Datenschutz­woche

#November 2020

Antworten zum Fragenkatalog der Fraktionen des Ausschusses für Familie, Senioren, Frauen und Jugend für die öffentliche Anhörung am 23. November 2020  Sachverständiger: Frederick Richter, LL.M.

Vorbemerkung: Aufgrund fachlicher Spezialisierung wird im Folgenden ausschließlich auf Fragen mit Bezug zum Datenschutzrecht und zur Datenpolitik eingegangen.

Fragen der Fraktion der CDU/CSU:

  • Frage 1: Auf welcher staatlichen Ebene (Bund, Land, Kommune) sehen Sie den größten Spielraum für Bürokratieentlastung für das bürgerschaftliche Engagement?

Im Bereich des Datenschutzes liegt etwaiger Spielraum auf Landesebene. Zuständig für die Aufsicht über institutionalisierte Formen bürgerschaftlichen Engagements (z.B. in Vereinen, Stiftungen) sowie über die vom Anwendungsbereich des Datenschutz- rechts erfasste Datenverarbeitung bei gesellschaftlich engagierten Einzelpersonen sind jeweils die Datenschutzaufsichtsbehörden der Länder.

  • Frage 12: Halten Sie eine Freistellung bestimmter Vereine von den DSGVO-Auflagen für verhältnismäßig und im Sinne der Entlastung des Ehrenamts?

Eine komplette Herausnahme bestimmter Vereine aus dem Anwendungsbereich des Datenschutzrechts oder eine pauschale Freistellung von einzelnen Pflichten aus dem Gesetz mag im Sinne einer konsequenten Entlastung des Ehrenamtes wünschenswert erscheinen; sie wäre jedoch mit den geltenden Grundsätzen des Datenschutzrechts nicht vereinbar. Danach gelten die allgemeinen Regeln (Pflicht zum Vorweisen einer Rechtsgrundlage; Betroffenenrechte usw.) für jede Verarbeitung personenbezogener Daten – ungeachtet der Größe oder Eigenart der datenverarbeitenden Organisation. Ausgenommen aus dem Geltungsbereich der DSGVO sind allein natürliche Personen, wenn sie eine ausschließlich persönliche oder familiäre Tätigkeit ausüben. Es erscheint ausgesprochen unwahrscheinlich, dass sich auf europäischer Ebene eine Bereichsausnahme durchsetzen ließe. Auch enthält die DSGVO keine Öffnungsklauseln bezüglich solcher Pflichten, die besonders „bürokratiegeneigt“ sind, z.B. die Informationspflichten gegenüber betroffenen Personen sowie die Nachweis- und Dokumentationspflichten. Eine Freistellung bestimmter Vereine wäre daher auch im die DSGVO in Deutschland begleitenden BDSG nicht möglich.

Mit Blick auf die Verhältnismäßigkeit erscheint es dagegen geboten, stets zu prüfen, in welchem Umfang die Erfüllung von Pflichten und Auflagen aus der EU-Datenschutz- grundverordnung (DSGVO) erforderlich ist, um das Ziel des Gesetzes zu erreichen. Gesetzeszweck ist der Schutz natürlicher Personen bei der Verarbeitung personen- bezogener Daten (Art. 1 Abs. 1 DSGVO) und allgemein der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen (Art. 2 Abs. 2 DSGVO). Anknüpfungspunkt sind dabei immer die Risiken, die von der automatisierten Datenverarbeitung ausgehen oder ausgehen können.

Dieser sogenannte „risikobasierte Ansatz“ des Gesetzes kommt vor allem bei der Ausgestaltung der Datenverarbeitung durch den Verantwortlichen zum Tragen: Auch ein Verein muss die Eintrittswahrscheinlichkeit und Schwere von Risiken für die Rechte und Freiheiten natürlicher Personen abwägen und mit Blick darauf dann geeignete technische und organisatorische Maßnahmen treffen, um Rechtskonformität sicher- zustellen (Art. 24 Abs. 1 DSGVO). Dieser Gedanke leitet auch bereits andere Maßgaben des Datenschutzrechts. So muss eine Datenschutz-Folgenabschätzung nur dann durchgeführt werden, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen anzunehmen ist (Art. 35. Abs. 1 DSGVO). Da im Tätigkeitsbereich vieler ehrenamtlicher Einrichtungen durch die Art der dort statt- findenden Datenverarbeitung meist keine besonderen Risiken geschaffen werden, bestehen auch keine gesteigerten Anforderungen. So dürften die wenigsten Vereine im gemeinnützigen Sektor besonders risikoreiche neue Technologien oder Methoden einsetzen (z.B. Scoring, Profiling, Fingerabdrucksensoren, biometrische und genetische Datenbanken, Tracking von Kundenbewegungen, KI- oder Big-Data-Analysen). Erhöhte Anforderungen ergeben sich gleichwohl, wenn beim ehrenamtlichen Engagement z.B. sehr umfangreich Gesundheitsdaten verarbeitet werden.

Teilweise ergibt sich somit schon aus dem Gesetz, dass bestimmte DSGVO-Auflagen durch Vereine gar nicht erfüllt werden müssen. Diese „eingebaute Entlastung“ ist jedoch oft nicht bekannt, und datenschutzrechtlich nicht Bewanderte sehen sich einer schwer verständlichen „Wand“ von Bürokratie gegenüber. Daher ist klar zu kommunizieren, dass die Bürokratiebelastung oft gar nicht so hoch ist wie zunächst befürchtet. Wenn von einem Verein beispielsweise keine besonderen Arten von Datenverarbeitungsvorgängen vorgenommen werden, so müssen diese auch nicht in Erklärungen zum Datenschutz oder bei externen Auskunftsersuchen beschrieben werden. Dadurch sinkt die Dokumentationslast von alleine.

  • Frage 13: Wie bewerten Sie die Umsetzung der DSGVO in Deutschland im Vergleich zu anderen EU-Mitgliedsstaaten?

Deutschland war der erste Mitgliedstaat, der sein nationales an die DSGVO angepasst hatte. Von daher bestand früher als im EU-Ausland Klarheit zumindest über das maßgebliche Normengefüge (in Deutschland: Zusammenspiel von unmittelbar geltende DSGVO und begleitendem BDSG-neu).

Die Durchsetzung der DSGVO und die Sanktionierung von Datenschutzverstößen erfolgen in den EU-Mitgliedstaaten in unterschiedlicher Intensität. Von den seit Anwendungsbeginn des Gesetzes Ende Mai 2018 verhängten ca. 400 Geldbußen wurden allein 147 in Spanien verhängt, dagegen nur 27 in Deutschland. Bei der Summe der verhängten Bußgelder bewegt sich die deutsche Datenschutzaufsicht jedoch im Spitzenfeld, mit einem kumulierten Bußgeldvolumen 53 Mio. Euro, nach Italien mit einem Bußgeldvolumen von 57 Mio Euro und in dieser Hinsicht weit vor Spanien (4 Mio Euro)1.

Bußgelder gegen ehrenamtliche Einrichtungen, Vereine oder Verbände stellen EU- weit bislang eine extreme Ausnahme dar. Bekannt geworden sind allein eine geringe Anzahl niedriger Sanktionen (z.B. 2019 gegen einen Sportverein in Polen i.H.v.

12.000 Euro oder 2.000 Euro gegen die SOS Infertility Association in Rumänien). Signifikant hoch war allein das Bußgeld von Ende 2019, dass in den Niederlanden gegen die dortige Dachorganisation der Tennisvereine verhängt worden ist. Der Verband Koninklijke Nederlandse Lawn Tennisbond erhielt einen Bußgeldbescheid über

525.000 Euro, weil er Daten von Mitgliedern ohne Rechtsgrundlage verkauft hatte. Auch diesem Fall war eine zu geringe Rechtsklarheit und Sensibilisierung ausschlag- gebend für den Rechtsverstoß. Bevor die niederländische Datenschutzaufsichts- behörde in 2018 ihre Untersuchung einleitete, schienen die niederländischen Sportverbände davon auszugehen, dass die Praxis des externen Verwertens von Mitgliedsdaten erlaubt wäre. Der Grund dafür war eine frühere (und nach Anwendungsstart der DSGVO revidierte) Veröffentlichung der Aufsichtsbehörde, in der es geheißen hatte, dass Sportvereine Mitgliederdaten ohne individuelle Zustimmung der Mitglieder weitergeben könnten2. Auch wenn es sich bei dem großen Verband nicht um eine typische Einrichtung des dritten Sektors handelt, so zeigt der Fall doch exemplarisch, wie wichtig es ist, gemeinnützigen Einrichtungen ohne besondere Rechtsabteilung und Datenschutzexpertise möglich leicht zugängliche Informationen zum jeweils aktuellen Rechtsrahmen und der für sie maßgeblichen Haltungen der Datenschutzaufsicht bereitzustellen.

  • Frage 14: Welche Änderungen in der DSGVO wären hilfreich, um Rechtssicherheit für gemeinnützige Vereine zu gewährleisten?

Die bisherige Rechtspraxis von zweieinhalb Jahren unter der DSGVO bietet eine noch zu geringe Erfahrungszeit, um konkreten Änderungsbedarf in den gesetzlichen Anforderungen identifizieren zu können. Vor allem fehlt es noch an einem belastbaren Überblick über solche Problemkonstellationen im Vereinssektor, die sich nur über Gesetzesänderungen angehen lassen.

Ein Hauptproblem scheinen dagegen nach wie vor Unklarheiten hinsichtlich konkreter Inhalte und Interpretation gesetzlicher Vorgaben zu sein (siehe z.B. bei Foto- aufnahmen). In Kombination mit dem gegenüber dem alten Datenschutzrecht massiv ausgeweiteten Bußgeldrahmen hat dieses Defizit an Rechtsklarheit eine teils tiefe Verunsicherung bewirkt: Viele ehrenamtlich Engagierte, die sich zuvor nicht eingehender mit dem Datenschutz in ihrer jeweiligen Einrichtung befasst haben, wurden durch eine mitunter oberflächliche, teils sachlich falsche Berichterstattung zum Anwendungsbeginn der neuen Rechtsregeln in eine Alarmstimmung versetzt. So war sogar in Qualitätsmedien fälschlich davon die Rede, dass jede Organisation ab Mai 2018 für jede Datenverarbeitung eine Einwilligung bräuchte. Auch wurde immer wieder die obere Grenze des neuen Bußgeldrahmens (20 Mio Euro) erwähnt – eine Region, die für Einrichtungen des dritten Sektor wahrscheinlich nie eine Rolle spielen wird.

Bußgelder gegen gemeinnützige Vereine sind– wenn es sie bislang überhaupt gab – die Ausnahme. Der Dritte Sektor steht nicht im Fokus der Datenschutzaufsichts- behörden; diese konzentrieren sich – kapazitätshalber und risikobezogen – auf Unternehmen, da dort mehr Potential für Datenpannen erwartet wird. Dennoch muss natürlich bei allen datenschutzrechtlich verantwortlichen Stellen, d.h. auch bei allen mildtätigen Organisationen eine Grundsensibilisierung für Datenschutzfragen geschaffen und aufrechterhalten werden. Interner Sachverstand (durch eigene Datenschutzbeauftragte) oder externer Beistand zu der komplexen Materie (z.B. durch die Stiftung Datenschutz oder/und die Deutsche Stiftung für Engagement und Ehrenamt).

  • Frage 15: Kann die neu eingerichtete Deutsche Stiftung für Engagement und Ehrenamt als zentrales Informations- und Kommunikationsportal für Vereine und Ehrenamt fungieren oder wäre es sinnvoller, solche Portale auf Landesebene anzusiedeln?

Der Eigendarstellung zufolge versteht sich die Stiftung als Anlaufstelle zur Förderung ehrenamtlichen Engagements, als Servicestelle und Vernetzungsangebot, auch mit Bezug auf bereits bestehende Informationsangebote. Gut denkbar im Bereich des Datenschutzes ist daher eine gemeinsame Erklär-Kampagne von Deutscher Stiftung für Engagement und Ehrenamt und Stiftung Datenschutz; beide Bundesstiftungen zusammen könnten Kompetenzen und Netzwerke bündeln und effizient bundesweit informieren.

Ebenfalls eine Ansiedlung von Informationsportalen auf Landesebene ist denkbar. Eine Wahrnehmung der gleichen Funktion durch 16 Einrichtungen statt durch eine zentrale Instanz könnte zwar gewisse Redundanzen mit sich bringen. Die Erreichbarkeit könnte durch Portale vor Ort oder in gleicher Weise durch ein Portal auf Bundesebene sichergestellt werden. Denn physische Besuche sind für gewöhnlich verzichtbar; Beratungsgespräche können heutzutage auch ohne weiteres über elektronische Lösungen ermöglicht werden. Entscheidend für eine Präferenz der beiden Modelle sollte die jeweils verfügbare Ausstattung sein.

Themenvorschläge und Fragen des Unterausschusses Bürgerschaftliches Engagement

  • Zulässigkeit von Fotoaufnahmen bei Sportveranstaltungen und hierbei im Jugendkontext auch der Umgang mit Fotos von Kindern

Beim Thema „Datenschutz/Bildnisrecht und Fotoaufnahmen“ herrscht oftmals Verunsicherung. Hierfür verantwortlich sind einerseits eine lange Tradition eines gewohnten Umgangs („Fotos wurden hier doch früher immer gemacht, ohne dass es Datenschutzfragen gab“) als auch Falschinformationen. Daher ist es wichtig, dass mit gezielter Unterrichtung der Veranstalter und Engagierten gegengesteuert wird. So gibt es ein ausführliches Informationsangebot zur datenschutzrechtlichen Zulässigkeit von Fotoaufnahmen beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz3 und darin eine gesonderte Sektion zur Veröffentlichung von Fotos auf der Homepage von Schulen oder Kindertagesstätten4.

  • Vereinbarungen zur Auftragsdatenverarbeitung

Wenn Dienstleister datengestützte Aufgaben für den Verein erfüllen (z.B. Veranstaltungsmanagement, Adressverwaltung, externe Lohnabrechnung) liegt eine Auftragsverarbeitung von personenbezogenen Daten vor. Der Verein darf dazu nur Auftragsverarbeiter einsetzen, die eine datenschutzkonforme Datenverarbeitung gewährleisten. Ausnahmen für ehrenamtliches Engagement sieht die DSGVO nicht vor.

  • Bundeseinheitliche Auslegung der DSGVO

Für die Aufsicht über die Einhaltung der DSGVO im nicht-öffentlichen Bereich und damit auch bei den Akteuren ehrenamtlichen Engagements sind die Datenschutz- behörden der Bundesländer zuständig. Eine bundesweit komplett einheitliche Auslegung des EU-Datenschutzrechts wäre (nur) dann denkbar, wenn eine solche in der ständigen Konferenz der Datenschutzbehörden von Bund und Ländern beschlossen und sodann von allen – an sich völlig unabhängigen – Landesbehörden auch befolgt würde.

Es gibt zum Datenschutz in Vereinen viele fundierte Informationsschriften (z.B. von der Landesbeauftragten für Datenschutz und Informationsfreiheit Bremen5, vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg6, von der Landesbeauftragten für den Datenschutz Niedersachsen7).

Angesichts dessen, dass es sich beim Datenschutzrecht um europäisches Recht handelt (ergänzt durch Bundesrecht in Form des BDSG) und dass die Landesdatenschutz- gesetze keine Besonderheiten für Vereine vorgesehen, läge es im Rahmen einer zu steigernden Effizienz nahe, dass länderseitig mehr auf Arbeitsteilung gesetzt wird. Es wäre ausreichend, wenn die Datenschutzaufsicht eines Bundeslandes in Abstimmung mit den übrigen Länderbehörden einen Ratgeber für datenschutzrechtliche Anforderungen und Maßgaben erstellt – anstatt dass in mehreren Bundesländern die überall knappen Kapazitäten für jeweils eigene, in der Sache ähnliche bis gleiche Publikationen verwendet werden.

  • Werden rein ehrenamtliche gemeinnützige Organisationen aus dem Anwendungsbereich der DSGVO herausgenommen?
  • Wird es Ausnahmeregelungen für gemeinnützige Organisationen bei den Anforderungen der DSGVO geben?
  • Wird es abgestufte Anforderungen für gemeinnützige Organisationen bei der DSGVO geben?

Nein, eine Bereichsausnahme oder andere Ausnahmeregelungen sieht die DSGVO weder für rein ehrenamtliche gemeinnützige Organisationen noch für Organisationen einer anderen Sparte vor.

  • Wird es öffentliche Fördermittel geben, die von gemeinnützigen Organi- sationen niedrigschwellig abgerufen werden können, um dadurch die Anforderungen der DSGVO qualifiziert bewältigen zu können?
  • Wird es andere Formen der Unterstützung für gemeinnützige Organisationen geben?

Ob es solche Fördermittel geben wird, haben Bundesregierung und Bundestag zu entscheiden. Effizienter kann es sein, Instanzen wie die Deutsche Stiftung für Engagement und Ehrenamt oder die Stiftung Datenschutz mit der Informations- verbreitung und Hilfestellung zu beauftragen.

Quellen: 

1 Zahlen aus dem Angebot www.enforcementtracker.com der Rechtsanwaltskanzlei CMS; Stand 11/2020.

2 Bericht bei Rechtsanwaltskanzlei Hogan Lovells vom April 2020, abrufbar unter: www.engage.hoganlovells.com/knowledgeservices/news/dutch-dpa-imposed-a-controversial-fine-on-the- royal-dutch-tennis-association

3 Rechtliche Anforderungen beim Fotografieren unter der DSGVO, abrufbar unter: www.datenschutz.rlp.de/de/themenfelder-themen/recht-am-eigenen-bild

4 www.datenschutz.rlp.de/de/themenfelder-themen/fotos-auf-der-homepage-von-schulen-und- kindertagesstaetten

5 Orientierungshilfe „Datenschutz im Verein nach der Datenschutzgrundverordnung“, abrufbar unter: www.datenschutz.bremen.de/sixcms/media.php/13/LfDI%20HB_2018_OH%20Datenschutz%20im%20Verein.p df

6 Datenschutz im Verein nach der DSGVO, Praxisratgeber, 2. Auflage, abrufbar unter: www.baden- wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Praxisratgeber-f%C3%BCr-Vereine.pdf

7 Vereine - Fragen und Antworten zur DSGVO (FAQ und Broschüre), abrufbar unter: https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/faq/vereine/vereine-166239.html

Aufzeichnung der Anhörung von Expertinnen und Experten im Deutschen Bundestag

Der Bundestag hat am Donnerstag, 25. März 2021, in erster Lesung über den von der Bundesregierung vorgelegten Gesetzentwurf zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (19/27441) beraten.

Zur Zusammenfassung auf der Seite des Bundestags