Verschärfte Vorschriften zum Datenschutz

Stiftungsrecht

Neben den stiftungs- und steuerrechtlichen Vorgaben gibt es eine Vielzahl weiterer Rechtsvor­schriften, die ein Stiftungsvorstand im Rahmen seiner ordnungsge­mäßen Geschäfts­führung zu beachten hat. Dazu gehören auch jene Vorschrif­ten zum Datenschutz, die jüngst reformiert worden und ab dem 25. Mai 2018 anzu­wenden sind. Die neuen Regelungen enthalten im Vergleich zum Bundesdaten­schutzgesetz (BDSG) deutlich verschärfte Strafandrohungen und steigern damit das Haftungsrisiko für Stiftungsvorstände. Die erforder­lichen Änderungen sollten daher innerhalb der kommenden sechs Monate umgesetzt werden.

  • Dokumentation der Verarbeitungsprozesse und Erstellung eines Verarbeitungsverzeichnisses
  • Überprüfung der Datenschutzerklärungen
  • Anpassung der Einwilligungserklärungen
  • Implementierung eines Prozesses bei Widersprüchen
  • Überprüfung der Vereinbarungen zur Auftragsdatenvereinbarung
  • Einführung eines Prozesses für Datenpannen

Was bleibt?

Bislang fanden sich die rechtlichen Grundlagen des Datenschutzes im Bundesdatenschutzgesetz (BDSG), das für Stiftungen des bürgerli­chen Rechts als „private Stellen“ unmittelbar Anwendung findet. Im Zentrum des Datenschutzes ste­hen das Recht jedes Einzelnen auf informationelle Selbstbestimmung und der Schutz des Einzelnen vor Beeinträchtigung seines Persön­lichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten. Unter personenbezogenen Daten versteht man jede Einzelan­gabe über persönliche oder sachli­che Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit gemeint sind sämt­liche Informationen, die über den Betroffenen etwas aussagen – unabhängig von der Sensitivität der Verarbeitung. Zu den perso­nenbezogenen Daten gehören damit u.a. Adress- und Kontover­bindungsdaten, das Geburtsdatum, Vertrags- und Abrechnungsdaten, Sozial- und Steuerdaten, ggf. aber auch die IP-Adresse.

Grundprinzipien des Daten­schutzes, die nach den neuen Regelungen beibehalten werden und auch für jede Stiftung Geltung haben, soweit sie personenbezoge­ne Daten verwendet, sind folgende:

  • Gebot der Datenvermeidung, Datensparsamkeit und Trans­parenz
  • Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezo­gener Daten ist verboten – es sei denn, es ist durch Gesetze erlaubt oder es liegt eine Ein­willigung des Betroffenen vor. Erlaubende Gesetze finden sich u.a. im BDSG selbst. Danach ist z.B. die Nutzung der Daten erlaubt, wenn ein Vertrag erfüllt werden muss.
  • Zweckbindungsgebot: Daten dürfen grundsätzlich nur zu dem Zweck verarbeitet werden, zu dem sie mit Einwilligung oder Erlaubnis des Betroffenen erhoben worden sind.
  • Zweckentfremdungsverbot: Eine unbefugte Änderung bzw. Erweiterung der Zweckbindung der erhobenen Daten stellt einen Eingriff in das Recht auf informationelle Selbstbestim­mung dar.
  • Direkterhebung: Daten müssen grundsätzlich beim Betroffenen selbst erhoben werden. Ist dies nicht der Fall, ist er jedenfalls zu benachrichtigen.

Das ändert sich – ein Überblick

Grundlage für das neue Datenschutzrecht ist die Datenschutzgrundverordnung (DSGVO). Als europäische Verordnung findet sie unmittelbar in Deutschland Anwendung; über sogenannte Öffnungsklauseln sind einzelne Regelungen im BDSG konkretisiert worden. Die wesentlichen Änderungen auf einen Blick:

Datenschutz-Management-System

Im Zentrum der DSGVO steht das Recht auf Vergessenwerden durch strengere Informations- und Löschpflichten. Nutzt eine Stiftung personenbezogenen Daten, muss sie ein System zur Steuerung und Kontrolle der datenschutzkonformen Verarbeitung einführen. Dazu gehören die Implementierung eines Verfahrens, in dem festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechts­grundlage die Datenverarbeitung und ggf. die Weiterverarbeitung erfolgt. Um Betroffenenrechte zu erfüllen, muss sie den Betroffe­nen bei Erhebung der Daten infor­mieren (z.B. durch Anpassung der Datenschutzerklärungen) und besagte Stiftung muss ihren Lösch­pflichten nachkommen.

Verarbeitungsverzeichnis

Soweit die Datenverarbeitung nicht nur gelegentlich erfolgt, muss elektronisch oder schriftlich ein sogenanntes Verarbeitungsverzeichnis geführt werden. In diesem Verzeichnis sind alle Verarbeitungstätigkeiten nebst Angaben zu den Verantwortlichen zu erfassen. Dies bedeutet, dass sich Stiftungen einen Überblick über jene eigenen Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden (Spenderdatei, Newsletter-Versand etc.), und dass sie bei jeder einzelnen Verarbeitung prüfen muss, ob es dafür eine Rechtsgrundlage gibt. Grundlage für die Verarbeitung können eine Einwilligung oder die Erforderlichkeit einer Vertragserfüllung sein.

Soweit die Verarbeitung aufgrund einer Einwilligung erfolgt, hat die Stiftung zu prüfen, ob die Einwilligung den verschärften Anforderungen der DSGVO (Widerrufsmöglichkeit) standhält.

Auftragsdatenverarbeitung

Nach wie vor bedarf es einer vertraglichen Vereinbarung, wenn Daten im Auftrag eines anderen verarbeitet werden. So etwa, wenn die Stiftung ein Spender-Mailing mit Unterstützung eines Versand-Dienstleisters abwickelt und diesem Adressdaten übermittelt. Nach der DSGVO müssen beide Seiten geeignete technische und organisatorische Maßnahmen festlegen, damit die verarbeiteten Daten entsprechend geschützt werden. Außerdem müssen die Verarbeitungstätigkeiten dokumentiert werden. Es ist zu erwarten, dass Stiftungen ihre bestehenden Vereinbarungen überprüfen und ggf. an die neue Rechtslage anpassen.

StiftungsWelt 04-2017

Der Artikel wurde in der StiftungsWelt 04-2017 mit dem Schwerpunkt "Generation Stiftung? Anstöße für die Philanthropie von morgen" veröffentlicht.

Mitgliedermagazin

StiftungsWelt 04-2017

Generation Stiftung?
Jetzt herunterladen
Aktuelle Beiträge
Kapital und Wirkung

Die Börsenkrise als Chance nutzen

Stiftungen brauchen Erträge. In den letzten Jahren war dies mit Zinsanlagen und einer geringen Aktienquote kaum möglich. Die aktuelle Coronakrise bietet eine gute Gelegenheit auf auskömmliche Erträge für die nächsten Jahre.

Mehr
Globales Engagement

„Die SDGs sind unsere Messlatte“

Michael Beier, Vorstandsvorsitzender der Heinz Sielmann Stiftung, über Fridays for ­Future und die Bedeutung von Stiftungen für den Klimaschutz.

Mehr
Impuls

Corona-Pandemie: Wie reagieren Stiftungen und ihre Netzwerke weltweit

Viele Länder können von schnellen Förderprogrammen wie in Deutschland nur träumen. Mut macht daher die Beobachtung, dass immer mehr Menschen solidarisch sind und Organisationen enger zusammenarbeiten. Krisen legen neue Potenziale frei und wir spüren, wie wichtig derzeit Solidarität und Austausch sind.

Mehr
Stiftungs-News

Corona-Unterstützung in der Nachbarschaft

Die Stiftung „Ecken wecken“ organisiert ehrenamtliche Nachbarschaftshilfe in Leipzig und lädt zum Nachmachen ein.

Mehr
Geschlechtergerechtigkeit

Klimawandel ist nicht genderneutral

Frauen sind weltweit in höherem Maße von den negativen Auswirkungen des Klimawandels sowie vom Raubbau an der Natur betroffen. Ein feministischer Ansatz, der vor Ort verwurzelt ist, kann eine machtvolle Quelle für Umweltschutz und Geschlechtergerechtigkeit zugleich sein. 

Mehr

Mehr zum Thema

Stiftungsrecht

Maßnahmen gegen Corona: Einschränkungen bei Veranstaltungen, Gremiensitzungen und Arbeitswegen

Öffentliche Veranstaltungen oder Gremiensitzungen: Die Corona-Pandemie und die damit verbundenen Einschränkungen betrifft die Arbeit vieler Stiftungen direkt. Wir geben einen Überblick über die aktuellen Verordnungen.

Mehr
Pressemitteilungen

Stiftungsrechtsreform ist auf dem Weg

Nach Halbzeitbilanz: Bundesregierung setzt die Stiftungsrechtsreform auf ihre Agenda. Zuvor waren zahlreiche Stiftungen dem Aufruf gefolgt, die Bundesregierung und die Bundestagsabgeordneten an ihr Versprechen aus dem Koalitionsvertrag zu erinnern.

Mehr

Vergabeausschuss

Über die Zuerkennung des Qualitätssiegels entscheidet ein Vergabeausschuss, der seine Entscheidung selbstständig und weisungsunabhängig trifft.

Mehr