Vorab nochmals der Hinweis: Der Datenschutzbeauftragte (Art. 37 DS-GVO) ist nicht mit dem Verantwortlichen identisch (vergl. Vereinswiki Datenschutz: Der Betroffene, der Verantwortliche). Jeder Verein benötigt einen Verantwortlichen im Sinne des Datenschutzes. Aber ob zwingend ein Datenschutzbeauftragter benötigt wird, ist davon unabhängig zu klären.
Die europäische DS-GVO überlässt es den einzelnen Mitgliedsländern, genauer zu bestimmen, wann ein Datenschutzbeauftragter nötig ist. So besagt das seit Juni 2019 geltende deutsche Bundesdatenschutzgesetz, dass dieser erforderlich ist, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind (§ 38, Abs. 1 BDSG).
Damit hat sich für viele Vereine die rechtliche Situation, verglichen mit der Gesetzeslage vor Juni 2019 deutlich verbessert. Denn bis zu diesem Zeitpunkt galt als „Schallgrenze“ für die Erforderlichkeit eines Datenschutzbeauftragten die Zahl „10“. Für Vereine, in denen der Vorstand und vielleicht noch eine Handvoll ehrenamtlicher Kräfte sich um die Mitgliederverwaltung kümmern, ist der Datenschutzbeauftragte also jetzt kein Thema mehr.
Trotzdem, wie oft bei juristischen Sachverhalten, man muss genauer hinschauen. So verbirgt sich hinter der Umschreibung „ständig….. mit der Verarbeitung ….beschäftigt“ (§ 38, Abs. 1 BDSG), dass darunter weder ein Arbeitsverhältnis zu verstehen ist noch eine Tätigkeit in Vollzeit gemeint ist. Ständig mit der Verarbeitung automatisierter Daten befasst ist auch der ehrenamtlich Tätige, der in regelmäßigen Abständen immer wieder am PC sitzt und mit den Daten der Gruppe hantiert. Unter „regelmäßig“ wiederum wird verstanden: Wer mehr als 50 % seiner gesamten Tätigkeit am Computer verbringt, verarbeitet „regelmäßig“ Daten. Zum Beispiel Sportvereine, die mehrere Abteilungen oder Mannschaften besitzen und alle Funktionäre auf den zentralen Datenpool Zugriff laufen, können immer noch Gefahr laufen, auf diesem Weg die 20-Personen-Grenze zu überschreiten.
Andererseits gilt die 20-Personen-Grenze dann nicht, wen beispielsweise zur Erstellung einer Jubiläumsschrift das „Festkomitee“ bestehend aus 16 Personen ausnahmsweise in die Daten des Vereins, die üblicherweise fünf ehrenamtlich Tätigen verwaltet werden, Einblick erhalten. Hier liegt keine „ständige“ und „regelmäßige“ Datenverarbeitung vor.
Sollten im Verein doch zwanzig oder mehr Personen ständig und regelmäßig im Sinne des Gesetzes am PC sitzen, dann ist ein Datenschutzbeauftragter erforderlich. Dieser Datenschutzbeauftragte ist dann durch den Verantwortlichen der Aufsichtsbehörde, also dem Landesamt für Datenschutzaufsicht, gegenüber zu benennen. Außerdem muss der Datenschutzbeauftragte im Verarbeitungsverzeichnis benannt sein. Die Aufgaben des Datenschutzbeauftragten bestehen in der Kontrolle und Beratung des Verantwortlichen, der Schulung derjenigen Mitarbeiter, die mit der Datenverarbeitung zu tun haben und, wenn nötig, in der Unterstützung von Betroffenen.
Auf eine Besonderheit soll weiter hingewiesen werden. Eine Ausnahme von der Zwanzig-Personen-Regelung besteht dennoch, nämlich dann wenn besonders sensible Daten, also aus der „besonderen Kategorie personenbezogener Daten“ (Art. 9 Abs. 1 DS- GV0) verarbeitet werden. Immer wenn es z.B. um gesundheitsbezogene Daten oder diejenigen Daten geht, die sich mit dem Sexualleben oder der sexuellen Orientierung befassen, die religiösen oder weltanschaulichen Orientierung einer Person zum Gegenstand hat, gilt die Zwanzig-Personen-Regel nicht. Dann bliebe Datenschutzbeauftragter auch für eine Vereinigung notwendig, in der beispielsweise nur zwei oder drei Personen mit der Datenverarbeitung befasst sind.
Aber hier besteht derzeit dankenswerter eine Ausnahme von der Ausnahme: In den vorgenannten Fällen ist nur dann ein Datenschutzbeauftragter notwendig, wenn die Verarbeitung dieser Daten umfangreich ist und zu den Kerntätigkeit des „Unternehmens“ gehört (Art. 37, Abs. 1c DS-GVO). Dies wird derzeit in Hinblick auf Arztpraxen und Anwaltskanzleien verneint. Hier läge weder eine umfangreiche Datenverarbeitung vor, noch würde letztere zum Kerngeschäft der jeweiligen Berufsgruppe gehören. Wenn man sich dies vor Augen führt, dann kann man diese Argumentation mit Fug und Recht auch für Vereine mit ihren Ehrenamtlichen, selbst wenn daneben einige Arbeitnehmer beschäftigen werden, ebenso in Feld führen. Diese Sichtweise könnte sich in den nächsten Jahren gegebenenfalls durch Entscheidungen des Europäischen Gerichtshofs ändern. Bis dahin allerdings bleibt für Deutschland in der Tat die 20-Personen-Grenze auf für Vereine ausschlaggebend, die besonders sensible Daten verarbeiten.
Rechtliches