Braucht ein Verein einen Datenschutzbeauftragten?

Vereine haben in Deutschland eine lange Tradition. Ob es um den Sportverein von nebenan geht oder um eine gemeinsame ehrenamtliche Tätigkeit, am Vereinsleben kommt man (fast) nicht vorbei. Natürlich spielt der Datenschutz auch hier eine Rolle. Was müssen Vereine hierbei beachten? Wir haben uns die wichtigsten Vorgaben einmal angeschaut.

Warum müssen auch Vereine den Datenschutz beachten?

Dabei können die rechtlichen und tatsächlichen Voraussetzungen im Vereinsleben ganz unterschiedlich sein. Die bekannteste und wohl auch häufigste Rechtsform in Deutschland ist der eingetragene Verein (e. V.). Dies gilt z. B. für die meisten Sportvereine, welche im Regelfall als gemeinnützige Vereine organisiert und daher nicht primär auf Gewinnerzielung gerichtet sind. Daneben gibt es nicht eingetragene Vereine. Dies können Vereine mit kurzfristigen Zielen sein wie zum Beispiel Bürgerinitiativen. Aber auch Gewerkschaften, politische Parteien oder berufsspezifische Verbände (z. B. Rechtsanwaltskammer oder Ärztekammer) sind in der Regel als nicht eingetragene Vereine organisiert.

Rechtsfähige wirtschaftliche Vereine sind Vereine im weiteren Sinne. Dazu zählen Kapitalgesellschaften wie die GmbH, die AG oder die KGaA, da diese hauptsächlich eine Gewinnerzielung beabsichtigen. Diese Gesellschaftsformen bauen aber im Grundsatz auf dem Vereinsrecht auf. All diese Vereinsformen haben zudem gemeinsam, dass für sie alle die DSGVO gilt. Die Vorschriften der DSGVO gelten gemäß Art. 2 Abs. 1 DSGVO grundsätzlich für alle öffentlichen und nichtöffentlichen Stellen, wenn sie personenbezogene Daten ganz oder teilweise automatisiert verarbeiten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dies trifft natürlich auch auf Vereine im engeren und weiteren Sinne zu, da allein schon auf Grund ihrer Mitglieder personenbezogene Daten systematisch verarbeitet werden. Klassische Beispiele sind hier die Mitgliederverwaltung selbst, Datenverarbeitung zur Durchführung von sportlichen Wettbewerben oder die Funktion des Kassenwarts.

Wann muss ein Verein den Datenschutzbeauftragten bestellen?

Vereine unterliegen also grundsätzlich den gleichen datenschutzrechtlichen Vorschriften wie z. B. Unternehmen. Häufig müssen also auch Vereine einen Datenschutzbeauftragten bestellen. Nach Art. 37 DSGVO müssen Verantwortliche im nichtöffentlichen Bereich einen Datenschutzbeauftragten bestellen, wenn

• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unter „Kerntätigkeit“ sind dabei die wichtigsten Arbeitsabläufe zu verstehen, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Daneben ist auch die Personengrenze im BDSG zu beachten.

Unabhängig von der konkreten Tätigkeit muss ein Verantwortlicher gemäß § 38 BDSG einen Datenschutzbeauftragten bestellen, soweit er in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Dabei ist nicht entscheidend, ob es sich um haupt- oder ehrenamtliche Tätigkeiten im Verein handelt. Entscheidend ist ausschließlich der tatsächliche Aufgabenbereich der Mitarbeiter. Insofern bestehen auch hier keine Unterscheidungen zu einem Unternehmen. Oftmals wird sich die Pflicht zur Bestellung eines Datenschutzbeauftragten aber schon aus Art. 37 Abs. 1 lit. c DSGVO ergeben. Vor allem bei Vereinen mit karitativen Zwecken stehen Gesundheitsdaten oder Daten von Minderjährigen im Vordergrund. Hier ist die Einhaltung von datenschutzrechtlichen Vorschriften besonders wichtig.

Wie muss ein Verein den Datenschutzbeauftragten bestellen?

Eine zwingende Form der Bestellung oder der Benennung des Datenschutzbeauftragten ist nicht mehr vorgesehen. Es empfiehlt sich aber – allein schon aus Gründen der Nachweisbarkeit – die Benennung zu dokumentieren. Das kann mittels einer Bestellungsurkunde geschehen, in welcher die Aufgaben des Datenschutzbeauftragten kurz dargestellt werden. Gemäß Art. 37 Abs. 7 DSGVO muss der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der zuständigen Aufsichtsbehörde mitteilen. Wie genau die Veröffentlichung zu erfolgen hat, ist in der DSGVO nicht näher geregelt. Auch hier hat der Verantwortliche also relativ freie Hand. Die Veröffentlichung sollte allerdings in einer Form erfolgen, dass die Öffentlichkeit die Angaben zur Kenntnis nehmen kann, also zum Beispiel auf dem Internetauftritt des Vereins oder im Intranet bzw. „Schwarzen Brett“ für Mitarbeiter. Die Mitteilung gegenüber der Aufsichtsbehörde kann auf der jeweiligen Website der Behörde selbst vorgenommen werden.

Wer darf Datenschutzbeauftragter im Verein werden?

Wer die erforderliche Fachkenntnis im Sinne des Art. 37 Abs. 5 DSGVO hat, darf Datenschutzbeauftragter in einem Verein werden. Auch hier gelten grundsätzlich die gleichen Anforderungen wie bei anderen nicht-öffentlichen Stellen. Benannt werden darf also jeder, der das Fachwissen hat,

„das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Genauere Vorgaben macht die DSGVO hier nicht. Nach Erwägungsgrund 97 sollte sich das erforderliche Niveau des Fachwissens nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der vom Verantwortlichen oder vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Es kommt also z. B. auf die Komplexität der Verarbeitungsvorgänge oder aber auch auf das Geschäftsfeld an, in welchem sich der jeweilige Verein bewegt. Branchenkenntnis auf der einen Seite und eine gewisse Fähigkeit zum strukturierten Arbeiten sind auf Grund der Vielzahl datenschutzrechtlichen Dokumentationspflichten definitiv von Vorteil.

Entscheidend ist hierbei auch die Schutzbedürftigkeit der Personen, deren Daten im Verein verarbeitet werden. Je sensibler die Daten sind, z. B. Gesundheitsdaten, desto höhere Anforderungen sind an die Fachkenntnisse des DSB zu stellen.

Da der Datenschutzbeauftragte in seiner Tätigkeit unabhängig sein muss, ist es nicht möglich, den Vereinsvorstand oder andere Personen mit leitender Funktion als Datenschutzbeauftragten zu bestellen. Es ist allerdings nicht notwendig, dass der DSB gleichzeitig Mitglied des Vereins ist. Auch eine externe Person kann unproblematisch als Datenschutzbeauftragter benannt werden.

Typische Aufgaben des Datenschutzbeauftragten im Verein

Die grundsätzlichen Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO geregelt. Zu den wichtigsten Aufgaben zählen neben der Beratung über die Pflichten des Verantwortlichen nach der DSGVO sowie der Überwachung der Einhaltung dieser z. B. auch Sensibilisierungen und Schulungen der Mitarbeiter in Sachen Datenschutz. Wenn Gesundheitsdaten oder andere sensible Daten im Spiel sind, dürfte auch hier die Sensibilisierung der Personen, welche die Daten verarbeiten, besonders wichtig sein.

Die Rechtsgrundlage für die Verarbeitung von Mitgliederdaten ist in aller Regel Art. 6 Abs. 1 lit. b DSGVO. Danach sind alle Datenverarbeitungen zulässig, die unmittelbar mit dem Vereinszielen zusammenhängen, welche normalerweise in der Vereinssatzung beschrieben sind. Typische Tätigkeiten und Themenfelder im Verein, bei denen der DSB einbezogen werden sollte, sind:

• Mitgliederverwaltung (einschließlich Beitragsverwaltung)
• Daten von Angestellten des Vereins, z. B. zur Erfüllung des Arbeitsvertrages, Weitergabe an den Steuerberater
• Daten über Spender und Sponsoren, z. B. zur Ausstellung für Spendenbescheinigung und zur Vertragserfüllung (Bandenwerbung)
• Eigene Website (einschließlich Benennung von Funktionsträgern des Vereins)
• Anschreiben, z. B. Einladungen zur Mitgliederversammlung
• Durchführung von Wettbewerben einschließlich der Weitergabe von Daten an Dachverbände

Was also sind die ersten Schritte als Datenschutzbeauftragter im Verein? Auch hier kann man sich an grundsätzlichen Vorgaben für einen betrieblichen Datenschutzbeauftragten in Unternehmen orientieren:

• Ist-Aufnahme (Wie ist der aktuelle Stand?)
• Datenschutzstandard bewerten (Wo ist bereits ein gutes Level erreicht, an welcher Stelle befinden sich noch Lücken? Sind alle notwendigen Unterlagen vorhanden?)
• Priorisierung und Maßnahmenplan (Welche Maßnahmen sollten wann umgesetzt werden?)
• Mitarbeiter sensibilisieren (z. B. Schulungen oder Hinweise bei neuen Gesetzen/Regelungen)
• Laufende Tätigkeit (Datenschutz als dynamischer Prozess)

Welche Kosten fallen für einen Datenschutzbeauftragten im Verein an?

Wie oben bereits erwähnt, haben auch Vereine die Möglichkeit, sich für einen internen oder für einen externe Datenschutzbeauftragten zu entscheiden. Welche Variante sinnvoller ist, hängt stark von den konkreten Gegebenheiten im Verein ab. Ein ausschlaggebender Faktor sind sicherlich die Kosten. Auf den ersten Blick erscheinen die Kosten für einen externen Datenschutzbeauftragten höher als für einen internen DSB. Dies hat aber den Vorteil, dass hier bereits fundiertes Fachwissen dauerhaft „eingekauft“ wird. Wenn man sich für einen internen DSB entscheidet, fallen meist Kosten für Aus- und Weiterbildungsmaßnahmen an. Zudem müssen möglicherweise weitere Ressourcen geschaffen werden, damit der Datenschutzbeauftragte seine Tätigkeiten umfänglich wahrnehmen kann.

Bezüglich einer Aus- oder Weiterbildung für den internen DSB bieten sich meist mehrtägige Seminare an, insbesondere als Basis-Schulung zum Start. Hier gibt es oftmals Vergünstigungen durch Verbände, z. B. beim Deutschen Olympischen Sportbund (DOSB) oder beim Bundesverband der Vereine und des Ehrenamtes e.V. (bvve). Darüber hinaus gibt es teilweise auch die Möglichkeit, Pro-Bono-Beratung von externen DSB in Anspruch zu nehmen. Hiervon können vor allem gemeinnützige Vereine profitieren.

Ohne Datenschutz geht es nicht!

Vereine haben erst einmal die gleichen datenschutzrechtlichen Pflichten wie jeder andere Verantwortliche. Dies ist vom Grundsatz her zu begrüßen. Auf diese Weise soll sichergestellt werden, dass personenbezogene Daten von uns allen in jedem „Lebensbereich“ gleichwertig geschützt sind.

Klar ist aber auch, dass die Umsetzung vor allem Vereinen und generell Verantwortliche, in denen ehrenamtliche Mitarbeiter tätig sind, besonders schwer fällt. Daher sollte man sich im Verein generell die Frage stellen, ob man seine (ehrenamtlichen) Mitglieder mit solch sperrigen Dingen wie Einverständniserklärungen für die Erstellung und Veröffentlichung von Fotos, Datenschutzerklärungen für die Vereinswebsite oder mit umfangreichen Dokumentationspflichten für sämtliche Unterlagen konfrontieren möchte. Ein externer Datenschutzbeauftragter kann hier zumindest deutlich für Entlastung und im Optimalfall für Verständnis im Umgang mit Dateschutzvorschriften sorgen.