Nachrichten der Führungs-Akademie des Deutschen Olympischen Sportbundes

Nachrichten - Details

31. August 2018

Die neue EU-DSGVO: Ein Interview mit Patrick R. Nessler, Rechtsanwalt in der RKPN.de-Rechtsanwaltskanzlei und neuer Dozent der Führungs-Akademie

RED: Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist am 25.05.2018 in Kraft getreten und hat bereits im Vorfeld viele Fragen in der Vereins- und Verbandswelt aufgeworfen. Herr Nessler, Sie sind seit diesem Jahr für die Führungs-Akademie als Dozent im Themenfeld Datenschutz tätig und führen Ausbildungsseminare zur/zum Datenschutzbeauftragten im Verein/Verband durch. Wo sehen Sie die größte Schwierigkeit bezüglich der Umsetzung der neuen EU-DSGVO in Verbänden und Vereinen?

P. Nessler: Das Hauptproblem der Umsetzung der DSGVO in Vereinen und Verbänden ist derzeit die allgemeine Verunsicherung der Vorstände. Das liegt zum einen an den vielzähligen Publikationen der unterschiedlichsten Stellen zum Thema Datenschutz, die aufgrund unterschiedlicher Antworten auf die gleichen Fragestellungen für Irritation sorgen. Wie bei Gesetzen üblich handelt es sich auch bei der DSGVO um eine generalisierte Formulierung, die für alle gilt, ausgenommen für Privatpersonen für private oder familiäre Zwecke. Daher kann der Wortlaut der Verordnung nicht auf die Vereine und Verbände ausgerichtet sein. Die Schwierigkeit besteht somit in der Übertragung der Regelungen der DSGVO auf den jeweiligen Verantwortlichen, in diesem Fall den Verein und Verband. 

Zum anderen stellt die praktische Umsetzung in den Vereinen selbst eine hohe Hürde dar. Voraussetzung für die Umsetzung ist das Wissen über den Ablauf interner Prozesse bei der Datenverarbeitung, beispielsweise bei der Aufnahme eines neuen Mitgliedes. Vor allem in kleineren Vereinen gibt es meist keine Verantwortliche/keinen Verantwortlichen für das Thema Datenschutz, sodass eine Prüfung und Veränderung der internen Prozesse als sehr arbeitsaufwendig aufgefasst wird. Denn jemand aus dem Vorstand soll es zusätzlich zu seinen bisherigen Aufgaben tun. Gleichzeitig ist auch fehlendes Know-how eine Ursache für die als schwierig empfundene Umsetzung der DSGVO. 

Trotz der zuvor erwähnten Problematik erhalte ich jedoch nach den Datenschutzseminaren immer wieder positive Rückmeldungen von Teilnehmenden, die durch das in der Veranstaltung vermittelte Fachwissen ihre Verunsicherung ablegen konnten und das Thema Datenschutz im Verein und Verband angehen.

RED: Viele Organisationen sind verunsichert wenn es um die Rolle der/des Datenschutzbeauftragten geht. Welche Voraussetzungen müssen für die Benennung einer/eines Datenschutzbeauftragten in einem Verein oder Verband gegeben sein und welche konkreten Aufgaben sind mit dieser Funktion verbunden?

P. Nessler: Die EU-Datenschutzgrundverordnung enthält dahin gehend zwar Vorgaben. Diese sind allerdings für einen normalen Verein bei der Frage der Notwendigkeit der Bestellung eines Datenschutzbeauftragten in der Regel nicht zutreffend. In einer Öffnungsklausel der DSGVO ist aber festgelegt, dass der nationale Gesetzgeber eine strengere Regelung vornehmen kann und dies hat der deutsche Gesetzgeber mit § 38 BDSG (neu) auch getan: Jede/-r Verantwortliche, damit auch jeder Verein/Verband, muss eine/-n Datenschutzbeauftragte/-n bestellen, wenn in der Regel mind. zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Daraus ergibt sich die Frage, wann Personen „ständig“ mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Als Beispiel kann die Rolle eines Übungsleiters im Verein diskutiert werden: Inwiefern ist dieser ständig mit der Verarbeitung personenbezogener Daten beschäftigt, wenn er z. B. Teilnehmerlisten seines Kurses als Excel-Tabelle erhält oder bearbeitet. Aktuell gibt es für diese Regelung noch keine Rechtsprechung, die zur Orientierung genutzt werden könnte. Die für die Überwachung der Einhaltung der DSGVO zuständigen Datenschutzbehörden der Länder sind sich über die genaue Auslegung dieses Begriffs uneinig.  

Sollte sich ein Verein bezüglich der zuvor beschriebenen Personenanzahl an der Grenze befinden und unsicher sein, ob er einen Datenschutzbeauftragten bestellen muss oder nicht, empfehle ich die Benennung einer/eines Datenschutzbeauftragten. Einen solchen für einen Verein oder Verband zu finden ist auch weitaus weniger schwierig, als des Öfteren kommuniziert wird. Das Gesetz besagt ausdrücklich, dass die/der Datenschutzbeauftragte lediglich die Fach- und Sachkenntnisse haben muss, die für den konkreten Verantwortlichen, hier der eigene Verein/Verband, erforderlich sind. Es muss sichergestellt sein, dass die/der Datenschutzbeauftragte im eigenen Verein/Verband über den Ablauf der internen Datenverarbeitungsprozesse informiert ist, die vereinsbetreffenden Datenschutzgesetze kennt und die Einhaltung dieser Gesetze prüfen kann. Für diesen Zweck ist das Angebot der Führungs-Akademie in Form eines zweitägigen Ausbildungsseminars zum/zur Datenschutzbeauftragten im Sportverein/-verband grundsätzlich genau passend und ausreichend.

Wichtig ist jedoch, dass der Datenschutzbeauftragte nicht die Aufgabe hat, die Datenschutzregelungen im Verein/Verband umzusetzen. Das ist die Aufgabe des Vorstands. Der Datenschutzbeauftragte hat -kurz gesagt- nur bei der Umsetzung zu beraten und zu prüfen, ob denn die Regelungen auch umgesetzt wurden und eingehalten werden.

RED: Seit dem Inkrafttreten der neuen EU-DSGVO sind nahezu alle Behörden und Unternehmen verpflichtet, ein Verzeichnis über ihre Verarbeitungstätigkeiten zu führen. Was genau beinhaltet dieses Verzeichnis?

P. Nessler: Das Verarbeitungsverzeichnis ist einmal eine Visualisierung der einzelnen Verarbeitungsprozesse personenbezogener Daten im Verein. Dazu zählen beispielsweise der Prozess der Mitgliederverwaltung und der damit verbundene Umgang mit den erhaltenen Daten. Im Verarbeitungsverzeichnis wird unter anderem dieser Arbeitsvorgang konkret benannt, der Verarbeitungszweck und die Rechtsgrundlage dieser Verarbeitung angegeben, die Kategorie der betroffenen Personen bestimmt und die Kategorie der personenbezogenen Daten festgelegt. 

Bereits im alten Bundesdatenschutzgesetz gab es ein sogenanntes „Verfahrensverzeichnis“, welches der/dem internen Datenschutzbeauftragten als Vorlage für die Prüfung der Einhaltung des Datenschutzes im eigenen Verein diente. Eine Erweiterung durch die DSGVO ist, dass nahezu jede/-r Verantwortliche ein Verzeichnis über die Verarbeitungstätigkeiten führen muss. Grund für diese erweiterte Pflicht ist, dass die Übermittlung eines Nachweises an die staatliche Aufsichtsbehörde möglich sein soll, wenn dies zu Prüfzwecken von dort angefordert wird. Ein weiterer praktischer Vorteil des Verarbeitungsverzeichnisses ist der Erhalt und die interne Weitergabe von Fachwissen. Das Dokument enthält gesichertes Wissen über Prozessabläufe, wovon besonders Vereine profitieren, da sie wegen der meist ehrenamtlichen Struktur bei den mit der Datenverarbeitung beschäftigten Personen in der Regel eine hohe Fluktuationsrate aufweisen. 

Als Tipp: Das Bayerische Landesamt für Datenschutz hat in einem hilfreichen Muster für Vereine fünf Verarbeitungsprozesse beispielhaft beschrieben, anhand dessen sich die Verantwortlichen orientieren können.

RED: Was kann passieren, wenn die Anpassungen an die EU-DSGVO missachtet werden? Gibt es bereits Fälle in Vereinen, die zu einer Sanktion geführt haben?

P. Nessler: Die DSGVO hat aufgrund der immens hohen Obergrenze des möglichen Bußgeldes bei Verstößen flächendeckend eine erhöhte Sensibilität bewirkt. Tatsächlich könnte im schlimmsten Fall ein Bußgeld von bis zu 20 Mio. Euro oder 4% des letzten Jahresumsatzes drohen. Allerdings besagt Art. 83 DSGVO auch, dass die Bußgelder bezogen auf den konkreten Einzelfall verhältnismäßig sein müssen. Entscheidend ist, dass diese Erhöhung der Obergrenze des Bußgeldes erfolgte, um große Unternehmen bei Verstößen gegen die Datenschutzregelungen wirksam Sanktionieren zu können. Oftmals gab es bereits Verstöße, die zu Bußgeldern geführt haben, jedoch bewirkte das bisher mögliche höchstmögliche Bußgeld von 300.000 € meist nicht „abschreckend“ und waren daher oft nicht „wirksam“. Der geforderte Betrag wurde beglichen und an der Datenverarbeitungsweise nichts geändert. Die neue Obergrenze wird auch bei diesen Unternehmen zu einem Umdenken führen.

In Bezug auf die tatsächliche Verhängung von Bußgeldern für Vereine nach den Maßstäben der DSGVO ist mir bisher noch kein Fall oder laufendes Verfahren bekannt. Meiner Auffassung nach hängt das mit dem erhöhten Arbeitsaufkommen der Datenschutzbehörden zusammen. Aufgrund ihrer Kapazitäten richten sie natürlich zunächst den Fokus auf gravierende Fälle. Demzufolge stehen Vereine in den nächsten Jahren nicht weit vorne, wenn es um eine Überprüfung geht. Das sieht natürlich anders aus, wenn der Datenschutzbehörde einen konkreten Hinweis auf eine Datenschutzverletzung eines Vereins/Verband erhält. In der Vergangenheit waren in den meisten mir bekannten Fällen die Beschwerden einzelner Mitglieder Auslöser der Verfahren der Datenschutzbehörden gegen Vereine.

RED: Wie stehen Sie persönlich zur neuen EU-DSGVO? Empfinden Sie die Änderungen als längst überfällig oder wird besonders (kleineren) Vereinen damit eine zu große Last auferlegt und die alltägliche Vereinsarbeit erschwert?

P. Nessler: Ich persönlich vertrete, wie man im Juristendeutsch zu sagen pflegt, die vermittelnde Lösung. Grundsätzlich halte ich die Ziele der DSGVO für nicht verfehlt und die Anwendung in den Vereinen und Verbänden auch nicht für so schwierig, wie das gerne kommuniziert wird. Das setzt natürlich das notwendige Know-how der im Verein verantwortlich handelnden Personen voraus, und die Bereitschaft der Vereins-/Verbandsfunktionäre dieses Fachwissen eine/einem Beauftragten zukommen zu lassen. 

Dennoch ist die DSGVO meiner Meinung nach an einigen Stellen zu undifferenziert, wie beispielsweise im Verzeichnis für Verarbeitungstätigkeiten. Mit Blick auf die kleineren Vereine lässt sich über die Sinnhaftigkeit eines Verarbeitungsverzeichnisses streiten. 

Das Wichtigste ist für mich momentan die betroffenen Vereins- und Verbandsmitglieder zu beruhigen und die Unsicherheit zu nehmen. Natürlich ist die Umstellung durch die neue DSGVO mit einiger Fleißarbeit verbunden, aber sie ist definitiv machbar.

RED: Vielen Dank für das Interview, Herr Nessler.