Der neue Datenschutz – was nun?

Man muss keine Angst vor der neuen Datenschutz-Grundverordnung (DSGVO) haben – wenn man gut vorbereitet Maßnahmen getroffen hat. Rechtsanwalt Michael Goetz war an einer Broschüre für den Paritätischen Gesamtverband beteiligt, die Grundlage dieses Blogartikels ist.

Seit dem 25. Mai gilt in allen Ländern der Europäischen Union die Datenschutz-Grundverordnung. Die Aufregung um die DSGVO war zuletzt groß; schließlich bedeuten die neuen Regelungen einige Umstellungen für soziale Organisationen, Unternehmen und Vereine. Die Ankündigung von angemessenen und wirksamen Bußgeldern bei Verstößen gegen die DSGVO hat viele Menschen noch mehr verunsichert. Das muss aber nicht sein. Wer sich in seiner Organisation in der Vergangenheit bereits mit dem Datenschutz beschäftigt hat, sollte seine Maßnahmen auf die neue Situation anpassen. Wer Nachholbedarf hat, kann die Möglichkeit nutzen, seinen Datenschutz jetzt auf neuestem Stand aufzubauen.

Ein Hinweis: Dieser Artikel ersetzt keine rechtliche Beratung! Er baut auf der Handreichung “Datenschutz in Paritätischen Mitgliedsorganisationen – Ausgewählte Fragen zum Umgang mit personenbezogenen Daten und Geheimnisschutz Handreichung” auf, herausgegeben vom Paritätischen Gesamtverband. Wir haben Rechtsanwalt Michael Goetz, Co-Autor der Handreichung, zum Thema befragt.

Worum geht es bei der DSGVO?

Im Zentrum stehen personenbezogene Daten und ihre Weiterverarbeitung. Das können Adressen, Geburtsdaten, Wohnorte sein, aber auch besonders schützenswerte Daten wie die kulturelle Herkunft, die gesundheitliche Verfassung, die sexuelle Orientierung oder die religiöse Zugehörigkeit sein. Auch in digitalen Fotos können personenbezogene Daten wie zum Beispiel der Aufenthaltsort gespeichert sein. Die DSGVO regelt unter anderem, dass jede und jeder das Recht hat zu wissen, wo seine Daten gespeichert und verbreitet werden, und dagegen vorzugehen, wenn die Daten nicht rechtmäßig gesichert oder verbreitet wurden. Außerdem hat die DSGVO den Zweck, das Speichern von Daten zu minimieren, Vertraulichkeit zwischen Unternehmen oder Organisationen und Kundin/Kunde zu schaffen, oder die Richtigkeit der Daten zu gewährleisten.

Betroffene haben dadurch gestärkte Rechte, darauf…

• informiert zu werden, warum und wie ihre Daten erhoben werden,
• Auskunft zu bekommen, welche Daten erhoben wurden,
• dass falsche Daten berichtigt werden,
• dass Daten gelöscht werden (wenn keine anderen rechtlichen Gründe bestehen),
• dass Daten übertragen werden – zum Beispiel von einer Organisation zur anderen.

Wer ist in einer Organisation für den Datenschutz verantwortlich?

Verantwortlich dafür, dass der Datenschutz nach der DSGVO umgesetzt wird, sind die Vereine, Organisationen oder Unternehmen selbst – und damit Leitung, Vorstand oder Geschäftsführung. Es macht für jede Organisation Sinn, ein Konzept zum Datenschutz aufzusetzen und zu etablieren. Bei der Umsetzung werden die Verantwortlichen durch eine*n Datenschutzbeaufragte*n unterstützt – nur in wenigen Ausnahmen müssen soziale Unternehmen keine*n Beauftragte*n stellen. Mitarbeitende werden am besten per schriftlicher Einverständnis über den Datenschutz in der Organisation informiert.

Welche Maßnahmen sind kurzfristig zu treffen?

Um zeigen zu können, dass ein Verein, eine Organisation oder ein Unternehmen nach der DSGVO arbeitet, ist es zunächst am wichtigsten, dass ein Verzeichnis über Vorgänge angelegt wird, nach denen Daten verarbeitet werden. Das ist laut DSGVO (mit wenigen Ausnahmen) Pflicht. Wie bereits beschrieben muss im Regelfall ein*e Datenschutzbeauftragte*r bestellt werden. Mit deren oder dessen Hilfe werden die Vorgaben der DGSVO umgesetzt. Um die Daten, die man aufgenommen hat, schützen zu können, ist ein gewisses Maß an Sicherheit nötig. Das betrifft im Besonderen die IT. Eine interne Richtlinie zur IT-Sicherheit, in der festgelegt ist, wie man die Daten zu schützen hat, wird empfohlen.

Wann dürfen Daten von Mitgliedern, Kund*innen, Klient*innen oder Mitarbeitenden gespeichert werden?

Soziale Organisationen wie die Mitglieder des Paritätischen nutzen häufig personenbezogene Daten, wenn sie Personal- oder Kunden- und Klientendaten verwalten. Vor allem Daten zur Gesundheit müssen streng geschützt werden. Um Daten verarbeiten zu dürfen gilt es als sicherstes Instrument, die Einwilligung der betroffenen Person einzuholen. Dazu muss der Person klar und verständlich gezeigt werden, wofür die Daten verarbeitet werden, und dass sie dieser Verarbeitung zustimmt. Das ginge auch mündlich, schriftlich ist es aber sicherer. Dazu zählen nicht nur digitale, sondern auch schriftlich festgehaltene und mündliche Formen von Daten.

Daten von Vereinsmitgliedern können ohne gesonderte Einwilligung zum Beispiel beim Eintritt in den Verein aufgenommen werden. Daten von Kunden oder Klienten können gespeichert werden, wenn man damit Geschäfte abwickelt. Die Daten aus Geschäftsbeziehungen können so lange gesichert werden, wie steuerliche Gründe oder Gründe des besonderen Interesses das nötig machen.Wenn ein Mitglied austritt, Kunden die Löschung der Daten verlangen und/oder die Frist zur Vorhaltung der Daten aus steuerlichen Gründen überschritten ist, müssen die Daten auch gelöscht werden.

Wann dürfen Daten veröffentlicht werden – zum Beispiel im Netz?

Ohne Einwilligung ist eine Veröffentlichung von personenbezogenen Daten erst einmal nicht möglich. Es gibt Ausnahmen: Zum Beispiel können Daten, die mit der Funktion einer Person zusammenhängen, auch ohne Zustimmung veröffentlicht werden. Das gilt für die berufliche oder vereinsbezogene Anschrift, Telefonnummer oder E-Mail-Adresse – für private Daten o.ä. nicht.

Was droht bei Verstößen?

Die EU möchte, dass die DSGVO umgesetzt wird, und droht mit horrenden Geldstrafen. Es geht bei schwerem Rechtsbruch um Bußgelder von bis zu 4 Prozent des Jahresumsatzes eines Unternehmens. Allerdings sollen die Strafen im Einzelfall verhältnismäßig verhängt werden. Entsteht einer Person ein Schaden dadurch, dass die DSGVO missachtet wurde, kann sie Anspruch auf Schadensersatz stellen.

Artikelfoto: Fotolia/Jakub Krechowicz