Startseite - Aktuelle Meldungen - Die neue Datenschutz-Grundverordnung

Die neue Datenschutz-Grundverordnung

Datenschutz-GrundverordnungAm 25.05.2016 trat die neue Daten­schutz-Grund­ver­ord­nung (DS-GVO) in Kraft. Die Ver­ord­nung gilt in den EU-Mit­glieds­staa­ten ab dem 25.05.2018. Gleich­zei­tig wird das Bun­des­da­ten­schutz­ge­setz (BDSG) neu gefasst. Mit der Neu­fas­sung des BDSG wer­den die bis­he­ri­gen daten­schutz­recht­li­chen Rege­lun­gen an die DS-GVO angepasst.

Die Rege­lun­gen der DS-GVO sowie die Ände­rung des BDSG haben auch für Ver­ei­ne Rele­vanz. Denn die DS-GVO bezieht sich auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und damit ins­be­son­de­re auf die Ver­ar­bei­tung von Mit­glie­der­da­ten im Verein.

Eine Daten­ver­ar­bei­tung ist gem. Art. 6 I a) bis c) DS-GVO nur dann zuläs­sig, wenn

  • die betrof­fe­ne Per­son ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re bestimm­te Zwe­cke gege­ben hat,
  • die Ver­ar­bei­tung für die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erfor­der­lich ist, soweit letzt­ge­nann­te Maß­nah­men auf die auf Anfra­ge der betrof­fe­nen Per­son erfol­gen oder
  • die Ver­ar­bei­tung ist zur Erfül­lung einer recht­li­chen Ver­pflich­tung erfor­der­lich, wel­cher der Ver­ant­wort­li­che unterliegt.

Im Gegen­satz zur aktu­el­len Rege­lung in § 4a I S.3 BDSG, die ein Abwei­chen vom Erfor­der­nis der Schrift­form nur bei Vor­lie­gen von „beson­de­ren Umstän­den“ zulässt, bedarf die Ein­wil­li­gung künf­tig nicht mehr zwin­gend der Schrift­form. Eine blo­ße Untä­tig­keit kann wei­ter­hin nicht als Ein­wil­li­gung gewer­tet wer­den. Die Ein­wil­li­gung kann fort­an aber auch stillschweigend/konkludent erteilt wer­den. Dies kann im Zusam­men­hang mit mit­glie­der­be­zo­ge­nen Daten­ver­ar­bei­tungs­vor­gän­gen im Ver­ein par­ti­ell zu Erleich­te­run­gen füh­ren, wenn auch der Zweck einer Daten­ver­ar­bei­tung künf­tig genau­es­tens bestimmt sein muss. Außer­halb des Anwen­dungs­be­reichs des zweck­be­zo­ge­nen Ein­wil­li­gungs­vor­be­halts ist die Ver­ar­bei­tung von Mit­glie­der­da­ten auf­grund des bestehen­den Mit­glied­schafts­ver­hält­nis wei­ter­ge­hend legi­ti­miert. Unter Berück­sich­ti­gung des­sen bedarf ins­be­son­de­re die Daten-Wei­ter­lei­tung an außen­ste­hen­de Drit­te (etwa Dienst­leis­ter der Ver­eins­zeit­schrift) zukünf­tig beson­de­rer Beachtung.

Neu ein­ge­führt wur­de durch Art. 24 DS-GVO das Instru­ment der Daten­schutz-Fol­gen­ab­schät­zung, das zum Ein­satz zu kom­men hat, sofern eine Form der Ver­ar­bei­tung vor­aus­sicht­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge hat.

Bei Ver­stö­ßen gegen die DS-GVO kann die betrof­fe­ne Per­son Beschwer­de bei der Auf­sichts­be­hör­de ein­le­gen. Die betrof­fe­ne Per­son kann fer­ner vor dem natio­na­len Gericht Kla­ge gegen die Auf­sichts­be­hör­de und/oder gegen den für die Daten­ver­ar­bei­tung Ver­ant­wort­li­chen erhe­ben. Mit Art. 80 II DS-GVO wird zudem euro­pa­recht­lich die Mög­lich­keit der daten­schutz­recht­li­chen Ver­bands­kla­ge eröff­net. In Deutsch­land gilt seit dem 01.10.2016 inso­weit bereits das „Gesetz zur Ver­bes­se­rung der zivil­recht­li­chen Durch­set­zung von ver­brau­cher­schüt­zen­den Vor­schrif­ten des Datenschutzrechtes“.

Gem. Art. 83 DS-GVO hat die Auf­sichts­be­hör­de bei Ver­stö­ßen gegen die DS-GVO Geld­bu­ßen zu ver­hän­gen, die in jedem Ein­zel­fall „wirk­sam, ver­hält­nis­mä­ßig und abschre­ckend“ zu sein haben; die Umstän­de des Ein­zel­falls sind zu berück­sich­ti­gen. Bei beson­ders schwer­wie­gen­den Ver­stö­ßen — etwa gegen die Bedin­gun­gen für die Ein­wil­li­gung — kön­nen Geld­bu­ßen von bis zu 20.000.000,- EUR oder im Fall eines Unter­neh­mens von bis zu 4 % sei­nes gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs ver­hängt wer­den, je nach­dem, wel­cher der Beträ­ge höher ist.

Soweit gemein­nüt­zi­ge Kör­per­schaf­ten beson­ders sen­si­ble Daten nach Art.9 DS-GVO —  per­so­nen­be­zo­ge­ne Daten über die eth­ni­sche Her­kunft, poli­ti­sche Mei­nung, reli­giö­se und welt­an­schau­li­che Über­zeu­gung etc. — ver­ar­bei­ten, erlangt Art.9 II d) DS-GVO Rele­vanz. Die Daten­ver­ar­bei­tung ist danach — auch ohne Ein­wil­li­gung der betrof­fe­nen Per­so­nen — zuläs­sig, wenn sie „auf der Grund­la­ge geeig­ne­ter Garan­tien durch eine … sons­ti­ge Orga­ni­sa­ti­on ohne Gewinn­erzie­lungs­ab­sicht im Rah­men ihrer recht­mä­ßi­gen Tätig­kei­ten und unter der Vor­aus­set­zung, dass sich die Ver­ar­bei­tung aus­schließ­lich auf die Mit­glie­der oder ehe­ma­li­ge Mit­glie­der der Orga­ni­sa­ti­on oder auf Per­so­nen, die im Zusam­men­hang mit deren Tätig­keits­zweck regel­mä­ßi­ge Kon­tak­te mit ihr unter­hal­ten, bezieht und die per­so­nen­be­zo­ge­nen Daten nicht ohne Ein­wil­li­gung der betrof­fe­nen Per­so­nen nach außen offen­ge­legt wer­den (erfolgt).

Gem. Art. 88 DS-GVO ver­bleibt es wie bis­her — unter Gel­tung des BDSG und der ein­schlä­gi­gen Recht­spre­chung des BAG — dabei, dass Betriebs­ver­ein­ba­run­gen auch ohne Ein­wil­li­gung der betrof­fe­nen Per­so­nen eine taug­li­che Grund­la­ge für die Daten­ver­ar­bei­tung bilden.

Es wäre an die­ser Stel­le auch hin­zu­wei­sen auf die ergän­zend gel­ten­de Rege­lung des § 26 III BDSG (neu); dort heißt es:

Abwei­chend von Arti­kel 9 Absatz 1 der Ver­ord­nung (EU) 2016/679 ist die Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten im Sin­ne des Arti­kels 9 Absatz 1 der Ver­ord­nung (EU) 2016/679 für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses zuläs­sig, wenn sie zur Aus­übung von Rech­ten oder zur Erfül­lung recht­li­cher Pflich­ten aus dem Arbeits­recht, dem Recht der sozia­len Sicher­heit und des Sozi­al­schut­zes erfor­der­lich ist und kein Grund zu der Annah­me besteht, dass das schutz­wür­di­ge Inter­es­se der betrof­fe­nen Per­son an dem Aus­schluss der Ver­ar­bei­tung über­wiegt.“ — auch inso­weit wäre also die Ver­ar­bei­tung ohne Ein­wil­li­gung zulässig.

Für gemein­nüt­zi­ge Kör­per­schaf­ten dürf­te — soweit es etwa um die Ein­wer­bung von Spen­den­gel­dern geht — Art. 21 II DS-GVO Rele­vanz erlan­gen. Es heißt dort: „Wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, um Direkt­wer­bung zu betrei­ben, so hat die betrof­fe­ne Per­son das Recht, jeder­zeit Wider­spruch gegen die Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten zum Zwe­cke der­ar­ti­ger Wer­bung ein­zu­le­gen; dies gilt auch für das Pro­filing, soweit es mit sol­cher Direkt­wer­bung in Ver­bin­dung steht.“

Der voll­stän­di­ge Text der Daten­schutz-Grund­ver­ord­nung ist hier abrufbar:

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679