Verschärfte Vorschriften zum Datenschutz

Neben den stiftungs- und steuerrechtlichen Vorgaben gibt es eine Vielzahl weiterer Rechtsvor­schriften, die ein Stiftungsvorstand im Rahmen seiner ordnungsge­mäßen Geschäfts­führung zu beachten hat. Dazu gehören auch jene Vorschrif­ten zum Datenschutz, die jüngst reformiert worden und ab dem 25. Mai 2018 anzu­wenden sind. Die neuen Regelungen enthalten im Vergleich zum Bundesdaten­schutzgesetz (BDSG) deutlich verschärfte Strafandrohungen und steigern damit das Haftungsrisiko für Stiftungsvorstände. Die erforder­lichen Änderungen sollten daher innerhalb der kommenden sechs Monate umgesetzt werden.

Was bleibt?

Bislang fanden sich die rechtlichen Grundlagen des Datenschutzes im Bundesdatenschutzgesetz (BDSG), das für Stiftungen des bürgerli­chen Rechts als „private Stellen“ unmittelbar Anwendung findet. Im Zentrum des Datenschutzes ste­hen das Recht jedes Einzelnen auf informationelle Selbstbestimmung und der Schutz des Einzelnen vor Beeinträchtigung seines Persön­lichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten. Unter personenbezogenen Daten versteht man jede Einzelan­gabe über persönliche oder sachli­che Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit gemeint sind sämt­liche Informationen, die über den Betroffenen etwas aussagen – unabhängig von der Sensitivität der Verarbeitung. Zu den perso­nenbezogenen Daten gehören damit u.a. Adress- und Kontover­bindungsdaten, das Geburtsdatum, Vertrags- und Abrechnungsdaten, Sozial- und Steuerdaten, ggf. aber auch die IP-Adresse.

Grundprinzipien des Daten­schutzes, die nach den neuen Regelungen beibehalten werden und auch für jede Stiftung Geltung haben, soweit sie personenbezoge­ne Daten verwendet, sind folgende:

• Gebot der Datenvermeidung, Datensparsamkeit und Trans­parenz
• Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezo­gener Daten ist verboten – es sei denn, es ist durch Gesetze erlaubt oder es liegt eine Ein­willigung des Betroffenen vor. Erlaubende Gesetze finden sich u.a. im BDSG selbst. Danach ist z.B. die Nutzung der Daten erlaubt, wenn ein Vertrag erfüllt werden muss.
• Zweckbindungsgebot: Daten dürfen grundsätzlich nur zu dem Zweck verarbeitet werden, zu dem sie mit Einwilligung oder Erlaubnis des Betroffenen erhoben worden sind.
• Zweckentfremdungsverbot: Eine unbefugte Änderung bzw. Erweiterung der Zweckbindung der erhobenen Daten stellt einen Eingriff in das Recht auf informationelle Selbstbestim­mung dar.
• Direkterhebung: Daten müssen grundsätzlich beim Betroffenen selbst erhoben werden. Ist dies nicht der Fall, ist er jedenfalls zu benachrichtigen.

Das ändert sich – ein Überblick

Grundlage für das neue Datenschutzrecht ist die Datenschutzgrundverordnung (DSGVO). Als europäische Verordnung findet sie unmittelbar in Deutschland Anwendung; über sogenannte Öffnungsklauseln sind einzelne Regelungen im BDSG konkretisiert worden. Die wesentlichen Änderungen auf einen Blick:

Datenschutz-Management-System

Im Zentrum der DSGVO steht das Recht auf Vergessenwerden durch strengere Informations- und Löschpflichten. Nutzt eine Stiftung personenbezogenen Daten, muss sie ein System zur Steuerung und Kontrolle der datenschutzkonformen Verarbeitung einführen. Dazu gehören die Implementierung eines Verfahrens, in dem festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechts­grundlage die Datenverarbeitung und ggf. die Weiterverarbeitung erfolgt. Um Betroffenenrechte zu erfüllen, muss sie den Betroffe­nen bei Erhebung der Daten infor­mieren (z.B. durch Anpassung der Datenschutzerklärungen) und besagte Stiftung muss ihren Lösch­pflichten nachkommen.

Verarbeitungsverzeichnis

Soweit die Datenverarbeitung nicht nur gelegentlich erfolgt, muss elektronisch oder schriftlich ein sogenanntes Verarbeitungsverzeichnis geführt werden. In diesem Verzeichnis sind alle Verarbeitungstätigkeiten nebst Angaben zu den Verantwortlichen zu erfassen. Dies bedeutet, dass sich Stiftungen einen Überblick über jene eigenen Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden (Spenderdatei, Newsletter-Versand etc.), und dass sie bei jeder einzelnen Verarbeitung prüfen muss, ob es dafür eine Rechtsgrundlage gibt. Grundlage für die Verarbeitung können eine Einwilligung oder die Erforderlichkeit einer Vertragserfüllung sein.

Soweit die Verarbeitung aufgrund einer Einwilligung erfolgt, hat die Stiftung zu prüfen, ob die Einwilligung den verschärften Anforderungen der DSGVO (Widerrufsmöglichkeit) standhält.

Auftragsdatenverarbeitung

Nach wie vor bedarf es einer vertraglichen Vereinbarung, wenn Daten im Auftrag eines anderen verarbeitet werden. So etwa, wenn die Stiftung ein Spender-Mailing mit Unterstützung eines Versand-Dienstleisters abwickelt und diesem Adressdaten übermittelt. Nach der DSGVO müssen beide Seiten geeignete technische und organisatorische Maßnahmen festlegen, damit die verarbeiteten Daten entsprechend geschützt werden. Außerdem müssen die Verarbeitungstätigkeiten dokumentiert werden. Es ist zu erwarten, dass Stiftungen ihre bestehenden Vereinbarungen überprüfen und ggf. an die neue Rechtslage anpassen.