Stiftungen müssen nachjustieren

Noch nie war es so leicht wie heute, personenbezogene Daten zu speichern, zu verarbeiten und auszuwerten. Doch mit den Möglichkeiten der legalen Verwendung wachsen auch die Gefahren des Missbrauchs. Dem soll jetzt ein Riegel vorgeschoben werden: Ab dem 25. Mai 2018 gelten verschärfte Datenschutzanforderungen – auch für Stiftungen.

Nahezu jede Stiftung speichert und nutzt personenbezogene Daten ihrer Spender, Stipendiaten sowie ihrer haupt- und ehrenamtlichen Mitarbeiter. Als personenbezogene Daten gelten unter anderem Vor- und Nachname, postalische und E-Mail-Adresse sowie Festnetz- und Handynummer. Selbstverständlich gehört der Schutz dieser sensiblen Daten zu den gesetzlichen Pflichten, die auch von Stiftungen zu erfüllen sind. Demnächst werden die Vorschriften sogar verschärft. Denn ab dem 25. Mai 2018 gilt ein neues Datenschutzrecht. Nicht mehr viel Zeit also, sich auf den Stichtag vorzubereiten und die neuen gesetzlichen Anforderungen zu erfüllen. Was ändert sich? Was bleibt? Was müssen Stiftungen jetzt tun? Wir stellen dem Datenschutzbeauftragten des Bundesverbandes Deutscher Stiftungen Oliver Rohn die wichtigsten Fragen.

Stiftungswelt: Herr Rohn, ab dem 25. Mai 2018 sind die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) und des neugefassten Bundesdatenschutzgesetzes (BDSG) anzuwenden. Das alte BDSG wird abgelöst. Was ändert sich für Stiftungen?

Oliver Rohn: Das neue Recht führt zunächst einmal dazu, dass der Datenschutz stärker ins Bewusstsein rückt. Auch Stiftungen, die beim Umgang mit den personenbezogenen Daten z.B. ihrer Spender oder ehrenamtlichen Mitarbeiter nicht unbedingt an das Thema Datenschutz gedacht haben, merken, dass sie ihre Praxis gegebenenfalls nachjustieren müssen. Für Aufmerksamkeit sorgen vor allem die hohen Bußgeldandrohungen bei Verstößen und das damit gesteigerte Haftungsrisiko für Stiftungsvorstände.

Müssen Stiftungen im Bereich Datenschutz jetzt alles anders machen?

In vielen Regelungen unterscheidet sich die DSGVO nicht wesentlich vom BDSG. So ist etwa nach wie vor eine Einwilligung des Dateninhabers oder eine gesetzliche Erlaubnis notwendig, um die Daten einer Person zu verarbeiten. In anderen Punkten gibt es gravierende Änderungen. Grundsätzlich gilt: Wer bisher alle Voraussetzungen des alten Datenschutzrechts eingehalten hat, verfügt bereits über ein gutes Datenschutzniveau. Dennoch müssen Anpassungen vorgenommen werden.

Was sind die wesentlichen Änderungen gegenüber dem alten BDSG?

Zu den wichtigsten Änderungen gehört die Ausweitung der Informationspflichten: Den Betroffenen muss bei der Erhebung ihrer Daten Auskunft darüber gegeben werden, wer was wann wie lange und zu welchem Zweck über sie weiß. Neu ist auch die Beweislastumkehr bei einem Verstoß: Bisher musste ein Betroffener vor Gericht nachweisen, dass die Stiftung für eine fehlerhafte Verarbeitung von Daten verantwortlich ist. Diese Pflicht liegt nun bei der Stiftung, die die Daten verarbeitet. Gestärkt wurden darüber hinaus die Rechte des Dateninhabers: Er kann jederzeit Auskunft über seine gespeicherten Daten sowie deren Löschung verlangen, wenn für die weitere Speicherung kein Grund mehr besteht. Die Stiftung muss daher in der Lage sein, die Rechte des Betroffenen zeitnah zu erfüllen.

Was sollten Stiftungen jetzt konkret tun?

Stiftungen sollten sich zunächst einen Überblick verschaffen, an welchen Stellen in ihrem Haus mit personenbezogenen Daten umgegangen wird und wie diese verarbeitet werden. Sie müssen diese Prozesse identifizieren und dokumentieren. Artikel 30 der DSGVO sieht vor, dass die Verantwortlichen ein sogenanntes Verarbeitungsverzeichnis erstellen müssen. In diesem Verzeichnis wird insbesondere festgehalten, welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden. Das Verarbeitungsverzeichnis bietet eine gute Grundlage für ein sicheres Datenschutzmanagement.

Welche weiteren Schritte sind nötig, um die grundlegenden Anforderungen der DSGVO zu erfüllen?

Angepasst werden sollten die Datenschutzerklärungen, insbesondere mit Blick auf die neuen Informationspflichten gegenüber dem Dateninhaber. Bei der Überprüfung der Einwilligungserklärungen sollte darauf geachtet werden, dass der Dateninhaber ausdrücklich auf sein Widerrufsrecht hingewiesen wird. Sofern die Daten von Stiftungen durch andere Unternehmen verarbeitet werden, muss sichergestellt werden, dass ein Auftragsverarbeitungsvertrag (ADV) besteht. Sollte aus der Vergangenheit bereits ein ADV bestehen, ist er den neuen Vorgaben anzupassen.

Gibt es für gemeinnützige Stiftungen Ausnahmen oder Erleichterungen?

Das Gesetz betrifft alle natürlichen und juristischen Personen, die personenbezogene Daten ganz oder teilweise automatisiert oder mit Hilfe eines Dateisystems verarbeiten. Es gibt keine Unterscheidung nach verschiedenen juristischen Personen wie Stiftungen bzw. gemeinnützige Stiftungen. Das bedeutet, dass grundsätzlich alle Stiftungen die neuen Datenschutzbestimmungen in vollem Umfang einhalten müssen. Paragraf 38 BDSG (neu) regelt lediglich eine Erleichterung bei der Bestellpflicht eines Datenschutzbeauftragten. Dieser Pflicht müssen Unternehmen erst nachkommen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Als ein Vorteil der Digitalisierung für Non-Profit-Organisationen wird gern angeführt, dass Daten gezielt gesammelt und vergleichsweise einfach ausgewertet werden können, um darauf aufbauend etwa eine Fundraising-Kampagne oder eine neue Förderstrategie zu entwickeln. Ist es damit nun vorbei? Fallen wir mit den neuen Datenschutzregelungen in quasi-analoge Zeiten zurück?

Nein, das sehe ich nicht so. Aber es gilt, dass bei jeder Planung etwa einer Fundraising-Kampagne von vornherein darauf geachtet wird, dass es für die Nutzung der Daten eine Rechtsgrundlage gibt. Wer also eine solche Kampagne plant, sollte dafür sorgen, dass es eine Einwilligung der Dateninhaber oder eine gesetzliche Erlaubnis für die Nutzung der Daten gibt. Das kann die Durchführung einer solchen Maßnahme aufwendiger, muss sie aber nicht unmöglich machen.

Wo können sich Stiftungen weitergehend über die neuen gesetzlichen Regelungen informieren?

Der Bundesverband Deutscher Stiftungen stellt viele Informationen in seinen verschiedenen Medien – etwa auf seiner Internetseite – bereit. Darüber hinaus können sich Stiftungsvorstände oder Geschäftsführer über den Besuch eines Seminars fortbilden.

Autor
Oliver Rohn

Rechtsanwalt (Syndikusrechtsanwalt)
Justiziar
Telefon (030) 89 79 47-52

Alle Beiträge von Oliver Rohn
Aktuelle Beiträge
Kapital und Wirkung

Mit wirkungsorientiertem Stiftungsvermögen den Wandel gestalten

1,5-Grad-Kompatibilität, gesellschaftliche Wirkung & Nachhaltigkeitsrisiken: Diese Online-Sprechstunde mit Timo Steiner und Laura Mervelskemper widmete sich dem Thema Stiftungsvermögen.

Mehr
Globales Engagement

Wenn Arme den Ärmsten helfen

Die Corona-Pandemie hat Indien schwer getroffen. Dennoch ist die Solidarität in der Bevölkerung groß. Ein Bericht über die Arbeit vor Ort von der Vicente Ferrer Stiftung.

Mehr
Impuls

Gesunde Ökosysteme, gesunde Nahrung: Wir brauchen Beispiele des Gelingens

Anlässlich des 30-jährigen Jubiläums der Wiedervereinigung haben wir den Greifswalder Stifter, Wissenschaftler und Naturschützer Michael Succow getroffen. Ein Gespräch über seine Stiftung, ihre Erfolge – und über seine Sorgen und Hoffnungen angesichts von Klimawandel und der Fridays-for-Future-Bewegung.

Mehr
Stiftungs-News

Digitalisierung in Zeiten von Corona: Massive Auswirkungen auf die Arbeit der Stiftung Fairchance

Durch die Corona-Pandemie müssen Stiftungen neue Lösungen und Herangehensweisen für den Arbeitsalltag finden. Die Stiftung Fairchance hat seit dem Ausbruch der Pandemie an weiteren digitalen Lernmöglichkeiten für ihr Sprachförderprogramm gearbeitet. Ein Interview mit Geschäftsführer Alexander Wolf über die Herausforderungen und Chancen der Digitalisierung in Zeiten der Krise.

Mehr
Unsere Demokratie

Oh wie Ostdeutschland – Impulse aus der Zivilgesellschaft

Trotz oder gerade aufgrund der Covid19-Pandemie wird deutlich, dass es einer starken und vielfältigen Zivilgesellschaft bedarf. Die Initiative Zukunftslabor Ost setzt sich für langfristige Partnerschaften und nachhaltiges demokratisches Engagement in Ostdeutschland ein.

Mehr
Geschlechtergerechtigkeit

Philanthropie ist ein feministisches Thema

Soll es voran gehen mit der Menschheit, müssen die Stimmen von Frauen durch philanthropische Mittel unterstützt werden, ihre Wahlmöglichkeiten, Partizipation, Bildung und Existenzgrundlagen.

Mehr

Mehr zum Thema

Stiftungsrecht
Referenten: Dr. Thomas Fritz, PSP, und Dr. Matthias Uhl, PSP

Typische Fallstricke beim Stiftungsfundraising

Was sind eigentlich die Rahmenbedingungen des Fundraisings im Stiftungsbereich? In dieser Online-Sprechstunde zum Thema Fundraising sprachen wir mit Dr. Thomas Fritz und Dr. Matthias Uhl über Fälle aus der Praxis sowie typische Fallstricke.

Mehr
Pressemitteilungen

Stiftungsrechtsreform ist auf dem Weg

Nach Halbzeitbilanz: Bundesregierung setzt die Stiftungsrechtsreform auf ihre Agenda. Zuvor waren zahlreiche Stiftungen dem Aufruf gefolgt, die Bundesregierung und die Bundestagsabgeordneten an ihr Versprechen aus dem Koalitionsvertrag zu erinnern.

Mehr

Vergabeausschuss

Über die Zuerkennung des Qualitätssiegels entscheidet ein Vergabeausschuss, der seine Entscheidung selbstständig und weisungsunabhängig trifft.

Mehr