Verschärfte Vorschriften zum Datenschutz

Stiftungsrecht

Neben den stiftungs- und steuerrechtlichen Vorgaben gibt es eine Vielzahl weiterer Rechtsvor­schriften, die ein Stiftungsvorstand im Rahmen seiner ordnungsge­mäßen Geschäfts­führung zu beachten hat. Dazu gehören auch jene Vorschrif­ten zum Datenschutz, die jüngst reformiert worden und ab dem 25. Mai 2018 anzu­wenden sind. Die neuen Regelungen enthalten im Vergleich zum Bundesdaten­schutzgesetz (BDSG) deutlich verschärfte Strafandrohungen und steigern damit das Haftungsrisiko für Stiftungsvorstände. Die erforder­lichen Änderungen sollten daher innerhalb der kommenden sechs Monate umgesetzt werden.

  • Dokumentation der Verarbeitungsprozesse und Erstellung eines Verarbeitungsverzeichnisses
  • Überprüfung der Datenschutzerklärungen
  • Anpassung der Einwilligungserklärungen
  • Implementierung eines Prozesses bei Widersprüchen
  • Überprüfung der Vereinbarungen zur Auftragsdatenvereinbarung
  • Einführung eines Prozesses für Datenpannen

Was bleibt?

Bislang fanden sich die rechtlichen Grundlagen des Datenschutzes im Bundesdatenschutzgesetz (BDSG), das für Stiftungen des bürgerli­chen Rechts als „private Stellen“ unmittelbar Anwendung findet. Im Zentrum des Datenschutzes ste­hen das Recht jedes Einzelnen auf informationelle Selbstbestimmung und der Schutz des Einzelnen vor Beeinträchtigung seines Persön­lichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten. Unter personenbezogenen Daten versteht man jede Einzelan­gabe über persönliche oder sachli­che Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit gemeint sind sämt­liche Informationen, die über den Betroffenen etwas aussagen – unabhängig von der Sensitivität der Verarbeitung. Zu den perso­nenbezogenen Daten gehören damit u.a. Adress- und Kontover­bindungsdaten, das Geburtsdatum, Vertrags- und Abrechnungsdaten, Sozial- und Steuerdaten, ggf. aber auch die IP-Adresse.

Grundprinzipien des Daten­schutzes, die nach den neuen Regelungen beibehalten werden und auch für jede Stiftung Geltung haben, soweit sie personenbezoge­ne Daten verwendet, sind folgende:

  • Gebot der Datenvermeidung, Datensparsamkeit und Trans­parenz
  • Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezo­gener Daten ist verboten – es sei denn, es ist durch Gesetze erlaubt oder es liegt eine Ein­willigung des Betroffenen vor. Erlaubende Gesetze finden sich u.a. im BDSG selbst. Danach ist z.B. die Nutzung der Daten erlaubt, wenn ein Vertrag erfüllt werden muss.
  • Zweckbindungsgebot: Daten dürfen grundsätzlich nur zu dem Zweck verarbeitet werden, zu dem sie mit Einwilligung oder Erlaubnis des Betroffenen erhoben worden sind.
  • Zweckentfremdungsverbot: Eine unbefugte Änderung bzw. Erweiterung der Zweckbindung der erhobenen Daten stellt einen Eingriff in das Recht auf informationelle Selbstbestim­mung dar.
  • Direkterhebung: Daten müssen grundsätzlich beim Betroffenen selbst erhoben werden. Ist dies nicht der Fall, ist er jedenfalls zu benachrichtigen.

Das ändert sich – ein Überblick

Grundlage für das neue Datenschutzrecht ist die Datenschutzgrundverordnung (DSGVO). Als europäische Verordnung findet sie unmittelbar in Deutschland Anwendung; über sogenannte Öffnungsklauseln sind einzelne Regelungen im BDSG konkretisiert worden. Die wesentlichen Änderungen auf einen Blick:

Datenschutz-Management-System

Im Zentrum der DSGVO steht das Recht auf Vergessenwerden durch strengere Informations- und Löschpflichten. Nutzt eine Stiftung personenbezogenen Daten, muss sie ein System zur Steuerung und Kontrolle der datenschutzkonformen Verarbeitung einführen. Dazu gehören die Implementierung eines Verfahrens, in dem festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechts­grundlage die Datenverarbeitung und ggf. die Weiterverarbeitung erfolgt. Um Betroffenenrechte zu erfüllen, muss sie den Betroffe­nen bei Erhebung der Daten infor­mieren (z.B. durch Anpassung der Datenschutzerklärungen) und besagte Stiftung muss ihren Lösch­pflichten nachkommen.

Verarbeitungsverzeichnis

Soweit die Datenverarbeitung nicht nur gelegentlich erfolgt, muss elektronisch oder schriftlich ein sogenanntes Verarbeitungsverzeichnis geführt werden. In diesem Verzeichnis sind alle Verarbeitungstätigkeiten nebst Angaben zu den Verantwortlichen zu erfassen. Dies bedeutet, dass sich Stiftungen einen Überblick über jene eigenen Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden (Spenderdatei, Newsletter-Versand etc.), und dass sie bei jeder einzelnen Verarbeitung prüfen muss, ob es dafür eine Rechtsgrundlage gibt. Grundlage für die Verarbeitung können eine Einwilligung oder die Erforderlichkeit einer Vertragserfüllung sein.

Soweit die Verarbeitung aufgrund einer Einwilligung erfolgt, hat die Stiftung zu prüfen, ob die Einwilligung den verschärften Anforderungen der DSGVO (Widerrufsmöglichkeit) standhält.

Auftragsdatenverarbeitung

Nach wie vor bedarf es einer vertraglichen Vereinbarung, wenn Daten im Auftrag eines anderen verarbeitet werden. So etwa, wenn die Stiftung ein Spender-Mailing mit Unterstützung eines Versand-Dienstleisters abwickelt und diesem Adressdaten übermittelt. Nach der DSGVO müssen beide Seiten geeignete technische und organisatorische Maßnahmen festlegen, damit die verarbeiteten Daten entsprechend geschützt werden. Außerdem müssen die Verarbeitungstätigkeiten dokumentiert werden. Es ist zu erwarten, dass Stiftungen ihre bestehenden Vereinbarungen überprüfen und ggf. an die neue Rechtslage anpassen.

StiftungsWelt 04-2017

Der Artikel wurde in der StiftungsWelt 04-2017 mit dem Schwerpunkt "Generation Stiftung? Anstöße für die Philanthropie von morgen" veröffentlicht.

Mitgliedermagazin

StiftungsWelt 04-2017

Generation Stiftung?
Jetzt herunterladen
Aktuelle Beiträge
Kapital und Wirkung

Auf dem Weg zum Finanzgipfel für Stiftungen

Auf dem Forum Kapital und Wirkung brachte der Bundesverband alle Gruppen zusammen, die zusammen arbeiten müssen, um die Herausforderungen für die Vermögensanlage gemeinsam zu meistern: Mitgliedstiftungen, kommerzielle Partner, den Arbeitskreis Stiftungsvermögen und den Expertenkreis Impact Investing. 

Mehr Infos
Globales Engagement

„Für unsere Arbeit brauchen wir politische Stabilität“

Seit Oktober 2018 hat die Bill & Melinda Gates Foundation ein eigenes Büro in Berlin. Mit dessen Leiter Tobias Kahler sprachen wir darüber, was die Stiftung in der deutschen Hauptstadt vorhat

Mehr Infos
Impuls

Gehen oder Bleiben?

Der Grünen-Vorsitzende Robert Habeck hat sich kürzlich mit Aplomb aus
den sozialen Netzwerken verabschiedet. Ein Schritt, der auch Stiftungen zu
denken geben sollte? Unsere Autorin hat dazu eine klare Meinung

Mehr Infos
Stiftungs-News

„Eine naive und fantastische Idee“

Das Refugium-Programm der taz Panter Stiftung ermöglicht Journalisten, die in ihren Heimatländern unter Druck geraten sind, eine Auszeit in Deutschland. Ein Gespräch mit Programmleiterin Konny Gellenbeck und Stipendiat und Fotoreporter Önder Şimşek

Mehr Infos
Mehr zum Thema
Stiftungsrecht

Abgabefrist für Steuererklärungen ab 2019 verlängert

Gemeinnützigkeitserklärungen können bis 31. Juli abgegeben werden. Das Steuerformular für gemeinnützige Körperschaften gibt es jetzt bei Elster-Online

Weiterlesen
Marco2811 — fotolia.com

Recht und Steuern

Lesen Sie hier, unter welchen rechtlichen Voraussetzungen Stiftungen, die gemeinnützige, mildtätige oder kirchliche Zwecke verfolgen, steuerbegünstigt sind.

Weiterlesen
Stiftungsrecht

Kapitalertragsteuerabzug – Nichtbeanstandungsregelung des Bundesfinanzministeriums

Neue Regelungen für den Kapitalertragsteuerabzug für gemeinnützige Stiftungen ab 2019 – Nichtbeanstandungsregelung des Bundesfinanzministeriums.

Weiterlesen