NRW: EU-Datenschutz-Grundverordnung gilt ab 25. Mai 2018

Tastatur mit Euro-Datenschutz-Taste

NRW: EU-Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018

Aktuelle Meldung | Die Europäische Union hat die Regeln für das Erheben und Speichern persönlicher Daten geändert. Die neue EU-Datenschutzverordnung (DS-GVO) wurde am 25. Mai 2018 wirksam. Vereine und Verbände müssen dementsprechend ihre Mitgliederverwaltung, Datenbanken und Websites angepasst haben. Helga Block, NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit, beantwortet die wichtigsten Fragen zur DS-GVO.
Das folgende Gespräch mit Helga Block sowie ausführliche Informationen zur neuen EU-Datenschutz-Grundverordnung mit vielen weiteren hilfreichen Tipps und Dokumenten für Vereine & Co. auch hier auf diesem Portal.

Frage: Wieso wurde das europäische Datenschutzrecht reformiert?
Antwort: Bislang war Datenschutz europäisch durch eine Richtlinie geregelt. Ziel der Richtlinie war es, einen Mindeststandard für den Datenschutz in Europa festzulegen, der in allen Mitgliedstaaten durch eigene, nationale Gesetze sichergestellt werden sollte. Dies lief nicht immer einheitlich. In den Mitgliedstaaten gab es 28 nationale Umsetzungs- und Anwendungsvarianten der Richtlinie. Die EU entschloss sich daher zur Reform des Datenschutzrechts in Form einer Verordnung. Diese gilt unmittelbar und ohne Umsetzung in nationales Recht in den Mitgliedstaaten. Ziel ist ein harmonisierter Datenschutz auf hohem Niveau. Das Datenschutzrecht war aber auch an die veränderten gesellschaftlichen Gegebenheiten anzupassen.

Sind auch Vereine von dieser Neuregelung betroffen?
Ja. Jeder Verein, der personenbezogene Daten verarbeitet, ist betroffen – auch nicht eingetragene oder nicht rechtsfähige Vereine.

Was sind personenbezogen Daten?
Beispiele sind neben Namen, Anschrift und Geburtsdaten auch die Mitgliedschaft im Verein als solche oder deren Dauer sowie Platzierungen in Wettkämpfen. Nach Art. 4 Nr. 1 sind alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Hat die Datenschutz-Grundverordnung nur Auswirkungen auf den Gesamtverein oder auch auf die Untergliederungen wie Abteilungen und unselbständigen Ortsgruppen?
Die Verordnung gilt im gesamten Verein, also sowohl bei mehrstufigen Vereinsorganisationen, etwa Orts- Landes- und Bundesverband, als auch in den unselbständigen Abteilungen des einzelnen Vereins. In unselbstständigen Untergliederungen muss aber in der Regel weder ein eigener Datenschutzbeauftragter bestellt noch ein eigenes Verarbeitungsverzeichnis geführt werden. Dies erfolgt auf Ebene des Gesamtvereins.

Welche Änderungen erwarten die Vereine? Was sollten Vereine jetzt veranlassen?
Die bisher für Vereine geltenden Regelungen des deutschen Datenschutzrechts werden weitgehend durch die Verordnung ersetzt. Viele Grundsätze des bislang geltenden Rechts finden sich jedoch auch in der Verordnung wieder. Vorhandene Strukturen und Prozesse in Vereinen, die sich an dem geltenden Datenschutzrecht ausrichten, machen sich jetzt also bezahlt. Hier geht es oft nur um Anpassungen im Einzelfall. Vereine hingegen, die das Thema Datenschutz bislang vernachlässigt haben, haben viel nachzuholen um ihre Organisation datenschutzgerecht zu gestalten. In einigen Vereinen haben sich über die Jahre vermutlich an verschiedenen Stellen eine Vielzahl personenbezogener Daten angesammelt. Ausgangspunkt sollte also zunächst eine Bestandsaufnahme sein. Welche Mitgliederdaten, Listen über Platzierungen oder aber auch Beschäftigtendaten liegen im Verein vor? Im nächsten Schritt ist dann für jede einzelne Information zu prüfen, ob der Verein mit dieser überhaupt umgehen darf. Auch unter der Verordnung gilt dabei das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Das bedeutet, dass Daten nur dann erhoben oder weitergegeben werden dürfen, wenn die betroffene Person entweder eingewilligt hat oder eine sonstige Rechtsgrundlage dies erlaubt. Die Datenschutzkonferenz hat für die Umsetzung der Verordnung einen Maßnahmenplan veröffentlicht, abrufbar auf unserer Internetseite www.ldi.nrw.de (PDF).

Muss der Verein seine Mitglieder jetzt umfangreicher informieren?
Die Verordnung soll besonders die Rechte der Bürgerinnen und Bürger stärken. Ihre Rechte können sie jedoch nur dann wahrnehmen, wenn sie wissen, dass personenbezogene Daten über sie verarbeitet werden. Die neuen Informationspflichten sind deshalb umfangreicher und auch von Vereinen zu beachten. Immer dann wenn Daten der Mitglieder erhoben werden, etwa im Antrag auf Mitgliedschaft, müssen die in Art. 13 genannten Informationen mitgeteilt werden. So ist insbesondere über Art, Umfang und Zweck der Datenerhebung aber auch über die Rechte der Betroffenen zu informieren. Bislang war auf Vereinsformularen zum Datenschutz oft nur der Hinweis zu lesen, dass die Daten „unter Beachtung des Datenschutzrechts“ verarbeitet werden. Das reicht so nicht aus.

Braucht jeder Verein künftig einen Datenschutzbeauftragten?
Grundsätzlich gilt hier: Wer bisher einen Datenschutzbeauftragten bestellen musste, muss dies in der Regel auch weiterhin. Allgemeine Aussagen darüber hinaus sind schwierig, denn große und kleine Vereine übernehmen in vielen Feldern gesellschaftliche Verantwortung. Im Einzelfall ist deshalb zu prüfen, ob nach den Vorgaben des Artikels 37 der Verordnung oder § 38 des neuen Bundesdatenschutzgesetzes ein Datenschutzbeauftragter zu bestellen ist. Sportvereine oder Vereine die Gesundheitsdaten verarbeiten, kann etwa eine Pflicht nach Art. 37 Abs. 1 lit. c treffen, da ihre Kerntätigkeit möglicherweise in der Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 liegt. Zudem besteht eine Benennungspflicht nach § 38 Abs. 1 Satz 1 des neuen Bundesdatenschutzgesetzes, wenn regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten, empfehlen wir, dass es im Verein zumindest eine Ansprechpartnerin oder einen Ansprechpartner gibt, die oder der sich in Fragen des Datenschutzes auskennt. Auch die freiwillige Bestellung eines Datenschutzbeauftragten ist möglich und zu empfehlen.

Wer kann zum Datenschutzbeauftragten bestellt werden?
Zunächst muss die oder der Datenschutzbeauftragte unabhängig und weisungsfrei sein. Vorstandsmitglieder scheiden damit aus. Artikel 37 Absatz 5 verlangt als Voraussetzung eine ausreichende Qualifizierung und Fachwissen. Das bezieht sich aber nicht nur auf die gesetzlichen Grundlagen. Weil viele Daten heute elektronisch verarbeitet werden, sollte Mann oder Frau sich auch mit IT-Systemen und IT-Sicherheitsmaßnahmen auskennen. Wie vertieft diese Kenntnisse sein müssen, ist auch hier wieder eine Frage des Einzelfalles. Je komplexer die Datenverarbeitungen sind oder je mehr sensible Daten vorhanden sind, desto höhere Anforderungen sind an das notwendige Fachwissen des Datenschutzbeauftragten zu stellen. Werden etwa umfangreich Gesundheitsdaten verarbeitet ist eine höhere Qualifikation erforderlich, als in Vereinen, die lediglich eine Mitgliederliste mit Kontaktdaten führen.

Darf ein Verein personenbezogene Daten demnächst überhaupt noch weitergeben?
Es kommt im Einzelfall darauf an, welche personenbezogenen Daten zu welchem Zweck und an wen übermittelt werden. Ausgangspunkt sollte hier zunächst sein, dass Vereinsmitglieder davon ausgehen dürfen, dass Informationen über sie nur zur Verwaltung und Betreuung der Mitgliedschaft genutzt werden und den Verein nicht verlassen. Wurden die personenbezogenen Daten rechtmäßig erhoben, ist weiter zu prüfen, ob die Betroffenen in die Weitergabe ihrer Daten eingewilligt haben oder aber eine andere Rechtsgrundlage vorliegt. Beabsichtigt der eigenständige Einzelverein etwa seine Mitgliederliste an den Dachverein zu übersenden, verlassen die Informationen den Verein. Es erfolgt eine Weitergabe an Dritte. Dies ist nicht ohne weiteres möglich. Als Lösung kommt etwa eine ausdrückliche Regelung in der Vereinssatzung in Betracht. Bei einer Weitergabe innerhalb des Vereins, zum Beispiel zwischen den Vereinsmitgliedern, kann ein Blick auf den festgelegten Vereinszweck weiterhelfen. Die Weitergabe an Vereinsmitglieder ist grundsätzlich möglich, wenn der Vereinszweck eine besondere persönliche Verbundenheit zwischen den Vereinsmitgliedern vorschreibt oder die persönliche Kontaktpflege der Mitglieder einen wesentlichen Bestandteil darstellt. Die Weitergabe sollte aber mit dem Hinweis erfolgen, dass diese nur für Vereinszwecke erfolgt.

Dürfen Informationen noch per E-Mail verschickt werden?
Eine E-Mail ist vergleichbar mit einer Postkarte. Die Möglichkeit, dass unbefugte Dritte mitlesen, kann nicht ganz ausgeschlossen werden. Vereine sind nach Art. 32 aber verpflichtet die personenbezogenen Daten durch geeignete und angemessene Maßnahmen zu schützen. Grundsätzlich empfehlen wir deshalb E-Mails mit personenbezogenen Daten nur verschlüsselt zu senden. Und bei der Nutzung von E-Mail-Verteilern sollte die BCC-Funktion, auch Blindkopie-Funktion genannt, verwendet werden.

Welche Dokumentationspflichten gibt es? Muss ein Verarbeitungsverzeichnis geführt werden?
Die Verordnung sieht als eine neue Dokumentationspflicht das so genannte Verarbeitungsverzeichnis vor. Dieses geht über das bisherige Datenschutzrecht hinaus. Das Verarbeitungsverzeichnis soll der Transparenz und dem Nachweis der Einhaltung der Datenschutzvorschriften nach innen und nach außen gegenüber der Datenschutzaufsicht dienen. Im Verarbeitungsverzeichnis sind alle datenschutzrelevanten Prozesse aufzuführen. Nach Artikel 30 ist dies regelmäßig von jedem Verantwortlichen also auch von Vereinen zu führen. Bestehende Verarbeitungsübersichten nach dem bis Mai geltenden Bundesdatenschutzgesetz sind eine gute Grundlage für das Verarbeitungsverzeichnis. Sie sind jedoch gemäß der Verordnung anzupassen. Hinweise und Muster der Datenschutzkonferenz sind auf unserer Internetseite abrufbar.

Was passiert, wenn gegen die Grundverordnung verstoßen wird? Drohen dem Vorstand dann Strafen?
Die Verordnung ist bereits am 25. Mai 2016 in Kraft getreten und wird am 25. Mai 2018 direkt anwendbares Recht. Damit hatten alle Betroffenen zwei Jahre Vorbereitungszeit. Vereine werden die Verordnung zu beachten haben und die Datenschutzaufsichtsbehörden können dies kontrollieren. Dazu haben wir zahlreiche Untersuchungs- und Abhilfebefugnisse und können diese auch mit Zwangsmitteln durchsetzen. Schwerpunktmäßig werden wir die Vereine jedoch weiter beraten und sensibilisieren.

Das Gespräch mit Helga Block sowie ausführliche Informationen zur neuen EU-Datenschutz-Grundverordnung mit vielen weiteren hilfreichen Tipps und Dokumenten für Vereine & Co. auch hier auf diesem Portal.