Arbeitsgemeinschaft AIDS-Prävention NRW

Datenschutzgrundverordnung

Die Europäische Union hat die Regeln für das Erheben und Speichern persönlicher Daten geändert. Die neue EU-Datenschutzverordnung (DSGVO) wird mit Berichtigungen am 25. Mai 2018 wirksam. Sie gilt gleichermaßen für Vereine, öffentliche Stellen und private Unternehmen. Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die Verarbeitung ist definiert als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Am 16. Mai 2018 hat im Landtag Nordrhein-Westfalen auf Antrag der Fraktionen von CDU und FDP eine Aktuelle Stunde zur DSGVO stattgefunden. Der Antrag der Regierungsfraktionen zielte darauf ab, auf Bundesebene für zeitnahe Erleichterungen für kleine und mittlere Unternehmen sowie ehrenamtlich geführte Vereine zu werben. Den Antrag finden Sie hier (PDF). Die Aktuelle Stunde finden Sie unter landtag.nrw.de.

NEU! Steffen Seibert, Regierungssprecher der Bundesregierung, hatte jedoch schon auf der Regierungspressekonferenz vom 14. Mai 2018 ausgeführt, dass die Bundesregierung derzeit keine kurzfristigen Änderungen des deutschen Datenschutzrechts und auch keine entsprechende EU-Initiative plane. Aber es komme jetzt natürlich darauf an, "Erfahrungen mit diesem neuen Recht zu sammeln und sehr genau hinzuschauen, wie die Vorschriften in der Praxis angewandt werden, wie die Verbraucher, die Wirtschaftsunternehmen, die Behörden und die Verbände damit zurechtkommen und welche Belastungen möglicherweise entstehen." Mehr lesen Sie unter bundesregierung.de.

Artikel 9 der DSGVO definiert personenbezogene Daten, die nur im Ausnahmefall verarbeitet werden dürfen. Dazu gehören personenbezogene Daten, "aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person".

Die Verarbeitung personenbezogener Daten darf unter anderem dann erfolgen, wenn die Verarbeitung auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, erfolgt.

Aus der Verarbeitung dieser sensiblen Daten erwächst also auch eine besondere Verwantwortung!

Einen ersten Überblick über die Ziele und die praktischen Folgen der DSGVO bieten die Basisinformationen "Die neue Datenschutz-Grundverordnung (DSGVO)" der Nationalen Kontakt- und Informationsstelle zur Anregung und Unterstützung von Selbsthilfegruppen. Sie finden sie zum Download unter nakos.de.

Für Vereine hat die Landesregierung eine Informationssammlung angelegt. Sie finden sie inklusive eines Interviews mit der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Helga Block, unter engagiert-in-nrw.de.

Eine sehr übersichtliche und hilfreiche Broschüre hat der Paritätische Gesamtverband entwickelt. Sie finden Sie unter paritaet-hamburg.de. In der Handreichung wird mehrfach Bezug auf die Broschüre "Erste Hilfe zur Datenschutzgrundverordnung - das Sofortmaßnahmenpaket für kleine Unternehmen und Vereine" genommen. Sie bietet eine sehr gute Hilfestellung für die schrittweise Umsetzung der Basics aktueller Datenschutzverpflichtungen. Sie ist für kleines Geld zu erwerben unter beck-shop.de. In größeren Mengen ist sie, solange der Vorrat reicht, kostengünstig zu erwerben unter der-paritaetische.de.

Für viele wird nun die Bestellung von Datenschutzbeauftragten Pflicht. Mehr über die Rolle und die Aufgaben der Datenschutzbeauftragten finden Sie in einer Broschüre der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter bfdi.bund.de. Die Bestellung von internen Datenschutzbeauftragten und vor allem deren Widerruf ist rechtlich anspruchsvoll; eine Auswertung eines diesbezüglichen Bundesarbeitsgerichtsurteils finden Sie unter beck.de.

Ab dem 25. Mai 2018 sind der Aufsichtsbehörde die Kontaktdaten der Datenschutzbeauftragten mitzuteilen. Für Stellen mit Sitz in Nordrhein-Westfalen ist die Aufsichtsbehörde die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Die deutschen Aufsichtsbehörden arbeiten an einer Lösung zur Umsetzung der Mitteilungspflicht der Kontaktdaten der oder des Datenschutzbeauftragten. Es ist beabsichtigt, eine Möglichkeit zur Online-Meldung über die Homepage der LDI NRW anzubieten, so dass die Mitteilungen auf elektronischem Wege entgegen genommen werden. Mitteilungen, die vor der Fertigstellung eingehen, können nicht berücksichtigt werden. Welche Daten konkret zu melden sind, und weitere Informationen können Sie hoffentlich bald auf der Homepage der LDI NRW nachlesen. Die LDI NRW beabsichtigt, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragte*n während einer Übergangszeit bis zum 31. Dezember 2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden. Mehr lesen Sie unter ldi.nrw.de.

Der Verband kommunaler Unternehmen (VKU) hat einen Leitfaden sowie FAQs zur neuen EU-Datenschutzgrundverordnung für kommunale Unternehmen verfasst. Laut dem Städte- und Gemeindebund Nordrhein-Westfalen sind die Fragen und Antworten aber größtenteils auch für Mitarbeiter*innen kommunaler Verwaltungen von Interesse. Informationen zum Leitfaden sowie FAQs sowie die entsprechenden Links finden Sie unter kommunen-in-nrw.de.

Neben den Anforderungen, die die DSGVO an die Datenverarbeitung stellt, sollten auch die grundsätzlichen Anforderungen an Webseiten nicht vergessen werden:

  • Die Homepage muss verpflichtend eine Datenschutzerklärung enthalten, die auf die tatsächlich verwendeten Datenerhebungen (z.B. Analyse-Tools, Kontaktformulare, Newsletterabonnements) eingeht. Nutzer*innen sollten die Datenschutzerklärung nicht lange suchen müssen; sie sollte daher, wie das Impressum, von jeder Seite aus zugänglich sein. Die Datenschutzerklärung sollte eine eigene Seite auf der Homepage haben und nicht zusammen mit dem Impressum auf einer Seite stehen.
  • Wenn die Homepage über Kontaktformulare, Spendentools, Newsletteranmeldungen o.ä. verfügt, mit denen Daten erhoben werden, muss an diesen Stellen auf die Datenschutzerklärung hingewiesen werden, die dann selbstverständlich auch Informationen zu der Datenverarbeitung aus diesen Bereichen enthalten muss.
  • Auch sollte das Impressum daraufhin geprüft werden, ob es noch den aktuellen rechtlichen Anforderungen genügt.

Ergänzende Regelungen zur DSGVO: Bundesdatenschutzgesetz

Die DSGVO gilt zwar unmittelbar in jedem Mitgliedstaat der EU und bedarf daher keiner Umsetzung in nationales Recht. Sie enthält jedoch zahlreiche Klauseln, die den Mitgliedstaaten Gestaltungsspielräume einräumen. Diese Gestaltungsspielräume regelt das ebenfalls ab 25. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG 2018). Für die Anwendungspraxis bedeutet dies, dass die Datenschutz-Grundverordnung und das BDSG 2018 zusammen zu lesen sind. So konkretisiert das Bundesdatenschutzgesetz zum Beispiel


Weitere Gesetze

Weitere Gesetze definieren oder konkretisieren den Datenschutz in Teilbereichen. Dies sind unter anderem:

  • Kunsturhebergesetz (KUG): Nutzung von Bildern und Fotos
  • Strafgesetzbuch (StGB): Berufliche Schweigepflicht
  • Strafprozessordnung (StPO): Zeugnispflicht und Zeugnisverweigerungsrecht
  • Sozialgesetzbuch: Sozialdatenschutz, zum Beispiel SGB I (Sozialgeheimnis), SGB X (unter anderem Sozialverwaltungsverfahren, Sozialgeheimnis, Verpflichtung von Beschäftigten auf Sozialgeheimnis, vor allem relevant, wenn soziale Organisationen Leistungserbringer sind)