Die zehn wichtigsten Fragen zum Datenschutz im Verband

Ralf Wickert ist Rechtsanwalt und berät seit vielen Jahren Verbände und ihre Organisationseinheiten auch in datenschutzrechtlicher Hinsicht. Mit Blick auf die neue Datenschutz-Grundverordnung antwortet er hier auf die am häufigsten gestellten Fragen von Verbänden und Organisationen.

w

Warum gibt es die DSGVO und was war der Anlass dafür?

Zwar gab es in Europa schon einen Vorläufer der Datenschutz-Grundverordnung, nämlich die europäische Datenschutz-Richtlinie. Diese wurde jedoch in vielen Mitgliedstaaten praktisch nicht umgesetzt, sodass ein ganz unterschiedliches Schutzniveau in Europa entstanden ist. Dies war Anlass für die Europäische Union, einen Mindeststandard im Datenschutz durch eine unmittelbar für alle Organisationen, gleich ob privat oder staatlich, geltende Verordnung einzuführen. Insbesondere die erheblichen technischen Veränderungen und die Nutzung elektronischer Medien führen dazu, dass immer tiefer in die Privatsphäre von Betroffenen eingegriffen werden kann. Man denke nur an das sogenannte Web-Tracking. Demzufolge muss der Gesetzgeber heute Spielregeln festsetzen, an die sich alle halten müssen.

w

Ändert sich durch die Datenschutz-Grundverordnung wirklich so viel für Verbände oder müssen sie eigentlich nur kleinere Maßnahmen vornehmen?

Deutschland gilt seit vielen Jahren als Vorreiter in datenschutzrechtlichen Fragen. Jedenfalls vom gesetzgeberischen Rahmen aus gesehen. Allerdings waren weder die Aufsichtsbehörden personell so ausgestattet, dass die Einhaltung des Datenschutzes auch wirklich kontrolliert werden konnte, noch gab es in den Unternehmen und Organisationen eine flächendeckende Umsetzung. Diejenigen Organisationen, die bislang datenschutzkonform gearbeitet haben, müssen ihr Datenschutz-Management insbesondere im Bereich der Transparenzregelungen etwa zur Erfüllung von Informationspflichten im Sinne der Art. 13 und 14 DSGVO ergänzen. Weiterhin gibt es in der Datenschutz-Grundverordnung auch neue Bereiche, so etwa die Datenschutz-Folgeabschätzung oder das Verzeichnis von Verarbeitungstätigkeiten. Vieles ist aber auch gleich geblieben, so etwa die wesentlichen Voraussetzungen für die Bestellung eines sogenannten betrieblichen Datenschutzbeauftragten.
w

Unterfallen alle Verbände dem Datenschutz oder gibt es hier Ausnahmen?

Das Datenschutzrecht ist rechtsformneutral, sodass alle Verbände hierunter fallen, unabhängig davon, ob sie etwa als rechtsfähiger oder nicht rechtsfähiger Verein organisiert sind. Jede rechtlich selbstständige Organisation ist ein eigener datenschutzrechtlicher Verantwortlicher. Hat etwa eine Verbandsorganisation neben dem Bundesverband auch Landesverbände, die eigenständig organisiert sind, so unterfallen diese selbstständig dem Datenschutzrecht. Gleiches gilt für eine Service-GmbH. Auch die öffentlich-rechtlichen Verbände, etwa die berufsständischen Kammern, fallen hierunter. Größenbedingte Ausnahmen gibt es nicht.
w

Muss jeder Verband einen Datenschutzbeauftragten bestellen?

Das Konzept des betrieblichen Datenschutzbeauftragten ist einerseits in Art. 37 DSGVO und andererseits für die privatrechtlich organisierten Verbände in § 38 BDSG neu geregelt. Öffentlich-rechtliche Verbände benötigen immer einen Datenschutzbeauftragten (§ 5 Abs. 1 BDSG neu für die dem Bundesrecht unterfallenden öffentlich-rechtlichen Verbände). Nach § 38 BDSG neu ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn mindestens zehn Personen (Achtung, der Begriff der Personen geht über den Begriff der Arbeitnehmer hinaus und umfasst etwa auch freie Mitarbeiter die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.) Damit ist jedenfalls bei einer Verbandsgeschäftsstelle in entsprechender Größe regelmäßig allein wegen dieser Vorschrift ein betrieblicher Datenschutzbeauftragter zu bestellen.

Bei kleineren Verbänden greift oftmals Art. 37 Abs. 1 lit. c DSGVO für die Bestellpflicht ein, wonach auch kleinere Verbände einen Datenschutzbeauftragten zu bestellen haben, wenn sie in einer gewissen Regelmäßigkeit besondere Kategorien personenbezogener Daten (insbesondere die Gewerkschaftszugehörigkeit und Gesundheitsdaten spielen bei Verbänden eine Rolle) automatisiert verarbeiten.

Verbände können wählen, ob sie einen internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten benennen. Der interne Datenschutzbeauftragte genießt besonderen Kündigungsschutz gemäß § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG neu. In jedem Falle sollten nur solche Personen als interne Datenschutzbeauftragte bestellt werden, die auch ein gewisses Interesse für den Datenschutz mit bringen, sodass eine fachliche Einarbeitung sichergestellt ist. Die häufig gestellte Frage, ob der IT-Leiter Datenschutzbeauftragter sein soll, würde ich glatt verneinen, da der zu Kontrollierende nicht zugleich der Kontrollierende sein sollte.

w

Wie gehe ich denn als Verband vor, wenn ich mich bislang mit dem Thema Datenschutzrecht noch nicht so richtig beschäftigt habe?

Zunächst einmal muss ich klären, welche personenbezogenen Daten ich überhaupt in welchen grundsätzlichen Verarbeitungsprozessen verarbeite. Personenbezogene Daten sind all diejenigen Daten, die einen Hinweis auf natürliche Personen geben, wie etwa die Adresse, das Alter oder Bankdaten. Das reine Foto auf einer Verbandswebsite ohne jeden Namenszusatz unterfällt dem Kunsturhebergesetz. Auch Wirtschaftsverbände verarbeiten selbstverständlich personenbezogene Daten, auch wenn die reine Mitgliederkartei selbst kein personenbezogener Datensatz ist, wenn nur Kapitalgesellschaften oder Personenhandelsgesellschaften Mitglied sind. Sobald man aber den Geschäftsführer zuspeichert, ist man bereits im Datenschutzrecht unterwegs.

Als Verband sollte man zunächst einmal alle klassischen Verbandsprozesse, in denen personenbezogene Daten verarbeitet werden, erfassen. Dies sind etwa die Mitgliederverwaltung, die Kommunikation mit Mitgliedern, die Erteilung von Rechtsberatung, die Durchführung von Seminaren oder auch die Personalverwaltung. Hat man diese Standardprozesse und die dabei verarbeiteten personenbezogenen Daten erfasst, muss man sich über die Rechtsgrundlage und damit über die Rechtmäßigkeit Gewissheit verschaffen. Dies ist in Art. 6 DSGVO geregelt. Nach dieser Norm darf derjenige personenbezogene Daten verarbeiten, der entweder über eine Einwilligung verfügt oder dies in Ausführung eines Vertrages tut (auch die Verbandsmitgliedschaft selbst ist ein Vertrag ebenso wie der Besuch eines Seminars), oder wenn das Gesetz dies selbst fordert (hier spielen z. B. Archivierungspflichten aus § 147 der Abgabenordnung eine zentrale Rolle). Daneben dürfen auch diejenigen Daten verarbeitet werden, die einem berechtigten Interesse des Verbandes unterfallen. Das berechtigte Interesse muss aber dann mit den Interessen der betroffenen Personen abgewogen werden. Klassischer Anwendungsbereich ist die Werbung, die von der Datenschutz-Grundverordnung selbst als berechtigtes Interesse bezeichnet wird. Hier kann also ein Verband bestimmte Kontaktdaten wie etwa die postalische Anschrift und den Namen für die Versendung von Werbematerial für Fortbildungsangebote nutzen. Andere Kontaktwege, wie etwa Mail-Kontakt oder Telefonanrufe, unterfallen hinsichtlich der Zulässigkeit § 7 UWG und müssen demgemäß an wettbewerbsrechtlichen Grundsätzen gemessen werden.

Bittet der Verband um die Einwilligung für eine bestimmte Datenverarbeitung, so ist man künftig nicht mehr an die Schriftlichkeit des alten Datenschutzrechts gebunden, sondern kann dies auch elektronisch (also per Mail) erbitten. Inhaltlich ändert sich bei der Einwilligung nur wenig, da auch nach dem neuen Recht die sogenannte informierte Einwilligungspflicht gilt, der Betroffene also wissen muss, was man mit den Daten beabsichtigt.

w

Welche technischen Maßnahmen muss ein Verband ergreifen?

Die Datenschutz-Grundverordnung hat keine Regelung, die § 9 BDSG in seiner heutigen Fassung entspricht. Inhaltlich dürfte jedoch der technische Maßnahmenkatalog nach neuem Recht nicht viel anders aussehen als nach altem Recht. Demgemäß müssen in einem technisch-organisatorischen Maßnahmenkonzept diejenigen Maßnahmen technischer und organisatorischer Art beschrieben werden, die der Verband zum Schutz personenbezogener Daten ergriffen hat. Dies sind etwa Zutrittsrechte zu Serveranlagen, die sich idealerweise ja in einem abgeschlossenen Raum befinden und Zugriffsrechte auf Dateien, wo der Passwortschutz eine Rolle spielt. Weiter spielen in diesem Zusammenhang Zugriffsrechte eine Rolle, also die Frage, welche Abteilung der Verbandsgeschäftsstelle zulässigerweise welche Daten benutzen darf. Bei der Verpflichtung zu einer Organisation der Weitergabekontrolle geht es um Verschlüsselungstechnik etwa bei E-Mail-Versendung. Im Rahmen der Verfügbarkeitskontrolle müssen die Maßnahmen dargestellt werden, die mit der Sicherung von Daten in Kopien und Back-up ergriffen wurden. Ein solches Maßnahmenkonzept kann nur in Zusammenarbeit mit der EDV-Abteilung bzw. dem EDV-Dienstleister erstellt werden und sollte auch dokumentiert werden.

Solche Maßnahmen technischer Art müssen in einem gewissen Turnus überprüft werden, da die Datenschutz-Grundverordnung dem Umstand Rechnung trägt, dass sich technische Schutzvorrichtungen naturgemäß weiterentwickeln und demgemäß nicht statisch einmal praktisch für Jahre implementiert werden.

w

Kann man Daten eigentlich ewig vorhalten?

Aufgrund der technischen Entwicklung von Speichermedien ist es heute jedenfalls keine Kapazitätsfrage mehr, personenbezogene Daten praktisch ewig abzuspeichern. Dies geschieht frei nach dem Motto, dass man Daten ja immer wieder gebrauchen kann. Genau das will das Datenschutzrecht verhindern und verpflichtet die Verbände in Art. 17 DSGVO, ein sogenanntes Löschkonzept zu entwickeln. In diesem Löschkonzept müssen die Verbände die Maßnahmen beschreiben, wann sie welche Daten löschen. So kann man etwa sagen, dass Vertragsdaten nach Ablauf von Gewährleistungspflichten zu löschen sind, es sei denn, sie sind in ein Archiv zu überführen und müssen etwa in dieses übertragen werden. Das Archiv wäre eine andere Löschklasse. Ein solches Löschkonzept ist idealerweise eng mit der EDV-Abteilung abzustimmen, da es ja über die Software auch abgebildet werden, d. h. umgesetzt werden muss.
w

Man liest so viel über Transparenzpflichten. Was muss hier aus Sicht eines Verbandes genau gemacht werden?

In der Tat gibt es hier ganz neue Anforderungen. Sah das bisherige Datenschutzrecht in § 34 BDSG „nur“ vor, dass betroffene Personen Auskunft über die gespeicherten Daten beim Verband verlangen konnten – was in der Praxis nicht allzu häufig geschah –, so müssen künftig die Verbände von sich aus die Betroffenen informieren. Art. 13 und Art. 14 DSGVO verpflichten die Verbände dazu, bei Erhebung der Daten den Betroffenen selbst oder über Dritte zu informieren. So muss etwa bei Buchung eines Fortbildungsseminars, welches ein Verband durchführt, der Seminarteilnehmer auf der Eingangsbestätigung darüber informiert werden, welche zentralen Datenschutzprozesse beim Verband abgebildet werden. Die genauen Informationsinhalte sind in Art. 13 und Art. 14 DSGVO exakt beschrieben. Praktisch kann dies etwa dadurch geschehen, dass der Verband bei einer Onlinebestätigung per Link auf die Webseite weiterleitet, wo die entsprechenden Angaben gemacht sind. Auch dies sollte künftig in die Routineprozesse zusammen mit der EDV eingepflegt werden, da hier die Betroffenen ganz schnell merken, welche Verbände sich mit dem Datenschutz beschäftigen bzw. nicht.
w

Was gilt eigentlich bei der Handy- und LaptopNutzung?

Handys und Laptops sind fast eine Art Statussymbol von Arbeitnehmern. Da Verbände Dienstleistungsorganisationen sind, kommen solche Geräte dort in erheblichem Umfang zum Einsatz. Hier müssen klare Spielregeln gelten. So kann es nicht sein, dass Arbeitnehmer der Verbandsgeschäftsstelle einfach solche Geräte nutzen, wie sie es wollen. Der Klassiker ist etwa die Nutzung von Whatsapp, die aus datenschutzrechtlicher Sicht ein echtes Problem ist, da solche Messenger-Dienste praktisch das gesamte Handy auslesen und in die USA, also ein Drittland, was dazu noch kein organisiertes Datenschutzrecht besitzt, übermittelt. Würde dies etwa bei einer Gewerkschaft geschehen und wäre die Mitgliederkartei auf dem Handy, so hätte man ein echtes Problem. Dies sollte alles in einer Richtlinie geregelt werden, in der dann auch etwa die Zulässigkeit der privaten Nutzung von dienstlichen E-Mail-Accounts vorgegeben werden sollte. Gestattet der Arbeitgeber, also der Verband, eine solche Nutzung, so wird er zum Diensteanbieter und darf praktisch in seinen eigenen Account nicht mehr hineinschauen. Er würde sich dann sogar strafbar machen. Dies sind alles Dinge des Arbeitnehmerdatenschutzes, die man tunlichst vorher regeln sollte, um hier klare und transparente Spielregeln zu schaffen.
w

In den Medien wird so viel über die hohen Bußgelder berichtet. Auf was hat man sich denn hier als Verband einzustellen?

In der Tat bekommt man es mit der Angst zu tun, wenn man das Gesetz liest. Art. 83 DSGVO beschreibt Bußgelder, die bis zu 20 Millionen Euro gehen können. Dies ist aber sicherlich nicht auf Verbände gemünzt und betrifft auch nicht den Normalfall. Auf der anderen Seite sind die Zeiten vorbei, wo mit Kleinst-Bußgeldern praktisch noch ein Anreiz dafür gegeben wurde, gegen das Datenschutzrecht durch Untätigkeit zu verstoßen, weil man nach drei Jahren unentdeckter Verstöße praktisch schon auf der Gewinnerseite war. Wenn die Ausgangsbußgelder so hoch sind, ist auch das Eingangsbußgeld höher als vorher. Da muss man kein Prophet sein. Wenn man dann noch weiß, dass die Aufsichtsbehörden personell aufrüsten, muss man auch mit einer Umsetzung des Bußgeldrahmens rechnen.

Bei der Bußgeldhöhe spielt sicherlich die Art des Verstoßes eine Rolle. So sind etwa nicht gemeldete Datenpannen sicherlich eher bußgeldrelevant als eine einmalige Verletzung einer Informationspflicht. Datenpannen können etwa abhandengekommene Laptops oder Handys betreffen und müssen in der Regel der Aufsichtsbehörde gemeldet werden. Hiervon kann man nur absehen, wenn praktisch keine Risiken für die Betroffenen, deren Daten auf dem Gerät gespeichert wurden, ersichtlich sind. Dies dürfte aber in der Praxis eher die Ausnahme sein. In manchen Fällen, also denjenigen, wo hohe Risiken für die Betroffenen bestehen, muss auch diesen gegenüber die Datenpanne offengelegt werden. Das Problem bei den Datenpannen ist, dass die Leitung der Geschäftsstelle erst einmal selbst Kenntnis von der Datenpanne haben muss, da eine nachvollziehbare Neigung der Mitarbeiter besteht, solche Pannen, die ja auf eigene fahrlässige Pflichtverletzung hindeuten, zu verschweigen. Hier sollte man eine klare Richtlinie erlassen, die die Mitarbeiter dazu verpflichtet, solche Pannen zu benennen, und ihnen auch erst einmal erklärt, was eigentlich eine Datenpanne ist.

Insgesamt wird sich die Höhe des Bußgeldes nach Art. 83 Abs. 1 DSGVO daran orientieren, wie der Verband sich überhaupt mit dem Thema Datenschutz auseinandergesetzt hat. Hat der Verband die notwendigen datenschützenden Maßnahmen ergriffen und passiert dann trotzdem etwas, so wird dies bei der Bemessung etwaiger Bußgelder schon kraft Gesetzes berücksichtigt. Umgekehrt gilt, dass der Verband, der das Datenschutzrecht ignoriert, letztlich bei den Bußgeldern mit drakonischen Strafen zu rechnen hat.

Lassen Sie sich beraten. Unverbindlich und persönlich.

Sie kümmern sich um Ihre wichtige Verbandsarbeit – wir um Ihren Datenschutz.

FORUM DC – Gesellschaft für Datenschutz und Compliance mbH

Ihre Experten, wenn es um Datenschutz im Verband geht.

Adresse

Raderberger Straße 190
50968 Köln

Kontaktdaten

Telefon 0221 / 423 37 780
Telefax 0221 / 423 26 195
info@forum-dc.de