Die zehn wichtigsten Fragen zum Datenschutz im Verband
Ralf Wickert ist Rechtsanwalt und berät seit vielen Jahren Verbände und ihre Organisationseinheiten auch in datenschutzrechtlicher Hinsicht. Mit Blick auf die neue Datenschutz-Grundverordnung antwortet er hier auf die am häufigsten gestellten Fragen von Verbänden und Organisationen.
Warum gibt es die DSGVO und was war der Anlass dafür?
Zwar gab es in Europa schon einen Vorläufer der Datenschutz-Grundverordnung, nämlich die europäische Datenschutz-Richtlinie. Diese wurde jedoch in vielen Mitgliedstaaten praktisch nicht umgesetzt, sodass ein ganz unterschiedliches Schutzniveau in Europa entstanden ist. Dies war Anlass für die Europäische Union, einen Mindeststandard im Datenschutz durch eine unmittelbar für alle Organisationen, gleich ob privat oder staatlich, geltende Verordnung einzuführen. Insbesondere die erheblichen technischen Veränderungen und die Nutzung elektronischer Medien führen dazu, dass immer tiefer in die Privatsphäre von Betroffenen eingegriffen werden kann. Man denke nur an das sogenannte Web-Tracking. Demzufolge muss der Gesetzgeber heute Spielregeln festsetzen, an die sich alle halten müssen.
Ändert sich durch die Datenschutz-Grundverordnung wirklich so viel für Verbände oder müssen sie eigentlich nur kleinere Maßnahmen vornehmen?
Unterfallen alle Verbände dem Datenschutz oder gibt es hier Ausnahmen?
Muss jeder Verband einen Datenschutzbeauftragten bestellen?
Bei kleineren Verbänden greift oftmals Art. 37 Abs. 1 lit. c DSGVO für die Bestellpflicht ein, wonach auch kleinere Verbände einen Datenschutzbeauftragten zu bestellen haben, wenn sie in einer gewissen Regelmäßigkeit besondere Kategorien personenbezogener Daten (insbesondere die Gewerkschaftszugehörigkeit und Gesundheitsdaten spielen bei Verbänden eine Rolle) automatisiert verarbeiten.
Verbände können wählen, ob sie einen internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten benennen. Der interne Datenschutzbeauftragte genießt besonderen Kündigungsschutz gemäß § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG neu. In jedem Falle sollten nur solche Personen als interne Datenschutzbeauftragte bestellt werden, die auch ein gewisses Interesse für den Datenschutz mit bringen, sodass eine fachliche Einarbeitung sichergestellt ist. Die häufig gestellte Frage, ob der IT-Leiter Datenschutzbeauftragter sein soll, würde ich glatt verneinen, da der zu Kontrollierende nicht zugleich der Kontrollierende sein sollte.
Wie gehe ich denn als Verband vor, wenn ich mich bislang mit dem Thema Datenschutzrecht noch nicht so richtig beschäftigt habe?
Als Verband sollte man zunächst einmal alle klassischen Verbandsprozesse, in denen personenbezogene Daten verarbeitet werden, erfassen. Dies sind etwa die Mitgliederverwaltung, die Kommunikation mit Mitgliedern, die Erteilung von Rechtsberatung, die Durchführung von Seminaren oder auch die Personalverwaltung. Hat man diese Standardprozesse und die dabei verarbeiteten personenbezogenen Daten erfasst, muss man sich über die Rechtsgrundlage und damit über die Rechtmäßigkeit Gewissheit verschaffen. Dies ist in Art. 6 DSGVO geregelt. Nach dieser Norm darf derjenige personenbezogene Daten verarbeiten, der entweder über eine Einwilligung verfügt oder dies in Ausführung eines Vertrages tut (auch die Verbandsmitgliedschaft selbst ist ein Vertrag ebenso wie der Besuch eines Seminars), oder wenn das Gesetz dies selbst fordert (hier spielen z. B. Archivierungspflichten aus § 147 der Abgabenordnung eine zentrale Rolle). Daneben dürfen auch diejenigen Daten verarbeitet werden, die einem berechtigten Interesse des Verbandes unterfallen. Das berechtigte Interesse muss aber dann mit den Interessen der betroffenen Personen abgewogen werden. Klassischer Anwendungsbereich ist die Werbung, die von der Datenschutz-Grundverordnung selbst als berechtigtes Interesse bezeichnet wird. Hier kann also ein Verband bestimmte Kontaktdaten wie etwa die postalische Anschrift und den Namen für die Versendung von Werbematerial für Fortbildungsangebote nutzen. Andere Kontaktwege, wie etwa Mail-Kontakt oder Telefonanrufe, unterfallen hinsichtlich der Zulässigkeit § 7 UWG und müssen demgemäß an wettbewerbsrechtlichen Grundsätzen gemessen werden.
Bittet der Verband um die Einwilligung für eine bestimmte Datenverarbeitung, so ist man künftig nicht mehr an die Schriftlichkeit des alten Datenschutzrechts gebunden, sondern kann dies auch elektronisch (also per Mail) erbitten. Inhaltlich ändert sich bei der Einwilligung nur wenig, da auch nach dem neuen Recht die sogenannte informierte Einwilligungspflicht gilt, der Betroffene also wissen muss, was man mit den Daten beabsichtigt.
Welche technischen Maßnahmen muss ein Verband ergreifen?
Solche Maßnahmen technischer Art müssen in einem gewissen Turnus überprüft werden, da die Datenschutz-Grundverordnung dem Umstand Rechnung trägt, dass sich technische Schutzvorrichtungen naturgemäß weiterentwickeln und demgemäß nicht statisch einmal praktisch für Jahre implementiert werden.
Kann man Daten eigentlich ewig vorhalten?
Man liest so viel über Transparenzpflichten. Was muss hier aus Sicht eines Verbandes genau gemacht werden?
Was gilt eigentlich bei der Handy- und LaptopNutzung?
In den Medien wird so viel über die hohen Bußgelder berichtet. Auf was hat man sich denn hier als Verband einzustellen?
Bei der Bußgeldhöhe spielt sicherlich die Art des Verstoßes eine Rolle. So sind etwa nicht gemeldete Datenpannen sicherlich eher bußgeldrelevant als eine einmalige Verletzung einer Informationspflicht. Datenpannen können etwa abhandengekommene Laptops oder Handys betreffen und müssen in der Regel der Aufsichtsbehörde gemeldet werden. Hiervon kann man nur absehen, wenn praktisch keine Risiken für die Betroffenen, deren Daten auf dem Gerät gespeichert wurden, ersichtlich sind. Dies dürfte aber in der Praxis eher die Ausnahme sein. In manchen Fällen, also denjenigen, wo hohe Risiken für die Betroffenen bestehen, muss auch diesen gegenüber die Datenpanne offengelegt werden. Das Problem bei den Datenpannen ist, dass die Leitung der Geschäftsstelle erst einmal selbst Kenntnis von der Datenpanne haben muss, da eine nachvollziehbare Neigung der Mitarbeiter besteht, solche Pannen, die ja auf eigene fahrlässige Pflichtverletzung hindeuten, zu verschweigen. Hier sollte man eine klare Richtlinie erlassen, die die Mitarbeiter dazu verpflichtet, solche Pannen zu benennen, und ihnen auch erst einmal erklärt, was eigentlich eine Datenpanne ist.
Insgesamt wird sich die Höhe des Bußgeldes nach Art. 83 Abs. 1 DSGVO daran orientieren, wie der Verband sich überhaupt mit dem Thema Datenschutz auseinandergesetzt hat. Hat der Verband die notwendigen datenschützenden Maßnahmen ergriffen und passiert dann trotzdem etwas, so wird dies bei der Bemessung etwaiger Bußgelder schon kraft Gesetzes berücksichtigt. Umgekehrt gilt, dass der Verband, der das Datenschutzrecht ignoriert, letztlich bei den Bußgeldern mit drakonischen Strafen zu rechnen hat.
FORUM DC – Gesellschaft für Datenschutz und Compliance mbH
Ihre Experten, wenn es um Datenschutz im Verband geht.
Adresse
Raderberger Straße 190
50968 Köln
Kontaktdaten
Telefon 0221 / 423 37 780
Telefax 0221 / 423 26 195
info@forum-dc.de