Weitestgehend unbemerkt von der Öffentlichkeit trat am 20. November mit der Veröffentlichung im Bundesgesetzesblatt das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft. Damit gelangt der Prozess der Anpassung des Datenschutzrechts des Bundes zu seinem vorläufigen Endpunkt. Unter anderem soll das Gesetz zu einer Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine im Bereich des Datenschutzes führen. Für Vereine ist besonders eine Änderung von Relevanz:
Musste bisher im Verein gemäß § 38 Abs. 1 Bundesdatenschutzgesetz (BDSG) ein Datenschutzbeauftragter benannt werden, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren, liegt der Schwellenwert zur Benennung jetzt bei 20 Personen. Damit hat der Gesetzgeber von dem Recht in der Datenschutz-Grundverordnung (DS-GVO) Gebrauch gemacht, die in der DS-GVO enthaltene Pflicht zur Benennung eines Datenschutzbeauftragten auszuweiten.
Dabei ist es manchmal gar nicht so einfach zu beurteilen, wie viele Personen in der Regel und ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Es müssen all die Personen berücksichtigt werden, die regelmäßig – wenn auch in geringem Umfang – personenbezogene Daten verarbeiten. Dabei ist es unerheblich, ob es sich um beschäftigte Mitarbeiter oder ehrenamtlich Tätige im Verein handelt.
Streitig ist derzeit, ob Trainer oder Betreuer, die über den DFBnet-Spielbericht auf die personenbezogenen Daten der Spieler zugreifen, mitzuzählen sind. Während in Bayern die zuständige Aufsichtsbehörde – das Bayerische Landesamt für Datenschutzaufsicht – die Auffassung vertritt, dass es sich dabei um keine Hauptaufgabe der Übungsleiter handelt und diese folglich nicht ständig auf personenbezogene Daten zugreifen, reicht es der Aufsichtsbehörde in unserem Verbandsgebiet – der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) – aus, dass dies regelmäßig geschieht. Es kommt nicht auf Art und Umfang der Datenverarbeitung an, sondern allein darauf, dass mindestens 20 Personen regelmäßig mit Datenverarbeitungen in Kontakt kommen. Zu diesen Personen zählen auch Ehrenamtler oder Teilzeitkräfte. Trainer und Betreuer sind demnach mitzuzählen.
Aber auch unter Beachtung dieser Rechtsauffassung, dürfte die Anhebung der Benennungspflicht auf 20 Personen dafür sorgen, dass in den meisten Fällen in unseren Vereinen kein Datenschutzbeauftragter zu benennen ist.
Ein Hinweis ist am Ende wichtig. Auch wenn der Gesetzgeber Vereine bei der Bestellung von Datenschutzbeauftragten entlasten will, so gibt es keinen Grund zur Sorglosigkeit im Datenschutzrecht. Denn die Vorgaben zum Schutz von Daten und zur IT-Sicherheit gelten für Vereine weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht. Die Verantwortung liegt beim Vorstand nach § 26 BGB und er muss sich vergewissern, dass er über das rechtliche und technische Knowhow verfügt.
Überblick: Pflicht zur Benennung eines Datenschutzbeauftragten
1. Personen
- Mindestens 20 Personen sind mit Datenverarbeitung beschäftigt
- auch Ehrenamtler zählen mit
- nicht: Personen des Vorstandes nach § 26 BGB
2. Ständig Datenverarbeitung
- Die Personen müssen ständig mit der Datenverarbeitung beschäftigt sein
- nicht notwendig dauernd
- Tätigkeit muss aber auf Dauer angelegt sein
- regelmäßig, auch in zeitlichen Abständen (z.B. wöchentlich, monatlich)
- Person wird dann tätig, wenn notwendig
- Problem: Trainer und Betreuer, die über den DFBnet-Spielbericht wöchentlich auf personenbezogene Daten zugreifen. (Nach der Rechtsauffassung der LDI NRW ist das ausreichend.)
3. Automatisierte Datenverarbeitung
- also keine manuelle Datenverarbeitung
- Eine automatisierte Datenverarbeitung liegt bereits dann vor, wenn ein PC oder ein internetfähiges Handy genutzt wird.
Weiterführende Links:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW): https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Vereine/index.php
Landessportbund Nordrhein-Westfalen: https://www.vibss.de/vereinsmanagement/recht/datenschutz/
