Morgen ist der 1. Mai 2018. Und ab dem 25. Mai 2018 wird die „Datenschutzgrundverordnung der Europäischen Union“ (kurz: EU-DSGVO) europaweit rechtsgültig. Die Verordnung wurde bereits am 25. Mai 2016 durch das EU-Parlament verabschiedet, jedoch gab es eine zweijährige Übergangsfrist, welche es den Mitgliedsländern der EU erlauben sollte, die Artikel der Verordnung an die rechtlichen Vorschriften des jeweiligen Mitgliedsstaates anzupassen. Die meisten EU-Länder haben dieses auch getan – nur die „Große Koalition“ in Berlin hat das Thema total verschlafen und ist mittlerweile der Auffassung, dass die deutschen Gerichte mit Grundsatzentscheidungen für die dringend notwendigen Anpassungen sorgen werden. Dass dies jedoch Jahre dauern wird, scheint man in Berlin nicht zu begreifen.
Das Besondere an der EU-DSGVO ist, dass sie grundsätzlich jeden Bürger der EU betrifft – in der einen oder anderen Form. Da wir gerade in den letzten Wochen und Monaten verstärkt mitbekommen haben, dass viele Karnevalsgesellschaften und auch andere Vereine die EU-DSGVO noch gar nicht „auf dem Schirm“ haben, haben wir uns mit dem Kölner Rechtsanwalt Michael Wübbe über das Thema der EU-DSGVO – und hier speziell zu Themen, welche einen Verein interessieren könnten – unterhalten.
koelsche-fastelovend.de: Zuerst einmal Danke, dass Sie sich für uns Zeit genommen haben. Was gibt es grundsätzlich zum Thema „EU-DSGVO“ zu beachten?
Michael Wübbe: Es dauert nicht mehr lange bis zum 25. Mai 2018. Ab diesem Datum gelten die DSGVO und das neue Bundesdatenschutzgesetz (BDSG-neu). Das heißt, geht die Nutzung einer Website über einen familiären Zweck hinaus, ist die DSGVO anzuwenden und man benötigt eine Änderung der Datenschutzhinweise. Die Anwendung der DSGVO ist vor dem Hintergrund der Entscheidung des Bundesfinanzhof (BFH) wichtig, da dort entschieden wurde, dass bereits der einfache Besuch einer Website die Nutzung voraussetzt, denn eine dynamische IP-Adresse stellt bereits personenbezogene Daten dar.
Es ist aber nicht alles neu. Wer sich damit schon auseinandergesetzt hat wird merken, dass eine große Anzahl von Grundsätzen erhalten bleiben, wie zum Beispiel die Pflicht der Vereine einen Datenschutzbeauftragten zu bestellen, wenn in der Regel mindestens zehn Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (siehe § 38 BDSG-neu). Ausgeschlossen bleibt der Vorstand als eben solch ein Beauftragter. Die DSGVO regelt ferner, dass der zum Schutze der Daten Beauftragte bei der jeweils zuständigen Aufsichtsbehörde gemeldet werden muss (Art. 37 Absatz 7 DSGVO).
koelsche-fastelovend.de: Ein Thema, welches viele Vereine verwirrt, ist das sogenannte „Verarbeitungsverzeichnis“. Was hat es hiermit auf sich?
Michael Wübbe: Das sogenannte Verarbeitungsverzeichnis regelt, dass sämtlich Prozesse im Zusammenhang mit der Verarbeitung personenbezogener Daten dort festgehalten werden, d. h. sie müssen aufgeführt und ebenfalls beschrieben werden (Art. 30 DSGVO). Es soll dadurch sichergestellt werden, dass sämtliche Prozesse Berücksichtigung finden.
(Hinweis der Redaktion: Wir stellen am Ende des Interviews zwei PDF-Dateien als Download zur Verfügung, welche uns freundlicherweise vom „Bayerisches Landesamt für Datenschutzaufsicht“ zur Verfügung gestellt worden sind. Diese beiden Dateien erklären einfach verständlich den Aufbau eines Verarbeitungsverzeichnisses. Ebenso finden Sie dort eine Excel-Vorlage zur direkten Erstellung eines Verarbeitungsverzeichnisses.)
koelsche-fastelovend.de: Ein Thema, welches ebenfalls oft für Verwirrung sorgt, ist die Pflicht von Auftragsverarbeitungsverträgen. Was gibt es hierzu zu sagen?
Michael Wübbe: Die Regelung zur Pflicht von Auftragsverarbeitungsverträgen (Art. 28 DSGVO) besteht schon länger, wurde bislang aber nur selten umgesetzt. Hier sind insbesondere die Verträge mit Unternehmen zu schließen, die mit der Abrechnung von Bestellungen beauftragt sind.
(Anm. der Redaktion: Hiermit sind u. a. Dienstleister wie Paypal, Klarna und Co. gemeint, aber eventuell auch die Hausbank des Vereins, wenn ein automatisierter Bankeinzug durchgeführt wird. Weitere Kandidaten für Auftragsverarbeitungsverträge sind der Webhoster und auch der Steuerberater, welcher ja z. B. die Rechnungen an die Mitglieder für deren Beiträge in der Steuererklärung verbuchen muss.)
Zu beachten ist auch die Überarbeitung von Einwilligungserklärungen gemäß den Vorgaben der DSGVO. Ferner die Erstellung eines Sicherheitskonzeptes sowie die Sicherstellung der Betroffenenrechte.
(Anm. der Redaktion: Das Sicherheitskonzept bezieht sich auf das Thema Datensicherheit und hat nichts mit dem Sicherheitskonzept bei öffentlichen Veranstaltungen zu tun.)
koelsche-fastelovend.de: Über welche Daten sprechen wir hier eigentlicht? Welche Daten müssen bzw. dürfen gespeichert werden?
Michael Wübbe: Die DSGVO unterscheidet zwischen sensiblen und normalen Daten. Unter normalen Daten versteht man zum Beispiel: Name, Anschrift, Kontaktmöglichkeiten (Telefon, eMail-Adresse) und Kundennummer. Dahingehend sind sensible Daten pauschal alles, was darüber hinausgeht. Im speziellen höchstpersönliche Daten wie religiöse Überzeugung und sogenannte biometrische Daten.
Wenn der Verein also eben diese Daten speichern möchte, benötigt man einen guten Grund. Ist dieser gegeben, sind die Daten regelmäßig zu aktualisieren. Man ist zudem dafür verantwortlich, dass die Daten nicht unberechtigt eingesehen oder gestohlen werden können.
Es besteht für die Person, deren Daten gespeichert werden, ein Auskunftsrecht. Auf Verlangen sind die Daten zu löschen, außer man ist gesetzlich zur Speicherung verpflichtet.
koelsche-fastelovend.de: Fast jeder Verein betreibt heute zur Außerndarstellung eine Website. Was ist hier zu beachten?
Michael Wübbe: Man sollte auf der Website ein sofort sichtbares „Cookie Banner“ einrichten, welches nach Möglichkeit nicht das Impressum oder den Button dorthin verdeckt. Es muss alles sichtbar und mit einem Klick erreichbar sein!
Die Datenschutzerklärung auf der Website muss individuell angepasst sein. Auch muss dort ein Hinweis zu finden sein auf die Einbindung von Social-Media-Tools wie z. B. facebook, Google+ oder Instagram. Bei der Verwendung und Zusammenarbeit mit Google & Co. (zum Beispiel mit „Google Analytics“ oder „facebook Pixel“) ist auf die Anonymisierungsfunktion zu achten.
Die Datenschutzerklärung ist demnach explizit so zu deklarieren und aufrufbar zu machen. Absolut nicht ausreichend ist es, diese Erklärung einfach in das Impressum zu packen unter Nennung der genauen Rechtsgrundlage.
Ich weise auch noch einmal ausdrücklich auf das Widerspruchsrecht nach Artikel 21 DSGVO für den Webseitenbenutzer hin! Diese Aufklärung muss auch extra geschrieben stehen, am besten ähnlich dem Widerrufsrecht, in einem hervorgehobenen neuen Absatz in einer gut sichtbaren und lesbaren Schrift.
In Artikel 13 DSGVO findet sich eine Liste an Dingen, die in dem Datenschutzhinweis stehen müssen:
- Name und Kontaktdaten des Verantwortlichen (möglicherweise auch Vertreter)
- Zweck und Rechtsgrundlage der Verarbeitung
- Falls die Rechtsgrundlage Art. 6 Abs. 1 f) DSGVO ist, muss eine Angabe der berechtigten Interessen des Verantwortlichen oder Dritten erfolgen
- Man hat über die Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung) aufzuklären
- Man muss einen Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde geben
- Die Speicherdauer der Daten ist anzugeben, zudem – falls vorhanden – die Kriterien, warum wie lange die Speicherdauer ist
Natürlich kann es im Einzelfall wichtig sein, dort weitere Angaben zu machen. Im Verein zum Beispiel die Nennung des Datenschutzbeauftragten.
Als Hinweis ist zu beachten, dass mit dem „Privacy by Default“ nur die Daten verarbeitet werden dürfen, die für den bestimmten Verarbeitungszweck erforderlich sind.
koelsche-fastelovend.de: Ebenso führt fast jeder Verein in Deutschland eine Veranstaltung durch, für die Mitglieder und externe Gäste Karten kaufen können. Gibt es dort auch etwas in Richtung DSGVO zu beachten?
Michael Wübbe: Richtigerweise ist es schwierig, die Bestellung von Karten datenschutzrechtlich genau zu regeln, da es hier noch keine Erfahrung mit den neuen Datenschutzrechten gibt.
Grundsätzlich ist zu sagen, dass eine Einwilligung immer dort eingeholt werden muss, wo im Anschluss unmittelbar einwilligungsbedürftige Datenverarbeitungsvorgänge ablaufen würden. Für Datenverarbeitungen, die mit dem Prozess des Kaufs an sich zu tun haben (Erhebung von Name, Anschrift, Zahldaten, Mailadresse für die Bestellbestätigung etc.), bedarf es einer Einwilligung aber meist nicht, weil die Verarbeitung durch die Erforderlichkeit zur Vertragsdurchführung gerechtfertigt wird. Im Anschluß daran findet das ab dem 25. Mai 2018 erforderliche Prozedere mit den Daten statt.
Das Anlegen eines einfachen Kundenkontos ist dabei aber anders zu bewerten. Für Bestellungen ist das Anlegen eines Kundenkontos nicht notwendig, da die Bestellung auch als Gast möglich sein muss.
koelsche-fastelovend.de: Wie sieht es mit den Löschfristen im Zusammenhang mit der Kartenbestellung aus? Was ist hier zu beachten?
Michael Wübbe: Die Speicherung der Daten bemisst sich anhand der jeweiligen gesetzlichen Höchstfrist. Eine sofortige Löschung ist demnach nur dann vorzunehmen, wenn die Person (dem Kauf, Anm. d. Red.) widerspricht.
Bei der Frage nach der Löschung von Daten ist je nach Speicherort und seinem Zweck zu unterscheiden. Ohne Kundenkonto sind nach einer Bestellung spätestens nach sechs Monaten die Daten zu löschen. Rechnungen und weitere Belege sind nach zehn Jahren zu löschen. Andere Kundendaten sind so lange aufzubewahren, wie die gesetzliche Frist – etwa die Gewährleistungszeit – es vorsieht.
Daten von Kunden mit Kundenkonto können demgegenüber so lange gespeichert werden, wie das Kundenkonto bestehen bleibt.
koelsche-fastelovend.de: Abschließend noch eine Frage zu einem Thema, welches in den letzten Tagen für viel Wirbel gesorgt hat. Die Fotografenvereinigung FREELENS hat in einem Artikel mit dem Titel „Aus Fotos werden Daten“ darauf hingewiesen, dass „die bloße (fotografische, Anm. d. Red.) Aufnahme von Personen (nicht nur die anschließende Veröffentlichung) zu einem Akt der personenbezogenen Datenerhebung“ nach der DSGVO wird. Hierbei sei es „unerheblich, ob die abgebildete Person erkennbar ist oder nicht“. Was sagen Sie dazu?
Michael Wübbe: Wenn die Bilder offiziell gemacht werden, ist zwingend ein Hinweis abzugeben und die Einwilligung zur Verwendung einzuholen.
koelsche-fastelovend.de: Vielen Dank, Herr Wübbe, dass Sie sich die Zeit genommen haben, mit uns ausführlich und relativ umfassend über das Thema „EU-DSGVO im Verein“ zu sprechen.
Hinweis der Redaktion: Ein weiterer Dank geht an die Pressestelle der „Deutschen Anwaltshotline„, welche für uns den Kontakt zu Rechtsanwalt Michael Wübbe hergestellt hat.
Dokumente zum Artikel:
Verzeichnis von Verarbeitungstätigkeiten – Muster 1: Verein
Verzeichnis von Verabeitungstätigkeiten – Vorlage zum Ausfüllen (Excel-Tabelle)
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.