28,99 €
Mehr erfahren.
- Herausgeber: Haufe Lexware
- Kategorie: Fachliteratur
- Serie: Haufe Fachbuch
- Sprache: Deutsch
Nutzen Sie zur Kommunikation im Verein WhatsApp? Gibt es einen Aushang mit Mitgliedernamen im Vereinsheim? Veröffentlichen Sie Fotos von Veranstaltungen, Trainings oder Wettkämpfen? Diese und andere Fragestellungen werden im Buch auf Herz und Nieren geprüft, damit Sie auch in Zeiten der DSGVO auf der sicheren Seite sind. Die Autorin bringt hier ihre jahrelange Erfahrung als selbstständige Unternehmerin und Beraterin ein und zeigt, wo die Fallstricke liegen. So wissen Sie, worauf Sie bei der Vielzahl der Regelungen ganz besonders achten müssen und wie Sie kostspielige Fehler vermeiden. Inhalte: - Anforderungen an Vereine aus der DSGVO/BDSG - Datenschutzbeauftragter (Pflicht, Benennung, Einhaltung DSGVO) - Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde - Vereins-Webseite: Darauf muss geachtet werden - Kommunikation über Internet und E-Mail - Verpflichtung von Mitarbeitern auf Vertraulichkeit - Risikomanagement/IT-Sicherheit/Technische und organisatorische Maßnahmen - Datenschutz im Vereinsalltag: Whats-App-Gruppen, Aushang am Schwarzen Brett, Veröffentlichung von Fotos bei Wettkämpfen/Veranstaltungen, Mitgliederlisten, Veröffentlichung von Jubiläen - Haftung und Strafen: Was erwartet hier den Verein? Arbeitshilfen online: - Gesetze - Mustervorlagen
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 344
Veröffentlichungsjahr: 2020
Ähnliche
[7]Inhaltsverzeichnis
Hinweis zum UrheberrechtImpressumVorwort1 Basiswissen Datenschutz1.1 Ziele und Zusammenwirken DSGVO/BDSG n. F.1.2 Persönlichkeitsrecht1.3 Datenschutz – warum betrifft das Thema auch Vereine?1.4 Satte Strafen bei Verstößen2 Datenschutzbeauftragter2.1 Pflicht zur Benennung2.2 Aufgaben eines Datenschutzbeauftragten3 Anforderungen an Vereine aus der DSGVO/BDSG n. F.3.1 Pflichten und Verantwortlichkeiten – ein Überblick3.2 Verzeichnis von Verarbeitungstätigkeiten3.2.1 VVT für Auftragsverarbeiter?3.2.2 Inhalt des Verzeichnisses und der Einzelbeschreibungen3.2.3 Erklärung der einzelnen Einträge3.2.4 Rechtsgrundlagen3.3 Sicherheit der Verarbeitung inkl. Risikobewertung 3.3.1 Geeignete Maßnahmen3.3.2 Angemessenes Schutzniveau3.3.3 Nachweismöglichkeiten3.3.4 Pflichten gegenüber den Mitarbeitern und Funktionären3.4 Technische und organisatorische Maßnahmen3.4.1 Pflicht zur Risikobegrenzung durch TOM 3.4.2 Auswahl der geeigneten Maßnahmen3.4.3 Spezialfall Löschfristen/Löschkonzept3.5 Organisation der Rechte der Betroffenen3.5.1 Rechte der betroffenen Person3.5.2 Informationspflicht nach Artikel 13 und 143.5.3 Was tun, wenn eine betroffene Person ihre Rechte wahrnimmt?3.6 Umgang mit externen Dienstleistern3.7 Datenschutz im Beschäftigtenverhältnis3.7.1 Geltende Gesetze3.7.2 Einwilligung3.7.3 Rechte der Mitarbeiter3.8 Sensibilisierung von Mitarbeitern und Funktionären3.9 Datenschutz-Folgenabschätzung3.9.1 Risikobewertung/Risikoermittlung3.9.2 Unterstützungsmöglichkeiten für die Durchführung der DSFA3.9.3 Vorherige Konsultation3.10 Meldepflicht bei Datenschutzverletzungen3.11 Dokumentation und Erfüllung der Nachweispflicht3.11.1 Verzeichnis von Verarbeitungstätigkeiten3.11.2 Grundsätze der Verarbeitung3.11.3 Einwilligung mit Nachweis3.11.4 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen3.11.5 Datenschutzverletzungen3.11.6 Empfehlung4 Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde4.1 Pflicht zur Kontaktaufnahme mit der Aufsichtsbehörde4.2 Kontaktaufnahme mit der Aufsichtsbehörde4.3 Kontaktaufnahme durch die Aufsichtsbehörde5 Aufgabenliste für Vereine5.1 Dokumente, Formulare und weitere Vorüberlegungen5.1.1 Datenschutzordnung (D-01)5.1.2 Erfüllung der Informationspflichten (D-02)5.1.3 Verzeichnis von Verarbeitungstätigkeiten (D-03)5.1.4 Einwilligung der Mitglieder (D-04)5.1.5 Einwilligung der Funktionäre/Mitarbeiter (D-05)5.1.6 Verpflichtung der Funktionäre/Mitarbeiter auf Vertraulichkeit (D-06)5.1.7 Übersicht Zugriffsberechtigungen Funktionäre (D-07)5.1.8 Einsatz privater Hardware von Mitarbeitern und Funktionären (D-08)5.1.9 Checkliste für den Ein- und Austritt von Funktionsträgern (D-09)5.2 Pflichtaufgaben5.2.1 Einmalige Pflichtaufgaben5.2.2 Regelmäßige Pflichtaufgaben5.3 Optionale Aufgaben5.3.1 Einmalige optionale Aufgaben5.3.2 Regelmäßige optionale Aufgaben5.4 Schnellcheck und Priorisierung6 Praxisbeispiele aus dem Vereinsalltag6.1 Mitgliederverwaltung 6.1.1 Spezialthema Einwilligung6.1.2 Spezialthema Einwilligung von Kindern6.2 Erhebung und Nutzung von Mitgliederdaten 6.2.1 Für Vereinszwecke6.2.2 Für andere Zwecke6.3 Durchführung von Veranstaltungen, an denen auch Nichtmitglieder teilnehmen6.4 Öffentlichkeitsarbeit6.4.1 Berichterstattung über Vereinsveranstaltungen6.4.2 Schwarzes Brett und Vereinspublikationen6.4.3 Berichte über persönliche Ereignisse6.4.4 Veröffentlichungen im Internet6.5 Kommunikation mit der Presse6.6 Kommunikation im Verein6.6.1 Veröffentlichungen im Intranet6.6.2 Nutzung von WhatsApp 6.6.3 Datenübermittlung an Vereinsmitglieder6.6.4 Bekanntgabe zur Wahrung satzungsmäßiger Mitgliederrechte6.6.5 Verhalten am Telefon6.6.6 Schwarzes Brett6.7 Fotos bei Vereinsveranstaltungen6.7.1 Individuen/kleine Gruppen vor oder nach der Veranstaltung6.7.2 Veranstaltungsfotos6.7.3 Vergangene Veranstaltungen6.7.4 Dienstleister6.7.5 Fotos von Kindern6.8 Arbeit am Computer6.8.1 Grundsätzliches6.8.2 Sichere Nutzung von Internet und E-Mail6.8.3 Nutzung von privaten Computern für ehrenamtliche Tätigkeiten6.9 Zusammenarbeit mit …6.9.1 … Dachverbänden und anderen Vereinen6.9.2 … Dachverband und Versicherungen6.9.3 … Sponsoren, Firmen und Versicherungen zu Werbezwecken6.10 Elektronischer Datenaustausch7 Datenschutz-Managementsystem7.1 Eignung eines Datenschutz-Managementsystems für Vereine7.2 Inhalte eines DatenschutzhandbuchsGlossarLiteraturverzeichnis und LinksStichwortverzeichnisArbeitshilfen OnlineHinweis zum Urheberrecht
Haufe Lexware GmbH & Co KG
[6]Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.
Print:
ISBN 978-3-648-13649-2
Bestell-Nr. 17025-0001
ePub:
ISBN 978-3-648-13650-8
Bestell-Nr. 17025-0100
ePDF:
ISBN 978-3-648-13651-5
Bestell-Nr. 17025-0150
Rose Müller
Datenschutz im Verein
1. Auflage, Juni 2020
© 2020 Haufe-Lexware GmbH & Co. KG, Freiburg
www.haufe.de
Bildnachweis (Cover): © Rachael Arnott, Adobe Stock
Produktmanagement: Annette Ziegler
Lektorat: Helmut Haunreiter
Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte, insbesondere die der Vervielfältigung, des auszugsweisen Nachdrucks, der Übersetzung und der Einspeicherung und Verarbeitung in elektronischen Systemen, vorbehalten. Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.
[11]Vorwort
Das Thema Datenschutz ist komplex und vielschichtig. Daher kann es passieren, dass in diesem Buch nicht alle Aspekte und Details eines Sachverhalts dargestellt werden. Oft hängt es von der individuellen Situation im Verein ab, ob die eine oder die andere Maßnahme umgesetzt werden soll oder kann. Manchmal beschreibe ich Sachverhalte auch gar nicht, weil ich davon ausgehe, dass sie für die Vereinspraxis nicht relevant sind. Sollten Sie aber genau zu einem solchen Punkt Fragen haben, melden Sie sich bitte unter [email protected].
Wichtig ist, das Thema Datenschutz als das anzunehmen, was es ist: Es soll das Vertrauen rechtfertigen, das die Mitglieder, Lehrgangsteilnehmer und Partner in denjenigen setzen, an den sie ihre persönlichen Daten aushändigen. Dies sollte als Vertrauensvorschuss gesehen und behandelt werden. Zwei Grundsatzaussagen beschreiben das Vorgehen der Vereinsvorstandschaft auch beim Datenschutz sehr gut:
Setzen Sie möglichst oft die Methode »Gesunder Menschenverstand« ein.Bedenken Sie immer: »Was Du nicht willst, das man Dir tu, das fügʼ auch keinem anderen zu.«Beim Lesen des Buches werden Sie feststellen, dass es immer wieder Stellen gibt, an denen ich mich nicht auf eine finale Aussage festlege. Möglicherweise wird Sie das verunsichern, weil sie vermutlich klare Handlungsanweisungen erwarten. Diese können jedoch zurzeit noch nicht immer gegeben werden, denn das Thema Datenschutz in Verbindung mit der neuen DSGVO ist komplex und noch recht jung. Es gibt bisher nur wenige Gerichtsurteile, an denen man sich wenigstens für Unternehmen orientieren könnte. Allerdings beziehen sich die wenigen Urteile auf ganz konkrete Situationen, die sich nicht verallgemeinern lassen, und mit Urteilen, die speziell Vereine betreffen, kann ich Ihnen leider noch nicht dienen.
Eine klare Handlungsanweisung kann ich Ihnen trotzdem mit auf den Weg geben: Beschäftigen Sie sich mit dem Thema, legen Sie für sich und Ihren Verein fest, welche Maßnahmen Sie ergreifen wollen und dokumentieren Sie Ihre Entscheidungen. Dann werden Sie niemandem – auch nicht der für Sie zuständigen Aufsichtsbehörde – Anlass dazu geben, Ihnen aus Ihrem Handeln einen Strick zu drehen!
[12]In einem Fachbuch lässt es sich nicht vermeiden, Fachbegriffe zu verwenden. Immer wieder aber kommt es vor, dass dieselben Begriffe – je nach dem Kontext, in dem sie verwendet werden – unterschiedliche Bedeutungen haben, oder dass sie von unterschiedlichen Menschen unterschiedlich benutzt und verstanden werden. Damit wir in diesem Buch dieselbe »Sprache sprechen«, habe ich im »Glossar« die wichtigsten Datenschutz-Begriffe so erklärt, wie ich sie verstehe und in diesem Buch verwende.
Und abschließend noch ein Hinweis: Was nutzen die »klügsten« Ausführungen, wenn sie keinen Bezug zur Praxis haben. Ich bin seit über 50 Jahren Mitglied in einem Sportverein und dort seit fast 40 Jahren in unterschiedlichen Funktionen ehrenamtlich tätig. Solche Erfahrungen erleichtern es ungemein, zwischen bloßem theoretischen Ballast und praxisrelevanten Informationen zu unterscheiden. Von daher habe ich beim Schreiben häufig an einen Sportverein gedacht und viele Beispiele im Buch aus diesem Bereich genommen. Hinzu kommt, dass Sportvereine nach meiner Erfahrung die meisten unterschiedlichen datenschutzrelevanten Situationen zu bewältigen haben: Sie betreiben oft eine Geschäftsstelle, die ein paar Stunden in der Woche besetzt ist, sie haben eventuell den einen oder anderen Trainer, der dort als Minijobber angestellt ist. Es gibt Trainings, Wettkämpfe, Veranstaltungen, Öffentlichkeitsarbeit mit Fotos etc. Die Liste der potenziell datenschutzrelevanten Themen ist lang. Für all diese Themen möchte ich Ihnen Lösungen anbieten. Falls Ihr Verein aus einer anderen »Ecke« kommt – kein Problem, selbstverständlich gelten die Bestimmung für alle andere Vereine ebenso, wenngleich die Situation möglicherweise weniger komplex als bei einem Sportverein ist.
Jetzt wünsche ich Ihnen viel Freude und viele gute Erkenntnisse beim Lesen!
[13]1Basiswissen Datenschutz
Worum geht es beim Datenschutz, was ist seine Zielsetzung? Das ist wohl die zentrale Grundfrage, wenn man sich mit diesem Thema auseinandersetzt. Die Antwort lässt sich auf einen sehr kurzen Nenner bringen: Beim Datenschutz geht es darum, zu regeln, wie Unternehmen, Selbstständige, Behörden und Vereine mit personenbezogenen Daten umgehen müssen, damit sie das Grundrecht jedes Einzelnen auf Schutz der Persönlichkeit wahren. Die dieser Aufgabe zugrundeliegenden Bestimmungen sind insbesondere die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) und in Deutschland das Bundesdatenschutzgesetz (BDSG).
In meiner ehrenamtlichen Arbeit als Funktionärin in Vereinen, aber auch als Datenschutzbeauftragte von Vereinen und Verbänden, höre ich immer wieder die Frage: »Wir haben doch keine bezahlten Mitarbeiter, sondern nur ehrenamtliche Funktionäre und Trainer. Warum müssen wir die DSGVO denn überhaupt beachten?« Die Antwort ist ganz einfach: Die DSGVO bestimmt in Artikel 2 Absatz 2, wer von den Regelungen der DSGVO ausnahmsweise ausgenommen wird. Die Arbeit und damit auch die Datenverarbeitung im Verein fällt nicht unter die genannten Ausnahmen. Man könnte meinen, dass der dortige Buchstabe c (»zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten«) die Ausnahme wäre, aber obwohl wir im Verein oft »nur« unsere Freizeit miteinander verbringen und unser gemeinsames Hobby ausüben, sind dies nicht ausschließlich persönliche oder familiäre Tätigkeiten. Ich kenne keinen Verein, der nur aus Familienmitgliedern besteht.
Daher: Weil die DSGVO weder zwischen großen und kleinen Firmen noch zwischen Firmen und Vereinen unterscheidet, gelten die DSGVO und das BDSG uneingeschränkt auch für Vereine. Es gibt leider keinen Sonderstatus, sondern man muss die vorgegebenen Regelungen auf die Vereinspraxis anwenden.
In diesem Kapitel werden deshalb zunächst sehr allgemeine Fragen zum Thema Datenschutz, zur DSGVO und zum BDSG n. F. beantwortet. Ferner wird erklärt, welcher Zusammenhang auch heute noch zu einschlägigen Urteilen aus den 1980er-Jahren besteht.
[14]Hinweis: Gesetzestexte
Die Erläuterung der Begriffe, die in der DSGVO verwendet werden, finden Sie dort im Artikel 4.
Den wichtigsten Begriff in diesem Zusammenhang möchte ich gleich zu Beginn etwas ausführlicher erklären: die Verarbeitung. In der DSGVO wird mit derselben Bedeutung auch von Verarbeitungstätigkeit gesprochen. Ein weiteres Synonym für die Verarbeitung ist der Begriff »Verfahren«. Nach Artikel 4 Ziffer 2 der DSGVO spricht man bei jedem ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten von einer Verarbeitung. Beispiele dafür sind das Erheben, die Speicherung, das Abfragen, die Verwendung, das Löschen oder die Vernichtung von personenbezogenen Daten, um nur einige zu nennen. Dabei spielt es keine Rolle, ob man diesen Vorgang mithilfe eines Computers durchführt oder ob man z. B. ein Papierformular ausfüllen lässt und die Papiere in einem Karteikasten sammelt oder in einem Ordner ablegt.
Hinweis
Im weiteren Verlauf des Buchs werden häufig Gesetzestexte zitiert. Um zentrale Aussagen für sie hervorzuheben, habe ich an der einen oder anderen Stelle – abweichend vom Originaltext – einzelne Passagen gefettet.
1.1Ziele und Zusammenwirken DSGVO/BDSG n. F.
Seit Mai 2018 gilt in allen Ländern der EU die Europäische Datenschutzgrundverordnung (DSGVO) gleichermaßen. Während davor jedes Land selbst für Datenschutz-Bestimmungen zuständig war, bildet jetzt die DSGVO die datenschutzrechtliche Basis für alle. An einigen Stellen der DSGVO gibt es jedoch sog. Öffnungsklauseln, die jedem Land erlauben oder auch vorschreiben, genau für diesen Sachverhalt eigene nationale Gesetze oder Regelungen zu treffen. Die nationalen Ergänzungen dürfen aber in keinem Fall die DSGVO aushebeln; sie sollen immer nur ergänzen oder schärfen. Das nationale Datenschutzgesetz in Deutschland heißt immer noch Bundesdatenschutzgesetz (BDSG) und wird, um es von der Fassung des BDSG, die bis zum 25. Mai 2018 galt, unterscheiden zu können, meistens mit dem Zusatz n. F. (neue Fassung) oder der Jahreszahl 2018 ergänzt.
[15]Beispiel: Ergänzungen im BDSG n. F. zur DSGVO
Beispiele für Ergänzungen, die im BDSG n. F. zu Bestimmungen der DSGVO gemacht wurden, sind der Beschäftigten-Datenschutz oder die Bedingung, wann ein Unternehmen bzw. eine Institution einen Datenschutzbeauftragten zu benennen hat. So stehen beispielweise in der DSGVO zum Datenschutzbeauftragten ausschließlich qualitative Bedingungen (öffentliches/nichtöffentliches Unternehmen, bestimmte Verarbeitungen der Daten ...) und es wird auf die nationalen Gesetze verwiesen. In Deutschland wurde die alte Regelung wieder erneuert, nämlich dass bei mindestens 10 Personen1, die ständig mit der Verarbeitung von personenbezogenen Daten zu tun haben, ein Datenschutzbeauftragter zu benennen ist. Wie das »ständig« zu interpretieren ist, wird im Kapitel 2 »Datenschutzbeauftragter« beschrieben.
Hinweis: weitere nationale Datenschutzgesetze
Außer dem BDSG n. F. gibt es in Deutschland noch weitere Datenschutzgesetze für bestimmte Einrichtungen. Beispiele dafür sind:
Öffentliche Einrichtungen der Länder: Landesdatenschutzgesetze des jeweiligen Bundeslands.Kirchliche Einrichtungen: kirchliche Datenschutzgesetze je KonfessionWie bereits erwähnt unterscheidet die DSGVO nicht zwischen großen und kleinen Firmen oder zwischen Firmen und Vereinen, sodass alle Regelungen selbstständig auf die Vereinsarbeit angepasst und in praktikable Lösungen für die hauptsächlich ehrenamtliche Arbeit in den Vereinen umgesetzt werden müssen.
Durch die Einführung der DSGVO im Mai 2018 hat sich das grundsätzliche Ziel der Datenschutzgesetzgebung nicht geändert. Nach wie vor sind die Regelungen sog. »Verbote mit Erlaubnisvorbehalt«. Das bedeutet, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, außer sie ist durch bestimmte »Erlaubnistatbestände» legitimiert. Welche Rechtsgrundlagen dafür sorgen, dass ein Verantwortlicher personenbezogene Daten verarbeiten darf, erfahren Sie im Kapitel »3.2.4 Rechtsgrundlagen«. Insofern ist auch die Haltung einiger Vereine, dass [16]sie seit Mai 2018 keine Fotos ihrer Athleten mehr veröffentlichen oder ihren Mitgliedern nicht mehr zum Geburtstag gratulieren dürfen, nicht nachvollziehbar. Das Verbot bzw. die Möglichkeit, dass man sich doch die Erlaubnis holen kann, war – zumindest in Deutschland – auch schon vor Mai 2018 durch das bis dahin geltende BDSG geregelt, und zwar quasi genauso wie jetzt durch die DSGVO.
1.2Persönlichkeitsrecht
In der DSGVO wird immer wieder von »Grundrechten und Grundfreiheiten, insbesondere das Recht auf Schutz der personenbezogenen Daten« gesprochen. Was versteht man denn unter diesem Persönlichkeitsrecht konkret?
Das Persönlichkeitsrecht wird an einigen Stellen auch als Recht auf informationelle Selbstbestimmung bezeichnet. Diese Formulierung zeigt sehr deutlich, worum es geht. Jede natürliche Person hat das Recht, selbst zu entscheiden, wie sie sich in der Öffentlichkeit darstellen möchte. Jeder darf also mit seinen persönlichen Informationen so umgehen, wie es den eigenen Bedürfnissen entspricht. Wenn jemand sein Geburtsdatum oder Fotos von sich veröffentlichen möchte, haben die Datenschutzgesetze nichts dagegen. Wenn allerdings ein Verein das Geburtsdatum seiner Mitglieder z. B. in einer Geburtstagsliste in der Vereinszeitung veröffentlichen möchte, muss zuerst geklärt werden, ob es für diese Verarbeitung eine rechtliche Grundlage gibt.
Bereits im Grundgesetz im Artikel 2 Abs. 1 steht: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. In Verbindung mit Artikel 1 Abs. 1 GG »Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlicher Gewalt.« hat das Bundesverfassungsgericht am 15.12.1983 das sog. Volkszählungsurteil gefällt, mit dem das informationelle Selbstbestimmungsrecht vor mittlerweile über 35 Jahren etabliert wurde.
Am 27.2.2008 hat ebenfalls das Bundesverfassungsgericht in einem Urteil zur Onlinedurchsuchung das Recht auf Integrität und Vertraulichkeit informationstechnischer Systeme ergänzt. Und seither sind auch die informationstechnischen Systeme in den Datenschutz-Gesetzen mit eingebaut.
[17]Da sich die DSGVO ausschließlich um natürliche Personen kümmert, werden Angaben über Verstorbene, wie etwa in einem Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf einer Liste der Verstorbenen, nicht durch die DSGVO geschützt (siehe Erwägungsgrund EG 27 DSGVO).
1.3Datenschutz – warum betrifft das Thema auch Vereine?
Fehler sind menschlich: Ein falscher Knopfdruck kann genügen, und schon ist ein vertraulicher Datensatz beim falschen Adressaten gelandet. Solche Fehler können passieren. Aber sie dürfen nicht passieren. Gerade, wenn es um sensible Daten geht, ist der Gesetzgeber streng. Und weil wir alle tagtäglich mit sensiblen Daten arbeiten, geht uns der Datenschutz auch alle etwas an. Viel sogar.
Die DSGVO und – bei uns in Deutschland – das BDSG n. F. schreiben in vielen Artikeln und Paragrafen vor, dass im geschäftlichen Bereich, im Verein und sogar in gemeinnützigen Vereinigungen, in denen alle im Ehrenamt arbeiten, die geltenden Datenschutzbestimmungen einzuhalten sind.
Konkret heißt dies: Es geht in allererster Linie darum, den »Betroffenen« und seine Grundrechte und Grundfreiheiten zu schützen! Insbesondere handelt es sich dabei um das Recht zum Schutz der personenbezogenen Daten. Der Betroffene ist derjenige, der beispielsweise einem Verein für die Mitgliedschaft oder einem Shop-Besitzer über ein Kontaktformular auf der Webseite seine personenbezogenen Daten gibt. Derjenige, der die Daten zu einem bestimmten Zweck vom Betroffenen erhebt, steht in der Verantwortung, so mit den Daten umzugehen, dass dem Betroffenen durch Missbrauch, Fehlverhalten bei der Verarbeitung oder gar durch die Verarbeitung selbst kein Schaden entstehen kann. Deshalb hieß diese Stelle, die Daten erhebt, im alten BDSG auch »Verantwortliche Stelle«. In der neuen Gesetzgebung seit Mai 2018 heißt sie »Verantwortlicher».
Zunächst ist es wichtig zu wissen, welche Unternehmenseinheit oder welcher Teil des Vereins als Verantwortlicher auftritt und die Verantwortung trägt. Es ist die kleinste juristische Einheit, zu der die datenerhebende Stelle gehört. Bei größeren Unternehmen kann es die ganze Firma mit 1000 Mitarbeitern sein oder auch eine Tochtergesellschaft mit 20 Angestellten. In Vereinen ist es relativ klar: Es ist der Vereinsvorstand. Sollte es innerhalb eines Vereins etwa ein Fitness-Studio geben, das [18]beispielsweise eine eigene GmbH ist, gibt es innerhalb dieses Vereins zwei Verantwortliche: den Vereinsvorstand und den Geschäftsführer des Studios. Das bedeutet jedoch auch, dass in dieser Konstellation nicht der Vereinsvorstand für alle Vereinsteile automatisch der Verantwortliche ist. Aus Datenschutzsicht ist es zwar legitim, dass der gesamte Verein nach denselben Regeln arbeitet und dieselbe Person als Datenschutzbeauftragten benennt, jedoch muss jede Einheit für sich diese Regeln verabschieden und eigene Verantwortung übernehmen. Es ist daher auch nicht so einfach möglich, dass der Verein mit allen Daten arbeitet, die im Fitness-Studio erhoben wurden und umgekehrt.
Bei Vereinen ist – anders als in Unternehmen – der Zweck, für den personenbezogene Daten erhoben werden dürfen, ziemlich klar festgelegt. In der Vereinssatzung stehen die Vereinsziele und diese bilden den Rahmen für die Datenerhebung. Das Mitglied geht beim Eintritt ein Vertragsverhältnis mit dem Verein ein und der Inhalt des Vertrags wird durch die Vereinssatzung festgelegt.
1.4Satte Strafen bei Verstößen
Datenschutzvergehen werden nicht durch »Automaten« wie z. B. stationären Radarfallen festgestellt und geahndet, sondern fallen meist erst dann auf, wenn sich ein Betroffener beschwert oder die Medien Wind davon bekommen. Dann muss die Aufsichtsbehörde des Landes aktiv werden und dem Fall nachgehen. Je nach Situation werden die Mitarbeiter der Aufsichtsbehörde dabei auch weitere Verstöße feststellen können und nicht nur den einen, der die Kontrolle ausgelöst hat. Neben Verwarnungen kann es bei Verstößen empfindliche Strafen geben.
Beispiel: Datenschutzvergehen
Die Aufsichtsbehörde möchte sich z. B. wegen einer Beschwerde an den Datenschutzbeauftragten (DSB) eines Vereins wenden. Dieser ist jedoch weder gemeldet noch auf der Webseite bekanntgegeben; wahrscheinlich gibt es ihn oder sie einfach nicht.
Unter welchen Voraussetzungen auch ein Verein verpflichtet ist, einen Datenschutzbeauftragten zu benennen, erfahren Sie im Kapitel 2 »Datenschutzbeauftragter«.
[19]Wenn, wie im obigen Beispiel beschrieben, der Verein einen DSB benennen muss und das nicht tut, ist dafür nach Artikel 83 Abs. 4 a) DSGVO eine Geldbuße bis zu 10 Millionen EUR oder bis zu 2 % vom gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres zu verhängen – je nachdem, welche der beiden Zahlen größer ist.
In anderen Fällen ist die Geldbuße nach Artikel 83 Abs. 5 oder Abs. 6 DSGVO zu bewerten und beträgt in diesen Fällen bis zu 20 Millionen EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Auch hierbei wird der größere Betrag als Maximalbetrag herangezogen. Da die Aufsichtsbehörde sicherstellen muss, dass die Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind, ist der Spielraum der Aufsichtsbehörde für eine moderate oder wohlwollende Bestrafung sehr gering.
Auch Vereine erhalten hier sicherlich keine Sonderbehandlung. Allerdings wird sich die Höhe der eventuell verhängten Geldbuße ziemlich sicher erheblich von den genannten Millionen-Beträgen unterscheiden. Als Orientierung kann man die 2 % bzw. 4 % des Jahresumsatzes eines Vereins im Hinterkopf behalten. Die Aufsichtsbehörden sind jedoch frei in der Bemessung der Geldbuße und beziehen in ihre Kalkulation auch immer mit ein, wie hoch das Mitverschulden des Verantwortlichen ist und ob es sich z. B. um eine Wiederholungstat handelt.
Die nachfolgenden Tabellen listen die einzelnen Verstöße auf. Allerdings gibt es Stand heute keinen echten Strafenkatalog. Artikel, die für Vereine eher nicht relevant sind, werden durch eine Grauschattierung der jeweiligen Tabellenzeilen gekennzeichnet.
Strafbewehrte Datenschutzverstöße (gemäß DSGVO)Strafen bis zu 10 Millionen oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (höherer Betrag wird als Maximum angenommen) bei Verstößen gegen:Pflichten der Verantwortlichen und der AuftragsverarbeiterArtikelInhaltArtikel 8Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der InformationsgesellschaftArtikel 11Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist[20]Artikel 25Datenschutz durch Technikgestaltung und durch datenschutzfreundliche VoreinstellungenArtikel 26Gemeinsam für die Verarbeitung VerantwortlicheArtikel 27Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder AuftragsverarbeiternArtikel 28AuftragsverarbeiterArtikel 29Verarbeitung unter der Aufsicht des Verantwortlichen oder des AuftragsverarbeitersArtikel 30Verzeichnis von VerarbeitungstätigkeitenArtikel 31Zusammenarbeit mit der AufsichtsbehördeArtikel 32Sicherheit der VerarbeitungArtikel 33Meldung von Verletzungen des Schutzes personenbezogener Daten an die AufsichtsbehördeArtikel 34Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen PersonArtikel 35Datenschutz-FolgenabschätzungArtikel 36Vorherige KonsultationArtikel 37Benennung eines DatenschutzbeauftragtenArtikel 38Stellung des DatenschutzbeauftragtenArtikel 39Aufgaben des DatenschutzbeauftragtenArtikel 42ZertifizierungArtikel 43Zertifizierungsstellen[21]a) Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die EinwilligungArtikelInhaltArtikel 5Grundsätze für die Verarbeitung personenbezogener DatenArtikel 6Rechtmäßigkeit der VerarbeitungArtikel 7Bedingungen für die EinwilligungArtikel 9Verarbeitung besonderer Kategorien personenbezogener DatenArtikel 12 bis 22die Rechte der betroffenen PersonArtikel 44 bis 49die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisationb) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden (die grau unterlegten Artikel sind für Vereine eher nicht relevant)Artikel 85Verarbeitung und Freiheit der Meinungsäußerung und InformationsfreiheitArtikel 86Verarbeitung und Zugang der Öffentlichkeit zu amtlichen DokumentenArtikel 87Verarbeitung der nationalen KennzifferArtikel 88Datenverarbeitung im BeschäftigungskontextArtikel 89Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen ZweckenArtikel 90GeheimhaltungspflichtenArtikel 91Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften Siehe gesondertes Datenschutzgesetz für Kirchen[22]c) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1ArtikelInhaltArtikel 58 Abs. 2Nichtbefolgung einer Anweisung durch die Aufsichtsbehörde gemäß Artikel 58 Abs. 2Artikel 58 Abs. 1Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Abs. 1Tab. 1: Übersicht über strafbewehrte Datenschutzverstöße
Im Artikel 82 der DSGVO ist neben der Haftung jetzt sogar das Recht auf Schadenersatz für den Betroffenen geregelt. Im Absatz 1 dieses Artikels wird klargestellt, dass jeder Betroffene, der wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadenersatz hat – vom Verantwortlichen oder vom Auftragsverarbeiter.
Die weiteren Absätze 3, 4, 5 und 6 im Artikel 82 DSGVO beschreiben noch Details, in welchen Situationen man doch von der Haftung befreit ist, wer sich wie von den anderen beteiligten Parteien seinen bezahlten Schadenersatz wieder holen kann und welche Gerichte im Falle eines »Rechtsstreits« für die Bearbeitung zuständig sind.
Hinweis: Gesetzestexte zu Sanktionen
Artikel 82 DSGVO: Haftung und Recht auf Schadenersatz
Artikel 83 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen
Artikel 84 DSGVO: Sanktionen
§ 41 BDSG n. F.: Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
§ 42 BDSG n. F.: Strafvorschriften
§ 43 BDSG n. F.: Bußgeldvorschriften
1 Die Zahl 10 wurde im November 2019 im Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) auf 20 angehoben.
[23]2Datenschutzbeauftragter
Bevor wir uns mit dem eigentlichen Thema dieses Kapitels beschäftigen, möchte ich Ihnen einen wichtigen Hinweis geben: Immer wieder ist zu beobachten, dass Verantwortliche meinen, wenn ihr Unternehmen bzw. ihr Verein nicht dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen, müssten auch die Datenschutzgesetze nicht eingehalten werden. Das ist leider ein Trugschluss.
Deshalb sei an dieser Stelle noch einmal deutlich gesagt: Jedes Unternehmen und jede Institution, das Mitarbeiter und/oder Kunden und Lieferanten oder Mitglieder hat, verarbeitet personenbezogene Daten und hat damit die Pflicht, die Datenschutzgesetze zu beachten. Es kommt dabei überhaupt nicht auf die Größe des Unternehmens, den Umsatz, die Produkte oder Dienstleistungen oder die Art des Vereins an.
2.1Pflicht zur Benennung
Ob eine Institution einen Datenschutzbeauftragten benennen muss, kann dem Artikel 37 der DSGVO bzw. dem § 38 des BDSG n. F. entnommen werden. Bei der Bewertung der Kriterien ist es unerheblich, ob ein Unternehmen selbst Verantwortlicher ist oder ob es als Auftragsverarbeiter tätig ist. Weder die DSGVO noch das BDSG n. F. unterscheiden hier, um welche Art von »Unternehmen« es sich handelt. Es wird nur »vom Verantwortlichen« oder »dem Auftragsverarbeiter« gesprochen. Alles nachfolgende gilt also für Vereine gleichermaßen. Wenn im Folgenden der Begriff Mitarbeiter verwendet wird, umfasst er bei einem Verein auch dessen Funktionäre. Und der Vorstand in einem Verein entspricht den Vorgesetzten in einem Unternehmen.
Wenn eines der nachfolgend beschriebenen Kriterien zutrifft, besteht die Pflicht zur Benennung eines DSB:
Artikel 37 Abs. 1 DSGVO
a) die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln.
[24]Dieses Kriterium spricht für sich.
Artikel 37 Abs. 1 DSGVO
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, [...]
Bevor Sie dieses Kriterium prüfen, sollten Sie zunächst wissen, was in diesem Kontext unter Überwachung zu verstehen ist. Mit Überwachung meint der Gesetzgeber alle Dienstleistungen oder Tätigkeiten eines Unternehmens, die sich mit der Feststellung des Aufenthaltsortes von betroffenen Personen, der Kontrolle ihrer Leistungserbringung oder beispielsweise der Kontaktaufnahme zu anderen Personen beschäftigen. Diese Überwachung kann in Form einer Videoüberwachung stattfinden, aber auch das Mitlesen von E-Mails der Mitarbeiter durch den Vorgesetzten oder die Verfolgung einer Zielperson durch ein Detektivbüro fallen darunter.
Nun stellen Sie sich bitte folgende Fragen:
Ist eine der durchgeführten Verarbeitungstätigkeiten die Überwachung von betroffenen Personen?Wenn ja: Ist diese Überwachung umfangreich, regelmäßig und systematisch oder eher nur gelegentlich?Wenn ja: Steht die Kerntätigkeit des Vereins in Zusammenhang mit diesen Überwachungen?Wenn die letzte Frage auch mit Ja beantwortet wird, sind Sie verpflichtet, einen DSB zu benennen.
Artikel 37 Abs. 1 DSGVO
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.
[25]Zur Prüfung dieses Kriteriums stellen Sie sich bitte folgende Fragen – zunächst zu den »besonderen Daten«2:
Werden besondere personenbezogene Daten verarbeitet?Wenn ja: Ist diese Verarbeitung die Kerntätigkeit des Vereins?Wird die letzte Frage mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen.
Wenn keine besonderen personenbezogene Daten verarbeitet werden, könnte es aber sein, dass der Verein Daten zu Straftaten verarbeitet:
Werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet?Wenn ja: Ist diese Verarbeitung die Kerntätigkeit des Vereins?Wird die letzte Frage mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen.
Zu den eben geprüften Punkten kommen aus dem § 38 BDSG n. F. noch drei weitere Kriterien dazu:
Das erste Kriterium:
§ 38 BDSG Abs. 1
[...] soweit in der Regel mindestens zwanzig Personen3 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Zur Prüfung dieses Kriteriums stellen Sie sich bitte folgende Fragen:
Sind im Verein 20 oder mehr Mitarbeiter beschäftigt oder Funktionäre ehrenamtlich tätig?Wenn ja: Wie viele davon sind ständig mit der Verarbeitung von personenbezogenen Daten per Computer beschäftigt?[26]Wenn bei der letzten Frage mehr als 20 Personen zusammenkommen, sind Sie verpflichtet, einen DSB zu benennen.
Hinweis: Was bedeutet »ständig … beschäftigt«?
Leider gibt es derzeit weder für Unternehmen noch für Vereine eine klare Aussage, was »ständig … beschäftigt« in diesem Zusammenhang bedeutet. Es besteht jedoch weitgehende Übereinstimmung darin, dass bei Unternehmen z. B. Mitarbeiter im Versand, die Adressaufkleber auf Pakete kleben, oder Monteure, die die Adresse des Kunden erhalten, um die Dienstleistung vor Ort erbringen zu können, nicht dazuzählen. Auf Vereine bezogen zählen nach meiner Auffassung z. B. Trainer, die über Listen die Anwesenheit der Mitglieder im Training festhalten oder eine Kommunikationsliste ihrer Gruppe führen, nicht dazu. Bei allen Mitarbeitern oder Funktionären wird die Fragestellung empfohlen, ob die Verwaltung von personenbezogenen Daten zu den Kerntätigkeiten gehört oder ob eher selten auch auf diese Daten zugegriffen werden kann. Im Zweifel kann bei der Aufsichtsbehörde nachgefragt oder freiwillig ein DSB benannt werden.
Das zweite Kriterium:
Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen.
Lesen Sie bitte zuerst das Kapitel »3.9 Datenschutz-Folgenabschätzung«. Dort wird erklärt, was eine Datenschutz-Folgenabschätzung ist und auch warum ich davon ausgehe, dass in einem Verein sehr selten bis nie eine solche Datenschutz-Folgenabschätzung gemacht werden muss. Der Vollständigkeit halber lasse ich die nachfolgende Passage stehen.
Zur Prüfung dieses Kriteriums stellen Sie sich bitte folgende Frage:
Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung unterliegen?
Wird die Frage mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen. Wenn Sie für Ihren Verein diese Frage tatsächlich mit Ja beantworten, wäre es für mich persönlich sehr interessant, das zu erfahren. Für eine kurze Info an [email protected] wäre ich Ihnen sehr dankbar.
[27]Das dritte Kriterium:
Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Bevor Sie dieses Kriterium prüfen, sollten Sie zunächst wissen, was in diesem Kontext mit dem Begriff Übermittlung gemeint ist. Übermittlung ist ganz allgemein die Weitergabe von Daten an einen oder mehrere Empfänger. Es spielt keine Rolle, ob der Empfänger innerhalb des eigenen Unternehmens oder Vereins sitzt oder ob es sich um ein anderes Unternehmen, einen Dienstleister, einen anderen Verein oder einen Verbraucher (= Privatperson) handelt.
Zur Prüfung dieses Kriteriums stellen Sie sich jetzt bitte folgende Fragen:
Verarbeiten Sie z. B. Adressdaten geschäftsmäßig zum Zwecke der Übermittlung, d. h., übermitteln Sie regelmäßig eine größere Anzahl von Datensätzen (z. B. als Adresshändler)?Verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zwecke der anonymisierten Übermittlung, d. h. erstellen Sie in irgendeiner Form Statistiken über Personen, die dann anonymisiert weitergegeben werden?Sind Sie ein Verein, der sich mit Markt- oder Meinungsforschung beschäftigt?Nach meiner Einschätzung treffen diese Fragen auf Vereine nur höchst selten zu, ich kann es allerdings nicht ausschließen. Wird eine der Fragen mit Ja beantwortet, sind Sie verpflichtet, einen DSB zu benennen.
Sollten sie nach der Prüfung der eben beschriebenen Kriterien festgestellt haben, dass für Ihren Verein kein Datenschutzbeauftragter zu benennen ist, können Sie die restlichen Teile dieses Kapitels überspringen. Fahren sie dann einfach mit dem folgenden Kapitel »3 Anforderungen an Vereine aus der DSGVO/BDSG n. F.« fort.
Wer kann zum Datenschutzbeauftragten benannt werden?
Im Prinzip kann jeder zum Datenschutzbeauftragten eines Vereins benannt werden. In Artikel 37 Abs. 5 und Abs. 6 DSGVO stehen jedoch einige Punkte, die zu beachten sind.
[28]Artikel 37 Abs. 5 und Abs. 6 DSGVO
(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
Den Absatz 5 kann man so interpretieren, dass ein Datenschutzbeauftragter eine gute Ausbildung mindestens im Datenschutzrecht absolviert hat und genau weiß, wie man dieses theoretische Wissen in den Arbeitsalltag des eigenen Vereins (bei internen) oder des betreuten Vereins (bei externen) umsetzt.
Der Absatz 6 ist in Bezug auf Vereine interpretationsbedürftig. Es ist nach meiner Auffassung nicht gemeint, dass der DSB eines Vereins auf jeden Fall für seine Tätigkeit zu bezahlen ist. Er kann genauso gut ehrenamtlich eingesetzt werden. Allerdings ist es in der Praxis wahrscheinlich schwierig, jemanden zu finden, der ausgebildeter Datenschutzbeauftragter ist – also den Anforderungen des Absatz 5 genügt – und gleichzeitig seine Tätigkeiten komplett unentgeltlich für den Verein erbringt.
Welche Aufgaben dem DSB gesetzlich zugedacht sind, erfahren Sie im folgenden Kapitel. Der Gesetzgeber hat es sich relativ einfach gemacht, indem er lediglich formuliert, dass er fähig sein soll, diese Aufgaben zu erfüllen. Diese Aussage kann man für Unternehmen wie für Vereine auch dahin gehend interpretieren, dass der Datenschutzbeauftragte nicht gleichzeitig in leitender Funktion tätig sein sollte. Konkreter steht diese Einschränkung im Artikel 38 Abs. 6 DSGVO. Der DSB kann danach auch andere Aufgaben im Unternehmen oder Verein wahrnehmen. Allerdings muss der Verantwortliche dafür sorgen, dass die unterschiedlichen Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
[29]2.2Aufgaben eines Datenschutzbeauftragten
Die konkreten Aufgaben, die ein Datenschutzbeauftragter zu erfüllen hat, stehen im Artikel 39 DSGVO.
Aufgaben des Datenschutzbeauftragten nach Artikel 39 DSGVO:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
[30]Welche vielfältigen Aufgaben ein Datenschutzbeauftragter hat, ist nicht Gegenstand dieses Buches und es wird daher auch nicht vertieft. Unabhängig davon möchte ich Ihnen aber dennoch einen wichtigen Hinweis geben: Es ist eine zentrale Aufgabe des Datenschutzbeauftragten, den Verantwortlichen wo er nur kann zu beraten und zu unterstützen. Er trägt jedoch keine Verantwortung dafür, dass die Datenschutzgesetze im Verein eingehalten werden, sondern nur dafür, dass seine Beratung umfassend und sachlich richtig ist. Der Verantwortliche kann sich trotz vorbildlicher Beratung durch den Datenschutzbeauftragten z. B. aus finanziellen Gründen gegen empfohlene Maßnahmen entscheiden – und trägt dafür auch die Verantwortung.
2 Die Erklärung, welche Daten als besondere personenbezogene Daten bezeichnet werden, finden Sie im Glossar am Ende dieses Buches.
3 Die im BDSG n. F. ursprünglich genannte Zahl 10 wurde im November 2019 im Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) auf 20 angehoben.
[31]3Anforderungen an Vereine aus der DSGVO/BDSG n. F.
Aus den vielen Anforderungen, die nach der DSGVO bzw. dem BDSG n. F. den deutschen Unternehmen und Institutionen auferlegt sind, werden in diesem Buch insbesondere die Punkte herausgegriffen, die nach meiner Erfahrung für Vereine in der Praxis relevant sind. Angelehnt habe ich mich hierbei an die Veröffentlichungen des Bayerischen Landesamts für Datenschutzaufsicht BayLDA für Vereine, zu finden unter der Webseite https://www.lda.bayern.de/de/kleine-unternehmen.html, und vor allem an die Orientierungshilfe »Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)« des Landesbeauftragten für den Datenschutz in Baden-Württemberg4. Grundsätzlich ist es jedoch so, dass es für Vereine keine speziellen Bestimmungen gibt, sondern jedes Unternehmen und jeder Verein dieselben Anforderungen zu lösen und dieselben Pflichten zu erfüllen hat.
An dieser Stelle möchte ich Sie noch einmal daran erinnern: Unternehmen und Vereine, die nicht dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen, müssen trotzdem die Datenschutzgesetze einhalten.
3.1Pflichten und Verantwortlichkeiten – ein Überblick
Dieses Kapitel gibt Ihnen zunächst einen allgemeinen Überblick über die vielen Pflichten und Verantwortlichkeiten, die sowohl für Unternehmen als auch für Vereine gelten.
Da in fast allen Fällen der sogenannte »Verantwortliche« – wie die Bezeichnung ja vermuten lässt – für die Umsetzung und Erledigung der in Verbindung mit dem Datenschutz anstehenden Aufgaben verantwortlich ist, erwähne ich das im Folgenden nicht mehr. Lediglich dort, wo es hierzu Abweichungen gibt, weise ich explizit darauf hin.
[32]Sucht man in der DSGVO nach Regelungen zu den Verantwortlichkeiten, stößt man auf Artikel 24 »Verantwortung des für die Verarbeitung Verantwortlichen«. Mit den üblichen etwas sperrigen Formulierungen wird im Absatz 1 des Artikel 24 ausgesagt, dass man geeignete Maßnahmen ergreifen soll, um das aus den Datenverarbeitungen entstehende Risiko gering zu halten. Ferner muss man auch nachweisen können, dass die Verarbeitungen die Vorgaben aus der DSGVO erfüllen.
Es wird also mit wenigen Sätzen die allumfassende Pflicht des Verantwortlichen beschrieben.
Artikel 24 Abs. 1 DSGVO
(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
Es bleiben allerdings einige Fragen offen:
Was genau ist mit »geeignete Maßnahmen« gemeint?Woher weiß ich, wie hoch das Risiko meiner Verarbeitungen ist?Wie kann man denn nachweisen, dass bestimmte Kriterien, die man vielleicht selbst gar nicht hundertprozentig verstanden hat, vollständig erfüllt werden?Hinweis
Da die Antworten auf diese Fragen ganz individuell sind, verweise ich an dieser Stelle gerne zusätzlich auf den Praxisratgeber der Baden-Württembergischen Aufsichtsbehörde für Vereine: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Praxisratgeber-f%C3%BCr-Vereine.pdf. Außerdem gehe ich im Kapitel »5 Aufgabenliste für Vereine« konkret auf ein zentrales Instrument speziell für Vereine ein, mit dem sie die Grundzüge der Datenverarbeitung in ihrem Verein dokumentieren können: die Datenschutzordnung.
Ein paar allgemeine Antworten auf die oben gestellten Fragen finden sich auch an anderen Stellen der DSGVO:
[33]Geeignete Maßnahmen: Gemeint sind immer sowohl technische als auch organisatorische Maßnahmen, abgekürzt TOM. Näher beschrieben werden sie in
Art. 25 DSGVO Datenschutz durch Technikgestaltung und datenschutzfreundliche VoreinstellungenArt. 32 DSGVO Sicherheit der VerarbeitungEin Beispiel für eine organisatorische Maßnahme ist die Verpflichtung von Mitarbeitern, in Vereinen auch von Funktionären auf Vertraulichkeit. Was konkret damit gemeint ist, erfahren Sie im Kapitel »5.2 Pflichtaufgaben« und zwar konkret unter der Aufgabe »PAR-05 Verpflichtung der Funktionsträger (und Mitarbeiter) auf Vertraulichkeit«. Dazu ein Hinweis:
Hinweis
In Kapitel 5.2 beschreibe ich alle Aufgaben, die aus meiner Sicht von jedem Verein ausgeführt werden müssen. Dabei unterscheide ich, ob die Aufgabe einmal oder regelmäßig erledigt werden muss.
Um die Aufgaben gut zuordnen zu können, habe ich sie im Kapitel 5.2 folgendermaßen benannt und nummeriert:
PAE-X: Damit sind Pflichtaufgaben, die einmalig anfallen, gemeint. Die Aufgaben sind durchnummeriert und »X« ist an dieser Stelle ein Platzhalter für die jeweilige Nummer.PAR-X: Das Kürzel PAR steht für Pflichtaufgaben, die regelmäßig zu erledigen sind. X ist wieder der Platzhalter für die Nummer der Aufgabe.Alles, was Sie sonst noch zu technischen und organisatorischen Maßnahmen wissen müssen, ist im Kapitel »3.4 Technische und organisatorische Maßnahmen« beschrieben.
Risikobewertung/Risikobegrenzung: In der DSGVO wird sehr oft von »Risiken für die Rechte und Freiheiten betroffener Personen« gesprochen. Das ist verständlich, schließlich ist es das oberste Ziel der DSGVO, dass der Schutz des Persönlichkeitsrechts gewährleistet wird. Das betrifft selbstverständlich auch die automatisierte Verarbeitung personenbezogener Daten des Einzelnen, deren Speicherung, Verarbeitung und beispielsweise auch deren Veröffentlichung. Man muss sich damit auseinandersetzen, welche Risiken bei dieser Art der Verarbeitung entstehen können. Zudem muss man sich die Frage stellen, welcher Schaden beim Betroffenen (!) entstehen könnte und wie wahrscheinlich es ist, dass dieser Schadensfall eintritt. Anders als beim Abschließen einer Versicherung kann der Verantwortliche hierbei [34]jedoch nicht konkret die Kosten des Schadensfalls abschätzen und aus der Eintrittswahrscheinlichkeit die Beitragshöhe der Police ableiten. Im Datenschutz geht es meistens um einen nichtmateriellen Schaden. Wie man trotzdem eine Risikobewertung vornehmen kann und ob das für Vereine überhaupt notwendig ist, erfahren Sie im Kapitel »3.9.1 Risikobewertung/Risikoermittlung«.
In der DSGVO steht in folgenden Artikeln noch mehr zum Thema Risiko:
Art. 32 DSGVO Sicherheit der Verarbeitung (siehe Kapitel »3.3 Sicherheit der Verarbeitung inkl. Risikobewertung«)Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten (siehe Kapitel »3.2 Verzeichnis von Verarbeitungstätigkeiten«)Art. 33 und Art 34 DSGVO Kriterien für die Meldung von Datenschutzverletzungen (siehe Kapitel »3.10 Meldepflicht bei Datenschutzverletzungen«)Art. 35 DSGVO Datenschutz-Folgenabschätzung (siehe Kapitel »3.9 Datenschutz-Folgenabschätzung«)Nachweis: Es ist in der Tat nach wie vor schwierig zu sagen, wie konkret der Nachweis erbracht werden kann, dass alle notwendigen Regelungen und Vorgaben der DSGVO, des BDSG n. F. und all der anderen Gesetze, die für Unternehmer und Vereine gelten, eingehalten werden. Umfassende und detaillierte Informationen zu diesem Thema erhalten Sie im Kapitel »3.11 Dokumentation und Erfüllung der Nachweispflicht«.
An dieser Stelle möchte ich Ihnen aber schon einmal in Stichpunkten einen Überblick über die aus der DSGVO abgeleitete Nachweispflicht bzw. über die einschlägigen Normen geben:
Art. 24 DSGVO: Verantwortung des für die Verarbeitung VerantwortlichenArt. 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten i. V. m. EG 82 (siehe Kapitel »3.2 Verzeichnis von Verarbeitungstätigkeiten«)Art. 25 Abs. 3 DSGVO: Zertifizierungsverfahren für den Nachweis zum Datenschutz durch Technikgestaltung und datenschutzfreundliche VoreinstellungenArt. 5: Grundsätze der VerarbeitungArt. 7: EinwilligungArt. 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Verbindung mit EG 77[35]Neben den bisher beschriebenen allgemeinen Pflichten eines Verantwortlichen gibt es noch ein paar ganz konkret beschriebene Pflichten:
