Datenschutz im Unternehmen

Datenschutzbeauftragter Vereine

Datenschutzbeauftragter für Vereine – Ihre Pflichten nach der DSGVO

Geschrieben von: Yanick Röhricht

8. Juli 2024

Inhaltsverzeichnis

Datenschutz im Verein: Warum müssen wir als Verein die DSGVO beachten?

Die Verarbeitung personenbezogener Daten spielt in der Vereinsarbeit eine große Rolle.Dazu gehören der Name, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Bankverbindung oder die Veröffentlichung von Fotos der Mitglieder.Diese personenbezogenen Daten werden auf unterschiedliche Weise verarbeitet: die eingehenden Mitgliedsanträge müssen bearbeitet werden, Mitglieder erhalten Einladungen zur Mitgliederversammlung und Newsletter, die Zahlung des Mitgliedsbeitrags per Bankeinzug; die Website zeigt Fotos von Vereinsaktivitäten. Vereine müssen hierbei die gesetzlichen Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) einhalten.

Wann muss ein Verein einen Datenschutzbeauftragten benennen?

Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) besteht die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten für Vereine in folgenden Fällen:

  • Im Verein sind mindestens 20 Personen damit beschäftigt, regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer –  zu verarbeiten. 
  • Im Verein werden in großem Umfang sensible Daten verarbeitet, z.B. Gesundheitsdaten oder Daten von Minderjährigen.

Weiterhin sollte ein Verein einen Datenschutzbeauftragten bestellen, wenn die Ressourcen oder das Know-How im datenschutzrechtlichen Bereich nicht vorhanden sind. So kann auch eine freiwillige Benennung eines Datenschutzbeauftragten Sinn ergeben, um bei der Umsetzung der DSGVO Unterstützung zu erhalten.

Wie lässt sich ermitteln, ob die 20-Personen-Grenze erreicht ist?

Für das Erreichen der 20-Personen-Grenze im Verein kommen Beschäftigte jeder Art in Betracht. Entscheidend ist ausschließlich der tatsächliche Aufgabenbereich der Mitarbeiter.  Dabei werden haupt- oder ehrenamtliche Mitarbeiter genauso wie sonstige Vereinsmitglieder sowie auch Eltern von Vereinsmitgliedern mitgezählt. Verfügt ein Verein über mehrere Arbeitsbereiche oder Abteilungen, in denen Personen mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben,müssen diese Personen aus den jeweiligen Stellen bei der Berücksichtigung der Zwanzig-Personen-Grenze einbezogen werden.

Unser Angebot: Externer Datenschutzbeauftragter ab 99€

Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Die Datenschutzberatung von ALPHATECH bietet Ihnen flexible und maßgeschneiderte Lösungen zum Datenschutz. Unsere zertifizierten Datenschutzbeauftragten, Rechtsanwälte und IT-Experten unterstützen Sie bei der Erreichung Ihrer Datenschutz-Ziele. 

Wer darf als Datenschutzbeauftragter im Verein benannt werden?

Es darf grundsätzlich jeder Datenschutzbeauftragter im Verein bestellt werden, der über die erforderliche Fachkenntnis auf dem Gebiet des Datenschutzrechts verfügt (Art. 37 Abs. 5 DSGVO). Zur Vermeidung von Interessenkonflikten sollten die Aufgaben des Datenschutzbeauftragten allerdings nicht vom Vereinsvorstand, dem IT-Administrator oder Führungspersonen ausgeübt werden, um das Verbot der Selbstkontrolle zu wahren. Der Vorstand kann auch ein Vereinsmitglied zum Datenschutzbeauftragten bestellen. Um das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts zu erwerben, ist der Besuch einer mehrtägigen Schulung zu empfehlen. Fort- und Weiterbildungsveranstaltungen werden von diversen Einrichtungen angeboten. Am Markt haben sich beispielsweise der TÜV, DEKRA, IHK, GDD als vertrauenswürdige Schulungsanbieter etabliert. Alternativ kann auch ein Dienstleister als externer Datenschutzbeauftragter benannt werden.

Aufgaben eines externen Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten sind durch Art. 39 Abs. 1 DS-GVO festgelegt. Dazu gehören die Unterrichtung und Beratung des Vorstandes hinsichtlich des Datenschutzes sowie der mit der Datenverarbeitung Beschäftigten, die Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben und deren organisationsinterner Umsetzung sowie die Beratung bei der Erstellung der Datenschutz-Folgenabschätzung. Ferner umfassen die Aufgaben die Zusammenarbeit mit der Aufsichtsbehörde und die Funktion als Anlaufstelle für die Behörde. Die Datenschutzbeauftragten sind zudem Ansprechpartner für die von der Datenverarbeitung betroffenen Personen.

DSGVO für Verein: Kurzer Überblick über die Pflichten für den Datenschutz im Verein

  1. Verzeichnis von Verarbeitungstätigkeiten:
    Jeder Verein ist zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet (Art. 30 Abs. 1 DSGVO). Hierbei werden alle datenschutzrelevante Geschäftsprozesse im Rahmen der Vereinsarbeit dokumentiert.
  1. Datenschutzerklärung für Mitglieder:
    Der Verein muss seine Mitglieder über die Datenverarbeitung im Zusammenhang mit Mitgliedschaft aufklären. Vereine können ihren Mitgliedern zu diesem Zweck eine Datenschutzerklärung zur Verfügung stellen.
  1. Datenschutzerklärung und Cookie Banner auf der Vereins-Website:
    Über die auf der Website stattfindende Datenverarbeitung müssen Vereine die betroffenen Personen informieren. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz eine auf Ihre Webseite individuell angepasste Datenschutzerklärung. Werden Analyse- oder Marketingtools eingesetzt, die für die Funktionsfähigkeit der Website nicht erforderlich sind, ist zudem ein Cookie-Banner verpflichtend.
  1. Technische und organisatorische Maßnahmen:
    Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen im Verein festzulegen. Diese individuelle anhand des Risikos, Digitalisierungsgrads und technischer Ausstattung zu ergreifen und zu dokumentieren (Art. 32 DSGVO).
  1. Mitarbeiter im Datenschutz schulen:
    Regelmäßige Datenschutz-Schulungen für Mitarbeiter sind gesetzlich vorgesehen und unerlässlich in jedem Datenschutz-Konzept.
  1. Auftragsverarbeitungsverträge mit Dienstleistern abschließen:
    Wenn Ihr Verein mit Drittanbietern zusammenarbeitet, um Daten zu verwalten, z.B. der Einsatz einer Vereinsmanagement-Software, muss ein  Auftragsverarbeitungsvertrag (kurz AV-Vertrag) abgeschlossen werden
  1. Daten nur zweckgebunden verarbeiten:
    Es dürfen nur Daten erhoben und verarbeitet werden, die einem bestimmten und konkreten Zweck unterliegen. Deshalb sollten Formulare und Antragstrecken auf nicht erforderliche Daten geprüft und Daten ohne Rechtsgrundlage gelöscht werden.
  1. Datenschutz-Folgeabschätzung durchführen:
    Sofern Ihr Verein risikoreiche Datenverarbeitungen durchführt, z.B. Videoüberwachung, muss eine sog. Datenschutz-Folgeabschätzung (Art. 35 DSGVO) durchgeführt werden.

Vorteile eines externen Datenschutzbeauftragten für Ihren Verein

  • Kosteneffizienz: Vermeidung von zusätzlichen Kosten für Aus- und Fortbildung  eines internen Mitarbeiters durch einen externen Datenschutzexperten.
  • Fachkompetenz: Zertifizierte Fachkenntnisse und jahrelange Datenschutz-Erfahrungen in Vereinen.
  • Reduzierung der Haftungsrisiken: Reduzierung des Risikos von Datenschutzverstößen und den damit verbundenen finanziellen und reputativen Schäden.
  • Ständige Verfügbarkeit: Krankheitstage, Urlaub oder betriebliche Erfordernisse: Ein interner Datenschutzbeauftragter steht nicht immer zur Verfügung. Wir stehen Ihnen auch bei Datenpannen sofort als Ansprechpartner zur Verfügung.

Sie benötigen Unterstützung bei dem Thema Datenschutz?

Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Wir sind ein Team aus ausgebildeten Juristen und IT-Fachkräften mit Schwerpunkt Datenschutz und IT-Sicherheit. Unsere Datenschutzberater behalten bei der Umsetzung der DSGVO Ihre unternehmerischen Ziele und die Besonderheiten Ihrer Branche im Blick.

Welche Kosten entstehen für einen Datenschutzbeauftragten im Verein?

Zunächst gibt es Unterschiede zwischen einem internen und einem externen Datenschutzbeauftragten in Bezug auf die anfallenden Kosten. Bei einem internen Datenschutzbeauftragten trägt das Unternehmen neben dem regulären Gehalt und den arbeitgeberseitigen Lohnnebenkosten auch die Kosten für Aus- und Fortbildung sowie den Erwerb von Literatur. Demgegenüber arbeitet der externe Datenschutzbeauftragte auf Grundlage eines Dienstleistungsvertrages für das verantwortliche Unternehmen. Als zertifizierte Fachexperten bringen externe Datenschutzbeauftragte die Qualifikation für die Ausübung des Amtes mit, sodass Schlungskosten eingespart werden können.    Das Abrechnungsmodell des Dienstleisters ist ein wichtiger Faktor, der die Kosten beeinflusst. Es gibt verschiedene Abrechnungsmodelle:

  • Einmalaufwände, z.B. für die Analyse des Status quo (Audits) und die Konzeptionierung des Datenschutz-Managements.
  •  Abrechnung pro Arbeitsstunde zu einem vereinbarten Stundensatz
  • Monatliche oder jährliche Pauschalbeträge mit einem Kontingent an Beratungsstunden

Welche Variante für Sie sinnvoller ist, hängt stark von den individuellen Gegebenheiten in Ihrer Kanzlei ab. Weitere Informationen über die Kosten im Vergleich zwischen dem internen und externen Datenschutzbeauftragten finden Sie in unserem Artikel “Kosten Datenschutzbeauftragter extern: Damit sollten Sie rechnen.”

Was passiert, wenn unser Verein trotz Pflicht der Benennung des Datenschutzbeauftragten nicht nachkommt?

Sind die Voraussetzungen für die Benennungspflicht nach Art. 37 DS-GVO bzw. § 38 BDSG erfüllt, stellt die fehlende Benennung einen Verstoß gegen die DSGVO dar. Datenschutzverstöße  können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bestraft werden. Abgesehen von den finanziellen Konsequenzen hat eine solche Missachtung auch Auswirkungen auf den Ruf Ihres Vereins. Ihre Mitglieder und Geschäftspartner vertrauen darauf, dass Sie ihre Daten im Verein sicher und sorgfältig behandeln. Es ist daher ratsam, das Risiko nicht einzugehen und Ihrer Verpflichtung zur Bestellung eines Datenschutzbeauftragten nachzukommen.

 

Was ist zu beachten, wenn der Verein keine(n) DSB benennen muss?

Nach Prüfung der gesetzlichen Vorgaben ist in Ihrem Verein ein Datenschutzbeauftragter rechtlich gesehen nicht nötig? Auch wenn Sie sich aufgrund der Zahl Ihrer Mitarbeiter unterhalb der Benennungspflicht befinde, gibt es keine Entwarnung hinsichtlich der DSGVO-Pflichten. Die strengen Vorgaben zum Schutz von Daten und zur IT-Sicherheit aus der DSGVO und dem BDSG gelten auch für kleinere Unternehmen weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.

Fazit

Die Benennung eines externen Datenschutzbeauftragten von Alphatech ist ein entscheidender Schritt zur Sicherstellung der Datenschutz Compliance in Ihrem Verein. Kontaktieren Sie uns heute, um mehr darüber zu erfahren, wie wir Sie unterstützen können.

FAQ Datenschutzbeauftragter Verein

Muss jeder Verein den Datenschutz beachten?

Ja, die Datenschutz-Grundverordnung ist auf alle Vereine anwendbar. Die Größe und Organisation des Vereins spielen keine Rolle. Dabei ist egal,  wie groß der Verein ist, ob dieser gemeinnützig, eingetragen oder nicht rechtsfähig ist. Ebenso ist es irrelevant, ob der  Verein rein ehrenamtlich verwaltet und geleitet wird und wie groß die finanziellen Mittel eures Vereins sind.

Darf der Vereinsvorstand gleichzeitig Datenschutzbeauftragter sein?Darf der Vereinsvorstand gleichzeitig Datenschutzbeauftragter sein?

Nein. Zur Vermeidung von Interessenkonflikten darf die Rolle des Datenschutzbeauftragten nicht vom Vereinsvorstand wahrgenommen werden. Gleiches gilt für Beschäftigte oder Vereinsmitglieder mit Leitungsfunktion, wie z. B. Geschäftsführung oder Kassenwart, da eine neutrale Wahrnehmung der Funktion dann nicht gewährleistet wäre. Der Datenschutzbeauftragte muss nicht zwingend Mitglied des Vereins sein.

Welche fachlichen Voraussetzungen muss ein Datenschutzbeauftragter des Vereins mitbringen?

Die allgemeinen Voraussetzungen der Benennung als Datenschutzbeauftragter ergeben sich aus Art. 37 Abs. 5 DS-GVO. Danach wird ein Datenschutzbeauftragter auf der Grundlage der Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt. Um das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts zu erlangen, kann die Teilnahme an einem Lehrgang, z.B. beim TÜV, DEKRA, GDD, o.ä In Erwägung gezogen werden. Daneben sollte ein Datenschutzbeauftragter juristische Grundkenntnisse, technisches Grundverständnis Interesse an Weiterbildung und gute Kommunikationsfähigkeiten besitzen.

Muss der Verein die Kontaktdaten des Datenschutzbeauftragten veröffentlichen?

Ja, der Verein muss die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlichen und der zuständigen Aufsichtsbehörde mitteilen. Für die Veröffentlichung der Kontaktdaten ist es ausreichend, wenn z. B. die E-Mail-Adresse des Datenschutzbeauftragten in der Datenschutzerklärung auf der Website des Vereins genannt wird.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Hier unverbindlich anfragen

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

e-mail

kontakt@alphatech-consulting.de

Wir arbeiten zertifiziert

Social Media