Home / Aktuelle Meldungen / Die neue Datenschutz-Grundverordnung

Die neue Datenschutz-Grundverordnung

Datenschutz-GrundverordnungAm 25.05.2016 trat die neue Daten­schutz-Grund­verord­nung (DS-GVO) in Kraft. Die Verord­nung gilt in den EU-Mit­gliedsstaat­en ab dem 25.05.2018. Gle­ichzeit­ig wird das Bun­des­daten­schutzge­setz (BDSG) neu gefasst. Mit der Neu­fas­sung des BDSG wer­den die bish­eri­gen daten­schutzrechtlichen Regelun­gen an die DS-GVO angepasst.

Die Regelun­gen der DS-GVO sowie die Änderung des BDSG haben auch für Vere­ine Rel­e­vanz. Denn die DS-GVO bezieht sich auf die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und damit ins­beson­dere auf die Ver­ar­beitung von Mit­glieder­dat­en im Vere­in.

Eine Daten­ver­ar­beitung ist gem. Art. 6 I a) bis c) DS-GVO nur dann zuläs­sig, wenn

  • die betrof­fene Per­son ihre Ein­willi­gung zu der Ver­ar­beitung der sie betr­e­f­fend­en per­so­n­en­be­zo­ge­nen Dat­en für einen oder mehrere bes­timmte Zwecke gegeben hat,
  • die Ver­ar­beitung für die Erfül­lung eines Ver­trags, dessen Ver­tragspartei die betrof­fene Per­son ist, oder zur Durch­führung vorver­traglich­er Maß­nah­men erforder­lich ist, soweit let­zt­ge­nan­nte Maß­nah­men auf die auf Anfrage der betrof­fe­nen Per­son erfol­gen oder
  • die Ver­ar­beitung ist zur Erfül­lung ein­er rechtlichen Verpflich­tung erforder­lich, welch­er der Ver­ant­wortliche unter­liegt.

Im Gegen­satz zur aktuellen Regelung in § 4a I S.3 BDSG, die ein Abwe­ichen vom Erforder­nis der Schrift­form nur bei Vor­liegen von „beson­deren Umstän­den“ zulässt, bedarf die Ein­willi­gung kün­ftig nicht mehr zwin­gend der Schrift­form. Eine bloße Untätigkeit kann weit­er­hin nicht als Ein­willi­gung gew­ertet, for­t­an aber stillschweigend/konkludent erteilt wer­den. Dies kann im Zusam­men­hang mit mit­glieder­be­zo­ge­nen Daten­ver­ar­beitungsvorgän­gen im Vere­in par­tiell zu Erle­ichterun­gen führen, wenn auch der Zweck ein­er Daten­ver­ar­beitung kün­ftig genauestens bes­timmt sein muss. Außer­halb des Anwen­dungs­bere­ichs des zweck­be­zo­ge­nen Ein­willi­gungsvor­be­halts ist die Ver­ar­beitung von Mit­glieder­dat­en auf­grund des beste­hen­den Mit­glied­schaftsver­hält­nis weit­erge­hend legit­imiert. Unter Berück­sich­ti­gung dessen bedarf ins­beson­dere die Dat­en-Weit­er­leitung an außen­ste­hende Dritte (etwa Dien­stleis­ter der Vere­in­szeitschrift) zukün­ftig beson­der­er Beach­tung.

Neu einge­führt wurde durch Art. 24 DS-GVO das Instru­ment der Daten­schutz-Fol­gen­ab­schätzung, das zum Ein­satz zu kom­men hat, sofern eine Form der Ver­ar­beitung voraus­sichtlich ein hohes Risiko für die Rechte und Frei­heit­en natür­lich­er Per­so­n­en zur Folge hat.

Bei Ver­stößen gegen die DS-GVO kann die betrof­fene Per­son Beschw­erde bei der Auf­sichts­be­hörde ein­le­gen. Die betrof­fene Per­son kann fern­er vor dem nationalen Gericht Klage gegen die Auf­sichts­be­hörde und/oder gegen den für die Daten­ver­ar­beitung Ver­ant­wortlichen erheben. Mit Art. 80 II DS-GVO wird zudem euro­parechtlich die Möglichkeit der daten­schutzrechtlichen Ver­band­sklage eröffnet. In Deutsch­land gilt seit dem 01.10.2016 insoweit bere­its das „Gesetz zur Verbesserung der zivil­rechtlichen Durch­set­zung von ver­brauch­er­schützen­den Vorschriften des Daten­schutzrecht­es“.

Gem. Art. 83 DS-GVO hat die Auf­sichts­be­hörde bei Ver­stößen gegen die DS-GVO Geld­bußen zu ver­hän­gen, die in jedem Einzelfall „wirk­sam, ver­hält­nis­mäßig und abschreck­end“ zu sein haben; die Umstände des Einzelfalls sind zu berück­sichti­gen. Bei beson­ders schw­er­wiegen­den Ver­stößen — etwa gegen die Bedin­gun­gen für die Ein­willi­gung — kön­nen Geld­bußen von bis zu 20.000.000,- EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erziel­ten Jahre­sum­satzes des vor­ange­gan­genen Geschäft­s­jahrs ver­hängt wer­den, je nach­dem, welch­er der Beträge höher ist.

Soweit gemein­nützige Kör­per­schaften beson­ders sen­si­ble Dat­en nach Art.9 DS-GVO —  per­so­n­en­be­zo­gene Dat­en über die eth­nis­che Herkun­ft, poli­tis­che Mei­n­ung, religiöse und weltan­schauliche Überzeu­gung etc. — ver­ar­beit­en, erlangt Art.9 II d) DS-GVO Rel­e­vanz. Die Daten­ver­ar­beitung ist danach — auch ohne Ein­willi­gung der betrof­fe­nen Per­so­n­en — zuläs­sig, wenn sie „auf der Grund­lage geeigneter Garantien durch eine … son­stige Organ­i­sa­tion ohne Gewin­nerzielungsab­sicht im Rah­men ihrer recht­mäßi­gen Tätigkeit­en und unter der Voraus­set­zung, dass sich die Ver­ar­beitung auss­chließlich auf die Mit­glieder oder ehe­ma­lige Mit­glieder der Organ­i­sa­tion oder auf Per­so­n­en, die im Zusam­men­hang mit deren Tätigkeit­szweck regelmäßige Kon­tak­te mit ihr unter­hal­ten, bezieht und die per­so­n­en­be­zo­ge­nen Dat­en nicht ohne Ein­willi­gung der betrof­fe­nen Per­so­n­en nach außen offen­gelegt wer­den (erfol­gt).

Gem. Art. 88 DS-GVO verbleibt es wie bish­er — unter Gel­tung des BDSG und der ein­schlägi­gen Recht­sprechung des BAG — dabei, dass Betrieb­svere­in­barun­gen auch ohne Ein­willi­gung der betrof­fe­nen Per­so­n­en eine taugliche Grund­lage für die Daten­ver­ar­beitung bilden.

Es wäre an dieser Stelle auch hinzuweisen auf die ergänzend gel­tende Regelung des § 26 III BDSG (neu); dort heißt es:

Abwe­ichend von Artikel 9 Absatz 1 der Verord­nung (EU) 2016/679 ist die Ver­ar­beitung beson­der­er Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en im Sinne des Artikels 9 Absatz 1 der Verord­nung (EU) 2016/679 für Zwecke des Beschäf­ti­gungsver­hält­niss­es zuläs­sig, wenn sie zur Ausübung von Recht­en oder zur Erfül­lung rechtlich­er Pflicht­en aus dem Arbeit­srecht, dem Recht der sozialen Sicher­heit und des Sozialschutzes erforder­lich ist und kein Grund zu der Annahme beste­ht, dass das schutzwürdi­ge Inter­esse der betrof­fe­nen Per­son an dem Auss­chluss der Ver­ar­beitung über­wiegt.“ — auch insoweit wäre also die Ver­ar­beitung ohne Ein­willi­gung zuläs­sig.

Für gemein­nützige Kör­per­schaften dürfte — soweit es etwa um die Ein­wer­bung von Spenden­geldern geht — Art. 21 II DS-GVO Rel­e­vanz erlan­gen. Es heißt dort: „Wer­den per­so­n­en­be­zo­gene Dat­en ver­ar­beit­et, um Direk­twer­bung zu betreiben, so hat die betrof­fene Per­son das Recht, jed­erzeit Wider­spruch gegen die Ver­ar­beitung sie betr­e­f­fend­er per­so­n­en­be­zo­gen­er Dat­en zum Zwecke der­ar­tiger Wer­bung einzule­gen; dies gilt auch für das Pro­fil­ing, soweit es mit solch­er Direk­twer­bung in Verbindung ste­ht.“

Der voll­ständi­ge Text der Daten­schutz-Grund­verord­nung ist hier abruf­bar:

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679

EUR-Lex

Top