Es klingt wie fast alles, was aus Brüssel kommt – trocken und kompliziert: „Datenschutzgrundverordnung Nr. 679 vom 27. April 2016“. Doch was das Europäische Parlament und die Mitgliedsstaaten nach jahrelangen zähen Verhandlungen beschlossen haben, betrifft uns alle – jeden Tag. Unternehmen bereitet die Verordnung Kopfzerbrechen, doch für Verbraucher ist sie ein Meilenstein, denn sie schützt unsere, teilweise sensiblen, Daten – und zwar einheitlich in der gesamten EU.
Der Grundstein für die Harmonisierung wurde bereits im Jahr 1995 mit der Richtlinie Nr. 46 gelegt. Zum einen ging es um den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung, zum anderen wurde auch gewährleistet, dass es einen freien Verkehr für personenbezogene Daten zwischen den Mitgliedsstaaten gibt.
Nur hat die Technik die Gesetzeslage eingeholt: Der grenzüberschreitende Austausch personenbezogener Daten hat rasant zugenommen – durch die Globalisierung, aber auch durch unser eigenes freiwilliges Preisgeben unserer Daten – man denke nur alleine an die Nutzung sozialer Medien. Für private Unternehmen hat sich der Handel mit Daten zum lukrativen Geschäftsmodell entwickelt, und auch öffentliche Behörden können in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen und diese verarbeiten.
Diese Entwicklung hat den Brüsseler Gesetzgeber zum Handeln gezwungen, um unionsweit ein einheitliches und gleichmäßig hohes Datenschutzniveau für natürliche Personen zu gewährleisten.
Die Datenschutzgrundverordnung trat am 25. Mai 2018 in Kraft und findet im Gegensatz zur Richtlinie aus dem Jahr 1995 unmittelbare Anwendung in allen Mitgliedstaaten. Das heißt, es bedarf keiner Umsetzung ins nationale Recht. Die vor dem Inkrafttreten der Verordnung bestandenen gesetzlichen Unterschiede im nationalen Datenschutz wurden aufgelöst.
In der Zwischenzeit hat auch der italienische Gesetzgeber das nationale Recht den Bestimmungen der Datenschutzgrundverordnung angepasst. Mit dem gesetzesvertretendem Dekret Nr. 101 vom 10. August 2018 hat er den nationalen Datenschutzkodex (Codice della Privacy, ges.ver. Dekret Nr. 196/2003) mit den unionsweiten Vorgaben in Einklang gebracht. Schutzwürdig sind die personenbezogenen Daten. Informationen, die sich einer bestimmten natürlichen Person zuordnen lassen und sie dadurch identifizieren oder identifizierbar machen kann. Dazu gehören allgemeine personenbezogene Daten wie z.B. die Geburtsdaten, Wohnort, E-Mail-Adresse, Telefonnummer, aber auch besondere Arten von personenbezogene Daten, die in höherem Maße sensibel sind und einem verschärften Schutz unterliegen. Dazu gehören Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualität, sowie genetische und biometrische Daten. Diese Daten dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden, wobei die Einwilligung jederzeit widerrufen werden kann. Die bereits mit der Richtlinie aus 1995 festgelegten Ziele und Grundsätze des Datenschutzes haben sich nicht verändert. Jedoch sieht der europäische Gesetzgeber für die privaten Körperschaften und öffentlichen Behörden eine Reihe von Verpflichtungen vor, um das „Risiko Privacy“ zu organisieren und zu managen.
Die Datenschutzgrundverordnung erfordert erstmals die Ausarbeitung eines Dokumenten- und Managementsystems, das die ständige Erfüllung der Anforderungen der Datenschutzgrundverordnung gewährleistet. Das bedeutet konkret: Der Dateninhaber muss die Risiken für den Datenschutz bei der Verarbeitung der personenbezogenen Daten bewerten und technische und organisatorische Maßnahmen ergreifen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Datenverarbeitung rechtmäßig erfolgt.
Neu ist auch die Figur des Datenschutzbeauftragten, ein unabhängiger Berater des Dateninhabers, der von öffentlichen Behörden immer, und von privaten Körperschaften immer dann ernannt werden muss, wenn sie regelmäßig und systematisch umfangreiche personenbezogene Daten überwachen, oder im umfangreichen Maße sensible und strafrechtliche personenbezogene Daten verarbeiten.
Verstöße können schmerzen: Es drohen Geldstrafen bis zu 20 Millionen Euro. Im Falle eines Unternehmens kann das bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes kosten. Verbraucher profitieren von der neuen Verordnung, denn sie müssen viel umfassender darüber informiert werden, welche Daten in welcher Form und für welchen Zweck über sie gespeichert werden. Komplett neu ist, dass Verbraucher darüber informiert werden müssen, wie lange ihre Daten gespeichert werden.
Besonders erwähnenswert ist das Recht auf Löschung oder „Recht auf Vergessen werden“, das gewährleistet, dass die Daten gelöscht werden müssen, sobald der Zweck für die Verarbeitung wegfällt oder die Einwilligung widerrufen wird. Neu ist das Recht auf Datenübertragbarkeit, das den Verbrauchern zusichert, ihre Daten von einem Dateninhaber zum nächsten mitzunehmen und den Wechsel erleichtert, wenn man etwa den Arzt oder die Versicherung wechselt.
Einfacher wird es den Verbrauchern auch gemacht, wenn es um eine Beschwerde geht. Man kann sich nämlich an die zuständige Behörde des Aufenthaltsortes oder des Arbeitsplatzes wenden – und nicht wie bisher an das Land, in dem das Unternehmen seinen Sitz hat. Heißt konkret: Wenn ich in Italien lebe und mich über ein Unternehmen beschwere, das in Irland gemeldet ist, kann ich mich an die italienischen Behörden wenden – in meiner Muttersprache. Ein sensibler Umgang mit personenbezogenen Daten ist auch von den Vereinen gefordert. Die Vereine trifft nun die Herausforderung, sich an die Datenschutzgrundverordnung anzupassen.
In jedem Verein werden unterschiedlichste personenbezogene Daten auf vielfältige Art und Weise erhoben, verwendet und weitergegeben. Vereine verfügen meist über umfangreiche Mitgliederdatenbanken mit vielen persönlichen Informationen (Name, Anschrift, Telefonnummer, E-Mail-Adresse, Geburtsdatum, usw.) sowie personenbezogenen Daten von Personen, die sich für die Vereinstätigkeit interessieren, diese unterstützen oder an Veranstaltungen der Vereine teilnehmen. Oftmals verfügen Vereine auch über sensible Daten wie Gesundheitsdaten, Religionszugehörigkeit oder Gewerkschaftszugehörigkeit, die sie bei spezifischen Veranstaltungen abfragen und speichern. Für die Verarbeitung dieser sensiblen Daten benötigt der Verein die Einwilligung der betroffenen Personen.
Vereine veröffentlichen gerne auf ihrer Homepage oder in den Sozialen Medien Fotos oder Videoaufnahmen, um über die Vereinstätigkeit zu berichten. Dabei muss darauf geachtet werden, dass alle auf dem Bildmaterial abgelichteten Personen ihre Zustimmung zur Veröffentlichung geben. Bei Minderjährigen bedarf es der Zustimmung der Erziehungsberechtigten. Davon ausgenommen sind Aufnahmen, die bei öffentlichen Veranstaltungen gemacht werden.
In der Praxis kommt es häufig vor, dass die im Rahmen der Vereinstätigkeit gesammelten personenbezogenen Daten an mit dem Verein verbundene Organisationen oder an Dritte weitergegeben werden, die die Daten für andere als die festgelegten Vereinszwecke verwenden könnten. Dabei ist zu berücksichtigen, dass die Weitergabe von personenbezogenen Daten bestimmten Vorschriften unterliegt. Die Weitergabe muss sich z.B. auf eine gesetzliche Erlaubnisnorm stützen oder bedarf der Einwilligung der betroffenen Person.
Nicht zu vernachlässigen ist auch die Gewährleistung der sicheren Aufbewahrung der personenbezogenen Daten innerhalb und außerhalb der Vereinsbüros und -räumlichkeiten, damit die Daten nicht unbefugten Personen offengelegt werden. Das bedeutet zum einen, dass Papierdokumente und Unterlagen in den dafür vorgesehenen Archiven (z.B. abschließbare Büroschränke) aufbewahrt werden müssen und nicht für jeden zugänglich bzw. einsehbar sein dürfen. Zum anderen müssen elektronische Datenbanken mit einer Firewall, Antiviren-Programmen und regelmäßigen Backups geschützt werden. Befindet sich der Server in den Büroräumlichkeiten, muss auch dieser angemessen gesichert werden (z.B. in einem verschlossenen Raum gegen unbefugte Zutritte, mit einem Feuerlöscher gegen Brand).
Der Katholische Verband der Werktätigen hat die Herausforderung angenommen und zusammen mit den verbundenen Organisationen (KVW Bildung, KVW Jugend, KVW Hilfsfonds, KVW Reisen GmbH, KVW Service GmbH, Patronat KVW-ACLI, Südtiroler in der Welt – Arbeitsstelle für Heimatferne) und meiner rechtlichen Unterstützung ein Projekt in die Wege geleitet, um den Datenschutz in der Vereinstätigkeit zu gewährleisten. Ein achtsamer Umgang mit den personenbezogenen Daten über die der Verein verfügt, ist nun von allen Mitarbeitern des Katholischen Verbands der Werktätigen gefordert. Dies zum Schutz der Grundrechte und Grundfreiheiten der Mitglieder und all jener Personen, die ihre personenbezogenen Daten dem Katholischen Verband der Werktätigen anvertrauen.
TEXT: Esther Pomella