Datenschutz – schon alles erledigt?

Vor über einem Jahr ist die DSGVO in Kraft getreten. Was sollte man bis heute umgesetzt haben? Mit wem müssen Verträge geschlossen werden und welche datenschutzrechtlichen Besonderheiten müssen Stiftungen beachten? Ein Interview mit Rechtsanwalt Dr. Thomas Schafft

………………………………………………………………………………………………………………………….
Die DSGVO gilt seit mehr als einem Jahr, was sollte ich als Vorstand einer rechtsfähigen Stiftung bereits erledigt haben?

Alle notwendigen Maßnahmen sollten längst erledigt sein. Die Übergangsfrist zur Implementierung dieser Maßnahmen war immerhin schon vor Inkrafttreten der DSGVO angesetzt. Klar ist aber auch, dass dies nicht bei allen Organisationen der Fall ist. Mein Eindruck ist, dass die Aufsichtsbehörden auf manche Themen mehr Wert legen, als auf andere. Wer also noch hinterherhinkt, sollte schnellstmöglich mindestens ein Verzeichnis über seine Verarbeitungstätigkeiten, die Datenschutzinformationen und die notwendigen Verträge und Vereinbarungen erstellen.

Mit wem müssen Verträge und Vereinbarungen abgeschlossen werden?

Grundsätzlich sollte mit allen Kooperationspartnern und Dienstleistern, ein Vertrag geschlossen werden – abgesehen von sogenannten Funktionsträgern, zu denen ich weiter unten komme. Wir unterscheiden zwischen Auftragsverarbeitern und anderen Verantwortlichen.

Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Die Zwecke und Mittel zur Verarbeitung der Daten legt der Auftraggeber selbst fest. Hierunter fällt üblicherweise der klassische IT-Dienstleister oder Agenturen.

Mit engen Kooperationspartnern kann die Grundlage der Zusammenarbeit auch eine sogenannte gemeinsame Verantwortung sein – Zwecke und Mittel der Verarbeitung werden hierbei gemeinsam festgelegt. In diesem Fall müssen Sie in einem Vertrag dokumentieren, welcher Verantwortliche welche Datenschutzverpflichtungen übernimmt.

Kommen wir zu den Ausnahmen: Mit manchen Partnern, sofern sie eigenständig agierende Berufsgruppen sind, müssen gar keine Datenschutzverträge geschlossen werden, da sie als eigenständige Verantwortliche gelten. Hierzu gehören Steuerberater, Wirtschaftsprüfer oder Rechtanwälte und Bankinstitute.

Welche weiteren Themen sind aus Datenschutz-Sicht besonders wichtig?

Da ist zuerst die IT-Sicherheit zu nennen, das heißt der Schutz vor ungewollten Datenverlusten, Datenlecks oder Hackerangriffen. Die Bedeutung von technischen und organisatorischen Schutzmaßnahmen kann gar nicht überschätzt werden. Der überwiegende Anteil an Bußgeldern, der bisher ausgesprochen wurde, betraf vor allem mangelnde IT-Sicherheit und nur ausnahmsweise rein „rechtliche“ Probleme wie beispielsweise das Nichtvorliegen eines Auftragsverarbeitungsvertrags.

Wann braucht eine Organisation einen eigenen Datenschutzbeauftragten?

Die Regelungen, wann ein Datenschutzbeauftragter bestellt werden muss, sind grundsätzlich nicht neu. Ebenso wie vor dem Inkrafttreten der DSGVO gilt für nicht-öffentliche Stellen, dass ein Datenschutzbeauftragter notwendig ist, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Personenzahl steigt künftig auf 20, wie der Bundestag vor kurzem in einer Gesetzesänderung beschlossen hat.

Unabhängig von diesem Schwellenwert gibt es aber auch andere Kriterien, welche die Benennung eines Datenschutzbeauftragten bedingen, nämlich wenn im großen Umfang besonders sensible Daten verarbeitet werden.

Handelt es sich um besonders sensible Daten, wenn eine Organisation Einzelfälle unterstützt? Worauf müssen fördernde Stiftungen achten?

Art. 9 der DSGVO listet die besonderen Kategorien von Daten auf. Gesundheitsdaten etwa, die bei mildtätigen Förderungen oftmals erfasst werden, gehören zu diesen besonders sensiblen Daten. Die Stiftung muss einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit die umfangreiche Verarbeitung dieser Daten ist. Werden eher Projekte und nur sporadisch einzelne Personen gefördert, kann man argumentieren, dass die Verarbeitung der sensiblen Daten nicht der Kerntätigkeit entspricht. Werden jedoch ausschließlich Einzelfälle gefördert und zum Beispiel im großen Umfang Fragebögen zur Ermittlung der besonders sensiblen Daten ausgegeben, kann die Kerntätigkeit dieser Stiftung im relevanten Bereich liegen. Derzeit gibt es dazu noch keine Rechtsprechung oder veröffentliche Leitlinien der Aufsichtsbehörden.

Bei sensiblen Daten kann auch eine Datenschutzfolgeabschätzung notwendig werden. Dies ist ein formaler Prozess, bei dem das datenschutzrechtliche Risiko untersucht und erforderliche Maßnahmen zur Risikominimierung festgelegt werden. Oftmals ist die Verarbeitung von sensiblen Daten aber vor allem ein IT-Sicherheitsthema. Verschlüsselungen, Pseudonymisierung und getrennt gespeicherte Datenbestände bieten sich daher immer an.

Was fordert der Datenschutz beim Thema Information der Betroffenen?

Wichtig ist stets, für den Betroffenen an jeder Stelle klar zu kennzeichnen, für welchen Zweck ich seine Daten zu verarbeiten beabsichtige. Die Informationen in den Datenschutzhinweisen sollten daher verständlich formuliert sein und der betroffenen Person Aufschluss darüber geben, wofür die Daten letztendlich benötigt werden. Dies kann bei Stiftungen zum Beispiel das Ausstellen von Spendenquittungen, aber auch die Werbetätigkeit sein. Für manche Werbekanäle – insbesondere E-Mail, Telefon oder Fax – reicht die Information der Betroffenen nicht aus. Dafür brauche ich zusätzlich eine aktive Einwilligungserklärung des jeweiligen Empfängers. Die Datenschutzhinweise sollten immer auf demselben Werbekanal kommuniziert werden, auf welchem die Einwilligung eingeholt wird.

Betreibt eine Stiftung ein Online-Fundraising-Portal sollten die Datenschutzhinweise bei Erhebung der Daten für den Spender klar ersichtlich auf der Webseite zu finden sein. Auch das Impressum muss alle vorgeschriebenen Angaben enthalten, insbesondere den vollständigen Namen, die Postanschrift und eine E-Mail-Adresse zur Kontaktaufnahme.

Eine positive Wende, welche die Einführung der DSGVO mit sich gebracht hat, ist in Zusammenhang mit den Webseiten von Organisationen zu nennen: Heute überlegen sich viel mehr Organisationen, ob sie wirklich Tracking-Tools benötigen, um die Besucher ihrer Webseite besser analysieren zu können. Der Datenschutz für die Website-Besucher hat sich dadurch deutlich verbessert. Es kann schlichtweg nicht sein, dass Websites zu sensiblen Themen – z.B. zu psychischen Erkrankungen – Tracking-Tools von externen Werbenetzwerken einsetzen, da die Werbenetzwerke hierdurch erfahren würden, welche Online-Nutzer sich für das entsprechende Thema interessieren (und daher möglicherweise selbst betroffen sind). Anhand dieses Beispiels – bei dem es sich übrigens um einen aktuell bekannt gewordenen Skandal handelt – wird deutlich, wie wichtig Datenschutz für uns alle ist.

……………………………………………………………………………………………………………………….

Die Fragen stellte Katharina Radmüller, Leiterin Stiftungsservice im Haus des Stiftens
Foto: Андрей Яланский, stock.adobe.com

Kommentare sind geschlossen.