Müller Datenschutz im Verein

2 Datenschutzbeauftragter
Bevor wir uns mit dem eigentlichen Thema dieses Kapitels beschäftigen, möchte ich Ihnen einen wichtigen Hinweis geben: Immer wieder ist zu beobachten, dass Verantwortliche meinen, wenn ihr Unternehmen bzw. ihr Verein nicht dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen, müssten auch die Datenschutzgesetze nicht eingehalten werden. Das ist leider ein Trugschluss. Deshalb sei an dieser Stelle noch einmal deutlich gesagt: Jedes Unternehmen und jede Institution, das Mitarbeiter und/oder Kunden und Lieferanten oder Mitglieder hat, verarbeitet personenbezogene Daten und hat damit die Pflicht, die Datenschutzgesetze zu beachten. Es kommt dabei überhaupt nicht auf die Größe des Unternehmens, den Umsatz, die Produkte oder Dienstleistungen oder die Art des Vereins an. 2.1 Pflicht zur Benennung
Ob eine Institution einen Datenschutzbeauftragten benennen muss, kann dem Artikel 37 der DSGVO bzw. dem § 38 des BDSG n. F. entnommen werden. Bei der Bewertung der Kriterien ist es unerheblich, ob ein Unternehmen selbst Verantwortlicher ist oder ob es als Auftragsverarbeiter tätig ist. Weder die DSGVO noch das BDSG n. F. unterscheiden hier, um welche Art von »Unternehmen« es sich handelt. Es wird nur »vom Verantwortlichen« oder »dem Auftragsverarbeiter« gesprochen. Alles nachfolgende gilt also für Vereine gleichermaßen. Wenn im Folgenden der Begriff Mitarbeiter verwendet wird, umfasst er bei einem Verein auch dessen Funktionäre. Und der Vorstand in einem Verein entspricht den Vorgesetzten in einem Unternehmen. Wenn eines der nachfolgend beschriebenen Kriterien zutrifft, besteht die Pflicht zur Benennung eines DSB: Artikel 37 Abs. 1 DSGVO a) die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln. Dieses Kriterium spricht für sich. Artikel 37 Abs. 1 DSGVO b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, [...] Bevor Sie dieses Kriterium prüfen, sollten Sie zunächst wissen, was in diesem Kontext unter Überwachung zu verstehen ist. Mit Überwachung meint der Gesetzgeber alle Dienstleistungen oder Tätigkeiten eines Unternehmens, die sich mit der Feststellung des Aufenthaltsortes von betroffenen Personen, der Kontrolle ihrer Leistungserbringung oder beispielsweise der Kontaktaufnahme zu anderen Personen beschäftigen. Diese Überwachung kann in Form einer Videoüberwachung stattfinden, aber auch das Mitlesen von E-Mails der Mitarbeiter durch den Vorgesetzten oder die Verfolgung einer Zielperson durch ein Detektivbüro fallen darunter. Nun stellen Sie sich bitte folgende Fragen: Ist eine der durchgeführten Verarbeitungstätigkeiten die Überwachung von betroffenen Personen? Wenn ja: Ist diese Überwachung umfangreich, regelmäßig und systematisch oder eher nur gelegentlich? Wenn ja: Steht die Kerntätigkeit des Vereins in Zusammenhang mit diesen Überwachungen? Wenn die letzte Frage auch mit Ja beantwortet wird, sind Sie verpflichtet, einen DSB zu benennen. Artikel 37 Abs. 1 DSGVO c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10. Zur Prüfung dieses Kriteriums stellen Sie sich bitte folgende Fragen – zunächst zu den »besonderen Daten«2: Werden besondere personenbezogene Daten verarbeitet? Wenn ja: Ist diese Verarbeitung die Kerntätigkeit des Vereins? Wird die letzte Frage mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen. Wenn keine besonderen personenbezogene Daten verarbeitet werden, könnte es aber sein, dass der Verein Daten zu Straftaten verarbeitet: Werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet? Wenn ja: Ist diese Verarbeitung die Kerntätigkeit des Vereins? Wird die letzte Frage mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen. Zu den eben geprüften Punkten kommen aus dem § 38 BDSG n. F. noch drei weitere Kriterien dazu: Das erste Kriterium: § 38 BDSG Abs. 1 [...] soweit in der Regel mindestens zwanzig Personen3 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zur Prüfung dieses Kriteriums stellen Sie sich bitte folgende Fragen: Sind im Verein 20 oder mehr Mitarbeiter beschäftigt oder Funktionäre ehrenamtlich tätig? Wenn ja: Wie viele davon sind ständig mit der Verarbeitung von personenbezogenen Daten per Computer beschäftigt? Wenn bei der letzten Frage mehr als 20 Personen zusammenkommen, sind Sie verpflichtet, einen DSB zu benennen. Hinweis: Was bedeutet »ständig … beschäftigt«? Leider gibt es derzeit weder für Unternehmen noch für Vereine eine klare Aussage, was »ständig … beschäftigt« in diesem Zusammenhang bedeutet. Es besteht jedoch weitgehende Übereinstimmung darin, dass bei Unternehmen z. B. Mitarbeiter im Versand, die Adressaufkleber auf Pakete kleben, oder Monteure, die die Adresse des Kunden erhalten, um die Dienstleistung vor Ort erbringen zu können, nicht dazuzählen. Auf Vereine bezogen zählen nach meiner Auffassung z. B. Trainer, die über Listen die Anwesenheit der Mitglieder im Training festhalten oder eine Kommunikationsliste ihrer Gruppe führen, nicht dazu. Bei allen Mitarbeitern oder Funktionären wird die Fragestellung empfohlen, ob die Verwaltung von personenbezogenen Daten zu den Kerntätigkeiten gehört oder ob eher selten auch auf diese Daten zugegriffen werden kann. Im Zweifel kann bei der Aufsichtsbehörde nachgefragt oder freiwillig ein DSB benannt werden. Das zweite Kriterium: Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen. Lesen Sie bitte zuerst das Kapitel »3.9 Datenschutz-Folgenabschätzung«. Dort wird erklärt, was eine Datenschutz-Folgenabschätzung ist und auch warum ich davon ausgehe, dass in einem Verein sehr selten bis nie eine solche Datenschutz-Folgenabschätzung gemacht werden muss. Der Vollständigkeit halber lasse ich die nachfolgende Passage stehen. Zur Prüfung dieses Kriteriums stellen Sie sich bitte folgende Frage: Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung unterliegen? Wird die Frage mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen. Wenn Sie für Ihren Verein diese Frage tatsächlich mit Ja beantworten, wäre es für mich persönlich sehr interessant, das zu erfahren. Für eine kurze Info an fragen-zumbuch@startklar-datenschutz.de wäre ich Ihnen sehr dankbar. Das dritte Kriterium: Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Bevor Sie dieses Kriterium prüfen, sollten Sie zunächst wissen, was in diesem Kontext mit dem Begriff Übermittlung gemeint ist. Übermittlung ist ganz allgemein die Weitergabe von Daten an einen oder mehrere Empfänger. Es spielt keine Rolle, ob der Empfänger innerhalb des eigenen Unternehmens oder Vereins sitzt oder ob es sich um ein anderes Unternehmen, einen Dienstleister, einen anderen Verein oder einen Verbraucher (= Privatperson) handelt. Zur Prüfung dieses Kriteriums stellen Sie sich jetzt bitte folgende Fragen: Verarbeiten Sie z. B. Adressdaten geschäftsmäßig zum Zwecke der Übermittlung, d. h., übermitteln Sie regelmäßig eine größere Anzahl von Datensätzen (z. B. als Adresshändler)? Verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zwecke der anonymisierten Übermittlung, d. h. erstellen Sie in irgendeiner Form Statistiken über Personen, die dann anonymisiert weitergegeben werden? Sind Sie ein Verein, der sich mit Markt- oder Meinungsforschung beschäftigt? Nach meiner Einschätzung treffen diese Fragen auf Vereine nur höchst...