Am 25.05.2016 trat die neue Datenschutz-Grundverordnung (DS-GVO) in Kraft. Die Verordnung gilt in den EU-Mitgliedsstaaten ab dem 25.05.2018. Gleichzeitig wird das Bundesdatenschutzgesetz (BDSG) neu gefasst. Mit der Neufassung des BDSG werden die bisherigen datenschutzrechtlichen Regelungen an die DS-GVO angepasst.
Die Regelungen der DS-GVO sowie die Änderung des BDSG haben auch für Vereine Relevanz. Denn die DS-GVO bezieht sich auf die Verarbeitung personenbezogener Daten und damit insbesondere auf die Verarbeitung von Mitgliederdaten im Verein.
Eine Datenverarbeitung ist gem. Art. 6 I a) bis c) DS-GVO nur dann zulässig, wenn
- die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat,
- die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, soweit letztgenannte Maßnahmen auf die auf Anfrage der betroffenen Person erfolgen oder
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt.
Im Gegensatz zur aktuellen Regelung in § 4a I S.3 BDSG, die ein Abweichen vom Erfordernis der Schriftform nur bei Vorliegen von „besonderen Umständen“ zulässt, bedarf die Einwilligung künftig nicht mehr zwingend der Schriftform. Eine bloße Untätigkeit kann weiterhin nicht als Einwilligung gewertet werden. Die Einwilligung kann fortan aber auch stillschweigend/konkludent erteilt werden. Dies kann im Zusammenhang mit mitgliederbezogenen Datenverarbeitungsvorgängen im Verein partiell zu Erleichterungen führen, wenn auch der Zweck einer Datenverarbeitung künftig genauestens bestimmt sein muss. Außerhalb des Anwendungsbereichs des zweckbezogenen Einwilligungsvorbehalts ist die Verarbeitung von Mitgliederdaten aufgrund des bestehenden Mitgliedschaftsverhältnis weitergehend legitimiert. Unter Berücksichtigung dessen bedarf insbesondere die Daten-Weiterleitung an außenstehende Dritte (etwa Dienstleister der Vereinszeitschrift) zukünftig besonderer Beachtung.
Neu eingeführt wurde durch Art. 24 DS-GVO das Instrument der Datenschutz-Folgenabschätzung, das zum Einsatz zu kommen hat, sofern eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Bei Verstößen gegen die DS-GVO kann die betroffene Person Beschwerde bei der Aufsichtsbehörde einlegen. Die betroffene Person kann ferner vor dem nationalen Gericht Klage gegen die Aufsichtsbehörde und/oder gegen den für die Datenverarbeitung Verantwortlichen erheben. Mit Art. 80 II DS-GVO wird zudem europarechtlich die Möglichkeit der datenschutzrechtlichen Verbandsklage eröffnet. In Deutschland gilt seit dem 01.10.2016 insoweit bereits das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechtes“.
Gem. Art. 83 DS-GVO hat die Aufsichtsbehörde bei Verstößen gegen die DS-GVO Geldbußen zu verhängen, die in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ zu sein haben; die Umstände des Einzelfalls sind zu berücksichtigen. Bei besonders schwerwiegenden Verstößen — etwa gegen die Bedingungen für die Einwilligung — können Geldbußen von bis zu 20.000.000,- EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Soweit gemeinnützige Körperschaften besonders sensible Daten nach Art.9 DS-GVO — personenbezogene Daten über die ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugung etc. — verarbeiten, erlangt Art.9 II d) DS-GVO Relevanz. Die Datenverarbeitung ist danach — auch ohne Einwilligung der betroffenen Personen — zulässig, wenn sie „auf der Grundlage geeigneter Garantien durch eine … sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden (erfolgt).“
Gem. Art. 88 DS-GVO verbleibt es wie bisher — unter Geltung des BDSG und der einschlägigen Rechtsprechung des BAG — dabei, dass Betriebsvereinbarungen auch ohne Einwilligung der betroffenen Personen eine taugliche Grundlage für die Datenverarbeitung bilden.
Es wäre an dieser Stelle auch hinzuweisen auf die ergänzend geltende Regelung des § 26 III BDSG (neu); dort heißt es:
„Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ — auch insoweit wäre also die Verarbeitung ohne Einwilligung zulässig.
Für gemeinnützige Körperschaften dürfte — soweit es etwa um die Einwerbung von Spendengeldern geht — Art. 21 II DS-GVO Relevanz erlangen. Es heißt dort: „Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“
Der vollständige Text der Datenschutz-Grundverordnung ist hier abrufbar:
http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679