FAQ | Datenschutzbeauftragte in Vereinen
Eine Frage, die viele Vereine beschäftigt ist, ob sie eine(n) Datenschutzbeauftragte(n) (DSB) benennen müssen. An dieser Stelle erhalten Sie deshalb Antworten auf die wichtigsten Fragen zur Auswirkung der Datenschutz-Grundverordnung (DS-GVO) bei der Benennung einer oder eines DSB im Verein.
1. Wann muss ein Verein eine(n) DSB benennen?
2. Wie lässt sich ermitteln, ob die Zwanzig-Personen-Grenze erreicht ist?
4. Darf der Vereinsvorstand gleichzeitig DSB sein?
5. Welche fachlichen Voraussetzungen muss ein(e) DSB des Vereins mitbringen?
6. Muss der Verein die Kontaktdaten der oder des DSB veröffentlichen?
7. Was ist zu beachten, wenn der Verein keine(n) DSB benennen muss?
1. Wann muss ein Verein eine(n) DSB benennen?
Die beiden häufigsten Konstellationen, in denen ein Verein auf jeden Fall eine(n) DSB benennen muss, sind:
- zum einen, wenn in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind,
- zum anderen, wenn die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO besteht. Beispiel: Die Verarbeitung von Gesundheitsdaten in Selbsthilfegruppen.
Außerdem muss ein Verein unabhängig von den genannten Fällen zum Beispiel dann eine(n) DSB benennen,
- wenn es im Verein Prozesse der Datenverarbeitung gibt, für die Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DS-GVO durchzuführen sind. Nähere Informationen zu der Frage, wann eine DSFA erforderlich ist, finden Sie hier.
2. Wie lässt sich ermitteln, ob die Zwanzig-Personen-Grenze erreicht ist?
Um diese Frage zu beantworten, muss man immer den Einzelfall betrachten, da die konkreten Tätigkeiten der betreffenden Personen maßgeblich sind. Wenn mindestens zwanzig Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, muss der Verein eine(n) DSB benennen. Entscheidend sind also die Kriterien „automatisiert“ und „ständig“.
a) Wer muss für die Zwanzig-Personen-Grenze berücksichtigt werden?
Hier kommen Beschäftigte jeder Art in Betracht (egal ob Festangestellte oder freie Mitarbeiter/-innen), Ehrenamtliche, sonstige Vereinsmitglieder sowie auch Eltern von Vereinsmitgliedern. Allein die Funktion einer Person führt jedoch nicht dazu, dass diese automatisch mitgezählt wird. Entscheidend ist immer, welche Tätigkeiten die jeweilige Person ausübt.
Wichtig: Personen des Vorstandes zählen nicht automatisch dazu. Vielmehr kommt es auch bei den Vorstandsmitgliedern auf die konkrete Tätigkeit an.
Beispiel:
Ist ein Verein in mehrere Beratungsstellen untergliedert, in denen jeweils Personen im Rahmen ihrer Tätigkeit ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, so müssen die betreffenden Personen aus diesen Stellen für die Zwanzig-Personen-Grenze berücksichtigt werden.
b) Was sind Fälle einer automatisierten Verarbeitung personenbezogener Daten im Verein?
- Eine automatisierte Datenverarbeitung ist etwa die elektronische Verwaltung von:
- Mitgliederdaten für die Mitgliederverwaltung,
- Daten von Angestellten des Vereins, z. B. zur Erfüllung des Arbeitsvertrages, Weitergabe an den Steuerberater,
- Spielerdaten, z. B. zur Erstellung eines Spielerpasses, Übermittlung an die Liga, Meldungen zu Sportveranstaltungen,
- Daten über Mitgliedsbeiträge,
- Daten über Spender und Sponsoren, z. B. zur Ausstellung für Spendenbescheinigung und zur Vertragserfüllung (Bandenwerbung),
- Gästelisten, z. B. für die Einladung zu Veranstaltungen
c) Wann liegt eine ständige Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten vor?
Um das Kriterium „ständig“ zu erfüllen, muss die automatisierte Verarbeitungstätigkeit in regelmäßigen Abständen ausgeführt werden. Allerdings ist es unerheblich, ob die Datenverarbeitung zu den Kerntätigkeiten der betreffenden Personen zählt. Beschäftigt sich eine Person nur gelegentlich mit der automatisierten Datenverarbeitung, muss sie nicht für die Zwanzig-Personen-Grenze mitgezählt werden.
d) Konkrete Einzelfälle
Bei folgenden Personen im Verein ist in der Regel von einer ständigen Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten auszugehen:
- Kassenwart(in),
- Personen, die für die Mitgliederverwaltung zuständig sind,
- Personen (z.B. in Sportvereinen), die ständig Spielerdaten für die übergeordnete Wettkampf- und Spielorganisation (Punktspielbetrieb) verarbeiten.
Gegenbeispiele:
- Eine Person, die nur einmal im Jahr bei einer Feier mithilft und dafür personenbezogene Daten verarbeitet, z. B. beim Versenden der Einladungen per E-Mail, ist nicht „ständig“ mit der Datenverarbeitung betraut.
- Bei Ehrenamtlichen, z. B. Betreuerinnen oder Betreuern, die einem Mitglied jeweils per Einzelauftrag zugewiesen werden und die nur gelegentlich und einzelfallbezogen auf Daten zugreifen können, ist in der Regel nicht von einer ständigen Datenverarbeitung auszugehen.
- Bei Übungsleiterinnen und Übungsleitern eines Sportvereins, die lediglich zweimal pro Jahr eine Mitgliederliste für ihren Sportkurs aktualisieren, ist nicht von einer ständigen Datenverarbeitung auszugehen.
- Bei der regelmäßigen Überprüfung der Anwesenheit durch den Gruppenleiter, z. B. durch manuelles Abhaken der Teilnehmerinnen und Teilnehmer auf einer Liste, handelt es sich nicht um eine automatisierte Datenverarbeitung.
3. Wann besteht die Kerntätigkeit eines Vereins in der umfangreichen Verarbeitung besonderer Kategorien von Daten?
Relevant ist hier besonders der Umgang mit Gesundheitsdaten, z. B. bei Vereinen, deren Vereinszweck die Gesundheitsförderung der Mitglieder umfasst. Ist der Hauptzweck des Vereins etwa Rehasport oder Funktionstraining und würde der Verein ohne diese Angebote nicht existieren können, ist in der Regel ein(e) DSB zu benennen. Denn im Rahmen dieser Angebote werden gezwungenermaßen Gesundheitsdaten aller Teilnehmenden verarbeitet. Die Benennungspflicht besteht in diesen Fällen unabhängig davon, wie viele Personen mit der Datenverarbeitung beschäftigt sind. (Siehe dazu auch die FAQ im Gesundheitsbereich.)
4. Darf der Vereinsvorstand gleichzeitig DSB sein?
Nein. Zur Vermeidung einer Interessenkollision dürfen die Aufgaben der oder des DSB nicht vom Vereinsvorstand bzw. dem für die Datenverarbeitung des Vereins Verantwortlichen wahrgenommen werden. Gleiches gilt für Beschäftigte oder Vereinsmitglieder mit Leitungsfunktion, wie z. B. Geschäftsführung oder Kassenwart(in), da eine neutrale Wahrnehmung der Funktion dann nicht gewährleistet wäre. Die oder der DSB muss nicht zwingend Mitglied des Vereins sein.
5. Welche fachlichen Voraussetzungen muss ein(e) DSB des Vereins mitbringen?
Die allgemeinen Voraussetzungen der Benennung als DSB ergeben sich aus Art. 37 Abs. 5 DS-GVO. Danach wird ein(e) DSB auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er oder sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner oder ihrer Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Eine „Ausbildung“ zur/zum DSB ist nicht explizit geregelt. Allgemein oder staatlich anerkannte Abschlüsse oder Zertifikate gibt es nicht.
Der Vereinsvorstand kann auch ein Mitglied zur/zum DSB bestellen. Besitzt dieses Mitglied noch keine datenschutzrechtlichen Fachkenntnisse, so kann es sich diese aneignen.
Um das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts zu erwerben, ist der Besuch einer mehrtägigen Basisschulung zu empfehlen. Fort- und Weiterbildungsveranstaltungen werden von diversen Einrichtungen angeboten.
Für Unterstützung können Sie sich zum Beispiel an den Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. wenden. Auch die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) betreibt eine Fachgruppe für externe DSB und Datenschutzberater.
6. Muss der Verein die Kontaktdaten der oder des DSB veröffentlichen?
Ja, der Verein muss die Kontaktdaten der oder des DSB zum einen veröffentlichen und zum anderen der zuständigen Aufsichtsbehörde mitteilen. Für die Veröffentlichung der Kontaktdaten ist es ausreichend, wenn z. B. die E-Mail-Adresse der oder des DSB auf der Website des Vereins genannt wird. Weitere allgemeine Informationen zu DSB finden sie hier.
7. Was ist zu beachten, wenn der Verein keine(n) DSB benennen muss?
Besteht keine Verpflichtung zur Benennung einer oder eines DSB, muss sich der Vorstand selbst um die Einhaltung des Datenschutzes durch den Verein kümmern. Er kann allerdings auch auf freiwilliger Basis eine(n) Datenschutzbeauftragte(n) benennen.