Die Europäische Datenschutz-Grundverordnung (DSGVO): Das Wichtigste auf einen Blick

Egal ob Einrichtung, Gemeinde oder Verein: Wenn ab 25. Mai 2018 die neue Europäische Datenschutz-Grundverordnung gilt, sollten Sie vorbereitet sein.

Die bereits 2016 verabschiedete EU-Datenschutz-Grundverordnung (EU-DSGVO) schafft erstmals eine einheitliche Regelung für alle EU-Länder und hebt das Datenschutzniveau insgesamt deutlich an. Im Fokus stehen mehr Rechte und mehr Transparenz für die Bürgerinnen und Bürger in der EU. Am 25. Mai 2018 endet nun die zweijährige Übergangsfrist zur Einführung der neuen Verordnung. Diese betrifft keineswegs nur große Unternehmen, sondern auch kleine Einrichtungen, Gemeinden oder Vereine.


Hinweis: Für Dienste, Einrichtungen und Werke innerhalb der EKD und ihrer Gliedkirchen gilt ab 24. Mai 2018 das neue Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Auch die katholische Kirche hat ein eigenes Gesetz über den Datenschutz (KDG). Die beiden Gesetze unterscheiden sich aber nur in wenigen Punkten vom europäischen Recht, denn sie müssen „im Einklang mit der DSGVO“ stehen (Art. 91 DSGVO).

Im nachfolgenden Text ist daher vereinfacht von der DSGVO die Rede, auch wenn für kirchliche Einrichtungen das kirchliche Gesetz gilt. Die hier aufgeführten wesentlichen Punkte dienen einem ersten Überblick und gelten für alle Einrichtungen.

uropäische Datenschutz-Grundverordnung DSGVO: Das wichtigste im Überblick

Wer, wie, was, wo? Das Wichtigste zur Europäischen Datenschutz-Grundverordnung im Überblick

Betrifft mich die neue Datenschutz-Grundverordnung überhaupt?

uropäische Datenschutz-Grundverordnung: Wen betrifft die DSGVO?

Sobald Sie personenbezogene Daten erfassen oder verarbeiten, müssen Sie sich spätestens jetzt dringend mit der neuen Datenschutzverordnung befassen. Das Thema Datenschutz ist natürlich nicht neu, aber die neue Regelung ist weitreichender und strenger. Außerdem müssen Sie jederzeit nachweisen können, dass Sie die Regeln der DSGVO einhalten (Rechenschaftspflicht). Bei Nichtbeachtung der Verordnung drohen zukünftig hohe Strafen.


Was sind eigentlich personenbezogene Daten?

uropäische Datenschutz-Grundverordnung: Was sind personenbezogene Daten im Sinne der DSGVO?

Laut Gesetz (Artikel 4 EU-DSGVO) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Dazu gehören zum Beispiel

  • Vor- und Nachname
  • Adressdaten (auch E-Mail-Adresse und Telefonnummern)
  • Geo-Koordinaten und Standortdaten
  • Geburtsdatum
  • Bankdaten
  • Technische Daten wie IP-Adressen oder Cookies

Die Möglichkeit, dass die Person identifiziert werden könnte, reicht bereits aus, dass die DSGVO greift und die Daten streng geschützt werden müssen.

Ein noch strengerer Schutz gilt für besondere personenbezogene Daten, wie religiöse ober politische Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung. Diese Daten dürfen nur in sehr wenigen besonderen Fällen überhaupt erhoben oder verarbeitet werden.


Die wichtigsten Grundsätze der neuen Datenschutzverordnung

uropäische Datenschutz-Grundverordnung: Die wichtigsten Inhalte der DSGVO im Überblick

1. Erlaubnisvorbehalt: Was nicht erlaubt ist, ist verboten.

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten – außer sie ist erlaubt. Das bedeutet, dass Sie nur Daten erheben und verarbeiten dürfen, wenn es die DSGVO oder ein anderes Gesetz erlaubt. Ist dies nicht der Fall, benötigen Sie eine ausdrückliche Einwilligung der betroffenen Personen! Bei Kindern unter 16 Jahren müssen stets die Erziehungsberechtigten einwilligen. Bereits bestehende Datenbestände müssen also geprüft und unter Umständen neu erhoben werden.

2. Datensparsamkeit: Erheben Sie so wenige Daten wie möglich.

Sie dürfen nur Daten erheben, die Sie zwingend benötigen. Fragen Sie also z.B. in Formularen auf Ihrer Website nur Daten ab, die Sie für den bestimmten Zweck benötigen. Spielt zum Beispiel das Alter für eine Veranstaltung keine Rolle, darf es auch nicht in der Anmeldung abgefragt werden.

3. Zweckbindung: Daten dürfen Sie nur für den angegebenen Zweck verwenden.

Wenn Sie Daten abfragen, muss klar ersichtlich sein, für welchen Zweck Sie die Angaben benötigen. Die Daten dürfen dann auch nur für diesen einen Anlass verwendet werden. Nur weil sich eine Person bei Ihnen zu einer Freizeit angemeldet hat, dürfen Sie ihr nicht ohne ihre Zustimmung Informationen zur Spendenaktion für die Kleiderkammer zuschicken.

4. Transparenzgrundsatz, Rechenschafts- und Dokumentationspflicht: Wo liegen personenbezogene Daten und was passiert mit ihnen?

Alle Bürgerinnen und Bürger haben das Recht zu erfahren, wo ihre personenbezogenen Daten liegen und was mit ihnen passiert. Beschreiben Sie dies transparent und verständlich bereits an der Stelle, an der Sie die Daten erheben (Transparenzgrundsatz). Auf Nachfrage müssen Sie Auskunft geben können, wo welche Daten liegen und wer darauf Zugriff hat (Dokumentations- und Nachweispflicht). Dazu müssen Sie ein „Verzeichnis von Verarbeitungstätigkeiten“ führen.

5. Recht auf Vergessenwerden: Daten für die Sie keine Einwilligung (mehr) haben, müssen gelöscht werden.

Das Recht auf Vergessenwerden besagt, dass personenbezogenen Daten umgehend und vollständig gelöscht werden müssen, wenn für ihre Verwendung keine Berechtigung mehr vorliegt. Dies ist der Fall, wenn der ursprüngliche Zweck der Datenverarbeitung wegfällt oder der Betroffene seine Einwilligung widerruft. Haben Sie beispielsweise keine ausdrückliche Erlaubnis, auch nach einer Freizeit die Daten der Teilnehmer zu behalten, müssen diese nach Ende der Freizeit gelöscht werden .


Das müssen Sie mindestens tun, um auf die DSGVO vorbereitet zu sein:

uropäische Datenschutz-Grundverordnung: Was man mindestens für die DSGVO tun muss - Checkliste

1. Machen Sie Kollegen und Mitarbeiter auf das Thema aufmerksam.

Bei der Umsetzung der DSGVO ist Zusammenarbeit gefragt. Nur wenn alle Personen in einer Einrichtung die Grundregeln kennen und auf deren Einhaltung achten, vermeiden Sie Lücken und mögliche Klagen. Werden gleich gar keine kritischen oder nicht benötigten Daten erhoben, ist das schon die halbe Miete.

2. Überprüfen Sie Ihre Datenbestände.

Schauen Sie aufmerksam über alle (!) Ihre Datenbestände – egal ob analog oder digital. Haben Sie für alle Daten eine gesetzliche Erlaubnis oder Einwilligung in digitaler oder schriftlicher Form? Schlummern irgendwo noch alte Daten? Löschen Sie alles, bei dem Sie sich nicht sicher sind, woher es kommt und das Sie aktuell nicht für den entsprechenden Zweck benötigen. Im Zweifelsfall müssen Sie nachweisen können, dass Sie eine Einwilligung haben. Legen Sie ein vollständiges Verzeichnis an, in dem Sie dokumentieren, wo welche Daten zu welchem Zweck gespeichert sind und wer darauf Zugriff hat (Verzeichnis von Verarbeitungstätigkeiten). Hier zählen nicht nur große Kundendatenbanken, sondern auch jede Excel-Tabelle mit Adressen oder E-Mail-Verteiler für Rundbriefe. Auch analoge Datenbestände in Papierform sind betroffen, zum Beispiel Karteibestände oder Personalakten.

3. Überprüfen Sie Verträge zur Zusammenarbeit mit Dienstleistern oder Kunden.

Neu an der Datenschutz-Grundverordnung ist, dass nicht nur Sie als Websitebetreiber für die Daten verantwortlich sind, sondern auch derjenige, der die Daten in Ihrem Auftrag verarbeitet. Im Fall einer Website ist dies zum Beispiel die betreuende Agentur oder der Provider. Die Verträge über die Zusammenarbeit mit Ihren Dienstleistern und Kunden müssen die Richtlinien der DSGVO berücksichtigen. Im Internet finden Sie kostenfreie Vorlagen für solche Verträge, viele Dienstleister bieten diese auch von sich aus für ihre Kunden an.

4. Machen Sie Ihre Website fit für die DSGVO.

Spätestens wenn Sie eine Website betreiben, müssen Sie sich unbedingt mit der neuen Regelung vertraut machen. Denn egal, ob Sie in Ihrem Internetauftritt ein Kontaktformular haben, eine Anmeldung für Freizeiten oder Seminare oder Sie einen Newsletter verschicken – immer werden personenbezogene Daten erfasst und verarbeitet. Wie das geht, erfahren Sie hier: So machen Sie Ihre Website fit für die neue Datenschutz-Grundverordnung 

5. Lassen Sie sich beraten!

Wenden Sie sich an Ihren Datenschutzbeauftragten oder holen Sie sich externe Beratung bei einem Spezialisten. So erfahren Sie, welche Maßnahmen für Ihre Einrichtung nötig und wichtig sind.


Bitte beachten Sie:
Diese Tipps zur Europäischen Datenschutz-Grundverordnung sind sorgfältig recherchiert und entsprechen unserem Kenntnisstand. Sie stellen aber keine rechtsgültige Auskunft dar! Bitte wenden Sie sich dafür an den für Sie zuständigen Datenschutzbeauftragten. Das Evangelische Medienhaus kann hier leider keine Beratung anbieten.


Linktipps

Datenschutzbeauftragte und Datenschutzgesetz für die Evangelische Kirche in Deutschland (EKD):


Keine Tipps mehr verpassen und bequem per E-Mail zugeschickt bekommen:

⊗ 1 x pro Monat ⊗ jederzeit kündbar ⊗ Keine Datenweitergabe an Dritte

Newsletter-Anmeldung

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Der Newsletter wird über den Versanddienstleister CleverReach versendet, bei dem Ihre Daten nach Ihrer bestätigten Anmeldung gespeichert werden. Hinweise zum Anmeldeverfahren, Versanddienstleister, zur statistischen Auswertung und zum Widerruf finden Sie in unserer Datenschutzerklärung.

Zum Weiterlesen: Die europäische Datenschutz-Grundverordnung und was sie für Ihre Website bedeutet

So machen Sie Ihre Website fit für die Datenschutz-Grundverordnung (DSGVO)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.