Top 10 der Fragen zur EU-DSGVO

Der 25.05.2018 – Stichtag für das Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) zusammen mit dem überarbeiteten Bundesdatenschutzgesetz (BDSG). Die Gesetze haben vor allem das Ziel, dauerhaft einen EU-weit geltenden Datenschutz-Standard für Verbraucher und Unternehmen sicherzustellen und die Rechte der Verbraucher gegenüber großen Konzernen zu stärken. Unternehmen wie Facebook und Google verdienen Milliarden mit der Verarbeitung und Nutzung der persönlichen Daten, dem „Gold des 21. Jahrhunderts“. Die neuen Gesetze definieren die Verbraucherrechte und legen fest, wie Unternehmen mit den Personendaten umgehen müssen. Diese neuen Regeln betreffen im Grunde alle Unternehmen und Vereine, egal ob Handwerker, Verein oder Industriekonzern. Momentan herrscht vielerorts noch Unsicherheit, wie die Gesetze sich konkret für den Golfmarkt auswirken, aufgrund fehlender Erfahrungen und erster Auslegungen/Entscheidungen von Gerichten und Datenschutzbehörden.

Bereits mehrfach haben Axel Heck (Geschäftsführer PC CADDIE://online) und Karsten Klug (Datenschutzbeauftragter für mehrere Golfanlagen, BVGA und PC CADDIE) darüber geschrieben und auf ihren Veranstaltungen informiert – ihre TOP 10-Themen zum Datenschutz im Golfgeschäft:

1. Muss jede Golfanlage einen ­Datenschutzbeauftragten bestellen?

Gem. § 38 BDSG (neu) ist ein Datenschutzbeauftragter von der Golfanlage zu bestellen, wenn Sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. D.h. hier kommt es darauf an, wie viele Personen computergestützt regelmäßig (nicht nur gelegentlich) personenbezogene Daten verarbeiten. Strittig ist nach wie vor, ob freie Mitarbeiter (Selbständige) wie z.B. Golflehrer einzubeziehen sind. Gleiches gilt auch für die Ehrenamtlichen in den Vereinen. Auch hier ist es strittig, ob diese mitzählen. Dieses wird erst die Zukunft entscheiden. Sofern man ohnehin an der Grenze ist – auch ohne die Vorgenannten – sollte man doch in Erwägung ziehen, einen Datenschutzbeauftragten zu bestellen. Anders als bei dem Kündigungsschutzgesetz kommt es hier nur auf die tatsächliche Anzahl der Mitarbeiter an, unabhängig von der Frage, ob die Mitarbeiter in Vollzeit, Teilzeit oder gar als Minijob beschäftigt werden.

2. Wie ist der Status von ehrenamtlich tätigen Personen, die temporär auf die personenbezogenen Daten zugreifen, bei der Bestimmung der Anzahl der mit der Verarbeitung ­befassten Personen zu bewerten?

Dieser Status ist, wie gesagt, leider nicht ganz klar. Jedenfalls sollte man, wenn die Betreibergesellschaft oder der Betreiberverein an der Grenze zu zehn Personen stehen, eher einen Datenschutzbeauftragten bestellen, um keine unnötigen Risiken einzugehen.

3. Was muss eine Golfanlage beachten bzw. welche Zustimmungen sind notwendig, wenn sich eine Person zu einer Veranstaltung (Turnier, Kurs, Tag der offenen Tür etc.) anmeldet – damit die Golfanlage diese Daten datenschutzkonform verarbeiten und auch Teilnehmerlisten (Meldelisten, Startlisten, Ergebnislisten) im Internet veröffentlichen darf?

Bei der Anmeldung zu einer Veranstaltung kann die Golfanlage aufgrund dieser Anmeldung zu dem Zweck der Veranstaltung die personenbezogenen Daten auf Grundlage des geschlossenen Vertrages verarbeiten (vgl. Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Somit ist schon einmal durch die Anmeldung die Verarbeitung der personenbezogenen Daten für sämtliche Zwecke – die natürlich auch in der diesbezüglichen Datenschutzinformation enthalten sein sollten (vgl. Art. 12, 13, 14 DSGVO) – möglich (Benachrichtigung, Abrechnung, Startzeitmeldung). Was nun die Veröffentlichung der Meldelisten, Startlisten, Ergebnislisten etc. angeht, so ist diese nicht zwingend für die Durchführung des Turniers erforderlich. Meines Erachtens wäre jedoch die Veröffentlichung dieser Listen (z.B. im Internet) oder auf dem „Schwarzen Brett“ im Club dann durch das sogenannte „berechtigte Interesse“ (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) abgedeckt. Hier überwiegt das Interesse der Veröffentlichung, um einen reibungslosen Organisationsablauf zu gewährleisten, dasjenige Interesse des Betroffenen, dass diese Listen nicht veröffentlicht werden. Dies sollte vom Club dokumentiert werden und auch in der Datenschutzinformation zur der Veranstaltung genannt werden. Wer ganz sicher gehen möchte, fügt beispielsweise der Meldung oder Einladung zum Turnier eine Einwilligung bei (bzw. in digitaler Form bei einer Anmeldung über das Internet) und lässt sich bestätigen, dass die Meldelisten, Startlisten und Ergebnislisten veröffentlicht werden.

4. Gibt es eine gesetzliche Frist, wann personenbezogenen Daten automatisch gelöscht werden müssen?

Art. 17 DSGVO regelt das „Recht auf Löschung“. Danach sind Daten dann zu löschen, wenn es der Betroffene verlangt, weil z.B. der Zweck, für den die Daten einmal erhoben wurden, erreicht ist oder er die Einwilligung widerruft etc. Allerdings schreibt Absatz 3 des Art. 17 DSGVO auch vor, dass der Verantwortliche (also hier die Golfanlage) dann nicht zu löschen braucht, wenn es z.B. die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erfordert oder z.B. wenn dieses noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Daraus wird jedenfalls klar, dass es starre Löschfristen so nicht gibt. Aufgrund dessen haben sich in der Praxis sogenannte „Löschkonzepte“ etabliert, so dass individuell für die konkreten personenbezogenen Daten geprüft wird, wie lange diese aufzubewahren sind. Anhaltspunkte können natürlich Verjährungsvorschriften von Ansprüchen sein, sowie die gesetzlichen Vorgaben nach der Abgabenordnung (AO), die dem Verantwortlichen auferlegt, wie lange er z.B. Rechnungen aufzubewahren hat.

5. Fallen auch handgeschriebene Daten, aus ausgehängten Meldelisten oder dem Greenfeebuch, unter die neuen Gesetze – was ist dabei zu beachten?

Vom Wortlaut des Gesetzes ist gem. Art. 2 Abs. 1 DSGVO zunächst nur erfasst, was ganz oder teilweise automatisiert verarbeitet wird. Allerdings gilt die DSGVO auch für nichtautomatisiert (d.h. ohne Computer) verarbeitete personenbezogene Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das bedeutet, dass handschriftliche Meldelisten oder Greenfeebücher zunächst nicht unter die Regelungen der DSGVO fallen, gleichwohl ist hier zu empfehlen, da es auch hier um personenbezogene Daten geht und letztlich auch hierdurch die Freiheiten und Rechte der Betroffenen tangiert werden können, dass man sich an die Bestimmungen des Datenschutzes halten sollte.

6. Wenn für die Golfanlage kein Datenschutzbeauftragter zu bestellen ist, welche Fristen sind dann bei der Überprüfung und Aktualisierung des Verfahrensverzeichnis, als technische und organisatorische Maßnahmen, einzuhalten?

Auch hier empfiehlt sich, wenigstens einmal jährlich zu prüfen, ob die Verzeichnisse noch aktuell sind, und ob die technischen und organisatorischen Maßnahmen noch dem Stand der Technik entsprechen und einen ausreichenden Schutz der personenbezogenen Daten bieten.

7. Im Auskunftsrecht der Verbraucher: Was bedeutet „unverzüglich“ bei der Einsicht in die gespeicherten Daten? Kann der Kunde sofort am Tresen die Herausgabe eines Datenausdrucks verlangen?

Gem. Art. 12 Abs. 3 Satz 1 DSGVO ist der Betroffene „unverzüglich“, spätestens jedoch innerhalb eines Monats zu informieren, hinsichtlich des Auskunftsrechts gem. Art. 15 DSGVO. Zwar kann der Kunde bzw. das Golfmitglied am Tresen die Herausgabe verlangen, aber der Golfclub bzw. die Dame oder der Herr am Empfang ist nicht verpflichtet, diese dem Mitglied sofort zu erteilen. Hier macht es Sinn, den Wunsch des Mitgliedes aufzunehmen und zu dokumentieren und insbesondere nachzufragen, welche exakten personenbezogenen Daten bzw. Kopien davon das Mitglied wünscht. Grenzt das Mitglied diese nicht ein, hat es strenggenommen das Recht, wirklich alle Daten (Adressdaten, Kommunikationsdaten, Turnierdaten etc.) in Kopie ausgehändigt zu erhalten. Dieses kann jedoch binnen Monatsfrist erfolgen und kann insbesondere dann auch postalisch an das Mitglied übermittelt werden.

8. Mit welchen Unternehmen muss die Golfanlage ggf. eine Auftragsdatenverarbeitungsvereinbarung (ADV) abschließen?

Die Golfanlage muss mit all jenen eine ADV schließen, die im Auftrag und unter Weisung der Golfanlage, personenbezogene Daten verarbeiten (z.B. externe Marketingfirmen und Firmen, die extern Druckaufträge, Rundschreiben etc. für die Golfanlagen fertigen). Auch ist es meistens erforderlich, mit den IT-Dienstleistern einen ADV-Vertrag zu erstellen. Mit Steuerberatern, z.B. bei Lohnbuchungen, ist keine ADV zu schließen, da diese eine sogenannte Funktionsübertragung tätigen. Das bedeutet, dass diese nicht weisungsgebunden arbeiten und man aufgrund dessen eben doch wieder für Datenübertragung an die Lohnbuchhaltung eine eigene Rechtsgrundlage (Art. 6 DSGVO) benötigt.

9. In welchen konkreten Fällen müsste eine Golfanlage bei einem „Vorfall“ die zuständige Datenschutzbehörde bzw. ggf. sogar die betroffenen Kunden informieren?

Art. 33, 34 DSGVO sehen – auch nach der derzeitigen Einschätzung der Aufsichtsbehörden – vor, dass jeder Vorfall des Datenverlustes, sei es durch Cyber­attacke oder durch den Verlust einer externen Festplatte, eines USB-Sticks etc., gemeldet werden soll, es sei denn, dass dieser Verlust voraussichtlich nicht zu einem Risiko für den Betroffenen führt.

Das ist somit reichlich unklar und in der Praxis schwer zu kalkulieren. Vermutlich wird auch die DSGVO so auszulegen sein, dass nur bei diesen Datenpannen, die im Falle besondere personenbezogene Daten beinhalten (z.B. Gesundheitsdaten) aber auch ggf. Bankdaten, eine Meldung erfolgen muss. Denn da sind die Risiken für den Betroffenen nicht oder nur schwer abschätzbar. Hingegen muss eine Benachrichtigung an den Betroffenen selbst nur dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten des Betroffenen bestehen. Somit dürfte dieses nur der Fall sein, wenn entweder sensible Daten oder Bankdaten abhanden gekommen sind. Aufgrund der Frist von 72 Stunden sollte man sich im Vorfeld ein Meldekonzept überlegt und festgelegt haben, wer wen wie und wann anruft oder erreicht, damit diese Frist eingehalten werden kann.

10. Newsletter: Muss die Golfanlage für alle Kunden, für Mitglieder wie Gäste, nochmals eine Zustimmung einholen oder dürfen die Mailing-Daten auch nach dem 25.05. weiter verwendet werden, sofern diese bisher schon genutzt wurden?

Sofern die Golfanlage bereits auch vorher eine Einwilligung hatte, dass Mitglieder oder Gäste den Newsletter abonnieren möchten, kann an den alten bestehenden Einwilligungen festgehalten werden. Gibt es die nirgendwo dokumentiert, sollte dieses vorsorglich nachgeholt werden, da der Verantwortliche (also die Golfanlage) die Einhaltung der datenschutzrechtlichen Bestimmungen nachweisen können muss (vgl. Art. 5 Abs. 2 DSGVO).

Autoren: Axel Heck und Karsten Klug | golfmanager 02/2018

<< zurück