Der 25.05.2018 rückt immer näher – und damit der Stichtag, an dem öffentliche und nicht öffentliche Einrichtungen sowie auch Nonprofit-Organisationen die Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) bedingungslos erfüllen müssen. Die zweijährige Umsetzungsfrist ist dann nämlich abgelaufen. Gleichzeitig tritt das neue Bundesdatenschutzgesetz in Kraft, das einige Aspekte des Datenschutzes ergänzend regeln wird, wie den Beschäftigtendatenschutz oder auch die Bestellpflicht für einen betrieblichen Datenschutzbeauftragten.
Erweitertes Haftungsrisiko für verantwortliche Stellen
Den meisten NPOs dürften spätestens die in der Grundverordnung geregelten Bußgelder Schweißperlen auf die Stirn treiben. Denn dort, wo das alte Bundesdatenschutzgesetz noch maximale Bußgelder in Höhe von 50.000 bzw. 300.000 Euro vorgesehen hat, werden für Verstöße künftig Millionenbeträge fällig. Ob und inwieweit Aufsichtsbehörden solch drastische Sanktionen verhängen werden, bleibt abzuwarten.
Nicht anlassbezogene Prüfungen durch die Aufsichtsbehörden sind zwar grundsätzlich nicht zu erwarten. Spätestens durch Beschwerden von Betroffenen jedoch müssen die Landesdatenschutzbeauftragten von Gesetzes wegen tätig werden. Nicht nur Bußgelder müssen die Konsequenz sein. Auch Vor-Ort-Kontrollen bis hin zur erzwungenen Abschaltung von datenverarbeitenden IT-Systemen können weitreichende Folgen für die sogenannten verantwortlichen Stellen haben.
Umfangreiche Maßnahmen zur Umsetzung erforderlich
Wer bereits früh angefangen hat, die Anforderungen der neuen Gesetzeslage umzusetzen, wird wissen, wie groß der Aufwand ist, alle für die Datenverarbeitung relevanten Systeme, Prozesse und letztlich auch Dokumente analysieren, überdenken, anpassen oder ersetzen zu müssen. Und keineswegs gesichert ist, ob man mit den Ergebnissen tatsächlich ab dem 25.05.2018 datenschutzrechtlich compliant ist, bieten doch viele Regelungen der DSGVO erheblichen Interpretationsspielraum. Nichtsdestotrotz arbeiten betriebliche Datenschutzbeauftragte und IT-Verantwortliche mit Hochdruck an Lösungen, um der Erfüllung der rechtlichen Anforderungen zumindest so nah wie möglich zu kommen.
Kühlen Kopf bewahren
Was aber, wenn das Thema in Ihrer Nonprofit-Organisation viel zu spät oder noch gar nicht angegangen wurde oder schlussendlich eingesehen werden muss, dass trotz aller Bemühungen die Ergebnisse der Umsetzung schlicht nicht ausreichen? Verfallen Sie nicht in Panik. Mit strategischen Überlegungen und vernünftigem Augenmaß kann man selbst in den wenigen verbleibenden Wochen noch etwas bewirken. Dabei gilt es, bloß nicht zu versuchen, alle identifizierten Brandherde gleichzeitig zu löschen.
Wichtigste Maßnahmen zur Ad-hoc-Umsetzung
Löschen Sie vielmehr zügig die Feuer, die auch für Außenstehende als erstes bemerkt werden können, oder welche die Kernpflichten betreffen:
- Bestellung eines betriebl. Datenschutzbeauftragten
Soweit Ihre Organisation zehn Personen oder mehr mit der nicht nur gelegentlichen Verarbeitung von personenbezogenen Daten beschäftigt, benötigen Sie einen Datenschutzbeauftragten. Auch eine externe Person kann diese Funktion übernehmen. Gleiches gilt, wenn in Ihrer Organisation weniger als zehn Personen sensible Informationen wie beispielsweise Gesundheitsdaten oder Informationen über die ethnische Herkunft, politische, religiöse oder weltanschauliche Meinungen oder Bekenntnisse verarbeiten. - Datenschutzerklärung der Website
Soweit Ihre Organisation eine Website (oder auch eine App) anbietet, benötigen Sie eine Datenschutzerklärung nach dem Telemediengesetz. Diese ist nunmehr nach den Vorschriften der DSGVO für die Betroffenen deutlich transparenter zu gestalten. Sie sieht beispielsweise erweiterte Informationspflichten vor hinsichtlich der Zwecke und Rechtsgrundlagen der Datenverarbeitung, aber auch hinsichtlich der Betroffenenrechte, wie etwa das Widerspruchsrecht, das Auskunftsrecht oder das Recht auf Löschung oder Einschränkung der Verarbeitung. - Sicherstellung der Rechtsgrundlage für die Verarbeitung von Mitgliederdaten oder der Spendenwerbung
Dringend sollten Sie Ihr „Kerngeschäft“ absichern: Wie können Sie die Verarbeitung von Mitgliederdaten weiterhin rechtssicher vornehmen? Wie ist künftig die Spendenwerbung zu handhaben? Eher in den selteneren Fällen benötigen Sie eine Einwilligung der Betroffenen. Oft gilt: Informieren Sie die Betroffenen schon bei Erhebung der Daten über die geplante Nutzung und über die Rechte als Betroffene in transparenter Art und Weise. Dann kann bereits im Rahmen der Durchführung des Rechtsverhältnisses mit dem Betroffenen eine Nutzung der Daten in erforderlicher Weise oder gestützt auf Ihre berechtigten Interessen zulässig sein. - Dokumentation der Verarbeitungsvorgänge
Deutlich gestiegen ist der Umfang der Dokumentationspflichten, die Organisationen erfüllen müssen, um ihrer Rechenschaftspflicht für ein ordnungsgemäßes Datenschutzkonzept nachzukommen. Das Kerndokument ist dabei das Verzeichnis über die Datenverarbeitungsvorgänge in der Organisation, worunter gleichermaßen analoge wie systemgebundene, administrative wie operative Tätigkeiten der Datenverarbeitung fallen. Listen Sie die eingesetzten IT-Systeme sowie die Prozesse der Verwaltung auf und benennen Sie die Kategorien und Zwecke der Datenverarbeitung wie auch die davon Betroffenen. Bilden Sie lieber etwas großzügigere „Verarbeitungspakete“, um den Aufwand zu minimieren, ein vollständiges Dokument zu schaffen. Im Nachhinein kann man die Verarbeitungsvorgänge immer noch enger erfassen.
Auch wenn nur wenig Zeit bleibt, bis die DSGVO volle Geltung entfaltet – Sie haben noch die Möglichkeit, das datenschutzrechtliche Haftungsrisiko Ihrer Organisation deutlich zu mindern. Mit einer strukturierten Herangehensweise können grundlegende Pflichten der DSGVO auch kurzfristig umgesetzt werden. Gerne sind Ihnen unsere Experten für Datenschutzrecht dabei behilflich.
Übrigens: Auf den Websites der Landesdatenschutzbeauftragten finden Sie mittlerweile zahlreiche Handreichungen und Musterdokumente.
Weiterlesen:
Datenschutzgrundverordnung – höchste Zeit zu handeln!
Erstellung eines Datenschutzkonzepts für Ihre Nonprofit-Organisation
Tags: Datenschutzerklärung
