Die DS-GVO erlegt Stiftungen umfangreiche Prüf- und Dokumentationspflichten auf. Um diese Pflichten zu erfüllen, empfiehlt sich folgende Vorgehensweise:
Bestandsaufnahme
Der Stiftungsvorstand sollte als Verantwortlicher für den Datenschutz alle Prozesse zusammenstellen und prüfen, mit denen personenbezogene Daten zum Beispiel von Spendern, Stipendiaten, Fördermittel-empfängern u.a. verarbeitet werden. Zu diesen Verarbeitungsprozessen zählen neben allen Systemen, mit denen Daten erhoben, gespeichert, genutzt oder in anderer Weise verarbeitet werden, zum Beispiel auch Kontaktformulare oder Registrierungstools. Mit der Bestandsaufnahme verschafft sich die Stiftung Transparenz über alle Verarbeitungsprozesse und bereitet gleichzeitig ein Verarbeitungsverzeichnis vor.
Datenschutzbeauftragter
Die Stiftung muss einen Datenschutzbeauftragten bestellen, wenn
● bei ihr mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind
und/oder
● ihre Kerntätigkeit in der umfangreichen Verarbeitung besonders schutzbedürftiger Kategorien von Daten besteht.
Erstellung einer Datenschutzerklärung
Da die DS-GVO die Informationspflichten wesentlich erweitert hat, sollten jedem Angebot und jedem Vertrag grundsätzlich die Hinweise zum Datenschutz (Datenschutzerklärung) beigefügt werden. Webseiten einer Stiftung sollten diese Hinweise auch enthalten, insbesondere dann, wenn Google Analytics oder sog. Like Buttons von sozialen Netzwerken eingesetzt werden.
Eine Datenschutzerklärung sollte folgende Inhalte haben:
- Name und Kontaktdaten der Stiftung als Verantwortlicher
- soweit erforderlich: Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten
- Art und Umfang der verarbeiteten Daten (bei Webseiten erweitert um die Aktivitäten der Webseite, zum Beispiel Logfiles, Cookies, Registrierungen usw.)
- Zwecke der Datenverarbeitung
- Art der Personen, deren Daten verarbeitet werden
- mögliche Empfänger der Daten
- Hinweis auf Übermittlung der Daten an Drittländer außerhalb der EU (insbesondere relevant bei Cloud- und Webmail-Diensten)
- Löschfristen
- Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung, Sperrung, Widerspruch, Datenübertragbarkeit, Widerruf der Einwilligung und Beschwerde bei einer Datenschutzbehörde
Auftragsverarbeitung
Stiftungen beauftragen regelmäßig Dienstleister, die für sie personenbezogene Daten verarbeiten (zum Beispiel Geschäftsbesorger, IT-Dienstleister u.a.). Die erbrachten Dienstleistungen sind grundsätzlich Auftragsverarbeitungen, über die ein gesonderter Auftragsverarbeitungsvertrag geschlossen werden muss. Wer diesen Vertrag zur Auftragsverarbeitung nicht schließt, handelt ordnungswidrig.
Erstellung eines Verarbeitungsverzeichnisses
Die Stiftung muss ein schriftliches oder elektronisches Verzeichnis von Verarbeitungstätigkeiten führen. Das Verzeichnis dient dem Nachweis einer datenschutzkonformen Datenverarbeitung in der Stiftung und muss für jede einzelne Verarbeitungstätigkeit folgende Angaben enthalten:
- Name und Kontaktdaten der Stiftung
- Falls erforderlich: Name und Kontaktdaten des Datenschutzbeauftragten
- Zwecke der Datenverarbeitung
- Art der Personen, deren Daten verarbeitet werden
- Art der verarbeiteten Daten
- Mögliche Empfänger, denen Daten übermittelt werden oder worden sind
- Hinweis auf Übermittlung von Daten in die USA oder in andere Drittstaaten außerhalb der EU (insbesondere relevant bei Cloud- und Webmail-Diensten)
- Löschfristen
- Maßnahmen der Datensicherheit
Grundsätzlich muss eine Stiftung ein Verarbeitungsverzeichnis nur führen, wenn sie 250 oder mehr Mitarbeiter beschäftigt; es sei denn, die Datenverarbeitung erfolgt nicht nur gelegentlich. Da Stiftungen Daten grundsätzlich nicht nur gelegentlich erfassen und verarbeiten, haben sie regelmäßig ein Verarbeitungsverzeichnis zu führen, auch bei weniger als 250 Mitarbeitern.
Als Verarbeitungstätigkeit gelten zum Beispiel:
- CRM-Datenbanken und Adressdatenbanken
- Buchhaltungssoftware
- Urlaubslisten
- elektronische Personalakten
- E-Mail-Programme
- Internetauftritt sowie Präsenz in sozialen Netzwerken
In einem Verarbeitungsverzeichnis müssen auch Maßnahmen zur Datensicherheit definiert werden. Deshalb ist zu klären, wie die Datensicherheit funktioniert, die Zugriffsrechte organisiert sind und welche Maßnahmen zur Abwehr von Hackerangriffen oder zum Virenschutz existieren.
Das Verarbeitungsverzeichnis sollte laufend gepflegt werden, da eine Stiftung auf Anforderung der Aufsichtsbehörde nachweisen muss, welche Verarbeitungsprozesse zu einem bestimmten Zeitpunkt aktiv waren.
Erfüllung der Betroffenenrechte
Die Stiftung sollte ein Verfahren einrichten, wie die Rechte von Betroffenen erfüllt werden, sobald sie geltend gemacht werden.
Erfüllung der Meldepflichten
Jeder Datenschutzverstoß muss der zuständigen Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden. Schon ein Verstoß gegen diese Meldepflicht kann ein Bußgeld nach sich ziehen. Die Stiftung sollte daher ein Verfahren einrichten, was bei einer Datenpanne zu tun ist.
Schwachstellenanalyse
Jede Stiftung sollte auf Basis des Verarbeitungsverzeichnisses mögliche Schwachstellen des Datenschutzes analysieren und Folgendes besonders beachten:
- Rechtmäßigkeit: Ist die Datenverarbeitung rechtlich zulässig? Dient sie der Erfüllung eines Vertrages? Gibt es eine Einwilligung des Betroffenen? Besteht eine gesetzliche Verpflichtung zur Datenverarbeitung oder ist die Datenverarbeitung durch ein berechtigtes Interesse der Stiftung gedeckt?
- Datensparsamkeit: Ist die Speicherung und Verarbeitung von Daten tatsächlich notwendig?
- Datenrichtigkeit: Ist gewährleistet, dass die personenbezogenen Daten stets auf dem neuesten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden?
- Löschfristen: Werden personenbezogenen Daten gelöscht, wenn sie nicht mehr notwendig sind?
- Schutz gegen Hacker und Malware: Gibt es eine Firewall? Sind aktuelle Virenscanner installiert?
- Zugangskontrolle: Sind die IT-Anlagen der Stiftung gegen den Zugang durch Unbefugte geschützt?
Datensicherheit
Stiftungen müssen technische und organisatorische Maßnahmen ergreifen, die die Sicherheit der verarbeiteten personenbezogenen Daten gewährleisten.
Folgende Maßnahmen sind vorgeschrieben:
- Verschlüsselung: Soweit möglich, sollen personenbezogene Daten verschlüsselt werden.
- Stabilität: Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme ist auf Dauer sicherzustellen.
- Wiederherstellbarkeit: Verarbeitungsprozesse müssen gegen Datenverlust durch eine fachgerechte Datensicherung geschützt werden.
- Regelmäßige Überprüfung: Die Datensicherheit ist regelmäßig zu prüfen.
Notwendig ist ein angemessenes Schutzniveau, das anhand der bestehenden Risiken und des Standes der Technik zu bestimmen ist.
Da die DS-GVO vorschreibt, dass die Maßnahmen zur Datensicherheit dokumentiert sind, ist es wichtig, die technischen und organisatorischen Maßnahmen zur Datensicherheit schriftlich festzuhalten. Dies kann im Verarbeitungsverzeichnis geschehen.