Benennung eines Datenschutzbeauftragten (DSB) im Zusammenspiel zwischen Bundesverband, Landesverband und Sportverein

Die Frage, wann und unter welchen Bedingungen ein Verein oder Verband eine/einen Datenschutzbeauftragte/-n gemäß den jeweils geltenden gesetzlichen Vorgaben zu bestellen hat, haben wir im Datenschutzportal der Führungs-Akademie sowohl in den monatlichen Live-Chats als auch in der Bereitstellung von Vorlagen zu ihrer/seiner Bestellung schon des Öfteren aufgegriffen.

Mit der heutigen Kurzdarstellung möchten wir dies noch einmal zusammenfassend aufgreifen und den aktuellen Status der Bestellungspflicht vorstellen.

In welchen Fällen die Datenschutzgrundverordnung (DSGVO) gemäß Art. 37 Abs. 1 DSGVO vorsieht, dass der Verantwortliche auf jeden Fall eine/einen Datenschutzbeauftragte/-n zu benennen hat, hat RA P.R. Nessler in einem Live-Chat Beitrag des Portals zusammengetragen. Dies ist dann der Fall,

a)   wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

b)   wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c)   wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Davon wären in der Praxis die wenigstens Vereine betroffen.

Doch hat der deutsche Gesetzgeber in § 38 Abs. 1 BDSG die Regelung geschaffen, dass ergänzend zu Art. 37 Abs. 1 lit. b und c DSGVO der Verantwortliche eine/einen Datenschutzbeauftragte/-n zu benennen hat, soweit er in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Wichtig ist in diesem Zusammenhang, dass bei der Zahlengrenze nur Personen berücksichtigt werden, die für den Verein mit der "automatisierten" Verarbeitung personenbezogener Daten beschäftigt sind und das "ständig".

„Automatisierte Verarbeitung“ ist die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (Gola/Heckmann/Rücker/Dienst, 13. Aufl. 2019, BDSG § 38 Rn. 23). Unter diesem weiten Begriff dürften sämtliche heute gebräuchlichen rechnergestützten Verarbeitungen personenbezogener Daten zu verstehen sein (Ehmann / Selmayr / Zerdick, 2. Aufl. 2018 Rn. 3, DS-GVO Art. 2 Rn. 3). Deshalb sind wohl z. B. die Übungsleiter/-innen und Trainer/-innen nicht zu berücksichtigen, die die Teilnehmerlisten ihrer Veranstaltungen in Papierform erhalten und zurückgeben. Erhalten sie die Listen per E-Mail oder als Datei über eine Cloud, erfolgt die Verarbeitung "automatisiert".

Der Begriff „ständig“ dient der Abgrenzung der Frage, wie intensiv die/der einzelne Mitarbeiter/-in neben ihr/ihm zugewiesenen anderen Tätigkeiten mit der automatisierten Verarbeitung personenbezogener Daten befasst ist. Dazu ergibt sich aus Literatur und Rechtsprechung noch kein klares Bild. Einige Stimmen nehmen an, dass eine „ständige“ Befassung schon dann gegeben sein soll, wenn die/der Mitarbeiter/-in eine für einen längeren Zeitraum vorgesehene Aufgabe regelmäßig wahrnimmt, wobei es nicht um eine Hauptaufgabe bzw. Kernaufgabe der Mitarbeiterin/des Mitarbeiters gehen müsse, sondern auch gelegentlich anfallende Aufgaben ausreichen sollen oder es auf den Umfang des die automatisierte Datenverarbeitung betreffenden Anteils der Tätigkeiten überhaupt nicht ankomme. Der Gesetzeswortlaut lässt auch eine solche strenge Auslegung durchaus zu (Gola/Heckmann/Rücker/Dienst, 13. Aufl. 2019, BDSG § 38 Rn. 32-33).

Wie gehen Sie also nun vor?

  1. Ermitteln Sie zunächst, ob bei Ihnen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder ob für Sie die Vorgaben des § 38 Abs. 1 BDSG erfüllt sind.
  2. Bitte prüfen Sie tatsächlich genau, wer tatsächlich in der automatisierten Verarbeitung personenbezogener Daten involviert ist.
  3. Die Grenze ist schnell erreicht, wenn z.B. insgesamt (also inklusive Übungsleiter/-innen und Trainer/-innen oder ehrenamtlich tätige Personen) regelmäßig, also z.B. monatlich, Teilnehmerlisten per E-Mail versendet/empfangen werden.
  4. Sofern Sie einen DSB benennen müssen, ermitteln Sie, wer die Aufgabe einer/eines Datenschutzbeauftragten bei Ihnen erfüllen kann. Dazu gehört auch, dass die Funktion intern oder extern durch einen Dienstleister erfüllt werden kann. Nicht selten sind externe Datenschutzbeauftragte kostenmäßig günstiger als eine interne Benennung.
  5. Im Falle eines internen DSB muss diese Person in der Regel eine mehrtägige Ausbildung durchlaufen und auch bestimmte Mindestanforderungen an die Eignung erfüllen. Die Führungs-Akademie bietet zur Ausbildung zum DSB regelmäßig Seminare an: Zum Weiterbildungsangebot der Führungs-Akademie
  6. Der Vereinsvorstand benennt die/den Datenschutzbeauftragten schriftlich. Im Datenschutzportal stehen Vorlagen für die Benennung zum Download bereit.
  7. Klären Sie die Aufgaben der/des Datenschutzbeauftragten und lassen Sie die Aufgaben durch den Vorstand verabschieden. Vorlagen dazu stehen im Portal zum Download bereit.
  8. Anschließend beginnen in der Regel die Aufgaben, um die „Aufbauorganisation sowie die Rollen und Zuständigkeiten sowie die Erfüllung der Rechenschaftspflicht“ zu klären.

  • ein umfassendes Angebot an Dokumenten (Arbeitshilfen zum Datenschutz, Checklisten, Mustervorlagen, einen individuell anpassbaren Projektplan zur Umsetzung des Datenschutzes u.v.m.)
  • einen monatlichen Live-Chat
  • einen monatlichen Info-Brief
  • eine E-Mail Hotline für Notfälle
newsItem.mediaNonPreviews.0.alternative