info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Countdown zur Datenschutzgrundverordnung: Die wichtigsten last minute Maßnahmen für NPOs

Der 25.05.2018 rückt immer näher – und damit der Stichtag, an dem öffentliche und nicht öffentliche Einrichtungen sowie auch Nonprofit-Organisationen die Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) bedingungslos erfüllen müssen. Die zweijährige Umsetzungsfrist ist dann nämlich abgelaufen. Gleichzeitig tritt das neue Bundesdatenschutzgesetz in Kraft, das einige Aspekte des Datenschutzes ergänzend regeln wird, wie den Beschäftigtendatenschutz oder auch die Bestellpflicht für einen betrieblichen Datenschutzbeauftragten.

Erweitertes Haftungsrisiko für verantwortliche Stellen

Den meisten NPOs dürften spätestens die in der Grundverordnung geregelten Bußgelder Schweißperlen auf die Stirn treiben. Denn dort, wo das alte Bundesdatenschutzgesetz noch maximale Bußgelder in Höhe von 50.000 bzw. 300.000 Euro vorgesehen hat, werden für Verstöße künftig Millionenbeträge fällig. Ob und inwieweit Aufsichtsbehörden solch drastische Sanktionen verhängen werden, bleibt abzuwarten.

Nicht anlassbezogene Prüfungen durch die Aufsichtsbehörden sind zwar grundsätzlich nicht zu erwarten. Spätestens durch Beschwerden von Betroffenen jedoch müssen die Landesdatenschutzbeauftragten von Gesetzes wegen tätig werden. Nicht nur Bußgelder müssen die Konsequenz sein. Auch Vor-Ort-Kontrollen bis hin zur erzwungenen Abschaltung von datenverarbeitenden IT-Systemen können weitreichende Folgen für die sogenannten verantwortlichen Stellen haben.

Umfangreiche Maßnahmen zur Umsetzung erforderlich

Wer bereits früh angefangen hat, die Anforderungen der neuen Gesetzeslage umzusetzen, wird wissen, wie groß der Aufwand ist, alle für die Datenverarbeitung relevanten Systeme, Prozesse und letztlich auch Dokumente analysieren, überdenken, anpassen oder ersetzen zu müssen. Und keineswegs gesichert ist, ob man mit den Ergebnissen tatsächlich ab dem 25.05.2018 datenschutzrechtlich compliant ist, bieten doch viele Regelungen der DSGVO erheblichen Interpretationsspielraum. Nichtsdestotrotz arbeiten betriebliche Datenschutzbeauftragte und IT-Verantwortliche mit Hochdruck an Lösungen, um der Erfüllung der rechtlichen Anforderungen zumindest so nah wie möglich zu kommen.

Kühlen Kopf bewahren

Was aber, wenn das Thema in Ihrer Nonprofit-Organisation viel zu spät oder noch gar nicht angegangen wurde oder schlussendlich eingesehen werden muss, dass trotz aller Bemühungen die Ergebnisse der Umsetzung schlicht nicht ausreichen? Verfallen Sie nicht in Panik. Mit strategischen Überlegungen und vernünftigem Augenmaß kann man selbst in den wenigen verbleibenden Wochen noch etwas bewirken. Dabei gilt es, bloß nicht zu versuchen, alle identifizierten Brandherde gleichzeitig zu löschen.

Wichtigste Maßnahmen zur Ad-hoc-Umsetzung

Löschen Sie vielmehr zügig die Feuer, die auch für Außenstehende als erstes bemerkt werden können, oder welche die Kernpflichten betreffen:

  1. Bestellung eines betriebl. Datenschutzbeauftragten
    Soweit Ihre Organisation zehn Personen oder mehr mit der nicht nur gelegentlichen Verarbeitung von personenbezogenen Daten beschäftigt, benötigen Sie einen Datenschutzbeauftragten. Auch eine externe Person kann diese Funktion übernehmen. Gleiches gilt, wenn in Ihrer Organisation weniger als zehn Personen sensible Informationen wie beispielsweise Gesundheitsdaten oder Informationen über die ethnische Herkunft, politische, religiöse oder weltanschauliche Meinungen oder Bekenntnisse verarbeiten.
  2. Datenschutzerklärung der Website
    Soweit Ihre Organisation eine Website (oder auch eine App) anbietet, benötigen Sie eine Datenschutzerklärung nach dem Telemediengesetz. Diese ist nunmehr nach den Vorschriften der DSGVO für die Betroffenen deutlich transparenter zu gestalten. Sie sieht beispielsweise erweiterte Informationspflichten vor hinsichtlich der Zwecke und Rechtsgrundlagen der Datenverarbeitung, aber auch hinsichtlich der Betroffenenrechte, wie etwa das Widerspruchsrecht, das Auskunftsrecht oder das Recht auf Löschung oder Einschränkung der Verarbeitung.
  3. Sicherstellung der Rechtsgrundlage für die Verarbeitung von Mitgliederdaten oder der Spendenwerbung
    Dringend sollten Sie Ihr „Kerngeschäft“ absichern: Wie können Sie die Verarbeitung von Mitgliederdaten weiterhin rechtssicher vornehmen? Wie ist künftig die Spendenwerbung zu handhaben? Eher in den selteneren Fällen benötigen Sie eine Einwilligung der Betroffenen. Oft gilt: Informieren Sie die Betroffenen schon bei Erhebung der Daten über die geplante Nutzung und über die Rechte als Betroffene in transparenter Art und Weise. Dann kann bereits im Rahmen der Durchführung des Rechtsverhältnisses mit dem Betroffenen eine Nutzung der Daten in erforderlicher Weise oder gestützt auf Ihre berechtigten Interessen zulässig sein.
  4. Dokumentation der Verarbeitungsvorgänge
    Deutlich gestiegen ist der Umfang der Dokumentationspflichten, die Organisationen erfüllen müssen, um ihrer Rechenschaftspflicht für ein ordnungsgemäßes Datenschutzkonzept nachzukommen. Das Kerndokument ist dabei das Verzeichnis über die Datenverarbeitungsvorgänge in der Organisation, worunter gleichermaßen analoge wie systemgebundene, administrative wie operative Tätigkeiten der Datenverarbeitung fallen. Listen Sie die eingesetzten IT-Systeme sowie die Prozesse der Verwaltung auf und benennen Sie die Kategorien und Zwecke der Datenverarbeitung wie auch die davon Betroffenen. Bilden Sie lieber etwas großzügigere „Verarbeitungspakete“, um den Aufwand zu minimieren, ein vollständiges Dokument zu schaffen. Im Nachhinein kann man die Verarbeitungsvorgänge immer noch enger erfassen.

Auch wenn nur wenig Zeit bleibt, bis die DSGVO volle Geltung entfaltet – Sie haben noch die Möglichkeit, das datenschutzrechtliche Haftungsrisiko Ihrer Organisation deutlich zu mindern. Mit einer strukturierten Herangehensweise können grundlegende Pflichten der DSGVO auch kurzfristig umgesetzt werden. Gerne sind Ihnen unsere Experten für Datenschutzrecht dabei behilflich.

Übrigens: Auf den Websites der Landesdatenschutzbeauftragten finden Sie mittlerweile zahlreiche Handreichungen und Musterdokumente.

Weiterlesen:
Datenschutzgrundverordnung – höchste Zeit zu handeln!
Erstellung eines Datenschutzkonzepts für Ihre Nonprofit-Organisation

Per Kristian Stöcker

Per Kristian Stöcker

Rechtsanwalt Per Kristian Stöcker ist bei WINHELLER für die Bereiche Datenschutz und IT-Recht sowie für den Schutz geistigen Eigentums (Intellectual Property) zuständig. Er berät branchenübergreifend Konzerne, Unternehmen, Nonprofit-Organisationen sowie Berufsverbände und übernimmt im Bedarfsfall als zertifizierter Datenschutzbeauftragter die Funktion des externen Datenschutzbeauftragten.

>> Zum Profil

Tags: , , , , , ,

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann.