Akman, Weber & Partner mbB, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer

Steuerberater
Fachanwalt für Steuerrecht
Wiesbaden | Mainz | Frankfurt

Akman, Weber & Partner mbB


Abeggstraße 49
65193 Wiesbaden

Tel.: 0611 - 181 440
info@awp.de

Die Anforderungen der Datenschtz-Grundverordnung

Dienstag, 22. Mai 2018

Ab dem 25.05.2018 gilt die Datenschutz-Grundverordnung (DS-GVO) in den Staaten der Europäischen Union (EU). Die deutschen Datenschutzgesetze (z.B. Bundesdatenschutzgesetz, BDSG) bleiben zwar zum Teil neben der DS-GVO bestehen, verlieren aber stark an Bedeutung, weil sie lediglich noch solche Punkte regeln dürfen, in denen die DS-GVO dem nationalen Gesetzgeber ergänzende Regelungen erlaubt. Da die DS-GVO sich weitgehend an das bisher geltende deutsche Datenschutzrecht anlehnt, sind hierzulande die Abweichungen von der bisherigen Rechtslage zwar zahlenmäßig begrenzt, haben es aber durchaus in sich.


Schon bisher galten die Regelungen des Datenschutzrechts auch Unternehmen und für Vereine. Daran wird sich selbstverständlich nichts ändern. Auch wenn sich der Wortlaut teilweise ändert, bleibt es dabei, dass Unternehmen und Vereine weiterhin solche Daten ihrer Mitglieder verarbeiten und verwenden dürfen, die zur Erfüllung des Vereinszwecks (Förderung des Sports) unbedingt erforderlich sind oder zumindest in einem unmittelbaren Zusammenhang mit diesem stehen, ohne die ein geregeltes Funktionieren des Vereins also nicht möglich ist.

Besonders wichtig ist auch nach wie vor die Frage, ob das Unternehmen oder der Verein einen Datenschutzbeauftragten bestellen muss (Artikel 37 DS-GVO, § 38 BDSG). Dies ist - wie bisher - der Fall, soweit Unternehmen oder Vereine in der Regel mindestens zehn Personen ständig mit der automatisierten
Verarbeitung personenbezogener Daten beschäftigen. Aber Vorsicht! Die „Beschäftigung“ ist weit auszulegen. Auch Personen, die lediglich Informationen aus der Kunden- bzw. Mitgliederdatei erhalten und
selbst überhaupt nicht am PC tätig sind, können damit gemeint sein (z.B. Botenfahrer oder Übungsleiter).


Die Unternehmen und Vereine, die den Datenschutz schon in der Vergangenheit beachtet haben, haben damit eine gute Grundlage für das neue Recht gesetzt. Vereinsvorstände oder Datenschutzbeauftragte sollten nun die
Zeit nutzen, um sich eingehend mit den Neuregelungen der DS-GVO vertraut zu machen.

Zwei wichtige Punkte sollen im Folgenden vorgestellt werden.

Von jedem Unternehmen oder Verein, der personenbezogene Daten (z.B. seiner Kunden, Mitglieder oder Förderer) automatisiert verarbeitet, wird die Erstellung eines Verzeichnisses der durchgeführten Datenverarbeitungen oder "Datenströme" („Verzeichnis der erarbeitungstätigkeiten“, § 30 DS-GVO) verlangt. Dort muss schriftlich oder elektronisch insbesondere Folgendes dargelegt werden:

• der Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm
Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

• die Zwecke der Verarbeitung (z.B. Kunden- oder Mitgliederverwaltung, Werbung, Videoüberwachung, Lohnabrechnung, Sportbetrieb, Öffentlichkeitsarbeit)

• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener
Daten (Welche Gruppen von Personen - z.B. Kunden, Internetbenutzer, Vereinsmitglieder - sind
betroffen und welche Arten von Daten werden verwendet?);

• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden
sind oder noch offengelegt werden (an wen werden Daten weitergegeben? z.B. öffentliche Einrichtungen iwe Gerichte, Finanzämter, statistisches Bundesamt, Fachverbände);

• die vorgesehenen  Fristen für die Löschung der verschiedenen Datenkategorien;


• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten gemäß Artikel 32 Absatz 1 DS-GVO (Sicherheit der Datenverarbeitung).

Diese Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die Verarbeitung erfolgt nicht nur gelegentlich. Letzteres tun jedoch alle Unternehmen und Vereine: Sie verarbeiten regelmäßig (also nicht nur gelegentlich) Daten (z.B. im Rahmen der Mitgliederverwaltung), so dass sie auch dann das Verzeichnis der Verarbeitungstätigkeiten anlegen müssen, wenn sie (natürlich) weniger als 250 Mitarbeiter beschäftigen. Beim Verstoß gegen die Informationspflichten droht eine Geldbuße.

Es ist somit unbedingt zu empfehlen, rechtzeitig ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Dieses dient dem Verein als Grundlage für eine strukturierte Datenschutzverarbeitung. Außerdem muss das Verzeichnis der Aufsichtsbehörde auf deren Verlangen hin vorgelegt werden. 

Eine weitere bedeutsame Neuregelung betrifft die Informationspflichten, die die datenverarbeitende Stelle (z.B. ein Unternehmen oder Verein) gegenüber der Person hat, deren Daten erhoben und verarbeitet werden
(Betroffener). Diese Pflichten werden erheblich verschärft.
Unterschieden wird danach, ob die Daten direkt bei dem Betroffenen oder bei anderen Personen oder Stellen (Dritte) erhoben werden. Unternehmen oder Vereine werden die Daten ihrer Kunden bzw. Mitglieder meist direkt bei diesen erfragen und erheben (z.B. im Zuge der Aufnahme der Geschäftsbeziehungen oder im Aufnahmeantrag). In diesem Fall müssen dem Betroffenen zugleich mit der Datenerhebung insbesondere folgende Informationen gegeben werden (Artikel 13 DS-GVO):


• Firma des Unternehmens oder Vereinsname und Kontaktdaten des Verantwortlichen und seines Stellvertreters;

• Kontaktdaten des Datenschutzbeauftragten, wenn vorhanden;

• Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;

• Rechtsgrundlage für die Verarbeitung;

• Empfänger oder mögliche Empfänger, an welche die Daten (möglicherweise) weitergegeben werden;

• Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der
Speicherdauer;

• Rechte des Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung,
Widerspruch, Datenübertragbarkeit;


• Recht, eine etwaig gegebene Einwilligung jederzeit zu widerrufen, wobei dann die bis
zum Widerruf erfolgte Verarbeitung allerdings rechtmäßig bleibt;

• Beschwerderecht bei einer Aufsichtsbehörde;

• ggf., ob das Unternehmen oder der Verein gesetzlich oder vertraglich verpflichtet ist, personenbezogene
Daten Dritten (z.B. Fachverbänden) bereitzustellen, und welche möglichen Folgen eine Nichtbereitstellung hat.


Die Informationspflichten bestehen nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt, also konkret Bescheid weiß. Da dies von Person zu Person unterschiedlich ist, empfiehlt
es sich ein Info-Blatt mit allen notwendigen Informationen zu erstellen und vorzuhalten bzw. zu verteilen. Oder man übernimmt die Informationen in die Satzung.


Art. 12 DS-GVO verlangt, dass die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache unentgeltlich mitgeteilt werden. Die Übermittlung
der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, z. B. per E-Mail und/oder auf der Homepage, soweit damit alle Anforderungen erfüllt sind. Insbesondere auf die
leichte Zugänglichkeit muss bei elektronischer Darstellung geachtet werden. Beim Verstoß gegen die Informationspflichten droht  eine Geldbuße.

Aktuelle News

Keine Spekulationsteuer auf häusliches Arbeitszimmer bei Verkauf des selbstgenutzten Eigenheims

12.06201812Juni2018

Keine Spekulationsteuer auf häusliches Arbeitszimmer bei Verkauf des...

Steuerliche Vorteile durch denkmalgeschützte Immobilien

14.03201714März2017

Immobilien als Kapitalanlage oder zur Eigennutzung stellen einen...