Verschärfte Vorschriften zum Datenschutz

Stiftungsrecht

Ab dem 25. Mai 2018 müssen personenbezogene Daten bessergeschützt werden. Die neuen Regelungen gelten auch für Stiftungen. Was bleibt und was ändert sich?

Neben den stiftungs- und steuerrechtlichen Vorgaben gibt es eine Vielzahl weiterer Rechtsvor­schriften, die ein Stiftungsvorstand im Rahmen seiner ordnungsge­mäßen Geschäfts­führung zu beachten hat. Dazu gehören auch jene Vorschrif­ten zum Datenschutz, die jüngst reformiert worden und ab dem 25. Mai 2018 anzu­wenden sind. Die neuen Regelungen enthalten im Vergleich zum Bundesdaten­schutzgesetz (BDSG) deutlich verschärfte Strafandrohungen und steigern damit das Haftungsrisiko für Stiftungsvorstände. Die erforder­lichen Änderungen sollten daher innerhalb der kommenden sechs Monate umgesetzt werden.

  • Dokumentation der Verarbeitungsprozesse und Erstellung eines Verarbeitungsverzeichnisses
  • Überprüfung der Datenschutzerklärungen
  • Anpassung der Einwilligungserklärungen
  • Implementierung eines Prozesses bei Widersprüchen
  • Überprüfung der Vereinbarungen zur Auftragsdatenvereinbarung
  • Einführung eines Prozesses für Datenpannen

Was bleibt?

Bislang fanden sich die rechtlichen Grundlagen des Datenschutzes im Bundesdatenschutzgesetz (BDSG), das für Stiftungen des bürgerli­chen Rechts als „private Stellen“ unmittelbar Anwendung findet. Im Zentrum des Datenschutzes ste­hen das Recht jedes Einzelnen auf informationelle Selbstbestimmung und der Schutz des Einzelnen vor Beeinträchtigung seines Persön­lichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten. Unter personenbezogenen Daten versteht man jede Einzelan­gabe über persönliche oder sachli­che Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit gemeint sind sämt­liche Informationen, die über den Betroffenen etwas aussagen – unabhängig von der Sensitivität der Verarbeitung. Zu den perso­nenbezogenen Daten gehören damit u.a. Adress- und Kontover­bindungsdaten, das Geburtsdatum, Vertrags- und Abrechnungsdaten, Sozial- und Steuerdaten, ggf. aber auch die IP-Adresse.

Grundprinzipien des Daten­schutzes, die nach den neuen Regelungen beibehalten werden und auch für jede Stiftung Geltung haben, soweit sie personenbezoge­ne Daten verwendet, sind folgende:

  • Gebot der Datenvermeidung, Datensparsamkeit und Trans­parenz
  • Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezo­gener Daten ist verboten – es sei denn, es ist durch Gesetze erlaubt oder es liegt eine Ein­willigung des Betroffenen vor. Erlaubende Gesetze finden sich u.a. im BDSG selbst. Danach ist z.B. die Nutzung der Daten erlaubt, wenn ein Vertrag erfüllt werden muss.
  • Zweckbindungsgebot: Daten dürfen grundsätzlich nur zu dem Zweck verarbeitet werden, zu dem sie mit Einwilligung oder Erlaubnis des Betroffenen erhoben worden sind.
  • Zweckentfremdungsverbot: Eine unbefugte Änderung bzw. Erweiterung der Zweckbindung der erhobenen Daten stellt einen Eingriff in das Recht auf informationelle Selbstbestim­mung dar.
  • Direkterhebung: Daten müssen grundsätzlich beim Betroffenen selbst erhoben werden. Ist dies nicht der Fall, ist er jedenfalls zu benachrichtigen.

Das ändert sich – ein Überblick

Grundlage für das neue Datenschutzrecht ist die Datenschutzgrundverordnung (DSGVO). Als europäische Verordnung findet sie unmittelbar in Deutschland Anwendung; über sogenannte Öffnungsklauseln sind einzelne Regelungen im BDSG konkretisiert worden. Die wesentlichen Änderungen auf einen Blick:

Datenschutz-Management-System

Im Zentrum der DSGVO steht das Recht auf Vergessenwerden durch strengere Informations- und Löschpflichten. Nutzt eine Stiftung personenbezogenen Daten, muss sie ein System zur Steuerung und Kontrolle der datenschutzkonformen Verarbeitung einführen. Dazu gehören die Implementierung eines Verfahrens, in dem festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechts­grundlage die Datenverarbeitung und ggf. die Weiterverarbeitung erfolgt. Um Betroffenenrechte zu erfüllen, muss sie den Betroffe­nen bei Erhebung der Daten infor­mieren (z.B. durch Anpassung der Datenschutzerklärungen) und besagte Stiftung muss ihren Lösch­pflichten nachkommen.

Verarbeitungsverzeichnis

Soweit die Datenverarbeitung nicht nur gelegentlich erfolgt, muss elektronisch oder schriftlich ein sogenanntes Verarbeitungsverzeichnis geführt werden. In diesem Verzeichnis sind alle Verarbeitungstätigkeiten nebst Angaben zu den Verantwortlichen zu erfassen. Dies bedeutet, dass sich Stiftungen einen Überblick über jene eigenen Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden (Spenderdatei, Newsletter-Versand etc.), und dass sie bei jeder einzelnen Verarbeitung prüfen muss, ob es dafür eine Rechtsgrundlage gibt. Grundlage für die Verarbeitung können eine Einwilligung oder die Erforderlichkeit einer Vertragserfüllung sein.

Soweit die Verarbeitung aufgrund einer Einwilligung erfolgt, hat die Stiftung zu prüfen, ob die Einwilligung den verschärften Anforderungen der DSGVO (Widerrufsmöglichkeit) standhält.

Auftragsdatenverarbeitung

Nach wie vor bedarf es einer vertraglichen Vereinbarung, wenn Daten im Auftrag eines anderen verarbeitet werden. So etwa, wenn die Stiftung ein Spender-Mailing mit Unterstützung eines Versand-Dienstleisters abwickelt und diesem Adressdaten übermittelt. Nach der DSGVO müssen beide Seiten geeignete technische und organisatorische Maßnahmen festlegen, damit die verarbeiteten Daten entsprechend geschützt werden. Außerdem müssen die Verarbeitungstätigkeiten dokumentiert werden. Es ist zu erwarten, dass Stiftungen ihre bestehenden Vereinbarungen überprüfen und ggf. an die neue Rechtslage anpassen.

StiftungsWelt 04-2017

Der Artikel wurde in der StiftungsWelt 04-2017 mit dem Schwerpunkt "Generation Stiftung? Anstöße für die Philanthropie von morgen" veröffentlicht.

Mitgliedermagazin

StiftungsWelt 04-2017

Generation Stiftung?
Jetzt herunterladen
Aktuelle Beiträge
Impuls

Der Mutmacher Hans Schöpflin – eine Würdigung

Nichts im Leben bleibt, wie es ist: Diese tief durchlebte Erkenntnis zeichnet den Träger des Deutschen Stifterpreises 2020 aus und begründet seine Philanthropie. Im Rahmen der Mitgliederversammlung des Bundesverbandes Deutscher Stiftungen am 11. November 2021 in Frankfurt am Main wird dem Unternehmer Hans Schöpflin die höchste Auszeichnung des deutschen Stiftungswesens verliehen.

Mehr
Unsere Demokratie

„Wir haben uns etwas sagen zu lassen“

Als im Mai dieses Jahres der Afroamerikaner George Floyd von einem Polizisten getötet wurde, erklärte sich das Stadtmuseum Berlin als eine von wenigen Stiftungen in Deutschland offen solidarisch mit der weltweit aufkommenden #BlackLivesMatter-Bewegung. Im Gespräch erklären Direktor Paul Spies und Diversitäts-Agentin Idil Efe, wie sie ihr eigenes Haus bunter machen wollen.

Mehr
Geschlechtergerechtigkeit

Die Kraft der Frauen

Auch zum 100. Jubiläum des internationalen Frauentages gibt es in Sachen Gleichberechtigung noch viel zu tun. Nur langsam ändern sich Jahrhunderte alte Gesellschaftsstrukturen von Machtverteilung und Diskriminierung. Wie es gehen kann, zeigt die erfolgreiche Arbeit der Vicente Ferrer Stiftung zur Stärkung der Frauen im ländlichen Indien.

Mehr

Mehr zum Thema

Stiftungsrecht

Häufige Fragen zur Stiftungsrechtsreform

Wann kommt das Stiftungsregister? Wie ist mit Umschichtungsgewinnen zu verfahren? Können Stiftungen künftig leichter fusionieren? Wir geben einen Überblick.

Mehr
Pressemitteilungen

Erfolg für Stiftungen: Bundestag beschließt Stiftungsrechtsreform

In seiner Sitzung vom 24. Juni 2021 hat der Bundestag die dringend notwendige Reform des Stiftungsrechts beschlossen. Der Bundesverband Deutscher Stiftungen begrüßt das neue Gesetz, da es zu mehr Rechtssicherheit führt, sieht jedoch Bedarf für weitere Reformschritte. Stiftungen haben nun mehr Gestaltungsmöglichkeiten für ihre Weiterentwicklung.

Mehr
Stiftungsrecht

Steuerliche Erleichterungen für gemeinnützige Organisationen bei der Bewältigung der Hochwasserkatastrophe

Unterstützung für die Helfenden: Mit schnellen Hilfsprogrammen und Spendenaktionen engagieren sich viele Stiftungen und andere gemeinnützige Organisationen in den von Überschwemmungen betroffenen Gebieten in Nordrhein-Westfalen und Rheinland-Pfalz. Diese wiederum erhalten nun steuerliche Erleichterungen bei ihrer wichtigen Arbeit vor Ort.

Mehr