»Wir tun Gutes«

« Zurück

DS-GVO: Knackpunkte der Umsetzung

30. Januar 2020 | Datenschutz

Die Datenschutzgrundverordnung (DS-GVO) hat laufen gelernt und ihren ersten Geburtstag schon längst gefeiert. Im letzten Jahr befand sich der Datenschutz bei Stiftungen, Vereinen und Verbänden in einer Phase der höchsten Aufmerksamkeit, und einige wichtige Prinzipien haben Fuß gefasst.

Viel Arbeit brachten ehrenamtlich Tätige in ihren Stiftungen und Vereinen auf, um eine rechtswirksame Datenschutzerklärung bereitzustellen. Ähnlich sieht es mit der Überprüfung der technisch-organisatorischen Maßnahmen zum Schutz der Daten aus. Das dazu erstellte Datenschutzhandbuch, in dem nun für alle Zeiten stehen sollte, wie mit den anfallenden Daten umgegangen wird, reicht schon lange nicht mehr aus!

„In der Praxis zeigt sich, dass größere Lücken bei der Umsetzung der DS-GVO klaffen, insbesondere bei der vielfältigen Verpflichtung eines konkreten Nachweises und der Informationspflicht gegenüber den Betroffenen.“

Müssen denn auch alle kleineren Vereine oder Stiftungen die DS-GVO überhaupt beachten? Grundsätzlich müssen alle – und zwar ohne Ausnahme – die DS-GVO umsetzen. Denn sie trifft EU-weit Vorgaben für alle Stellen, die personenbezogene Daten verarbeiten, egal welcher Rechtsform oder Größe. Nur private und familiäre Datenverarbeitungen fallen nicht darunter.

Nach Art. 5 DS-GVO muss der Verantwortliche dafür Sorge tragen, dass die Prinzipien der DS-GVO eingehalten und Verfahren dokumentiert werden. Die Brisanz dieses Themas spiegelt sich in den Aktivitäten der Landesschutzbehörden wider. Hier wurden spezielle Prüfungsbögen entwickelt, die die Rechenschaftspflicht abfragen. Das heißt, es besteht eine „Nachweis-Umkehr“.

Mehrere Dokumente hat ein Verantwortlicher beispielsweise vorzulegen, wenn ein Betroffener die Löschung seiner Daten ( Art. 17 DS-GVO) verlangt.

Die Schulung des Mitarbeiters im Umgang mit personenbezogenen Daten ist zu beweisen, die Vorlage einer schriftlichen Handlungsanweisung, der Vorgang der Löschung und wann der Betroffene sein Recht vorgetragen hat. Die Verfahrensverzeichnisse müssen ständig fortgeschrieben, ergänzt oder verbessert werden. Die Rechenschaftspflicht ist zwingend, da ansonsten Bußgelder drohen.

Bis zu 20 Millionen Euro werden je nach der Art und Schwere des Verstoßes und der getroffenen Maßnahme fällig. Nicht zu unterschätzen ist der erhebliche Image- und Vertrauensschaden. Proaktiv handelt deshalb derjenige Verantwortliche, der frühzeitig einen Datenschutzbeauftragten bestimmt.

In welchen Fällen muss ein Datenschutzbeauftragter bestellt werden?

Derzeit muss ein Datenschutzbeauftragter benannt werden, wenn zwanzig oder mehr Mitarbeiter mit der automatisierten Verarbeitung beschäftigt sind. Ein entspanntes Zurücklehnen, wenn die Anzahl der zugriffsberechtigten Personen geringer ist, verbietet sich, da an die Datenschutzregelungen alle gebunden sind.

Zwingend besteht die Verpflichtung, wenn die Kerntätigkeit der gemeinnützigen Institution darin besteht, besondere Kategorien personenbezogener Daten regelmäßig und systematisch zu verarbeiten, z. B. die ethnische Herkunft. Die Aufregung wird spätestens dann groß, wenn es zu einer Datenpanne kommt. Weitreichende Melde- und Informationspflichten gegenüber der Aufsichtsbehörde und dem Betroffenen stehen an. Einen Datenschutzbeauftragten freiwillig zu bestellen, entlastet den Vorstand.

Das Thema Datenschutz aussitzen zu wollen, ist keine gute Idee. Immer wenn der Verein oder der Verband personenbezogene Daten erhebt, müssen die Betroffenen unmittelbar über ihre vielfältigen Rechte, z. B. Widerspruch, informiert werden.

Kopfzerbrechen bereitet vielen Verantwortlichen der Begriff der Einwilligung. Typischerweise begründet die Mitgliedschaft in einem Verein einen Vertrag, der eine geeignete Rechtsgrundlage zur Datenverarbeitung darstellt. Damit der Verein den Vertrag erfüllen kann, darf er den Namen und die Anschrift des Mitgliedes speichern und nutzen, um es identifizieren und kontaktieren zu können.

Datenschutz mag bürokratisch, aufwendig und lästig sein. Datenschutz schützt Menschen, nicht Daten. Es ist ein Grundrecht zu wissen, wer welche Angaben wann über einen kennt. Es schafft Vertrauen.

Kooperations- & Medienpartner

© 2015-2020 »Wir tun Gutes«, Michel und Stich GmbH
Alle Rechte vorbehalten