daten nach Artikel 9 und 10 DSGVO.

Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten 

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Art. 10 DSGVO: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

(1) Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

In Deutschland kommt zudem das Bundesdatenschutzgesetz (BDSG) zum Tragen, das weitere Richtlinien zum Datenschutzbeauftragten im Verein aufweist:

Ein Verein benötigt dann einen Datenschutzbeauftragten, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.

(Diese Neuerung enthält das „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“, das am 25.11.2019 veröffentlicht worden ist.)

Dabei ist nicht entscheidend, ob diese Personen ehrenamtliche Mitarbeiter oder Festangestellte, freie Mitarbeiter oder Teilzeitbeschäftigte sind, von Bedeutung ist hier, dass ihre Aufgabenstellung in der Verarbeitung von Daten liegt. Einen Sonderfall bilden dabei all jene Daten, die eine Vorabkontrolle notwendig machen, also beispielsweise die Auskunft über den Gesundheitszustand oder politische Meinungen. Hier wird gemäß Art. 37 DSGVO ungeachtet einer Mindestzahl an Mitarbeitern, die mit den personenbezogenen Daten in Kontakt stehen, ein Datenschutzbeauftragter im Verein notwendig.

Auch die Aufgabenbereiche des Datenschutzbeauftragten im Verein werden durch die Datenschutzgrundverordnung in Artikel 39 festgelegt:

• Der Datenschutzbeauftragte informiert und berät die Auftragsverarbeiter, die sich mit den personenbezogenen Daten beschäftigen, im Hinblick auf ihre Pflichten entsprechend der DSGVO und den jeweils gültigen Datenschutzvorschriften, in Deutschland demnach entsprechend der BDSG                                                                                                                                   
• Neben die allgemeine Informierung tritt auch die Überwachung der Mitarbeiter, damit diese die in der Verordnung geregelten Vorschriften auch einhalten, um so den Schutz personenbezogener Daten zu gewährleisten.                                                                                              
• Zuweisung von Zuständigkeiten der Mitarbeiter, Schulung dieser bezüglich ihrer Aufgabenbereiche und Überprüfung deren Verarbeitung personenbezogener Daten
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35                                                                                                                          
• Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese bei auftretenden Fragen

Unsicher, ob für den eigenen Verein der Einsatz eines Datenschutzbeauftragten empfehlenswert wäre? Das DEUTSCHE EHRENAMT hat zu all diesen Fragen innerhalb einer Beratung eine passende Antwort.

HAFTUNGSAUSSCHLUSS:

 Die Texte dieser Ausgabe sind nach bestem Wissen und Kenntnisstand erstellt worden. Die Komplexität und der ständige Wandel der Rechtsmaterie machen es jedoch notwendig, Haftung und Gewähr auszuschließen.