21. Januar 2020
Update: 1. August 2024
Wann ist ein Datenschutzbeauftragter im Verein erforderlich?
Das neue Datenschutzgesetz ist nun seit fast anderthalb Jahren in Kraft und hat vielen Betroffenen Kopfschmerzen bereitet, insbesondere auch gemeinnützigen Vereinen. Dies gilt vor allem für die Vorschrift des § 38 Bundesdatenschutzgesetz (BDSG). Die Vorschrift regelte bisher, dass jedes Unternehmen, das mehr als zehn ständig mit automatisierter personenbezogener Datenverarbeitung beschäftigte Mitarbeiter innehat, einen Datenschutzbeauftragten benennen muss.
Am 25.11.2019 wurde nun das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU im Bundesgesetzblatt veröffentlicht und ist insofern am 26.11.2019 in Kraft getreten. Dies unterhält unter anderem die Neuerung, dass es eines Datenschutzbeauftragten erst ab 20 Mitarbeitern, die ständig mit automatisierter personenbezogener Datenverarbeitung beschäftigt sind, bedarf.
Die Begründung der Änderung lautet ausdrücklich, dass gemeinnützige Institutionen beim Datenschutz entlastet werden sollen.
Für Vereine bedeutet dies sinngemäß, dass ein Datenschutzbeauftragter erst ab zusammengefasst 20 Mitarbeitern und ehrenamtlich Tätigen, die ständig mit automatisierter personenbezogener Datenverarbeitung beschäftigt sind, benannt werden muss.
„Ständig“ bedeutet, dass die überwiegende Zeit, die Personen für den Verein aufbringen, mit der Verarbeitung von personenbezogenen Daten zu tun haben muss.
Beispiel 1:
Ein Verein hat 10 Angestellte, die ständig mit automatisierter personenbezogener Datenverarbeitung beschäftigt sind, und 15 ehrenamtliche Helfer. Die ehrenamtlichen Helfer greifen für wiederkehrende Anlässe auf Datenbestände der Vereinsmitglieder zu. Beispielsweise zur Organisation von wöchentlichen Proben, Trainingseinheiten, Spielen oder Veranstaltungen. Es liegt keine ständige, sondern nur eine gelegentliche Datenverarbeitung der 15 ehrenamtliche Helfer vor. Da nur 10 Personen die Voraussetzungen des Merkmals „ständig“ bei der personenbezogenen Datenverarbeitung erfüllen, muss ein Datenschutzbeauftragter nicht benannt werden.
Beispiel 2:
Ein Verein hat 10 Angestellte und 10 ehrenamtliche Helfer, die mit automatisierter personenbezogener Datenverarbeitung beschäftigt sind und die überwiegende Zeit mit der Verarbeitung von personenbezogenen Daten zu tun haben. Insgesamt erfüllen 20 Personen das Merkmal „ständig“ bei der personenbezogenen Datenverarbeitung. Es ist ein Datenschutzbeauftragter zu benennen.