Zum Inhalt springen

Verbesserungen beim Vereins-Datenschutz

Zurück

Damit hatte man kaum gerechnet: In einem rasenden Tempo haben Bundestag und Bundesrat einer gerade auch für den Vereinsbereich wichtigen Gesetzesänderung zugestimmt.

Gerade auch mit Blick auf kleinere Unternehmen und Betriebe hat man über eine vollzogene Änderung des § 38 Bundesdatenschutzgesetz (BDSG) neu festgelegt, dass ein Datenschutzbeauftragter erst dann bestellt werden muss, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten.

 

Denn diese bisherige zahlenmäßige Vorgabe bereitet gerade unseren vielen Vereinen, aber auch kleineren Verbänden, großes Kopfzerbrechen im Vereinsalltag, denn wenn man von der bisherigen Anzahl von 10 Personen ausging, die sich ständig mit geschützten Mitgliederdaten, Daten von Nichtmitgliedern beschäftigten, diese verarbeiteten etc., konnte man schon darunter fallen. Denn oft waren ergänzend zu Beschäftigten auch Führungskräfte im Verein/Verband stark involviert oder auch Übungsleiter/Ausbilder oder deren Organisations- oder Teamleiter etc. regelmäßig mit diesen Daten befasst. Damit kann man sicherlich etwas beruhigter die PC-Aufgabenstellungen bei den Vereinen angehen. Obwohl bestellte Datenschutzbeauftragte gerade die Aufgabe haben, die Vereinsführung/den Vorstand über laufende und künftige Datenschutzvorgänge zu unterrichten, zu überwachen und zudem als kompetente Anlaufstelle für den jeweiligen Landesdatenschutzbeauftragten zur Verfügung zu stehen ( Art. 37, 39 der DSGVO). 
Aber ein Datenschutzbeauftragter kostet oft einiges – es bleibt in Grenzen, wenn es etwa einem Verein gelingt, einen Ehrenamtlichen oder auch ergänzend dazu einen im Beschäftigungsverhältnis stehenden Mitarbeiter auszubilden und diese Aufgabe zusätzlich übernehmen zu lassen. Bei Beauftragung externer Kräfte wird es oft sehr schnell recht teuer. 

Mit Zustimmung des Bundesrats wurden insgesamt 154 Einzelgesetze (!) und eine Verordnung gerade geändert und an die neuen Rechtsvorgaben und bereichsspezifische Anpassungen bis rein in gerichtliche Verfahrensordnungen angepasst. Zur Klarstellung: Der Wortlaut der EU-Datenschutz-Grundverordnung wurde für sich betrachtet nicht geändert, nur die damit zusammenhängenden deutschen Rechtsvorschriften. Die Aufgabenstellung vom Impressum über den Aufnahmeantrag, Führung einer Verarbeitungsliste fällt nach wie vor in den Handlungsbedarf für eine ordnungsgemäße Geschäftsführung hinein. 

Quelle: Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, BR-Drucksache 380/19, Artikel 12 Nr. 7b
Prof. Gerhard Geckle