Vorlesen

Pflicht zur Bestellung eines Datenschutzbeauftragten

Pflicht zur Bestellung eines Datenschutzbeauftragten nach BDSG

Die Pflicht zur Benennung eines Datenschutzbeauftragten nach der DS-GVO knüpft im Wesentlichen an die Datenverarbeitung als Kerntätigkeit des Verantwortlichen an. Unabhängig davon hat der Verantwortliche nach deutschem Datenschutzrecht einen Datenschutzbeauftragten zu benennen, soweit er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Dabei sind sämtliche Personen mitzuzählen, die Umgang mit personenbezogenen Daten im Verein haben, soweit diese Daten aus einer automatisierten Verarbeitung stammen, und zwar unabhängig vom Status. Es sind Vorstandsmitglieder, Arbeitnehmer, Selbständige und sogar ehrenamtlich Tätige zu berücksichtigen. Insofern sind auch Übungsleiter mitzurechnen, die Listen von Kursteilnehmern oder Mitgliederlisten aus der EDV-gestützten Verwaltung des Vereins erhalten (vgl. Behn/Weller, Datenschutz für Vereine, S. 83/85).

Insofern dürfte sich keine Änderung zum bisherigen Recht ergeben, da bereits das BDSG alter Fassung die 10-Personen-Regel vorsah.

Achtung: Auch wenn für den Verein keine Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, hat er dennoch die datenschutzrechtlichen Regelungen zu beachten. Dann liegt die Verantwortung erst Recht beim Vorstand nach § 26 BGB und er muss sich vergewissern, dass er über das rechtliche und technische Knowhow verfügt.

 

Pflicht zur Bestellung eines Datenschutzbeauftragten nach DS-GVO

Unter bestimmten weiteren Voraussetzungen hat die verantwortliche Stelle einen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte im Unternehmen oder Verein ist nicht zu verwechseln mit dem Bundes- oder Landesbeauftragten für den Datenschutz, der die Aufsichtsbehörde für den Datenschutz ist. Der betriebsinterne (oder auch –externe) Datenschutzbeauftragte ist ein Instrument der Eigenkontrolle und damit eine organisatorische Maßnahme im Rahmen des geforderten Datenschutzmanagements. Zu unterscheiden ist die Bestellungspflicht nach der DS-GVO und dem BDSG.

Nach Artikel 37 DS-GVO hat der Verantwortliche in jedem Fall einen Datenschutzbeauftragten zu benennen, wenn u.a. die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und /oder ihrer Zwecke eine umfangreiche und systematische Überwachung von betroffenen Personen erforderlich machen. Eine weitere Voraussetzung stellt die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 dar.

Insbesondere die zweite Variante könnte für Sportvereine in Frage kommen, wenn zum Beispiel Gesundheitsdaten im Rahmen des Rehabilitationssports (besondere Kategorie von Daten nach Artikel 9) oder Angaben aus dem erweiterten Führungszeugnis (Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 9) verarbeitet werden.

Allerdings schränkt der Erwägungsgrund 97 die Kerntätigkeit für den privaten Sektor insofern ein, als dass es sich um die Haupttätigkeit des Verantwortlichen handeln muss. Handelt es sich bei der Verarbeitung dagegen lediglich um eine Nebentätigkeit, handelt es sich nicht um eine Kerntätigkeit mit der Folge, dass kein Datenschutzbeauftragter nach Artikel 37 DS-GVO zu benennen ist.

Beispiel: Ein Sportverein bietet Rehabilitationssportkurse im Rahmen der Nachsorge nach einer Krebserkrankung an. Es werden gesundheitliche Daten erhoben, die im Rahmen der Kursdurchführung (z.B. zur Berücksichtigung der Belastbarkeit des Kursteilnehmers) erhoben werden. Es dürfte sich lediglich um eine Nebentätigkeit handeln. Haupttätigkeit dürfte die Durchführung des Kurses sein, mit der Folge, dass nach Artikel 37 DS-GVO kein Datenschutzbeauftragter zu benennen ist.

15 wichtige Fragen zum Datenschutz!

Weitere Informationen zum Download:

vom LSB Niedersachsen