Nicht jeder Verein braucht einen Datenschutzbeauftragten. Es gibt jedoch verschiedene gesetzliche Regelungen, in welchen Fällen ein Datenschutzbeaufragter zwingend zu benennen ist.
Nach Art. 37 Abs. 1 lit. c DSGVO muss der Verein auf jeden Fall dann einen Datenschutzbeauftragten benennen, wenn seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Das dürfte bei den allermeisten Vereinen nicht der Fall sein.
Allerdings muss ein Verein nach § 38 Abs. 1 Satz 1 BDSG (in der ab dem 25.05.2018 geltenden Fassung) einen Datenschutzbeauftragten benennen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Automatisiert bedeutet, dass die Verarbeitung unter Einsatz von technischen Hilfsmitteln erfolgt (z.B. Computer, Tablets, Smartphones etc.). Mit „beschäftigt“ sind alle mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gemeint. „Beschäftigte“ des Vereins im Sinne des Sozialversicherungsrechts brauchen diese Personen nicht zu sein. Bei der Feststellung dieser Personenzahl ist es irrelevant, ob die Personen dem Vorstand angehören, ob sie haupt-, neben- oder ehrenamtlich tätig sind. Ständig sind diese Personen mit der automatisierten Verarbeitung beschäftigt, wenn die automatisierte Verarbeitung zu deren Aufgabengebiet gehört, auch wenn die Verarbeitung nur gelegentlich erfolgt.
Allerdings ist nach § 38 Abs. 1 Satz 2 BDSG (in der ab dem 25.05.2018 geltenden Fassung) unabhängig von der Zahl der mit der automatisierten Datenverarbeitung beschäftigten Personen die Bestellung eines Datenschutzbeauftragten durch den Verein erforderlich, wenn der Verein Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Das ist zum Beispiel bei Vereinen möglich, die in nicht geringem Umfang Gesundheitsdaten verarbeiten.