Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Zeit eine Zwischenbilanz zu ziehen. Stiftungen haben seitdem vielfältige Maßnahmen ergriffen, um die Anforderungen des neuen Datenschutzrechts zu erfüllen. Doch der Anpassungsprozess geht weiter.
Noch sind nicht alle Fragen geklärt und nicht alle Unsicherheiten beseitigt. In diesem Beitrag wollen wir die häufigsten Fragen, die auch ein Jahr nach Einführung der DSGVO noch gestellt werden, ansprechen und beantworten. Stiftungen sollen beim Thema Datenschutz die Sicherheit gewinnen, die sie benötigen, um sich wieder stärker ihrer eigentliche Kernaufgabe widmen zu können: der Verwirklichung ihres Satzungszwecks.
Wo finde ich Informationen und Hilfestellungen zur DSGVO?
Basisinformationen zur DSGVO sowie einen Leitfaden zur Umsetzung der wichtigsten Anforderungen des neuen Datenschutzrechts finden Sie hier. Unter anderem finden Sie dort auch Muster für Einwilligungserklärungen, für Verpflichtungserklärungen für Mitarbeiter und für ein Verarbeitungsverzeichnis. Ferner beinhaltet unser Leitfaden Informationen zur Anpassung und zum Mindestinhalt ihrer Datenschutzerklärungen sowie Hinweise zur Bestellung eines Datenschutzbeauftragten.
Für wen gilt die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung gilt für jeden, der personenbezogene Daten von natürlichen Personen verarbeitet. Es muss sich also um Daten von Menschen handeln. Nicht umfasst sind damit Daten juristischer Personen wie Unternehmen in den verschiedenen gesellschaftsrechtlichen Formen oder auch Stiftungen, wohl aber die Daten der Personen, die Teil der juristischen Person sind oder bei ihr beschäftigt sind.
Wer ist Verantwortlicher für den Datenschutz?
Bei Rechtsfähigen Stiftungen ist der Vorstand für den Datenschutz verantwortlich. Dies gilt auch, wenn er nur ehrenamtlich tätig ist. Bei Treuhandstiftungen ist grundsätzlich der Treuhänder als Verantwortlicher anzusehen.
Mit welchen Maßnahmen sollte bei der Umsetzung der DSGVO begonnen werden?
Bei der Umsetzung der DSGVO sollte mit folgenden Maßnahmen begonnen werden:
- Erstellung des Verarbeitungsverzeichnisses
- Überprüfung vorhandener Einwilligungserklärungen hinsichtlich der Anforderungen des Art. 7 DSGVO (Einsichtsfähigkeit, freiwillig, informiert, nachweisbar, unmissverständlich, widerruflich Umsetzung der Informationspflichten/Datenschutzerklärung)
- Datenschutzverpflichtung von Mitarbeitern
- Verfahren für Datenunfälle
- Verfahren bei Geltendmachung von Betroffenenrechten (insbesondere Auskunft und Löschen)
- Prüfung von Auftragsdatenverarbeitungsverträgen
- Dokumentation über die Einhaltung der Anforderungen der DSGVO
Wie erstelle ich eine Datenschutzerklärung?
Eine Datenschutzerklärung muss Nutzer über den gesamten Umfang der Datenverarbeitung informieren. Die DSGVO fordert, diese Information in einer allgemein verständlichen Form bereitzustellen. Nutzer sollen also nicht durch komplizierte Inhalte verwirrt werden, sondern klar und einfach nachvollziehen können, was mit ihren persönlichen Daten geschieht. Um Nutzer über die Datenverarbeitung informieren zu können, müssen Sie zunächst selbst überlegen, welche personenbezogenen Daten für die Arbeit Ihrer Stiftung benötigt werden.
Das Verarbeitungsverzeichnis (siehe vorhergehende Frage) sollte darüber bereits Aufschluss geben. Anschließend können Sie die Datenschutzerklärung formulieren. Der Mindestinhalt einer Datenschutzerklärung wird von Art. 13 DSGVO vorgegeben. Insbesondere ist darauf zu achten, dass der Verantwortliche benannt und die Betroffenen auf ihre Rechte hingewiesen werden.
Was ist bei der Einholung einer Einwilligung nach neuem Recht zu beachten?
Zur Einholung von Einwilligungen hat der europäische Gesetzgeber klare Vorstellungen. Zunächst einmal muss der Einwilligende einwilligungsfähig sein, wovon auszugehen ist, wenn eine Person das sechzehnte Lebensjahr vollendet hat. Für die Wirksamkeit der Einwilligung erforderlich ist, dass die Betroffenen zuvor umfassend informiert werden, insbesondere über ihr jederzeitiges Widerrufsrecht, und sie die Einwilligung freiwillig und ausdrücklich abgegeben wird. Die Informationspflichten sind sehr umfassend und mit der rechtmäßigen Erteilung der Informationen steht und fällt die Wirksamkeit der Einwilligung. Aus diesem Grund ist auch eine ordnungsgemäße Protokollierung des Ganzen zwingend.
Muss ich für „alles“ eine Einwilligung einholen?
Um personenbezogenen Daten speichern und nutzen zu dürfen, benötigen Sie einen Rechtfertigungsgrund. Dieser kann in einer Einwilligung der betroffenen Person bestehen, aber auch jede andere Rechtsgrundlage aus Art. 6 DSGVO (z.B. Vertragserfüllung oder das überwiegende berechtigte Interesse der Stiftung) kommt dafür in Betracht. Oft ist dann keine ausdrückliche Einwilligung notwendig, um personenbezogenen Daten rechtmäßig zu verarbeiten. Nur für die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie für die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung ist eine ausdrückliche Einwilligung erforderlich. Art. 8 DSGVO enthält besondere Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.
Was ist mit Einwilligungen, die vor der Datenschutz-Grundverordnung erteilt wurden?
Bisher ist davon auszugehen, dass diese weiterhin gelten, wenn Sie rechtskonform gestaltet wurden. Somit kann diese Frage eigentlich nicht pauschal beantwortet werden, sondern bedarf einer Beurteilung im Einzelfall. Jedenfalls aber gibt es keine Regel, dass grundsätzlich alle Einwilligungen wertlos sind und neu eingeholt werden müssen. Bisher rechtswirksam eingeholte Einwilligungen weiterhin gelten. Dabei sei auch nicht problematisch, dass die nach altem Recht eingeholten Einwilligungen den neuen Informationspflichten nicht gerecht werden, da sie keine Bedingungen seien. Besondere Beachtung finden müsse jedoch die Voraussetzung der Freiwilligkeit und die Altersgrenze von 16 Jahren. Entscheidend ist allein, dass auch schon alte Einwilligungen korrekt protokolliert worden sind. Ist dies nicht der Fall, müssen die Einwilligungen unter Beachtung der neuen Rechenschaftspflichten noch einmal eingeholt werden.
Benötige ich einen Datenschutzbeauftragten?
Wenn in einer Stiftung mindestens 10 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung beschäftigt sind, muss die Stiftung einen Datenschutzbeauftragten benennen. Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann, wenn besondere Arten von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie, Gesundheit und Sexualleben) verarbeitet werden oder wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
Gilt die Datenschutz-Grundverordnung auch für Alt-Daten?
Die Datenschutz-Grundverordnung findet auch auf die Daten Anwendung, die Sie rechtmäßig vor Ablauf der Umsetzungsfrist am 25. Mai 2018 erhoben haben – sogenannte Alt-Daten. Sind die Datenverarbeitungsvorgänge vor diesem Datum rechtmäßig erhoben und verarbeitet worden, resultieren für Sie in der Regel keine großen Veränderungen. Denn die Rechtfertigungsgründe des bisherigen Bundesdatenschutzgesetzes stimmen vielfach mit den neuen gesetzlichen Ausnahmen überein. Auch zuvor rechtmäßig eingeholte Einwilligungen gelten dann weiterhin fort. Anders sieht die Rechtslage hingegen aus, wenn die Datenverarbeitungsvorgänge zum Stichtag noch nicht abgeschlossen wurden. In diesen Fällen muss eine Anpassung an die neue Rechtslage erfolgen.