Neues Bundesdatenschutzgesetz 2018
Umgang mit personenbezogenen Daten
Spätestens ab 25. Mai 2018 sind auch Golfbetriebe dem neuen Bundesdatenschutzgesetz verpflichtet: Datenschutz-Konsequenzen für Club-Kommunikation, Golfplatz-Marketing und IT-Strukturen nach neuen strengen EU-Maßstäben.
Datenschutz hat zwei Seiten: Durch die private Verbraucherbrille wird der eigene Datenschutz meist besonders streng bemessen. Doch handelt man aus Unternehmens- oder Vereinssicht, erscheinen die neuen Rechts- und Dokumentationsmaßstäbe eher hinderlich und unnötig, da jeder Golf-Dienstleister den Umgang mit seinen Mitglieder- und Kundendaten als ausreichend sorgsam empfindet.
Nachdem das Bundesdatenschutzgesetz nun doch ziemlich in die Jahre gekommen ist (aus dem Jahr 1970; letzte Aktualisierung 2009 – trotz rasanter digitaler Entwicklungen), erwartet uns zum 25.05.2018 eine neue EU-Datengrundschutzverordnung (EU-DSGVO) und ein komplett überarbeitetes Bundesdatenschutzgesetz. Unternehmen und Vereine kommen nicht umhin, sich diesem neuen Recht mit seinen vielfach komplexen Datenschutzanforderungen zu stellen und zu handeln.
Ziel ist es, den EU-Bürgern ihr Recht auf Datenschutz in der digitalen Welt transparenter und einfach durchsetzbar zu gestalten. Wer glaubt, die neuen Vorgaben mit ihren Aufsichts- und Meldepflichten gelten nur für die Social-Media-Giganten, Suchmaschinen und Online-Shops wie Facebook, Google, Amazon & Co., der irrt. Auch jedes kleine, mittelständige Unternehmen ist in der Pflicht, wenn es in der EU ansässig ist oder Kunden aus der EU mit Waren und Dienstleistungen versorgt oder das Verhalten von Personen in der EU analysiert, zum Beispiel über eine Website oder App. Somit sind auch alle Golfbetriebe betroffen.
Als Rechtsexperte hilft Karsten Klug, Anwalt für Datenschutz und IT-Recht (elblaw Rechtsanwälte), zertifizierter Datenschutzbeauftragter und u.a. Fachberater für den Bundesverband Golfanlagen (BVGA). Axel Heck, Geschäftsführer PC CADDIE://online und selbst Fachmann für Datenschutz und IT-Fragen führte mit ihm ein Gespräch zu den neuen Datenschutz-Erfordernissen und deren Auswirkungen für die zukünftige Club-Kommunikation im Golf-Marketing und IT-Bereich.
? Herr Klug, eines der größten Privilegien, das sich für EU-Bürger aus der EU-DSGVO ergibt, ist das Recht, jederzeit Informationen über seine gespeicherten personenbezogenen Daten zu erhalten. Auf welche Daten bezieht sich dieses Recht? In welcher Frist, mit welchem Umfang muss ein Golfclub oder eine Golfanlage diesen Anspruch erfüllen?
! Das Auskunftsrecht des „Betroffenen“ richtet sich nach Artikel 15 EU-DSGVO bzw. § 34 BDSG (neu). Diese umfassen letztlich die vollständige Offenlegung über alle über sie gespeicherten personenbezogenen Daten (wie z.B. Mitgliederdaten, Umsatzdaten (Beiträge, Shop, Gastronomie …), ggf. sportliche Daten (Turniere, Trainerstunden, Kurse …) – Vertragsunterlagen – kurzum Informationen über sämtliche von dem „Betroffenen“ gespeicherten personenbezogene Daten.
Darüber hinaus ist dem Betroffenen mitzuteilen, für welchen Zweck bzw. für welche Zwecke die Speicherung/Verarbeitung erfolgt. Ferner, wem gegenüber die Daten offengelegt worden sind und noch offen gelegt werden. Falls möglich, soll auch die Dauer der Speicherung mitgeteilt werden. Schließlich ist noch darauf hinzuweisen, dass es Berichtigungs- und Löschungsrechte gibt sowie das Recht zum Widerspruch und das Beschwerderecht gegenüber einer Aufsichtsbehörde. Sollten die Daten nicht direkt bei der Person persönlich erhoben worden sein, so ist mitzuteilen, woher die Daten stammen.
Achtung: Neu ist auch das Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO). Der Betroffene hat das Recht, seine personenbezogenen Daten von dem einen Verantwortlichen entweder in maschinenlesbarer Form (in gängigen Formaten) heraus zu verlangen oder sogar auf einen anderen Verantwortlichen übertragen zu erhalten (z.B. von dem einen Golf-Club zu einem anderen Golf-Club).
? Das Veröffentlichen personenbezogener Daten im Mitgliederverzeichnis, analog und digital, ist seit Jahr(zehnt)en gelebte Praxis in vielen Golfclubs. Auch Personenbilder auf der Webseite oder in Magazinen, von Kindern und Erwachsenen werden meist ohne Rückfrage dargestellt. Welche rechtlichen Konsequenzen können sich zukünftig bei einem Widerspruch einer Person ergeben? Wie müssen die Golfbetriebe und -vereine vorsorgen?
! Plant der Golfclub die Veröffentlichung von personenbezogenen Daten wie z.B. Vornamen, Nachname, Geburtsdatum, E-Mailadresse, Handicap, Bild etc. so ist vorher zu prüfen, ob eine Rechtsgrundlage dieses gestattet. Die Vereinssatzung selbst oder entsprechende Nutzungsregelungen sind hierfür nicht ausreichend. Im Zweifelsfall sollte von dem Mitglied vorher die Einwilligung eingeholt werden. Diese kann das Mitglied jedoch (nur für die Zukunft) jederzeit widerrufen, so dass in einem solchen Falle z.B. bei neu gedruckten Mitgliederverzeichnissen, die Daten dieses Mitgliedes nicht mehr veröffentlicht werden dürfen. Ähnlich verhält es sich mit Bildern. Sind auf den Fotos eindeutig und im Vordergrund konkrete Mitglieder zu sehen, so ist vor einer Veröffentlichung im „Club-Magazin“ oder im Internet die Einwilligung der betreffenden Personen einzuholen. Lediglich bei solchen Bildern, die eine größere Veranstaltung zeigen und somit mehrere Personen abbilden, ohne dass konkrete Personen identifizierbar bzw. fokussiert sind, gilt, dass diese auch ohne Einwilligung veröffentlicht werden dürfen.
Die Betreffenden haben im Falle der fehlenden Einwilligung bzw. sofern keine Rechtsgrundlage diese Veröffentlichung erlaubt, das Recht, dieses personenbezogenen Daten löschen zu lassen und letztlich auch das Recht, dass die Veröffentlichung unterbleibt. Daneben bestehen Ansprüche auf Schadensersatz. Schließlich besteht noch die Möglichkeit, dass sie sich bei den Landesdatenschutzbehörden beschweren. Diese könnten dann gegen den Golf-Club ein Bußgeld verhängen. Diese sollen gem. Artikel 83 Abs. 1 EU-DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.
? Das „Recht auf Vergessen“ – in der Presse vielfach diskutiert – wird nun ebenfalls mit der EU-DSGVO eingeführt. Was bedeutet dies konkret für die Golfanlage? Wann müssen welche Daten zu welchen Terminen/Fristen gelöscht werden? Welche Daten dürfen ggf. zu statistischen Zwecken (Vergleichszahlen, Umsätze, Kundenströme etc.) weiterhin und in wie weit anonymisiert behalten werden?
! Das Recht auf „Vergessenwerden“ ist in Artikel 17 der EU-DSGVO geregelt. Danach kann die betroffene Person (z.B. ein Mitglied oder auch ein ehemaliges Mitglied) verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn
- der Zweck, zu dem sie gespeichert wurden, erreicht ist und damit diese Daten nicht mehr notwendig sind.
- die betroffene Person die Einwilligung widerruft und es keine andere Rechtsgrundlage für die Verarbeitung gibt.
- die betroffene Person gem. Artikel 21 Abs. 1 EU-DSGVO Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
- die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Nach Artikel 17 Abs. 2 EU-DSGVO ist der Verantwortliche (der Golf-Club) im Falle der Öffentlichmachung unter Berücksichtigung der verfügbaren Technologien verpflichtet, angemessene Maßnahmen zu treffen, um andere (z.B. Google) zu informieren, dass eine betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien und Replikationen dieser personenbezogenen Daten verlangt.
Grundsätzlich gilt, dass die Daten dann zu löschen sind, wenn der beabsichtigte Zweck, zu welchem die Daten gespeichert worden sind, erreicht ist oder aber weggefallen ist.
Grundsätzlich sind etwaige Buchhaltungsunterlagen zehn Jahre aufzubewahren, z.B. Arbeitsgerichtsvorgänge sechs Jahre, auch behördliche Anweisungen sechs Jahre, Darlehensunterlagen ebenfalls sechs Jahre nach Vertragsende, Verfahrensbeschreibungen und Verzeichnisse zehn Jahre, Geschäftsbriefe sechs Jahre (wenn nicht Buchhaltungs-relevant), Lohnbelege als Buchungsbelege für zehn Jahre, Lohnlisten für Zwischen-, End- und Sonderzahlungen sechs Jahre, Urlaubslisten sechs Jahre, Überstundenlisten, sofern es sich um Lohnbelege handelt, zehn Jahre etc. Daraus wird deutlich, dass nicht pauschal gesagt werden kann, dass z.B. alle Daten eines Clubmitgliedes zehn Jahre nach dessen Ausscheiden zwingend zu löschen sind. Dieses ist durchaus für jede Unterlage und jedes personenbezogene Datum gesondert zu betrachten und zu prüfen.
Soweit es um statistische Erhebungen geht, so sind zumindest die Daten zu löschen oder zumindest zu anonymisieren, die einen Rückschluss auf die Person zulassen. So sind beispielsweise die Geburtsdaten, Handicap ohne die Zuordnung zu einer bestimmten Person (Vorname und Nachname) weiterhin in den Datenbanken speicherbar, um für statistische Erhebungen genutzt zu werden.
? Ein zentrales Thema der EU-DSGVO ist die Transparenz für den Verbraucher. Er soll jederzeit erkennen können, wohin er seine Daten zu welchem Zweck an wen vergibt. Daraus ergeben sich neue Pflichtangaben und eine aktive Zustimmung zur Datenübermittlung. Das gilt für Aufnahmeanträge, Newsletter-Anmeldungen, Werbeaktionen etc., aber auch für die Datenentnahme aus Signaturen oder Impressum. Ist das nur reine Bürokratie oder welche rechtlichen Konsequenzen hat ein Golfbetrieb zu tragen, wenn ein entsprechender Nachweis/Text nicht in seinen Datenformularen enthalten ist?
! Sowohl bei der EU-DSGVO als auch bei dem BDSG handelt es sich um ein sogenanntes Verbotsgesetz mit Erlaubnisvorbehalt. D.h., dass zunächst alles Datensammeln und -speichern verboten ist, es sei denn, es gibt entweder eine gesetzliche Norm oder eine Einwilligung des Betroffenen, die dieses ausdrücklich erlauben. Die EU-DSGVO stellt noch stärker als das bisherige BDSG darauf ab, dass im Rahmen der Transparenz auch z.B. dem Betroffenen mitgeteilt wird, welche Daten, für welche Zwecke, aufgrund welcher Erlaubnisnorm gespeichert werden und an wen bzw. an welche Kategorien von Empfängern diese Daten übermittelt wurden oder noch übermittelt werden. Liegen entweder die gesetzlichen Voraussetzungen für die Datennutzung/Datenverarbeitung (Artikel 6 EU-DSGVO) nicht vor oder ist die Einwilligung nicht vorhanden oder unwirksam, dann erfolgte die Datenverarbeitung (z.B. Speicherung) zu Unrecht. Der Betroffene hat nach Artikel 15 EU- DSGVO ein Auskunftsrecht, nach Artikel 16 ein Berichtigungsrecht, nach Artikel 17 EU-DSGVO, Artikel 18 EU-DSGVO das Recht auf Einschränkung der Verarbeitung (keine Verarbeitung außer der Speicherung der Daten), Artikel 19 EU-DSGVO Mitteilungspflicht an den Betroffenen, dass die Daten geändert oder gelöscht worden sind, Artikel 21 EU-DSGVO das Widerspruchsrecht des Betroffenen.
Bei Verstößen insbesondere gegen die Rechte der Betroffenen drohen gem. Artikel 83 Absatz 5 EU-DSGVO Geldbußen von bis zu 20 Mio. Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
? Die Haftung eines Datenschutzbeauftragten wurde komplett neu gestaltet. Aus einem meist „ehrenamtlichen Helfer rund um das Thema Datenschutz“ (sofern mehr als zehn Personen mit der Verarbeitung der Daten betraut sind) ist nun ein Amt mit konkreten Rechten und Pflichten geworden – sogar bis hin zur Mithaftung, wenn die zukünftigen Aufsichts- und Meldepflichten nicht eingehalten werden. Lassen sich unter diesen Umständen noch Freiwillige für so ein Amt finden? Falls ja, welche konkreten Aufgaben/Pflichten haben sie zu tragen?
! Unter dem Regime des Bundesdatenschutzgesetzes wirkte der Datenschutzbeauftragte lediglich auf die Einhaltung der Bestimmungen hin. Nunmehr hat der Datenschutzbeauftragte echte Kontrollpflichten. Bei Verstößen oder Fehlern des Datenschutzbeauftragten kann dieser aufgrund schuldhaften Unterlassens nunmehr sowohl zivilrechtlich in Anspruch genommen werden (Schadensersatz) aber zudem auch strafrechtlich mithaften. Insofern verstärkt sich hier die Haftung des Datenschutzbeauftragten ungemein, so dass es im Unternehmen vermutlich weniger Mitarbeiter geben wird, die bereit sind, diese Verantwortung zu übernehmen. Klar ist, dass die Tätigkeit eines Datenschutzbeauftragten nun nicht mehr als bloßer Nebenjob „funktioniert“, sondern doch eher als Haupttätigkeit zu betrachten ist – natürlich je nach Größe des Betriebes. Zudem dürften sogenannte interne Datenschutzbeauftragte nunmehr darauf drängen, dass eine entsprechende D&O-Versicherung auch für sie abgeschlossen wird, falls es mal zu einer Haftung kommen sollte. Aufgrund der verschärften Haftungsregelungen für den Datenschutzbeauftragten einerseits sowie den erhöhten Haftungsbeträgen andererseits, sind Golfanlagenbetreiber gut beraten, wenn Sie vor dem 25.05.2018 einen Datenschutzexperten zu Rate ziehen, um die im Unternehmen bestehende Situation einmal analysieren zu lassen. Eine weitere Übergangsfrist ist nicht vorgesehen. Ab dem 25.05.2018 gilt die EU-DSGVO unmittelbar und zwingend und auch das neue BDSG tritt dann in Kraft.
? Seit vielen Jahren thematisieren wir auf unserer GolfKnowHow@Night Jahres-Roadshow das Thema „Datensicherung“. Mit der EU-DSGVO verantwortet das weiterhin allein die Geschäftsführung. Es geht auch nicht mehr „nur“ um den Daten-Zugriffsschutz, sondern darum, dass das Vorhalten der Daten, die Datensicherung, geschützt erfolgt. Insofern erfasst der Datenschutz auch gleichzeitig die „Datensicherheit“ und damit den Schutz sämtlicher Daten. Neben dem Imageverlust – mit welchen rechtlichen Konsequenzen muss eine Golfanlage jetzt rechnen, im Falle eines Datenverlustes durch Virenbefall, Festplattendefekt, Brandschaden oder Diebstahl?
! Durch den Einsatz von technischen und organisatorischen Maßnahmen (sog. TOMs) soll der Verantwortliche (die verantwortliche Stelle) die Daten schützen. Hierbei gibt die EU-DSGVO in Artikel 32 folgendes Themenkreise vor:
- die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
- die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten soweit möglich,
- eine rasche Wiederherstellung der Daten und Zugänge nach einem physischen oder technischen Zwischenfall
- sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
In Artikel 25 EU-DSGVO ist geregelt, dass der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gewährleistet werden soll. Hierbei wird auch von „data protection by default“ sowie „data protection by design“ gesprochen. Damit ist folgendes gemeint:
- Bei Data protection by default (datenschutzfreundliche Einstellungen) sollen IT-Systeme datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck (zwingend) erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT-Kenntnisse verfügen und somit keine Einstellungen zum Schutz ihrer personenbezogenen Daten vornehmen können. Darüber hinaus müssen dem Nutzer Funktionalitäten zur Verfügung gestellt werden, mit denen er seine Privatsphäre schützen kann (z.B. durch Verschlüsselung).
- Bei Data protection by design (Datenschutz durch Technik) sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwändige Zusatzprogrammierungen umgesetzt werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch an Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.
Im BDSG waren Verstöße gegen § 9 (technisch und organisatorische Maßnahmen) nicht sanktioniert. Das wird sich mit der EU-DSGVO ändern. Sofern der Verantwortliche unzureichende oder ungeeignete technische und organisatorische Maßnahmen umsetzt, Folgenabschätzung oder ausreichende Tests/Dokumentationen fehlen, droht ein Bußgeld in Höhe von max. zehn Mio. Euro oder bis max. 2% des weltweit erzielten Jahresumsatzes.
? Das klingt alles nach viel Expertenwissen. Was passiert mit Golfanlagen, die nicht bis zum 25.05.2018 die entsprechenden Vorbereitungen treffen oder treffen können? Welche Konsequenzen und Strafen erwarten die gesetzlichen Vertreter wie Vorstände, Geschäftsführer oder Inhaber?
! Nach Artikel 82 EU-DSGVO haftet der Verantwortliche – aber auch der Auftragsdatenverarbeiter – dem Betroffenen auf Schadensersatz. Gehaftet wird für den Schaden, der dadurch entstanden ist, dass personenbezogene Daten nicht der EU-DSGVO entsprechend verarbeitet worden sind. Die Haftung des Auftragsdatenverarbeiters ist begrenzt. Dieser haftet gem. Artikel 82 Absatz 2 Satz 2 EU-DSGVO nur dann, wenn er seinen speziellen nach der EU-DSGVO auferlegten Verpflichtungen als Auftragsdatenverarbeiter nicht nachgekommen ist oder rechtmäßigen Anweisungen des Verantwortlichen nicht nachgekommen ist. Haften z.B. mehrere Verantwortliche oder ein Verantwortlicher und ein Auftragsdatenverarbeiter nebeneinander, so ist eine gesamtschuldnerische Haftung geregelt. Der Betroffene kann sich dann grundsätzlich aussuchen, ob er beide oder nur einen verklagt. Derjenige, der den Schaden vollständig beglichen hat, hätte sodann im Innenverhältnis gegen den anderen Verantwortlichen oder den Auftragsdatenverarbeiter einen anteiligen Ausgleichsanspruch.
Nach Artikel 4 Abs. 7 EU-DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedsstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; demnach würde im Falle des Verstoßes eines Unternehmens gegen die Vorschriften der EU-DSGVO sowie des neuen BEDSG das Unternehmen haften und nicht zwingend die Geschäftsführung selbst oder der Datenschutzbeauftragte. Allerdings hat hier das neue BDSG, welches ebenfalls im Mai 2018 in Kraft treten wird, eine Erweiterung vorgenommen. Dort heißt es in § 83 Abs. 1 BDSG (neu):
„Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nichtautomatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.“
Dadurch, dass das Gesetz explizit den Verantwortlichen neben dem Rechtsträger nennt, wird allgemein daraus geschlossen, dass hier tatsächlich auch eine individuelle Haftung neben der juristischen Person z.B. des Geschäftsführers oder des Datenschutzbeauftragten möglich ist.
? Zusammengefasst bedeuten mehr Rechte für die „Verbraucher“ (natürliche Personen) jetzt sehr viel Denkarbeit und Arbeitsaufwand für jeden einzelnen Golfbetrieb. Was sind Ihre konkreten Tipps für die nächsten 250 Tage? Wie können die Golfbetriebe das alles bis zum 25.05.2018 meistern?
! Zunächst sollte sich jede Golfanlage fragen, ob sie es – ggf. wie bisher – mit den bestehenden Ressourcen weiter selbst darstellen kann und möchte, insbesondere vor dem Hintergrund der deutlich verschärften Haftung.
Grundsätzlich sollte man an das Thema nach dem bewährten Muster herangehen:
Kontrollierung/Überprüfung des Istzustands: Wo überall werden personenbezogene Daten verarbeitet? Diese Bereiche im Unternehmen/auf der Anlage sind jeweils gesondert zu untersuchen und es sollte dokumentiert werden, wie bisher dort mit den personenbezogenen Daten umgegangen wird.
Im nächsten Schritt sollte ein Datenschutzexperte prüfen, ob die bisherige Verfahrensweise den Anforderungen der EU-DSGVO bzw. des BDSG (neu) entspricht und auch eine sogenannte Risikobewertung vornehmen. Sodann sollte man zusammen erarbeiten, welche Maßnahmen ggf. schnell und sofort und welche auch erst sukzessive umgesetzt werden sollen. Wichtig ist, dass alles – auch alle Überlegungen in Bezug auf den Datenschutz – nun dokumentiert werden sollten, um wenigstens im Falle einer Kontrolle den Landesdatenschutzbehörden etwas vorlegen zu können und ggf. sich auch rechtfertigen zu können, warum ggf. das eine oder andere noch nicht umgesetzt worden ist.
Sodann sind diese Punkte natürlich immer wieder regelmäßig zu kontrollieren.
Herr Klug, ich bedanke mich sehr für Ihre freundlichen Antworten, Ihre Denkansätze und Aufgaben zum Handeln.
Autor: Axel Heck | golfmanager 04/2017