22.03.18

Die Europäische Datenschutz-Grundverordnung (DSGVO): Das Wichtigste auf einen Blick

Egal ob Einrichtung, Gemeinde oder Verein: Was Sie über die Europäische Datenschutz-Grundverordnung mindestens wissen müssen.

 
 
DSGVO-Titelbild.jpg

Wer, wie, was, wo? Das Wichtigste zur Europäischen Datenschutz-Grundverordnung im Überblick

Die bereits 2016 verabschiedete EU-Datenschutz-Grundverordnung (EU-DSGVO) schafft erstmals eine einheitliche Regelung für alle EU-Länder und hebt das Datenschutzniveau insgesamt deutlich an. Im Fokus stehen mehr Rechte und mehr Transparenz für die Bürgerinnen und Bürger in der EU. Am 25. Mai 2018 endete die zweijährige Übergangsfrist zur Einführung der neuen Verordnung. Diese betrifft keineswegs nur große Unternehmen, sondern auch kleine Einrichtungen, Gemeinden oder Vereine.

Hinweis: Für Dienste, Einrichtungen und Werke innerhalb der EKD und ihrer Gliedkirchen gilt seit 24. Mai 2018 das neue Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Auch die katholische Kirche hat ein eigenes Gesetz über den Datenschutz (KDG). Die beiden Gesetze unterscheiden sich aber nur in wenigen Punkten vom europäischen Recht, denn sie müssen „im Einklang mit der DSGVO“ stehen (Art. 91 DSGVO).

Im nachfolgenden Text ist daher vereinfacht von der DSGVO die Rede, auch wenn für kirchliche Einrichtungen das kirchliche Gesetz gilt. Die hier aufgeführten wesentlichen Punkte dienen einem ersten Überblick und gelten für alle Einrichtungen.

     

Was sind eigentlich personenbezogene Daten?

Laut Gesetz (Artikel 4 EU-DSGVO) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Dazu gehören zum Beispiel

     

  • Vor- und Nachname
  •  

  • Adressdaten (auch E-Mail-Adresse und Telefonnummern)
  •  

  • Geo-Koordinaten und Standortdaten
  •  

  • Geburtsdatum
  •  

  • Bankdaten
  •  

  • Technische Daten wie IP-Adressen oder Cookies
  •  

Die Möglichkeit, dass die Person identifiziert werden könnte, reicht bereits aus, dass die DSGVO greift und die Daten streng geschützt werden müssen.

Ein noch strengerer Schutz gilt für besondere personenbezogene Daten, wie religiöse ober politische Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung. Diese Daten dürfen nur in sehr wenigen besonderen Fällen überhaupt erhoben oder verarbeitet werden.

     

Die wichtigsten Grundsätze der Europäischen Datenschutz-Grundverordnung

1. Erlaubnisvorbehalt: Was nicht erlaubt ist, ist verboten.

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten – außer, sie ist erlaubt. Das bedeutet, dass Sie nur Daten erheben und verarbeiten dürfen, wenn es die DSGVO oder ein anderes Gesetz erlaubt. Ist dies nicht der Fall, benötigen Sie eine ausdrückliche Einwilligung der betroffenen Personen! Bei Kindern unter 16 Jahren müssen stets die Erziehungsberechtigten einwilligen. Bereits bestehende Datenbestände müssen also geprüft und unter Umständen neu erhoben werden.

2. Datensparsamkeit: Erheben Sie so wenige Daten wie möglich.

Sie dürfen nur Daten erheben, die Sie zwingend benötigen. Fragen Sie also z.B. in Formularen auf Ihrer Website nur Daten ab, die Sie für den bestimmten Zweck benötigen. Spielt zum Beispiel das Alter für eine Veranstaltung keine Rolle, darf es auch nicht in der Anmeldung abgefragt werden.

3. Zweckbindung: Daten dürfen Sie nur für den angegebenen Zweck verwenden.

Wenn Sie Daten abfragen, muss klar ersichtlich sein, für welchen Zweck Sie die Angaben benötigen. Die Daten dürfen dann auch nur für diesen einen Anlass verwendet werden. Nur weil sich eine Person bei Ihnen zu einer Freizeit angemeldet hat, dürfen Sie ihr nicht ohne ihre Zustimmung Informationen zur Spendenaktion für die Kleiderkammer zuschicken.

4. Transparenzgrundsatz, Rechenschafts- und Dokumentationspflicht: Wo liegen personenbezogene Daten und was passiert mit ihnen?

Alle Bürgerinnen und Bürger haben das Recht zu erfahren, wo ihre personenbezogenen Daten liegen und was mit ihnen passiert. Beschreiben Sie dies transparent und verständlich bereits an der Stelle, an der Sie die Daten erheben (Transparenzgrundsatz). Auf Nachfrage müssen Sie Auskunft geben können, wo welche Daten liegen und wer darauf Zugriff hat (Dokumentations- und Nachweispflicht). Dazu müssen Sie ein „Verzeichnis von Verarbeitungstätigkeiten“ führen.

5. Recht auf Vergessenwerden: Daten, für die Sie keine Einwilligung (mehr) haben, müssen gelöscht werden.

Das Recht auf Vergessenwerden besagt, dass personenbezogenen Daten umgehend und vollständig gelöscht werden müssen, wenn für ihre Verwendung keine Berechtigung mehr vorliegt. Dies ist der Fall, wenn der ursprüngliche Zweck der Datenverarbeitung wegfällt oder der Betroffene seine Einwilligung widerruft. Haben Sie beispielsweise keine ausdrückliche Erlaubnis, auch nach einer Freizeit die Daten der Teilnehmer zu behalten, müssen diese nach Ende der Freizeit gelöscht werden.

     

Das müssen Sie mindestens tun, um in Sachen Datenschutz auf der sicheren Seite zu sein

1. Machen Sie Kollegen und Mitarbeiter auf das Thema aufmerksam.

Bei der Umsetzung der DSGVO ist Zusammenarbeit gefragt. Nur wenn alle Personen in einer Einrichtung die Grundregeln kennen und auf deren Einhaltung achten, vermeiden Sie Lücken und mögliche Klagen. Werden gleich gar keine kritischen oder nicht benötigten Daten erhoben, ist das schon die halbe Miete.

2. Überprüfen Sie Ihre Datenbestände.

Schauen Sie aufmerksam über alle (!) Ihre Datenbestände – egal ob analog oder digital. Haben Sie für alle Daten eine gesetzliche Erlaubnis oder Einwilligung in digitaler oder schriftlicher Form? Schlummern irgendwo noch alte Daten? Löschen Sie alles, bei dem Sie sich nicht sicher sind, woher es kommt und das Sie aktuell nicht für den entsprechenden Zweck benötigen. Im Zweifelsfall müssen Sie nachweisen können, dass Sie eine Einwilligung haben. Legen Sie ein vollständiges Verzeichnis an, in dem Sie dokumentieren, wo welche Daten zu welchem Zweck gespeichert sind und wer darauf Zugriff hat (Verzeichnis von Verarbeitungstätigkeiten). Hier zählen nicht nur große Kundendatenbanken, sondern auch jede Excel-Tabelle mit Adressen oder E-Mail-Verteiler für Rundbriefe. Auch analoge Datenbestände in Papierform sind betroffen, zum Beispiel Karteibestände oder Personalakten.

3. Überprüfen Sie Verträge zur Zusammenarbeit mit Dienstleistern oder Kunden.

Neu an der Datenschutz-Grundverordnung ist, dass nicht nur Sie als Websitebetreiber für die Daten verantwortlich sind, sondern auch derjenige, der die Daten in Ihrem Auftrag verarbeitet. Im Fall einer Website ist dies zum Beispiel die betreuende Agentur oder der Provider. Die Verträge über die Zusammenarbeit mit Ihren Dienstleistern und Kunden müssen die Richtlinien der DSGVO berücksichtigen. Im Internet finden Sie kostenfreie Vorlagen für solche Verträge, viele Dienstleister bieten diese auch von sich aus für ihre Kunden an.

4. Machen Sie Ihre Website fit für die DSGVO.

Spätestens wenn Sie eine Website betreiben, müssen Sie sich unbedingt mit der DSGVO vertraut machen. Denn egal, ob Sie in Ihrem Internetauftritt ein Kontaktformular haben, eine Anmeldung für Freizeiten oder Seminare oder Sie einen Newsletter verschicken – immer werden personenbezogene Daten erfasst und verarbeitet. Wie das geht, erfahren Sie hier: So machen Sie Ihre Website fit für die neue Datenschutz-Grundverordnung 

5. Lassen Sie sich beraten!

Wenden Sie sich an Ihren Datenschutzbeauftragten oder holen Sie sich externe Beratung bei einem Spezialisten. So erfahren Sie, welche Maßnahmen für Ihre Einrichtung nötig und wichtig sind.

Bitte beachten Sie:
Diese Tipps zur Europäischen Datenschutz-Grundverordnung sind sorgfältig recherchiert und entsprechen unserem Kenntnisstand. Sie stellen aber keine rechtsgültige Auskunft dar! Bitte wenden Sie sich dafür an den für Sie zuständigen Datenschutzbeauftragten. Das Evangelische Medienhaus kann hier leider keine Beratung anbieten.

                                                                                                                                                                                                                                                   Autorin: Maximiliane Streckfuß

Das könnte Sie auch interessieren: