Zwar gab es in Europa schon einen Vorläufer der Datenschutz-Grundverordnung, nämlich die europäische Datenschutz-Richtlinie. Diese wurde jedoch in vielen Mitgliedstaaten praktisch nicht umgesetzt, sodass ein ganz unterschiedliches Schutzniveau in Europa entstanden ist. Dies war Anlass für die Europäische Union, einen Mindeststandard im Datenschutz durch eine unmittelbar für alle Organisationen, gleich ob privat oder staatlich, geltende Verordnung einzuführen. Insbesondere die erheblichen technischen Veränderungen und die Nutzung elektronischer Medien führen dazu, dass immer tiefer in die Privatsphäre von Betroffenen eingegriffen werden kann. Man denke nur an das sogenannte Web-Tracking. Demzufolge muss der Gesetzgeber heute Spielregeln festsetzen, an die sich alle halten müssen.

Bei kleineren Verbänden greift oftmals Art. 37 Abs. 1 lit. c DSGVO für die Bestellpflicht ein, wonach auch kleinere Verbände einen Datenschutzbeauftragten zu bestellen haben, wenn sie in einer gewissen Regelmäßigkeit besondere Kategorien personenbezogener Daten (insbesondere die Gewerkschaftszugehörigkeit und Gesundheitsdaten spielen bei Verbänden eine Rolle) automatisiert verarbeiten.

Verbände können wählen, ob sie einen internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten benennen. Der interne Datenschutzbeauftragte genießt besonderen Kündigungsschutz gemäß § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG neu. In jedem Falle sollten nur solche Personen als interne Datenschutzbeauftragte bestellt werden, die auch ein gewisses Interesse für den Datenschutz mit bringen, sodass eine fachliche Einarbeitung sichergestellt ist. Die häufig gestellte Frage, ob der IT-Leiter Datenschutzbeauftragter sein soll, würde ich glatt verneinen, da der zu Kontrollierende nicht zugleich der Kontrollierende sein sollte.

Als Verband sollte man zunächst einmal alle klassischen Verbandsprozesse, in denen personenbezogene Daten verarbeitet werden, erfassen. Dies sind etwa die Mitgliederverwaltung, die Kommunikation mit Mitgliedern, die Erteilung von Rechtsberatung, die Durchführung von Seminaren oder auch die Personalverwaltung. Hat man diese Standardprozesse und die dabei verarbeiteten personenbezogenen Daten erfasst, muss man sich über die Rechtsgrundlage und damit über die Rechtmäßigkeit Gewissheit verschaffen. Dies ist in Art. 6 DSGVO geregelt. Nach dieser Norm darf derjenige personenbezogene Daten verarbeiten, der entweder über eine Einwilligung verfügt oder dies in Ausführung eines Vertrages tut (auch die Verbandsmitgliedschaft selbst ist ein Vertrag ebenso wie der Besuch eines Seminars), oder wenn das Gesetz dies selbst fordert (hier spielen z. B. Archivierungspflichten aus § 147 der Abgabenordnung eine zentrale Rolle). Daneben dürfen auch diejenigen Daten verarbeitet werden, die einem berechtigten Interesse des Verbandes unterfallen. Das berechtigte Interesse muss aber dann mit den Interessen der betroffenen Personen abgewogen werden. Klassischer Anwendungsbereich ist die Werbung, die von der Datenschutz-Grundverordnung selbst als berechtigtes Interesse bezeichnet wird. Hier kann also ein Verband bestimmte Kontaktdaten wie etwa die postalische Anschrift und den Namen für die Versendung von Werbematerial für Fortbildungsangebote nutzen. Andere Kontaktwege, wie etwa Mail-Kontakt oder Telefonanrufe, unterfallen hinsichtlich der Zulässigkeit § 7 UWG und müssen demgemäß an wettbewerbsrechtlichen Grundsätzen gemessen werden.

Bittet der Verband um die Einwilligung für eine bestimmte Datenverarbeitung, so ist man künftig nicht mehr an die Schriftlichkeit des alten Datenschutzrechts gebunden, sondern kann dies auch elektronisch (also per Mail) erbitten. Inhaltlich ändert sich bei der Einwilligung nur wenig, da auch nach dem neuen Recht die sogenannte informierte Einwilligungspflicht gilt, der Betroffene also wissen muss, was man mit den Daten beabsichtigt.

Solche Maßnahmen technischer Art müssen in einem gewissen Turnus überprüft werden, da die Datenschutz-Grundverordnung dem Umstand Rechnung trägt, dass sich technische Schutzvorrichtungen naturgemäß weiterentwickeln und demgemäß nicht statisch einmal praktisch für Jahre implementiert werden.

Bei der Bußgeldhöhe spielt sicherlich die Art des Verstoßes eine Rolle. So sind etwa nicht gemeldete Datenpannen sicherlich eher bußgeldrelevant als eine einmalige Verletzung einer Informationspflicht. Datenpannen können etwa abhandengekommene Laptops oder Handys betreffen und müssen in der Regel der Aufsichtsbehörde gemeldet werden. Hiervon kann man nur absehen, wenn praktisch keine Risiken für die Betroffenen, deren Daten auf dem Gerät gespeichert wurden, ersichtlich sind. Dies dürfte aber in der Praxis eher die Ausnahme sein. In manchen Fällen, also denjenigen, wo hohe Risiken für die Betroffenen bestehen, muss auch diesen gegenüber die Datenpanne offengelegt werden. Das Problem bei den Datenpannen ist, dass die Leitung der Geschäftsstelle erst einmal selbst Kenntnis von der Datenpanne haben muss, da eine nachvollziehbare Neigung der Mitarbeiter besteht, solche Pannen, die ja auf eigene fahrlässige Pflichtverletzung hindeuten, zu verschweigen. Hier sollte man eine klare Richtlinie erlassen, die die Mitarbeiter dazu verpflichtet, solche Pannen zu benennen, und ihnen auch erst einmal erklärt, was eigentlich eine Datenpanne ist.

Insgesamt wird sich die Höhe des Bußgeldes nach Art. 83 Abs. 1 DSGVO daran orientieren, wie der Verband sich überhaupt mit dem Thema Datenschutz auseinandergesetzt hat. Hat der Verband die notwendigen datenschützenden Maßnahmen ergriffen und passiert dann trotzdem etwas, so wird dies bei der Bemessung etwaiger Bußgelder schon kraft Gesetzes berücksichtigt. Umgekehrt gilt, dass der Verband, der das Datenschutzrecht ignoriert, letztlich bei den Bußgeldern mit drakonischen Strafen zu rechnen hat.