Teil 4: Wassersport-Vereine und die Datenschutz-Grundverordnung – Verträge, Übermittlung ins Ausland und Informationspflichten

Nach der Datenschutz-Grundverordnung müssen Verträge zur Auftragsverarbeitung geschlossen, Verzeichnisse erstellt und Betroffene informiert werden. Auch Datenübermittlungen ins Ausland können Heruasforderungen darstellen – wichtig und gegebenenfalls tückisch bei internationalen Wettbewerben. In diesem Teil 4 der Serie zum Datenschutzrecht für Vereine erfahren Sie mehr.

Zurück zu Teil 3: Wassersport-Vereine und das neue Datenschutz-Recht – Rechtsgrundlagen

9. Abschluss von Vereinbarungen zur Auftragsverarbeitung

Bei der bisherigen Bestandsaufnahme wurde nun ermittelt, welche Daten erhoben und verarbeitet werden, und an wen sie weitergeleitet werden. Weiterleiten darf ich Daten – zumindest innerhalb der EU – aus denselben Gründen, aus denen ich sie auch erheben und selbst verarbeiten darf. Dabei ist natürlich die Zweckbindung besonders zu beachten.

Es gibt einen Bereich der Datenverarbeitung, bei dem noch eine Besonderheit zu beachten ist. Dieser Bereich heißt “Auftragsverarbeitung” und ist etwas schwer darzustellen. Die Idee der Auftragsverarbeitung, damals noch “Auftragsdatenverarbeitung” genannt, stammt aus den 1970er Jahren. Damals wurden Massendaten, die natürlich auch damals bereits bei Versicherungen, Banken, Verwaltungen und Großunternehmen angefallen sind, zunehmend nicht mehr im Hause verarbeitet, sondern in Einrichtungen, die damals zumeist den Titel “Rechenzentrum” trugen. Betreiber dieser Rechenzentren waren oft nicht diejenigen, die die Daten erhoben haben und dann für ihre Geschäftszwecke auch wieder benötigten. Es ging letztendlich um eine Auslagerung eigener Aufgaben an einen anderen. Dadurch sollte sich der eigentlich Datenverantwortliche nicht von seiner Verantwortung freizeichnen können. Er blieb verantwortlich und hatte zur Klärung dieser Verantwortlichkeit und Dokumentation der Aufgabenverlagerung einen schriftlichen Vertrag mit Pflichtinhalten zu schließen, wo Kernstücke die verbindlichen technisch-organisatorischen Maßnahmen (TOMs) zum sicheren Betrieb, Rechte zur Überprüfung und die Festlegung der Weisungsabhängigkeit vom Auftraggeber waren.

Diese Idee des Vertrags mit Pflichtinhalt hat auch die Datenschutz-Grundverordnung in Artikel 28 beibehalten. Ab dem 25. Mai 2018 muss in Deutschland zum Abschluss dieser Verträge – anders als beim bisherigen deutschen Recht – zwar nicht mehr der Kugelschreiber klicken. Der Abschluss eines recht komplexen Vertrages ist aber nach wie vor vorgeschrieben; dies geht eben nun auch elektronisch per Mausklick, wobei einige, auch amerikanische Anbieter (zum Beispiel Amazon AWS [Muster nur für eingeloggte Kunden sichtbar], Cloudflare und 1&1) interessanterweise die Schrftform bevorzugen . Es ist dringend zu empfehlen, elektronische Vertragsschlüsse zu dokumentieren und den genauen Vertragstext abzuspeichern. Den Text geben die Auftragsverarbeiter zumeist vor – Beispiele finden Sie bei den obigen Links zu den jeweiligen Anbietern. Wenn nicht, sollte man dringend nach einer Alternative suchen.

Rechenzentren gibt es, wenn auch nicht mehr unter dieser Bezeichnung, mehr denn je, und dementsprechend auch verschiedenste Angebote. Manche der Funktionen, die dorthin ausgelagert werden, sind Auftragsverarbeitungen, manche eben nicht. Hauptsächlich entscheidend für die Abgrenzung einer Auftragsverarbeitung zu einer sogenannten Funktionsübertragung ist die Weisungsgebundenheit der Verarbeitung. Der Datenschutz-Wiki hat hierzu eine umfassende Checkliste veröffentlicht. Grob lässt sich zu einigen typischen Fällen folgendes unterscheiden.

9.1 Dienstleister, die als Auftragsverarbeiter angesehen werden

  • Webspace und Cloud– und Hosting-Dienste. Sie  sind der Prototyp der Auftragsverarbeitung. Die Systeme des Auftragnehmers führen Programme nach den Weisungen des Auftraggebers aus und speichern genau das, was der Auftraggeber hochlädt. Regelmäßig sind die Daten verschlüsselt, und die Anbieter sind selbst nicht in der Lage, sie zu entschlüsseln, weil nur der Kunde die Zugangscodes besitzt.
  • Analyse-Anbieter wie Google Analytics. Sie  führen Auftragsverarbeitungen durch und schließen oft ohne jedes Problem die erforderlichen Verträge.
  • Content Delivery Networks, die Webseiten beschleunigt ausliefern. Sie sind Auftragsverarbeiter und schließen entsprechende Verträge.
  • Newsletter-Dienstleister, die für den Auftraggeber Newsletter-Empfängerlisten verwalten und auf genaue Weisung Newsletter – zumeist elektronisch oder auch per Brief – versenden.

9.2 Dienstleister, die keine Auftragsverarbeiter sind

  • Anzeigen-Auslieferer für Webseiten sind anders als die Newsletter-Auslieferer keine Auftragsverarbeiter; sie lassen sich vom Seitenbetreiber nicht genau anweisen, welche Anzeigen sie für welchen Preis ausliefern, und sind eher als “Mieter von Web-Fläche” anzusehen.
  • Rechtsanwälte und Steuerberater arbeiten zwar interessen-, aber nicht weisungsgebunden und sind daher – wenn sie nicht reine Datenhaltung als eigenständige Nebenleistung anbieten (z.B. einen elektronischen Belegablage-Service) – keine Auftragsverarbeiter. Die DATEV wird normalerweise vom Steuerberater und nicht vom Mandanten beauftragt und ist dann Auftragsverarbeiter für den Steuerberater, nicht aber für den Mandanten.
  • Druckdienstleister und Fracht-, Post- und Telekommunikationsdienstleister sind ebenfalls traditionell keine Auftragsverarbeiter. Sie verfolgen einen eigenständigen Geschäftszweck und benötigen zwar Daten für die Ausführung ihres Auftrages; wie sie sie genau verwenden, entscheidet aber nicht der Kunde.
  • Auch E-Mail-Dienste gelten analog üblicherweise als Dienste, die nicht als Auftragsverarbeitung erbracht werden.
  • GPS-Tracking-Dienste (für sogenannte elektronische Fahrtenbücher) sind ebenfalls keine Auftragsdienstleister. Sie erhalten die zu verarbeitenden Daten ja nicht einmal vom Auftraggeber, sondern erhalten nach den üblichen Modellen Rohdaten eines GPS-Modells über eine von ihnen kontrollierte Mobilfunkverbindung und werten die Positions- und Fahrzeugdaten so aus, dass sich daraus eine Liste von Fahrten ergibt .

10. Übertragung von Daten in das Ausland, internationale Wettkämpfe

Ebenso, wie man sich der datenschutzrechtlichen Verantwortlichkeit nicht durch Auslagerung der Tätigkeit an einen Auftragsverarbeiter entrinnen können soll, soll dies auch nicht durch eine Übertragung in das Ausland geschehen können, wo die Daten im Vergleich zum hohen EU-Standard vergleichsweise schutzlos sein könnten. “Ausland” ist vor dem Hintergrund dieses Verständnisses jedes Gebiet, in dem die Datenschutz-Grundverordnung nicht gilt. Die entsprechenden Staaten werden in der Rechtssprache als “Drittländer” bezeichnet. Eine Übertragung von Daten innerhalb der EU sowie an die weiteren Staaten, die mit der EU den sogenannten Europäischen Wirtschaftsraum bilden (Island, Liechtenstein und Norwegen), ist wie eine innerdeutsche Datenübertragung zu behandeln, weil im Zielstaat dasselbe Recht gilt.

Beispiel: Ein Wassersportverein nimmt an internationalen Turnieren teil. Ein Ausrichter in Brasilien sieht vor, dass Vereine bzw. ihre Regional- oder Landesverbände Name, Geburtsdatum, Staatsangehörigkeit und Wohnort der Teilnehmer gesammelt und online nach Brasilien übermitteln.

In manch fernerem Land ist das Wetter viel schöner, und zu Hause in Europa geht es um Datenschutz.

10.1 Zulässigkeit der Übermittlung nach der Datenschutz-Grundverordnung

Die Übertragung in andere Staaten ist nach dem Kapitel 5 der Datenschutz-Grundverordnung unter den folgenden Voraussetzungen möglich, von denen mindestens eine zutreffen muss:

  • Die Europäische Kommission hat in einem förmlichen Angemessenheitsbeschluss die Angemessenheit des Datenschutzniveaus des Zielstaates anerkannt. Dies ist derzeit für Andorra, Argentinien, Kanada (private Stellen), die Schweiz, Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay der Fall.
  • Bei einer Datenübertragung in die USA nimmt der Empfänger der Daten am sogenannten “EU-US Privacy Shield” teil. Dies bedeutet, dass er sich gegenüber der zuständigen US-Behörde verpflichtet hat, mit Bezug auf Daten, die dem EU-Datenschutzrecht unterliegen, das EU-Recht anzuwenden. Verstöße unterliegen dann auch nach US-amerikanischem Recht  Strafen. Auf der hier verlinkten Webseite kann nachgeschaut werden, ob ein US-Unternehmen dem “Privacy Shield” unterliegt. Wichtig ist, dass US-Unternehmen den “Privacy Shield” auch auf einzelne Dienste beschränken und andere ausnehmen können.
  • Es sind die von der EU-Kommission vorgegebenen Standardvertragsklauseln mit dem Empfänger im Drittstaat vereinbart worden. Wichtig ist, dass genau diese Klauseln verwendet werden und sie nicht an anderen Stellen als vorgesehen ergänzt oder abgeändert werden.
  • Es bestehen für eine Gruppe von Datenverarbeitern verbindliche interne Regeln, die ausreichend und von einer Aufsichtsbehörde in der EU genehmigt worden sind. Diese Regelung, die vor allem auf global agierende unternehmen mit vielen Tochtergesellschaften ausgerichtet ist, könnte auch für internationale Sportverbände nach einer einmaligen Genehmigungsprozedur eine Erleichterung darstellen.
  • Einwilligung der betroffenen Person nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
  • Vertragserfüllung, Wahrnehmung oder Verteidigung von Rechten oder lebenswichtige Interessen sowie unter Beteiligung der Aufsichtsbehörde Fälle des überwiegenden Interesses; Artikel 49 Datenschutz-Grundverordnung.

10.2 Muster für eine Einwilligung zur Übermittlung ins Ausland zur Wettkampfanmeldung

Im Beispielsfall erfolgt die Datenübermittlung an einen Drittstaat, zu dem kein Angemessenheitsbeschluss der Europäischen Kommission besteht. Wenn der Verband in Brasilien keine Standardvertragsklauseln unterzeichnet, und wenn auch keine anerkannten internen Datenschutzregeln Anwendung finden, bleibt nur noch der Weg, eine Einwilligung in die Übermittlung zu verlangen. Diese macht aber eine Aufklärung über die Risiken erforderlich, und die Regeln zur Freiwilligkeit gelten entsprechend. Wenn die Daten absolut papiergebunden erhoben und so (oder per Fax ohne Beteiligung von Computern) ausgetauscht werden, ist das Datenschutzrecht nicht berührt. Anders ist es aber bei einer Online-Übermittlung, wie im Beispielsfall vorgesehen. Eine Formulierung zur Einwilligung in diese Übermittlung könnte etwa lauten (gegebenenfalls auszutauschende Textteile stehen in eckigen Klammern):

Ich willige ein, dass [der Wassersportverband Europa e.V., Teststraße 123, 12345 Berlin,] meine folgenden Daten zur Meldung meiner  Teilnahme am [Großen Wassersport-Wettbewerb 2018] an den Verein [Agua Mundo, Rio de Janeiro, Brasilien] übermittelt: [Name, Geburtsdatum, Staatsangehörigkeit, Teilnehmerklasse, Datum des Bestehens des letzten Turtle-Tests]. Mir ist bekannt, dass für den Zielstaat der Übermittlung, nämlich [Brasilien], hinsichtlich des dortigen Datenschutzniveaus kein Angemessenheitsbeschluss der Europäischen Kommission besteht, und dass auch sonst keine geeigneten Garantien hinsichtlich der Verarbeitung der Daten bestehen. Daher besteht das Risiko, dass  ich die Rechte, die das europäische Datenschutzrecht hinsichtlich meiner Rechte vorsieht, also etwa das Recht auf Auskunft, auf Berichtigung unrichtiger Daten, auf Widerspruch und auf Löschung, hinsichtlich der übermittelten Daten im Zielstaat nicht wirksam ausüben kann. Zudem ist es denkbar, dass das Recht im Zielstaat weniger strikte Regeln zur Zweckbindung der Daten und zum Schutz vor Ausspähung oder Zerstörung der Daten vorsieht. Meine Einwilligung erfolgt im Bewusstsein dieses Risikos.

Mir ist bekannt, dass ich diese Einwilligung jederzeit ohne Angabe von Gründen widerrufen kann, dass aber die Verarbeitung rechtmäßig bleibt, wenn sie vor dem Zugang des Widerrufs erfolgt ist.

Rechtsgrundlage für die Erhebung der Daten durch den [Wassersportverband] ist Artikel 6 Absatz 1 Satz 1 Buchstabe a der Datenschutz-Grundverordnung. Rechtsgrundlage für die Übermittlung der Daten ist Artikel 49 Absatz 1 Satz 1 Buchstabe a der Datenschutz-Grundverordnung. Der [Wassersportverband] dokumentiert die Einwilligung und Übermittlung von Daten auf ihrer Grundlage zu dem Zweck und mit dem berechtigten Interesse, die Einhaltung der Datenschutzregeln nachweisen zu können. Rechtsgrundlage hierfür ist Artikel 6 Absatz 1 Satz 1 Buchstabe f der Datenschutz-Grundverordnung. Die Löschung erfolgt mit dem Wegfall des Dokumentationszwecks, also mit Eintreten der Verjährung etwaiger Schadenersatzansprüche spätestens elf Jahre nach der letzten Verwendung der Daten.

Es sollten hier oder in einem gesonderten Textabschnitt noch Aufklärungstexte für die allgemeinen datenschutzrechtlichen Rechte folgen.

11. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Für die meisten Betroffenen wirklich neu ist die Verpflichtung zur Erstellung eines “Verzeichnisses von Verarbeitungstätigkeiten”, das nun in Artikel 30 der Datenschutz-Grundverordnung vorgesehen ist. Zwar sieht Absatz 5 dieses Artikels Ausnahmen von dieser Verpflichtung vor, unter anderem für Unternehmen oder Einrichtungen mit weniger als 250 Beschäftigungen. Entwertet wird diese Ausnahme allerdings durch die Einschränkung, dass sie nicht gilt, wenn Datenverarbeitungen “nicht nur gelegentlich” stattfinden. Eine “nicht nur gelegentliche” Verarbeitung personenbezogener Daten findet jedoch statt, wenn Verwaltungsarbeiten, die personenbezogene Daten zum Gegenstand hat (Buchhaltung, Personalverwaltung), computergestützt ausgeführt wird, oder wenn schlicht eine Webseite unterhalten wird. Insofern wird die Erstellung eines Verzeichnisses in den meisten Fällen erforderlich sein. Es ist schriftlich vorzuhalten, was aber auch elektronisch geschehen kann, und muss auf Verlangen der Aufsichtsbehörde vorgelegt werden. Veröffentlicht oder ohne Aufforderung gemeldet werden muss es nicht.

In Artikel 30 der Datenschutz-Grundverordnung ist näher ausgeführt, welche Daten in das Verzeichnis aufgenommen werden muss. Wenn Sie die bis hier vorgeschlagenen Schritte vorgenommen haben, müssten Ihnen alle erforderlichen Daten bereits vorliegen, so dass das Ausfüllen nur noch reine Fleißarbeit bedeutet.

Es gibt für diese Verzeichnisse eine gelungene und kostenfrei verwendbare Word-Vorlage der activeMind AG, auf die ich hier verlinken möchte.

12. Information der Betroffenen

Die Datenschutz-Grundverordnung sieht umfassende Informationspflichten vor. Insbesondere muss jede betroffene Person über die Datenerhebung unterrichtet werden: Wenn die Daten beim Betroffenen Erhoben werden, richten sich die Informationspflichten nach Artikel 13, bei der Erhebung bei Dritten nach Artikel 14 der Datenschutz-Grundverordnung. Der Inhalt ist in etwa gleich; bei der Erhebung von Dritten muss zudem angegeben werden, von welchen Dritten (die zumindest als Gruppe zu beschreiben sind)die Daten erlangt werden.

Zudem besteht die Verpflichtung, bei einer – ohnehin nur begrenzt zulässigen –  Änderung des Zweckes der Verarbeitung die Betroffenen auch hierüber zu unterrichten.

12.1 Ausnahmen von der Informationspflicht

Ausnahmen von dieser generellen Verpflichtung gibt es nur wenige: Die Datenschutz-Grundverordnung selbst beschränkt diese Ausnahmen auf die völlig selbstverständliche Aussage, dass ein Betroffener nicht unterrichtet werden muss, “wenn und soweit die betroffene Person bereits über die Informationen verfügt.” Der Datenschutzbeauftragte muss sich also, überspitzt gesagt, nicht im Namen des Vereins selber mitteilen, dass die Information verarbeitet wird, dass er Datenschutzbeauftragter ist.

Weitere Ausnahmen von Informationspflichten sieht das deutsche Recht in § 32 des neuen Bundesdatenschutzgesetzes vor, wobei  nur eine einzoge Fallgruppe für Vereine relevant sein kann: Die Informationspflicht besteht nicht, wenn die Datenübermittlung zur Gefahrenabwehr, für die vertrauliche Übermittlung an staatliche Stellen oder zur Geltendmachung oder Abwehr von Rechtsansprüchen erfolgt und die Interessen des Verantwortlichen, die Informationen nicht zu erteilen, die Interessen der betroffenen Person überwiegen. Hiervon erfasst ist etwa die vertrauliche Kommunikation eines Vereins mit einem Anwalt, der Schadenersatzansprüche geltend machen soll, oder die Erstattung einer Strafanzeige, wenn eine Offenlegung der Strafanzeige die Ermittlungen gefährden würde. Die Gründe, weshalb die Information an den Betroffenen unterbleibt, sind aber schriftlich festzuhalten. Wenn das Interesse an der Unterlassung der Infromation wegfällt, ist der Betroffene innerhalb von zwei Wochen zu unterrichten.

12.2 Inhalt der Informationspflicht

Die Informationspflicht ist viel umfassender als diejenige nach dem alten Datenschutzrecht. Zu unterrichten ist bei der Erhebung von Daten bei Dritten die Datenquelle und in jedem Fall über Folgendes:

  • Name und Kontaktdaten des Verantwortlichen und der gesetzliche Vertreter, zum Beispiel: “Bootsclub Frische Brise e.V., Teststraße 123, 12345 Berlin, vertreten durch den Vorstand, Telefon (030) 12344566, E-Mail [email protected]; wenn ein Datenschutzbeauftragter bestellt ist, dessen Name und Kontaktdaten;
  • die erhobenen Daten und die Zwecke der Erhebung sowie die Rechtsgrundlage der Verarbeitung, also der jeweilige konkrete Artikel mit Buchstaben usw. der Datenschutz-Grundverordnung;
  • bei einer Verarbeitung wegen “berechtigter Interessen” die konkreten Interessen gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f der Datenschutz-Grundverordnung;
  • wenn die Daten gegebenenfalls weitergeleitet werden sollen, die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten sowie
  • bei einer beabsichtigten Möglichkeit der Übermittlung der Daten in ein Drittland diese Absicht sowie die Grundlage (Angemessenheitsbeschluss der Europäischen Kommission, Standardvertragsklauseln usw.), und sogar, wenn die Übermittlung auf Grund anerkannter interner Datenschutzvorschriften oder anderer nicht öffentlicher Regelwerke erfolgt, Angaben zu der Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind,
  • die Speicherdauer oder die Kriterien, nach denen sie festgelegt wird, und
  • ob die “Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte”. Gerade die zuletzt genannte Informationspflicht führt zu absurden Inhalten. So habe ich in meiner Datenschutzerklärung darauf hinweisen müssen, dass die Nichtbereitstellung der E-Mail-Adresse bei der Anmeldung zum Newsletter dazu führt, dass der Newsletter nicht abonniert werden kann, weil keine E-Mail-Adresse bekannt ist, an die er zu senden wäre.

Zudem muss noch Aufklärung betrieben werden hinsichtlich verschiedener Rechte:

  • das Recht auf Auskunft über die betreffenden personenbezogenen Daten, auf Berichtigung, auf Löschung,  auf Einschränkung der Verarbeitung, auf das Widerspruchsrechts gegen die Verarbeitung und auf das Recht auf Datenübertragbarkeit,
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die vorherige Verarbeitung auf Grund der Einwilligung dadurch unwirksam wird, und
  • das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wobei dabei die Aufsichtsbehörde nicht benannt werden muss.

Findet eine automatisierte Entscheidungsfindung statt, die ausschließlich ohne Mitwirkung eines Menschen stattfindet und der betroffenen Person gegenüber “rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt”, muss darauf hingewiesen werden. Ansonsten muss darauf hingewiesen werden, dass diese Entscheidungsfindung nicht stattfindet.

Beispiel: Diese Webseite entscheidet anhand bestimmter Kriterien vollautomatisch, ob bestimmte Nutzerkommentare oder Mitteilungen, die über das Kontaktformular erfolgen, weiterverarbeitet werden. Da ich nicht in diese Entscheidungsfindung eingreife, ist sie nicht vollautomatisch. Die Beeinträchtigungen durch die automatische Entscheidung sind aber sehr überschaubar. Weil es keine entsprechende Rechtsprechung gibt, habe ich allerdings einen kurzen Hinweis auf die automatische Spam-Erkennung in die Einverständnistexte der Kommentar- und Kontaktfelder eingebaut, um hinsichtlich Artikel 22 der Datenschutz-Grundverordnung auf der sicheren Seite zu sein.

Für die Generierung von Aufklärungstexten empfehle ich die Nutzung der zahlreichen Textgeneratoren, allerdings mit Verstand, denn optimal und umfassend auf die individuelle Situation zutreffend formuliert sind die Texte auch nicht. Die Datenschutzerklärung zu meiner Webseite ist komplett selbst erstellt. Eine Datenschutzerklärung für ein Unternehmen finden Sie auf den Webseiten des Unternehmens meiner Frau, die ein eigenes Datenschutzportal eingerichtet hat.

Vorsorglicher Hinweis in eigener Sache: Ich erlaube ausdrücklich nicht, diese Texte zu kopieren, und mache an ihnen mein Urheberrecht (bzw. das meiner Frau) geltend. Ich werde Sie auch nicht gegen oder ohne Geld rechtlich beraten. Bei Raubkopien werde ich gerichtliche Schritte einleiten.

12.3 Informationspflicht bei Entgegennahme einer Visitenkarte?

Kürzlich wurde in den Medien thematisiert, dass man bereits eine Datenschutzaufklärung an den Betroffenen senden muss, wenn man die Daten einer Visitenkarte in ein elektronisches Kontaktverzeichnis aufnimmt. Etwas sensationsheischend wird dabei von einer “Datenschutz-Falle” gesprochen. Dass diese rechtliche Einschätzung auch vom Branchenverband Bitkom und dem Berliner Datenschutzbeauftragten bestätigt wird, schockiert natürlich insbesondere kontaktintensive Branchen – wie etwa Zeitungsverlage und ihre Redaktionen. Bloß muss auch der Autor des verlinkten Artikels zugeben: Das war eigentlich schon immer so. Nur hat man nun angefangen, das Thema vor dem Hintergrund der enormen Strafdrohungen ernst zu nehmen.

12.4 Kein Informations-“Reset”

Auch im Zusammenhang mit den Informationspflichten gilt: Hier muss nichts wiederholt werden. Wenn die Datenerhebung und -speicherung bereits früher rechtmäßig war und die Betroffenen davon wussten, muss man nicht ab dem 25. Mai 2018 neu aufklären. Erst bei der nächsten Erhebung werden die neuen Informationen fällig. Man kann sich freilich entscheiden, die bestehenden Mitglieder zum Beispiel einmalig auch hinsichtlich künftiger Datenerhebungsvorgänge zu informieren und Neumitgliedern ebenfalls bei der Aufnahme einmalig ein Infoblatt auszuhändigen. Wenn sich bei der Datenverarbeitung dann nichts ändert, reicht die allgemeine Information auch für zukünftige Vorgänge aus, wenn die zukünftigen Vorgänge der Art nach darin beschrieben sind. Es genügt also zum Beispiel für alle Jahre die Information:

“Wir speichern die Information, ob und wann Beiträge, die Sie zu entrichten haben, fällig geworden sind,  wann Sie in welche Höhe wie Beiträge gezahlt haben, und wann und wie Sie gegebenfalls wegen offener Zahlungspflichten gemahnt worden sind, für die Beitragsüberwachung, die Buchhaltung und die Mitgliederverwaltung einschließlich der satzungsmäßigen Sanktionierung von Verstößen, wobei Rechtsgrundlage Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO für die Buchhaltung und Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO wegen des berechtigten Interesses der Durchsetzung der Beitragsbestimmungen und der Vereinssatzung sind. Weitergegeben werden die Informationen, und zwar nur soweit erforderlich, an Steuerberater zur Unterstützung der Rechnungslegung des Vereins sowie an Rechtsanwälte und Gerichte zur Durchsetzung von Rechten und an entscheidungsbefugte Gremien (Mitgliederversammlung) zur Entscheidung über satzungsmäßige Maßnahmen auf Grund eines Zahlungsverzugs.”

Hier müssten freilich noch die weiteren Hinweise (Rechte auf Auskunft etc.) und natürlich andere Hinweise zu anderen Datenverarbeitungen hinzukommen.

13. Konzept zur Nachhaltigkeit

Wenn nun alle Prozesse optimiert, Verzeichnisse errichtet und Personen informiert sind, sollte festgelegt werden, wer dafür verantwortlich ist, die weitere Richtigkeit und Stimmigkeit zu überprüfen, also etwa, ob sich weitere oder veränderte Datenverarbeitungsprozesse eingeschlichen haben, und ob irgendwo Datenfriedhöfe lauern, die auf eine Löschung warten.

14. Zu spät für die Datenschutz-Grundverordnung?

Nein. Auch wenn Sie den 25. Mai 2018 nicht mehr halten können: Die Datenschutz-Grundverordnung gilt bis auf Weiteres. Wenn Sie jetzt daran gehen, die Vorschriften umzusetzen, wird es besser sein, als wenn Sie bewusst die Flinte ins Korn werfen und man Ihnen eines tagesvorhalten kann, viel zu lange weggeschaut zu haben.

Hat Ihnen die Beitragsserie gefallen? Über einen Kommentar oder eine Nachricht würde ich mich freuen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.