Zurück zum Lexikon

Lexikon

Datenschutzbeauftragter

Deutschland nimmt den Datenschutz natürlicher Personen besonders ernst. Darum muss sich auch in eurem Verein eine Person hierum kümmern. Je nach Art und Größe ist der Datenschutzbeauftragte auch für Vereine vorgeschrieben.

Tipp: Auch wenn ihr keinen Datenschutzbeauftragten ernennen müsst (darauf gehen wir noch näher ein), sollte sich eine Person – vorzugsweise ein Vorstandsmitglied – mit dieser Thematik befassen. Wenn es auch nicht so schwierig ist, wie es zunächst erscheint, so muss man sich doch ein wenig in die Materie einarbeiten (siehe auch unseren Artikel „Datenschutz“.

Der Datenschutzbeauftragte hat mehrere Funktionen. Er soll

Diese Aufgaben kann der Datenschutzbeauftragte aber nur dann bewältigen, wenn ihr ihn dabei unterstützt.  Auf diese Aufgaben gehen wir später noch genauer ein.

Wann ist ein Datenschutzbeauftragter vorgeschrieben?

Durch die Einführung der europaweit geltenden Datenschutzgrundverordnung (DSGVO) wurde auch das Bundesdatenschutzgesetz (BDSG) den neuen europäischen Vorgaben angepasst. Nach § 38 BDSG muss euer Verein einen Datenschutzbeauftragten ernennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das ist zunächst nicht sehr aussagekräftig. Einige Begriffe müssen näher erläutert werden:

Um festzustellen, ob sich in eurem Verein mehr oder weniger als 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten befassen, solltet ihr zunächst prüfen, wer alles Zugang zur EDV des Vereins hat. Dies können beispielsweise sein:

Ihr seht also, dass auch bei kleinen Vereinen schnell mehr als 20 Personen mit den elektronisch gespeicherten Daten umgehen – und der Verein deshalb gezwungen ist, einen Datenschutzbeauftragten zu ernennen.

Tipp: Da sich die einzelnen Bundesländer nicht einig sind, wie der § 38 BDSG auszulegen ist, solltet ihr euch zunächst weitere Informationen vom jeweiligen Landesdatenschutzbeauftragten holen. Auf der Seite des Bundesbeauftragten für Datenschutz und Informationssicherheit findet ihr eine Übersicht der Landesdatenschutzbeauftragten.

Um festzustellen, ob ihr einen Datenschutzbeauftragten ernennen müsst, solltet ihr die folgenden Fragen durchgehen.

  1. Wie viele Mitglieder des Vorstands greifen auf das EDV-System zu, um Daten abzurufen oder zu speichern?
  2. Falls euer Verein Abteilungen, Gruppen oder ähnliche Untergruppierungen besitzt: Haben diese Untergruppierungen Zugriff auf das EDV-System und wenn ja, wie viele Personen können auf das System zugreifen?
  3. Wer hat sonst noch Zugriff auf die Vereinsdaten? Zum Beispiel Trainer, Übungsleiter, Betreuer, Helfer, Schreibkräfte, Chorleiter, Dirigenten usw.

Tipp: Wenn ihr so ermittelt habt, wer alles Zugriff auf eure Datenbestände hat, solltet ihr die Gelegenheit nutzen und prüfen ob wirklich alle Zugriff haben sollten. Je weniger die Daten nutzen können, umso leichter wird es, mit den Datenschutzanforderungen zurechtzukommen. Außerdem dürfte sich so die Organisation des Vereins vereinfachen lassen.

Wichtig: Ihr müsst auch die Personen erfassen, denen Daten aus eurer EDV indirekt zur Verfügung gestellt werden. Erhalten beispielsweise die Trainer regelmäßig vom Geschäftsführer die aktuellen Spielerlisten per E-Mail zur Verfügung gestellt, übernehmen diese mit dem Erhalt auch die Verantwortung für den korrekten Umgang mit diesen Informationen. Der Verein muss allerdings klare Regeln treffen, was die Datenempfänger mit den Informationen machen dürfen, wie diese gespeichert werden dürfen und unter welchen Bedingungen sie gelöscht werden müssen. (Siehe hierzu auch den Artikel „Datenschutz“.

Weniger als 20

Hat eure Prüfung ergeben, dass ihr keinen Datenschutzbeauftragten bestellen müsst, liegt die Verantwortung für den Datenschutz beim Vorstand. Er muss nun dafür sorgen, dass die Aufgaben eines Datenschutzbeauftragten und die Anforderungen des Datenschutzes erfüllt werden. Darum solltet ihr eine Person ernennen, die dann für den Datenschutz zuständig ist. Wenn ihr auch nicht dazu verpflichtet seid, könnt ihr dennoch ganz offiziell einen Datenschutzbeauftragten ernennen.

Der für den Datenschutz Zuständige muss kein Vorstandsmitglied sein. Er sollte seine Aufgabe aber sehr ernst nehmen und Mitgliedern und anderen, die mit der Datenverarbeitung betraut sind mit kompetentem Rat zur Seite stehen. Insbesondere wird der Vorstand auf seine Unterstützung nicht verzichten können.

Es gibt auch Ausnahmefälle, bei denen ein Datenschutzbeauftragter auch vorgeschrieben ist, wenn weniger als 20 Personen mit der regelmäßigen Datenverarbeitung betraut sind. Da diese Fälle bei Vereinen aber so gut wie nie vorkommen, gehen wir hier nicht näher darauf ein. Es handelt sich hierbei um Einrichtungen, bei denen die Datenverarbeitung zu besonderen Risiken für die Rechte und Freiheiten der Betroffenen führen. (Art. 37 DSGVO)

Voraussetzungen – was muss ein Datenschutzbeauftragter mitbringen?

Da der Datenschutz in Deutschland einen sehr hohen Stellenwert hat und die gesetzlichen Bestimmungen streng sind, muss ein Datenschutzbeauftragter seine Aufgabe sehr ernst nehmen. Er muss sich deshalb im Klaren sein, dass er für diese Aufgabe auch einen beträchtlichen Zeitaufwand betreiben muss.

Wie wichtig dem Gesetzgeber die Funktion des Datenschutzbeauftragten ist, und zeigt sich schon daran, dass er bestimmte Qualifikationen vorschreibt. Im Art. 37 Abs. 5 DSGVO heißt es:

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Nach Artikel 39 DSGVO hat der Datenschutzbeauftragte die folgenden Aufgaben:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 (Abschätzung der Folgen und Risiken bei der Verarbeitung von persönlichen Daten);
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 (Konsultation der Aufsichtsbehörde, wenn zu erwarten ist, dass mit der Datenverarbeitung hohe Risiken für die Dateneigentümer besteht), und gegebenenfalls Beratung zu allen sonstigen Fragen.

Vom Datenschutzbeauftragten wird also Fachwissen auf dem Gebiet des Datenschutzrechtes verlangt. Es sind jedoch keine besonderen Schulungen oder gar Prüfungen vorgesehen. Soll ein Mitglied zum Datenschutzbeauftragten ernannt werden, sollte nicht nur sichergestellt sein, dass die rechtlichen Kenntnisse im Datenschutzrecht vorhanden sind. Der Betreffende sollte sich auch in der elektronischen Datenverarbeitung auskennen. Darüber hinaus sollte er den Verein bzw. seine Organisation und Struktur kennen.

Wie viel Fachwissen notwendig ist hängt von der Größe und Struktur des Vereins ab. Je größer die Zahl der Mitglieder ist umso wichtiger wird die Einhaltung der Datenschutzbestimmungen. Das ergibt sich schon aus der Tatsache, dass bei großen Vereinen sehr viel mehr Daten geschützt werden müssen.

Der Datenschutzbeauftragte muss auf jeden Fall die gesetzlichen Regelungen kennen und auch in der Lage sein diese im Vereinsalltag umzusetzen. Für die Umsetzung muss er auch über organisatorische Fähigkeiten verfügen. Außerdem sollte er in der Lage sein, die Hard- und Software des Vereins zu bedienen, um nachvollziehen zu können, ob der Datenschutz eingehalten wird.

Das sind zugegeben hohe Anforderungen. Doch euer Datenschutzbeauftragter muss kein „Genie“ sein. Er muss über ein solides Grundwissen verfügen und bereit sein, sich im Bereich des Datenschutzes weiter fortzubilden.

Wichtig: Euer Verein muss den Datenschutzbeauftragten bei seiner Arbeit unterstützen (Art. 38 Abs. 2 DSGVO). Deshalb ist der Verein schon von Gesetzes wegen auch verpflichtet, dem Datenschutzbeauftragten die Kosten für Fachliteratur oder notwendige Seminare und Kurse zu ersetzen.

So wird der Datenschutzbeauftragte ernannt

Der Datenschutzbeauftragte wird vom Verein ernannt (Art. 37 DSGVO, § 38 BDSG). Die Ernennung erfolgt durch den Vorstand (in der laut Satzung vorgeschriebenen vertretungsberechtigten Anzahl der Vorstandsmitglieder). Die Ernennung kann grundsätzlich auch mündlich erfolgen. Hiervon raten wir dort jedoch ab. Wenn es zu Schwierigkeiten kommt, sollte der Ernennungsvorgang eindeutig belegbar sein. Im Übrigen empfehlen wir, den Datenschutzbeauftragten auch bei der nächsten Mitgliederversammlung vorzustellen.

Musterschreiben „Ernennung eines Datenschutzbeauftragten

Absender:			Name des Vereins / Anschrift des Vereins
Empfänger:			Name des angehenden Datenschutzbeauftragten / Anschrift
Betreff:				Ernennung zum Datenschutzbeauftragten

Guten Tag [Vorname des angehenden Datenschutzbeauftragten] 

wie du weißt, sind wir als Verein verpflichtet, dafür zu sorgen, dass die Datenschutzbestimmungen des Bundes und des Landes [Name des Bundeslandes, in dem der Verein seinen Sitz hat] eingehalten werden. Dies ist aber auch in unserem eigenen Interesse. Je sorgsamer wir mit den Daten unserer Mitglieder umgehen, umso mehr Vertrauen werden sie uns entgegenbringen.
Nach Artikel 37 der Datenschutzgrundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG) müssen wir einen Datenschutzbeauftragten ernennen. Wir möchten dir diese wichtige und vertrauensvolle Aufgabe übertragen und ernennen dich ab [Datum] zum

			Datenschutzbeauftragten des [Vereinsname]

Wir gratulieren dir zu deiner Ernennung und freuen uns, in dir jemanden gefunden zu haben, bei dem unser Datenschutz in guten Händen ist. Deine organisatorische Stellung innerhalb des Vereins und deine Pflichten und Aufgaben sind insbesondere in den Artikeln 38 und 39 DSGVO und im § 38 BDSG zusammengefasst. 
Die Funktion des Datenschutzbeauftragten übst du ehrenamtlich aus. Du erhältst hierfür eine Vergütung in Höhe des jeweils gültigen Ehrenamtspauschale (derzeit nach § 3 Nr. 26a EStG. Sollte der Verein nicht in der Lage sein, diesen Betrag zu zahlen, behalten wir uns eine Änderung der Vergütung vor. 

Außerdem hast du Anspruch auf Aufwendungsersatz (§ 670 Bürgerliches Gesetzbuch (BGB). Hierzu rechne bitte die dir entstandenen Kosten monatlich mit unserem Geschäftsführer ab. Der Anspruch auf Erstattung verfällt sechs Monate, nachdem die Kosten entstanden sind.

[Bei einer hauptamtlichen Kraft werden die beiden vorstehenden Absätze ersetzt durch:
Du übst die Tätigkeit als Datenschutzbeauftragter als Angestellter [oder Freier Mitarbeiter] unseres Vereins aus. Es gelten die Vereinbarung im beigefügten Arbeitsvertrag [oder Vertrag als Freier Mitarbeiter] , den wir diesem Schreiben beigefügt haben. 

Wir freuen uns auf eine gute Zusammenarbeit.

Mit besten Wünschen 
[Name des Vereins]

Unterschriften der Vorstandsmitglieder [Anzahl laut Satzung für die Vertretungsberechtigung notwendig]

Ist der Datenschutzbeauftragte ernannt, müsst ihr eurer Vereinsmitglieder informieren. Da es sich hier um eine zentrale Aufgabe handelt, die alle Mitglieder betrifft, solltet ihr alle Kommunikationswege nutzen, um auch möglichst alle Mitglieder zu erreichen. Hier bietet es sich auch an, den Datenschutzbeauftragten im Rahmen eines Interviews vorzustellen, bei dem dann auch die inhaltliche Aufgabe vorgestellt werden kann.

Wichtig: Seid ihr verpflichtet, einen Datenschutzbeauftragten zu ernennen, muss dies auch an den zuständigen Landes-Datenschutzbeauftragten gemeldet werden. Auf der  Seite des Bundesbeauftragten für Datenschutz und Informationssicherheit findet ihr die Adressen der Beauftragten.

Da in Deutschland das Thema Datenschutz allgemein sehr ernst genommen wird, solltet ihr auch überlegen, ob und wie ihr weitere Kreise informieren wollt (Spender, Sponsoren, Kommunal- und Regionalpolitiker aber auch Zeitungen, Zeitschriften, Internetforen und andere Medien). Interview und Verwertung nach Innen und Außen sollte euer Medienbeauftragter übernehmen.

Die Aufgaben

Der Datenschutzbeauftragte hat im Wesentlichen die folgenden Aufgaben (Artikel 39 DSGVO):

Unabhängigkeit des Datenschutzbeauftragten

Der Datenschutzbeauftragte untersteht einem besonderen Schutz, da er seine Aufgabe nur erfüllen kann, wenn er möglichst neutral arbeiten kann. Darum untersteht er nur dem Vorstand. Dieser ist nach Artikel 38 DSGVO verpflichtet, dafür zu sorgen,

Alles unter Kontrolle

Um den Datenschutz in den Griff zu bekommen beziehungsweise im Griff zu halten, muss der Datenschutzbeauftragte die  verschiedenen Mechanismen im Verein kontrollieren können. Er hat deshalb uneingeschränkte Kontrollrechte, soweit es den Datenschutz betrifft. Ihm muss deshalb zugestanden werden, dass er jederzeit .- auch ohne Ankündigung – alle Bereiche betreten kann, die mit der Erfassung und Verarbeitung von personenbezogenen Daten in Verbindung stehen. Außerdem müssen ihm jederzeit alle Unterlagen die er benötigt, zur Verfügung gestellt werden.

Ansprechpartner für alle Mitglieder und Mitarbeiter

Wenn es um Fragen des Datenschutzes geht , ist der Datenschutzbeauftragte der direkte Ansprechpartner für alle Mitglieder und Mitarbeiter des Vereins. Die Gespräche mit ihm sind vertraulich. (Artikel 38 Abs. 5 DSGVO). Whistleblower, die auf Missstände hinweisen, dürfen nicht die Befürchtung haben, dass sie durch Informationen etwaige Repressalien  ausgesetzt werden.

Tipp: Es sollten regelmäßige Sprechstunden eingeführt werden, in denen der Datenschutzbeauftragte allen Mitgliedern und Mitarbeitern zur Verfügung steht.

Der Berater

Der Datenschutzbeauftragte berät und schlägt Verhaltensrichtlinien vor – aber er entscheidet nicht. Maßnahmen, die zur Erhaltung des Datenschutzes notwendig sind, muss der Vorstand auf Anraten des Datenschutzbeauftragten beschließen. Daraus ergibt sich, dass der Datenschutz letztlich in der Verantwortung des Vorstands eures Vereins liegt. Das entbindet aber den Datenschutzbeauftragten nicht von seiner Verpflichtung so umfassend wie möglich zu informieren und beraten. Dazu gehört beispielsweise auch, Pläne für die Datenerfassung zu entwickeln und nach der Zustimmung durch den Vorstand in die Tat umzusetzen.

Der Datenschutzbeauftragter als Lehrer

Zu den Pflichten des Datenschutzbeauftragten gehört auch die Schulung der Personen, die mit den Daten des Vereins umgehen. Damit er dieser Pflicht im ausreichenden Maß nachkommen kann, ist der Verein verpflichtet, ihn dabei weitestgehend zu unterstützen. Der Verein muss also die geeigneten Räumlichkeiten und das nötige Equipment (Flipchart, Beamer, Laptop usw.) zur Verfügung stellen, wenn dies für eine Schulung notwendig ist.

Wichtig: Der Datenschutzbeauftragte sollte regelmäßige Schulungen durchführen. Je größer der Verein und der Bestand an personenbezogenen Daten ist, umso häufiger sollten die Schulungen durchgeführt werden.

Datenschutzbeauftragter und Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für den Datenschutz (Adressen auf der Seite des Bundesbeauftragten für Datenschutz und Informationssicherheit)  steht dem Datenschutzbeauftragten als kompetenter Partner bei allen offenen Fragen zur Seite. Sie hilft bei Fragen, bei denen der Datenschutzbeauftragte nicht mehr weiterweiß und hilft, Datenpannen zu verhindern beziehungsweise bereits aufgetretene Datenlecks zu schließen. Der Datenschutzbeauftragte ist verpflichtet, sich in allen kritischen Situationen an die Behörde zu wenden. Umgekehrt ist die Behörde verpflichtet dem Datenschutzbeauftragten – und damit auch eurem Verein – zu helfen.

Tipp: Kommt es zu Problemen, bei denen der Vorstand anderer Meinung ist als euer Beauftragter, solltet ihr vorschlagen, die Meinung der Aufsichtsbehörde einzuholen. Ihr bekommt damit kompetente Untersetzung und schafft gleichzeitig unnötigen Streit aus der Welt.

Ende der Tätigkeit

Ein Datenschutzbeauftragter muss manchmal auch Dinge durchsetzen, die dem Vorstand oder dem ganzen Verein nicht schmecken. Da wäre es das einfachste, den Datenschutzbeauftragten zu feuern. Damit das aber nicht passiert, hat der Gesetzgeber festgelegt, dass eine Abberufung nur aus wichtigem Grund möglich ist (§  626 BGB).

Ein wichtiger Grund wäre es, wenn das Vertrauensverhältnis zwischen Vorstand und Datenschutzbeauftragten massiv gestört wäre. Das heißt aber nicht, dass man damit argumentieren kann, wenn der Datenschutzbeauftragte seine Arbeit macht und dies dem Vorstand nicht passt. Wichtige Gründe wären beispielsweise:

Habt ihr einen hauptamtlichen Datenschutzbeauftragten müssen hier auch die Vorschriften des Arbeitsrechts beachtet werden. Hier kann nur gekündigt werden, wenn ihr Fälle nachweisen könnt, die eine Kündigung aus wichtigem Grund (ohne Einhaltung einer Kündigungsfrist) rechtfertigen. Neben den oben genannten Gründen könnte hier beispielsweise noch hinzukommen, dass der Datenschutzbeauftragte beim Einstellungsgespräch falsche Angaben bezüglich seiner Befähigung als Datenschutzbeauftragter gemacht hat.

Wichtig: Diese Vorschriften gelten aber nur, wenn euer Verein verpflichtet ist, einen Datenschutzbeauftragten zu ernennen. Habt ihr das freiwillig gemacht, kann er auch ohne wichtigen Grund von seinem Amt enthoben werden.