Muss ein Datenschutzbeauftragter bestellt werden?

Oder: "Beschäftigtengrenze" angehoben!

Patrick R. Nessler - Rechtsanwalt


Nach Art. 37 Abs. 1 lit. b und c Datenschutz-Grundverordnung (DSGVO) müssen Vereine einen Datenschutzbeauftragten bestellen, wenn die Kerntätigkeit des Vereins in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z. B. Videoüberwachung im Stadion), oder die Kerntätigkeit des Vereins in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Diese beiden Voraussetzungen nach der DSGVO sind bei den allermeisten Vereinen nicht gegeben.

Zwar werden z. B. in Sportvereinen, insbesondere Reha- und Herz-Sportvereinen, auch Gesundheitsdaten und damit Daten im Sinne des Art. 9 DSGVO verarbeitet. Doch ist bei den Vereinen in der Regel keine „umfangreiche“ Verarbeitung dieser Daten gegeben. Das zeigt sich schon darin, dass nach dem Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.04.2018 bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DSGVO auszugehen ist. Das muss dann erst Recht für Vereine gelten, die sicherlich deutlich weniger Gesundheitsdaten verarbeiten.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verein vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. In diesen für Vereine seltenen Fällen muss ein Datenschutzbeauftragter nach Art. 37 Abs. 1 lit. b DSGVO bestellt werden (§ 38 Abs. 1 Satz 2 BDSG).

Darüber hinaus hat der bundesdeutsche Gesetzgeber von dem Recht Gebrauch gemacht, die in der DSGVO enthaltene Pflicht zur Bestellung eines Datenschutzbeauftragten auszuweiten.

Nach § 38 Abs. 1 Satz BDSG muss ein Verein einen Datenschutzbeauftragten bestellen, wenn im Verein in der Regel eine bestimmte Anzahl von Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist. Diese Zahl von Personen soll durch das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz von 10 auf 20 heraufgesetzt werden. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine (Bundestags-Drucksache 19/11181, S. 19). Der Bundestag hat das Gesetz bereits am 27.06.2019 beschlossen. Der Bundesrat hat dem Gesetz endlich in seiner Sitzung am 20.09.2019 zugestimmt. In Kürze wird das Gesetz im Bundesgesetzblatt veröffentlicht werden und ist ab dann wirksam.

Der Begriff „Beschäftigte“ ist weit zu verstehen (Plath, DSGVO – BDSG, 3. Aufl. 2018, § 38 Rn. 5). Beschäftigte in diesem Sinne sind deshalb nicht nur die Beschäftigten im sozialversicherungsrechtlichen Sinne, sondern tatsächlich alle mit der Datenverarbeitung „beschäftigten“ Personen, unabhängig davon, ob sie für den Verein entgeltlich oder unentgeltlich und in welchem zeitlichen Umfang tätig sind. Nicht mitzuzählen sind Angehörige der Leitung des Vereins (Auernhammer, DSGVO – BDSG, 6. Aufl. 2018, § 38 Rn. 7; Taeger/Gabel, DSGVO – BDSG, 3. Aufl. 2019, § 38 Rn. 10), also zumindest die nach § 26 BGB vertretungsberechtigten Vorstandsmitglieder.

Die Personen sind jedoch nur dann mitzuzählen, wenn sie die personenbezogenen Daten automatisiert und ständig verarbeiten. Automatisiert ist die Verarbeitung, wenn sie durch Informationstechnik (z. B. Computer) unterstützt wird und nicht vollständig manuell erfolgt (Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 2 Rn. 14). Ständig beschäftigt ist eine Person mit der automatisierten Datenverarbeitung, wenn die Aufgabe, die nicht ihre Hauptaufgabe zu sein braucht, regelmäßig wahrnimmt (Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 1. Aufl. 2018, Art. 37 Rn. 27). Erfüllen die vom Verein mit der Verarbeitung beschäftigten Personen diese Voraussetzungen nicht, sind sie für die Ermittlung der Erfüllung der Voraussetzungen des § 38 Abs. 1 Satz 1 BDSG nicht mitzuzählen.


WICHTIG:

Auch wenn ein Verein weder nach Art. 37 Abs. 1 DSGVO noch nach § 38 Abs. 1 BDSG einen Datenschutzbeauftragten bestellen muss, muss der Verein die sonstigen datenschutzrechtlichen Pflichten einhalten, insbesondere die Vorgaben der DSGVO.


Stand: 20.09.2019

*) Rechtsanwalt Patrick R. Nessler ist Inhaber der RKPN.de-Rechtsanwaltskanzlei Patrick R. Nessler, St. Ingbert. Er ist tätig auf den Gebieten des Vereins-, Verbands- und Gemeinnützigkeitsrechts, des Datenschutzrechts für Vereine und Verbände, sowie des Kleingartenrechts. Außerdem unterrichtet er als Rechtsdozent an verschiedenen Bildungseinrichtungen, u.a. an der Deutschen Hochschule für Prävention und Gesundheitsmanagement sowie, der Führungsakademie des Deutschen Olympischen Sportbundes e.V., und für eine ganze Reihe von Organisationen.

Rechtsanwalt Nessler ist Justiziar des Landessportverbandes für das Saarland und ehrenamtlich tätig in verschiedenen Gremien des Deutschen Betriebssportverbandes. Seit 2004 ist er bereits dessen Generalsekretär. Darüber hinaus ist er der Fach-Experte für Rechtsfragen bei der Landesarbeitsgemeinschaft Pro Ehrenamt, Mitglied der Arbeitsgruppe Recht sowie des wissenschaftlichen Beirates des Bundesverbandes Deutscher Gartenfreunde und Verbandsanwalt des Landesverbandes Saarland der Kleingärtner, Mitglied des Ausschusses „Recht und Satzung“ des Landessportbundes Berlin e.V. u.a.

RKPN.de-Rechtsanwaltskanzlei
Patrick R. Nessler
Kastanienweg 15
66386 St. Ingbert

Tel.: 06894 / 9969237
Fax: 06894 / 9969238