Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016

Ein Gespenst geht um in Europa – die Datenschutzgrundverordnung („DSGVO”). Ein Wortungetüm, das den Datenschutz in Europa vereinheitlichen (darum Verordnung) und den dennoch verbliebenen Spielraum der Mitgliedstaaten (darum Grundverordnung) einengen soll.

Was hat das alles mit Vereinen und Stiftungen zu tun? Das sind doch keine datenverarbeitenden Betriebe, ist der erste Gedanke. Weit gefehlt: jede Datenbank etwa der Mitglieder oder von Spendern, jede Beschäftigtendatenbank oder die Sammlung von Projektdaten geförderter Projekte fallen in den Anwendungsbereich der DSGVO. So heißt es in Art. 2 Abs. 1 DSGVO, die Verordnung gelte für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen. Also: auch die bloße Erfassung von Mitgliederdaten in einer Excel-Datei führt schon zur Anwendbarkeit der DSGVO. Die Verantwortlichen in Stiftungen und Vereinen kommen nicht umhin, sich mit dem Thema vertieft zu befassen und zu prüfen, ob die datenschutzrechtlichen Vorschriften unter Geltung der DSGVO eingehalten werden.

Warum gibt es überhaupt eine Datenschutzgrundverordnung der Europäischen Union? Auch bislang gab es in Deutschland das Bundesdatenschutzgesetz, das (ebenfalls) auf einer Richtlinie der EU beruhte und Landesdatenschutzgesetze, die nunmehr angepasst wurden und noch werden. Die Europäische Union kam zur Auffassung, dass die bisherigen Regelungen die Interessen der Bürger nicht hinreichend schützen und die bisherige Konstruktion als bloße Richtlinie den einzelnen Mitgliedstaaten einen zu weiten Spielraum gab, den Datenschutz unterschiedlich auszugestalten. Die Datenschutzrichtlinie der EU aus dem Jahr 1995 gab nur einen Mindeststandard vor, sodass es ein erhebliches Gefälle zwischen etwa dem deutschen Recht (hoher Datenschutzstandard) und etwa dem irischen Recht (nur Minimalstandard) gab. Daher wurde nach zum Teil hitziger Debatte schließlich eine Grundverordnung verabschiedet: Diese entfaltet in weiten Bereichen unmittelbar Wirkung (daher „Verordnung“), erfordert aber auch Umsetzungen durch alle Mitgliedstaaten der EU.

Was ändert sich gegenüber dem bis einschließlich 24. Mai 2018 geltenden Recht? Zunächst stellt Art. 5 DSGVO eine Reihe von Grundsätzen der Datenverarbeitung vor, die gleichsam die Leitplanken der Datenverarbeitung darstellen. Hiernach müssen Daten

  • rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden (Art. 5 Abs. 1 lit. a DSGVO);
  • nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO);
  • dem Zweck angemessen und für ihn erheblich sein sowie auf das notwendige Maß beschränkt werden (Art. 5 Abs. 1 lit. c DSGVO);
  • sachlich richtig sein und bei Fehlern unverzüglich gelöscht oder berichtigt werden (Art. 5 Abs. 1 lit. d DSGVO);
  • nur für einen durch den Zweck bestimmten Zeitraum die Identifizierung betroffener Personen erlauben (Art. 5 Abs. 1 lit. e DSGVO);
  • durch geeignete technische und organisatorische Maßnahmen geschützt werden (Art. 5 Abs. 1 lit. f DSGVO).

Die Liste der Grundsätze ist lang und erlaubt eine erste Überprüfung, ob die eigene Datenverarbeitung diesen Grundsätzen standhält. Wer hat Zugriff auf die Zahlungsdaten von Spendern? Wie werden die Daten, die der Einziehung des Jahresbeitrages dienen, geschützt? Wann dürfen Daten überhaupt erhoben oder gespeichert werden? Immer wieder erlebt man, dass die Grundannahme des Datenschutzes nicht verinnerlicht wurde. Daten dürfen nicht erhoben, gespeichert oder verarbeitet werden, wenn es nicht ausnahmsweise erlaubt ist – ein sogenanntes Verbot mit Erlaubnisvorbehalt (Art. 6 DSGVO). Hiernach dürfen Daten nur erhoben, gespeichert oder verarbeitet werden, wenn dies

  • der Erfüllung eines Vertrages oder einer vorvertraglichen Maßnahme dient;
  • der Erfüllung einer rechtlichen Verpflichtung dient;
  • dem Schutz lebenswichtiger Interessen dient;
  • der Erfüllung öffentlicher Aufgaben und der Wahrung berechtigter Interessen dient

oder

  • der Betroffene eingewilligt hat.

Aus den gesetzlichen Erlaubnistatbeständen ergäbe sich bei einem gemeinnützigen Verein das Recht, die Daten eines Spenders bis zur Erteilung der Spendenbescheinigung und zur steuerlichen Prüfung zu speichern. Eine längere Speicherung der Daten, die die Identifizierung des Spenders erlauben, ist dagegen schwierig. Auch die Überführung der Daten in eine Datei von besonders zahlungskräftigen Spendern, um diese gesondert zu kontaktieren, ist nach den gesetzlichen Erlaubnisnormen nicht zulässig, soweit man nicht ein berechtigtes Interesse darlegen kann.

Lediglich die Einwilligung des Betroffenen erlaubt dies. Die Einwilligung war auch schon nach dem geltenden Recht das probate Mittel, um sicher Daten zu verarbeiten. Typischerweise finden sich in vielen Beitrittsformularen oder an anderen Stellen solche Hinweise. Grundsätzlich haben diese Einwilligungen auch unter der DSGVO Geltung. Nur – und das ist eine wesentliche Einschränkung – die Einwilligung nach altem Recht hat nur für die Zukunft Bestand, wenn die Art der erteilten Einwilligung den Bedingungen dieser Verordnung entspricht (Erwägungsgrund 171). Die Einwilligungserklärung nach der DSGVO erfordert zur Wirksamkeit unter anderem, dass der Betroffene auch über die Möglichkeit des Widerrufs der Einwilligung informiert wird. Die Einwilligung muss ferner freiwillig sein (sie darf also insbesondere nicht Voraussetzung für die Erfüllung eines Vertrages sein, zu dessen Erfüllung die Daten nicht benötigt werden). Es ist also dringend angeraten, die bisherigen Einwilligungserklärungen zu prüfen, ob diese nach dem neuen Recht Bestand haben.

Die DSGVO sieht weiter erhebliche Informationspflichten gegenüber dem Betroffenen zum Zeitpunkt der Erhebung der Daten vor, unter anderem auch einen Hinweis zur Dauer der Datenspeicherung und Angaben zu den Betroffenenrechten (Art. 13 DSGVO). Auch hier ist die bisherige Praxis zu überprüfen.

Auch eine Reihe von Vereinen, Stiftungen und anderen Körperschaften werden Verzeichnisse aller Datenverarbeitungstätigkeiten erstellen müssen. Zwar gilt zunächst eine Befreiung für Einrichtungen mit weniger als 250 Mitarbeitern; aber da eine Rückausnahme für den Fall der nicht nur gelegentlichen Datenverarbeitung vorgesehen ist, wird auch jede Körperschaft, die Daten von Mitgliedern, Spendern oder Mitarbeitern verarbeitet, ein solches Verarbeitungsverzeichnis erstellen müssen.

Zukünftige Datenverarbeitungsvorgänge bedürfen auch einer Datenschutzfolgenabwägung (Art. 38 DSGVO). Die Prüfung, ob ein hohes Risiko für den Betroffenen besteht, muss vor Aufnahme der Verarbeitung erfolgen. Schriftlich zu dokumentieren ist, ob aufgrund Art, Umfang, besonderer Umstände oder Zwecke der Verarbeitung ein solches Risiko besteht. Die Einführung einer neuen Mitgliederverwaltung kann also nicht einfach so geschehen, sondern muss die Folgen für die betroffenen Mitglieder einordnen.

Ab zehn Mitarbeitern muss ein Datenschutzbeauftragter bestellt werden. Ohne Rücksicht auf diese Zahl muss ein Datenschutzbeauftragter bestellt werden, wenn die Verarbeitung sensitiver Daten (dies sind u. a. Gesundheitsdaten, Daten über religiöse oder weltanschauliche Überzeugungen, Zugehörigkeit zu einer Partei oder Gewerkschaft) zu den Kerntätigkeiten der Einrichtung gehört.

Neben einer Vielzahl weiterer Änderungen stechen noch drei Aspekte besonders heraus: Zukünftig muss jede Datenverletzung gemeldet werden. Die Daten des Betroffenen müssen auf dessen Wunsch hin übertragen werden – d. h. der Betroffene kann verlangen, dass die bei ihm erhobenen Daten einem anderen zur Verfügung gestellt werden. Es ist also möglich, dass bei einem Wechsel der Vereinsmitgliedschaft auch die bisherigen Daten des Vereinsmitglieds an einen neuen Verein überspielt werden müssen. Und schließlich: Die Bußen bei Verstößen belaufen sich auf 4 Prozent des weltweiten Umsatzes oder EUR 20 Millionen – je nach dem was höher ist!

Die DSGVO kann also nicht einfach zur Kenntnis genommen werden. Sie erfordert eine gründliche Analyse der bisherigen Praxis und eine rasche Anpassung, um nicht Ende Mai 2018 mit Verstößen konfrontiert zu werden. Dies gilt umso mehr, als die deutschen Datenschutzbehörden bereits angekündigt haben, rasch die Befolgung prüfen zu wollen.