So setzt ihr die DSGVO richtig um

Stand:
Auch Initiativen müssen Datenschutzvorgaben erfüllen. Wir beantworten eure Fragen rund um die europäische Datenschutz-Grundverordnung.
Off

Seit dem 25. Mai 2018 gelten neue Bestimmungen zum Datenschutz: Die europäische Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG). Nicht alles ist neu. Wer schon in der Vergangenheit die Datenschutzbestimmungen befolgt hat, wird nur ein paar Anpassungen vornehmen müssen. Auch zuvor schon konnten Verstöße mit Bußgeldern geahndet werden – diese werden nun jedoch empfindlich angehoben, was die Aufmerksamkeit für das Thema deutlich erhöht hat. Zwar ist die befürchtete Welle an Beanstandungen und Verfahren bisher ausgeblieben, aber dennoch sollten Verbraucherinitiativen ihren Pflichten nachkommen und notwendige Maßnahmen umsetzen. Im Folgenden werden die wichtigsten Punkte genannt. Allgemeingültige Musterlösungen können jedoch nicht vorgegeben werden, da es immer auf den Einzelfall ankommt.

Gelten die neuen Gesetze für jeden?

In jeder Organisation werden unterschiedliche Daten zu Personen auf vielfältige Weise erhoben, verarbeitet und genutzt. Bei Verbraucherinitiativen werden dies etwa die Daten der Mitglieder sein. Hinzu kommen ggf. solche zu Mitarbeitern, Interessenten, Förderern oder Engagierten.
Jede Stelle, die personenbezogene Daten erhebt, verarbeitet und nutzt – in der Regel automatisiert, muss sich an die DSGVO halten. Damit dürften die meisten Verbraucherinitiativen – unabhängig davon, welche Rechtsform sie haben und ob sie rechtsfähig sind oder nicht – von den neuen Bestimmungen zum Datenschutz betroffen sein.

Hinweis: Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind – am besten durch eine schriftliche Erklärung – zur Vertraulichkeit zu verpflichten und sollten auch entsprechend geschult werden.

Grundsätze der Verarbeitung personenbezogener Daten

Bei der Verarbeitung von Personendaten sind folgende Grundsätze zu beachten:

  1. Daten müssen auf rechtmäßige Weise, fair und in einer für die betroffene Person nachvollziehbaren (transparenten) Weise verarbeitet werden. Informationen und Mitteilungen zur Datenverarbeitung müssen demnach leicht zugänglich und leicht verständlich sein.
  2. Daten dürfen nur „für festgelegte, eindeutige und legitime Zwecke“ verarbeitet werden.
  3. Die Verarbeitung muss „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Es dürfen also nur die Daten erhoben werden, die zum Beispiel für die Begründung und Durchführung einer Vereinsmitgliedschaft auch tatsächlich erforderlich sind.
  4. Daten müssen sachlich richtig und auf dem neuesten Stand sein; unrichtige Daten sind zu berichtigen oder zu löschen.
  5. Daten dürfen nur so lange gespeichert werden, „wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Scheidet etwa ein Genossenschaftsmitglied aus, sind auch dessen Daten mit angemessenem zeitlichen Nachlauf zu löschen. Gesetzliche Aufbewahrungsfristen (etwa für die Doppel von Zuwendungsbestätigungen) müssen aber beachtet werden.
  6. Es müssen geeignete technische und organisatorische Maßnahmen – zum Beispiel Datenspeicherung, Verschlüsselung, Passwort- und Virenschutz – getroffen werden, um sicherzustellen, dass personenbezogene Daten nicht unbeabsichtigt oder unrechtmäßig verarbeitet werden, verloren gehen, zerstört oder beschädigt werden.

Rechtmäßig (a.) ist eine Datenverarbeitung, wenn

  • die betroffene Person ihre Einwilligung zur Verarbeitung ihrer Daten gegeben hat, etwa die Anforderung eines regelmäßig erscheinenden Newsletters;
  • sie für die Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen, wie zum Beispiel die Aufnahme als Mitglied eines Vereins oder der Besuch eines Seminars, notwendig sind;
  • sie im berechtigten Interesse der Verbraucherinitiative steht, sofern nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person überwiegen, etwa zur Öffentlichkeitsarbeit oder Mitgliederwerbung, wobei die Ansprache per E-Mail und Telefon wiederum dem Gesetz gegen den unlauteren Wettbewerb (UWG) unterfällt.

Bei einer Datenverarbeitung aufgrund einer Einwilligung ist u. a. zu beachten, dass diese eine „unmissverständlich abgegebene Willensbekundung“ sein muss. Dies kann eine schriftliche, elektronische oder mündliche Erklärung oder eine sonstige eindeutige bestätigende Handlung sein.

Hinweise: Stillschweigen, ein bereits vorangekreuztes Kästchen oder Untätigkeit stellen keine rechtmäßige Einwilligung dar. Die Einwilligung muss nachweisbar sein, sollte daher dokumentiert werden. Bereits vorliegende Einwilligungserklärungen müssen daraufhin geprüft werden, ob sie den neuen Anforderungen entsprechen und müssen ggf. angepasst und dann neu eingeholt werden.

Wer darf Zugang zu den Daten haben?

Innerhalb einer Organisation sind die Aufgaben in der Regel abgegrenzt und durch die Satzung oder eine Geschäftsordnung bestimmten Funktionsträgern zugewiesen. Für den Umgang mit personenbezogenen Daten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Daten kennen, verarbeiten und nutzen darf.

Grundsätzlich ist es auch nicht erlaubt, dass die Mitglieder eines Vereins oder einer Genossenschaft auf die Daten aller anderen Mitglieder zugreifen können. Dies gilt jedoch nicht, wenn der Zweck der Organisation – wie etwa bei Selbsthilfegruppen – gerade darin besteht, mit Menschen, die sich in derselben Situation befinden, in Kontakt zu treten und sich austauschen zu können. Dann ist die Verbreitung einer Mitgliederliste unter den Mitgliedern zulässig.

Tipp: Die Mitglieder sollten aber frühzeitig, zum Beispiel im Aufnahmeantrag, auf diese Möglichkeit hingewiesen werden und ggf. einer Weitergabe ihrer Daten auch widersprechen können.

Ist die Verbraucherinitiative Mitglied einer Dachorganisation, sind die von ihr verwalteten personenbezogenen Daten nicht ohne weiteres auch Daten der Dachorganisation. Die Daten dürfen der Dachorganisation nur zur Verfügung gestellt werden, wenn diese eine Aufgabe erfüllt, die letztlich auch im berechtigten Interesse der übermittelnden Initiative liegt oder wenn es eine ausdrückliche Zustimmung der Betroffenen gibt.

Informationspflichten

Eine Verbraucherinitiative ist verpflichtet, die Personen, deren Daten sie verarbeitet, zum Zeitpunkt der Datenerhebung von sich aus zu informieren. Diese Datenschutzerklärung muss insbesondere über folgende Punkte Auskunft geben:

  • Verantwortliche und ggf. Datenschutzbeauftragter
  • Verarbeitungszwecke und Rechtsgrundlage
  • ggf. Datenempfänger
  • Speicherdauer
  • Betroffenenrechte

Hinweis: Sie sind auch verpflichtet, Personen, von denen bereits Daten erhoben wurden, über diese neuen Informationen in Kenntnis zu setzen.

Vor allem in Vereinen und Genossenschaften werden mitunter Informationen über die Mitglieder an „Schwarzen Brettern“ oder in sonstigen Publikationen veröffentlicht.

Tipp: Die betroffenen Mitglieder sollten im Vorfeld rechtzeitig darüber in Kenntnis gesetzt werden, welche personenbezogenen Information wann wo und auf welchem Wege bekannt gemacht werden soll, damit sie der Veröffentlichung ggf. widersprechen können.

Es muss zudem sichergestellt werden, dass gespeicherte Daten in verständlicher Form leicht zugänglich sind, wenn die betroffene Person dies verlangt.

Verarbeitungsverzeichnis

Neu ist die Verpflichtung des Verantwortlichen, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen. Folgende Inhalte sind zu erfassen:

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • wenn möglich, die vorgesehenen Löschfristen
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist zu benennen, wenn mindestens zehn Personen ständig mit der Verarbeitung von Personendaten beschäftigt sind oder wenn besondere Kategorien von Daten umfangreich verarbeitet werden.

Besondere Kategorien von Daten sind solche zur rassischen und ethnischen Herkunft, zu politischen Meinungen, religiösen oder philosophischen Überzeugungen, zur Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder zur sexuellen Orientierung sowie genetische und biometrische Daten.

Der Datenschutzbeauftragte hat die Aufgabe, die Verantwortlichen zu unterrichten, zu beraten, zu überwachen, zu sensibilisieren und zu schulen und bei Bedarf mit den Aufsichtsbehörden zusammenzuarbeiten.

Hinweis: Es kann ein interner oder ein externer Datenschutzbeauftragter bestellt werden. Diese Funktion nicht übernehmen darf hingegen das Leitungsorgan der Verbraucherinitiative, also etwa der Vereinsvorstand.

Die Kontaktdaten des Datenschutzbeauftragten sind öffentlich zu machen und der zuständigen Aufsichtsbehörde – in NRW die Behörde der Landesbeauftragten für Datenschutz und Informationsfreiheit – mitzuteilen.

Externe Dienstleister

Sobald Sie einen Dritten beauftragen, die von Ihnen erhobenen personenbezogenen Daten zu verarbeiten (sog. Auftragsverarbeitung), müssen Sie in einer Vereinbarung sicherstellen, dass auch dieser Dienstleister die geltenden Datenschutzbestimmungen einhält.
Denkbar ist hier etwa eine Mitgliederverwaltung im Internet, bei der die Daten auf dem Server des Anbieters liegen oder eine gehostete Website, über die Daten erfasst bzw. versendet werden.

Was ist im Falle einer Datenpanne zu tun?

Erlangen Unbefugte Zugang zu, von der Verbraucherinitiative gespeicherten, Personendaten, etwa durch Verlust eines Laptops oder Handys, ist dies dem/der Bundesbeauftragten für den Datenschutz innerhalb von 72 Stunden zu melden. Dies gilt jedoch nur für den Fall, dass durch die Panne eine Gefahr für die Rechtsgüter natürlicher Personen bestehen kann, etwa wenn Daten zu Bank- und Kreditkartenkonten betroffen sind.

Tipp: Das Vorgehen, ein Muster für die Meldung sowie die zuständige Person sollten schon vorsorglich bestimmt werden.

Tipp: Erste Schritte

Verbraucherinitiativen, die erst jetzt anfangen, sich mit dem Thema Datenschutz zu befassen, sollten zunächst die bestehenden Prozesse, bei denen personenbezogene Daten verarbeitet werden, innerhalb ihrer Organisation zusammentragen und auflisten. Dabei sollten folgende Fragen berücksichtigt werden:

  • Wie laufen die Datenverarbeitungsprozesse innerhalb der Initiative ab?
  • Welche Daten werden verarbeitet? Werden ggf. besondere Kategorien von Daten verarbeitet?
  • Wo (Software, Endgeräte, Cloud) werden die Daten gespeichert?
  • Wer ist involviert und wer trägt die Verantwortung für die Daten?

Relevante Prozesse können etwa Mitgliederverwaltung, Kommunikation mit Mitgliedern und Interessenten, Durchführung von Seminaren und Personalverwaltung sein.

Im Anschluss können dann alle weiteren Maßnahmen, Dokumente und Aufgaben entwickelt werden, wie

  • die Erstellung eines Verarbeitungsverzeichnisses
  • die Prüfung und Sicherstellung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit
  • ggf. die Überarbeitung und Einholung von Einwilligungserklärungen
  • ggf. die Bestellung eines Datenschutzbeauftragten (wenn mind. 10 Personen Daten innerhalb der Initiative verarbeiten)
  • ggf. der Abschluss von Datenschutzvereinbarungen mit externen Dienstleistern
  • Erstellung eines Sicherheitskonzeptes
  • Verfahren zur Sicherstellung der Betroffenenrechte
Schriftzug MAKE

Praxishilfen für Engagierte

Nützliche Tools und Infos, die beim Starten eines Projekts und im Initiativenalltag helfen. Hier geht's zur Übersicht.

 

Auch hier zu finden:Logo Gemeinschaftswerk

 

Gefördert durch:Logo NRW-Verkehrsministerium