Hinweisblatt „Datenschutz“ für die Tafelarbeit für die Zeit ab dem 25.05.2018, dem Zeitpunkt des Inkrafttretens der DatenschutzGrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) Was ist die Datenschutzgrundverordnung? Zum 25.05.2018 tritt die DSGVO in Kraft. Das heißt, sie wird an jenem Tag auch für die Bundesrepublik Deutschland unmittelbar geltendes Recht. Ziel der DSGVO ist insbesondere die Vereinheitlichung der datenschutzrechtlichen Standards innerhalb der Europäischen Union. Durch das Inkrafttreten der DSGVO am 25.05.2018 werden die wesentlichen datenschutzrelevanten Bestimmungen des bisherigen BDSG durch Europarecht ersetzt. Trotzdem wird es ab dem 25.05.2018 auch eine neue Fassung des BDSG geben. Für die Tafeln bzw. ihre Rechtsträger werden im Wesentlichen nur noch die Regelungen zur Videoüberwachung und zur Bestellung eines Datenschutzbeauftragten im BDSG von Bedeutung sein. Alles andere regelt die DSGVO. Wer ist bei der Tafel verantwortlich für die Einhaltung der datenschutzrechtlichen Regelungen? Datenschutzrechtlich „Verantwortlicher“ ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei den Tafeln ist das deren jeweiliger Rechtsträger. Das ist z.B. der eine einzelne oder mehrere Tafeln betreibende Verein oder die sonstige juristische Person (z.B. gGmbH). Innerhalb dieser juristischen Personen sind dann die jeweiligen gesetzlichen Vertreter datenschutzrechtlich verantwortlich. Beim Verein sind das die nach § 26 Bürgerliches Gesetzbuch vertretungsberechtigten Mitglieder des Vorstands. Darf die Tafel persönliche Daten der Kunden verarbeiten und sogar auf einem Computer oder in der Cloud speichern? Die Erhebung und Nutzung personenbezogener Daten eines Kunden durch die Tafel sind nur zulässig, soweit der Kunde eingewilligt hat oder eine der sonstigen in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen gegeben ist. Die Erhebung und Nutzung der personenbezogenen Daten sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben oder zu nutzen. Für eine wirksame Einwilligung ist der Kunde auf den konkreten Zweck der Erhebung der personenbezogenen Daten und deren beabsichtigte konkrete Verarbeitung hinzuweisen. Außerdem muss der Kunde, soweit es nach den Umständen des Einzelfalles erforderlich ist oder von dem Kunden verlangt wird, auf die Folgen der Verweigerung der Einwilligung hingewiesen werden. Seine Einwilligung muss von ihm unmissverständlich abgegeben sein, entweder in Form einer ausdrücklichen Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Damit die Tafel später nachweisen kann, dass der Kunde die Einwilligung tatsächlich erteilt hat, empfiehlt sich die Erstellung eines entsprechenden Informationsblattes in den üblichen - 2 - Sprachen der Kunden der jeweiligen Tafel. Die Einwilligung sollte grundsätzlich schriftlich eingefordert werden, also mit der persönlichen Unterschrift des Kunden unter die entsprechende Einwilligungserklärung. Erfolgt die Einwilligung des Kunden in diesem Fall zusammen mit einer Erklärung, die noch andere Sachverhalte betrifft (z. B. im Aufnahmeformular für den Erwerb der Mitgliedschaft im Verein), so muss das Ersuchen um die Einwilligung in dem Formular so in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Der Kunde hat das Recht, seine Einwilligung jederzeit zu widerrufen. Für eine wirksame Einwilligung ist erforderlich, dass der Kunde darauf bereits vor Abgabe seiner Einwilligung hingewiesen wird. Durch den Widerruf der Einwilligung wird aber die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Aufgrund des Satzungszwecks einer Tafel darf diese auch ohne ausdrückliche Einwilligung des Kunden dessen persönliche Daten erheben und Nutzen, soweit es um den Nachweis seiner Bezugsberechtigung geht. Denn die Förderung der in der Satzung festgelegten Zwecke durch die Tafel muss dem jeweiligen Finanzamt nachgewiesen werden können. Damit hat die Tafel ein berechtigtes Interesse an der Erhebung und Nutzung der Daten und es besteht in der Regel kein Grund zu der Annahme, dass das schutzwürdige Interesse des Kunden an dem Ausschluss der Nutzung überwiegt. Die personenbezogenen Daten dürfen auch auf einem Computer gespeichert werden. Doch müssen die Tafeln die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um die Ausführung der Vorschriften der DSGVO zu gewährleisten. Deshalb muss sichergestellt sein, dass nur die Personen Zugang zu den personenbezogenen Daten (bzw. dem Computer) haben, welche die Kenntnis dieser Daten für die Tafelarbeit auch wirklich benötigen. Auch bei der Speicherung personenbezogener Daten im Rahmen von sogenannten CloudServices (z.B. Google Drive, Dropbox) sind von der Tafel alle datenschutzrechtlichen Bestimmungen einzuhalten. Die Tafel darf aber nur mit solchen Cloud-Anbietern zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der Kunden gewährleistet. Das ist bei Anbietern von Cloud-Services außerhalb der Europäischen Union eher fraglich. Jedoch kann die Geeignetheit des Cloud-Anbieters auch dadurch nachgewiesen werden, dass dieser bestimmte nach Art. 40 DSGVO genehmigte Verfahrensregeln einhält oder eine Zertifizierung nach Art. 42 DSGVO vorweisen kann. Das kann nur im Einzelfall geprüft werden. Jedenfalls muss die Tafel einen schriftlichen Vertrag mit dem Cloud-Anbieter schließen und dabei die inhaltlichen Anforderungen nach Art. 28 Abs. 3 DSGVO erfüllen. Die Europäische Kommission kann dazu Standardvertragsklauseln festlegen, was bisher noch nicht geschehen ist. Muss die Tafel dem Kunden bei der Erhebung seiner personenbezogenen Daten besondere Informationen zukommen lassen? Erhebt die Tafel beim Kunden personenbezogene Daten, z.B. bei der Erstaufnahme als Kunde, so hat sie dem Kunden zum Zeitpunkt der Erhebung dieser Daten folgende Informationen mitzuteilen: a) den Namen und die Kontaktdaten des Rechtsträgers der Tafel; - 3 - b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (z.B. Einwilligung des Kunden, überwiegendes berechtigtes Interesse der Tafel); d) wenn die Verarbeitung auf einem überwiegenden berechtigten Interesse der Tafel beruht, was diese berechtigten Interessen sind; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, sofern der Rechtsträger diese weitergibt und f) gegebenenfalls die Absicht des Rechtsträgers der Tafel, die personenbezogenen Daten an ein Drittland außerhalb der Europäischen Union oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission. Zusätzlich zu den vorgenannten Informationen muss die Tafel dem Kunden zum Zeitpunkt der Erhebung der Daten folgende weitere Informationen zur Verfügung stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) das Bestehen eines Rechts des Kunden auf Auskunft seitens der Tafel über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; c) wenn die Verarbeitung der personenbezogenen Daten auf der Einwilligung des Kunden beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; d) das Bestehen eines Beschwerderechts des Kunden bei einer Datenschutzaufsichtsbehörde und e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte. Diese Informationen dürfen nur insoweit nicht gegeben zu werden, als der Kunde nachweislich bereits über die Informationen verfügt. Die mitzuteilenden Informationen können z.B. in das Aufnahmeformular für neue Kunden oder in ein gesondertes Informationsblatt eingearbeitet werden. Sie müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Die Übermittlung erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von dem Kunden verlangt, kann die Information durch die Tafel auch mündlich erteilt werden, wovon aber wegen der schwierigen Nachweisbarkeit abgeraten wird. Darf die Tafel Bewilligungsbescheide kopieren und aufbewahren? Nach den steuerrechtlichen Regelungen ist die Tafel sogar verpflichtet, eine Kopie des Bewilligungsbescheides des Kunden in ihren Unterlagen aufzubewahren, um so gegenüber dem Finanzamt den Nachweis zu führen, dass die Mittel des Vereins tatsächlich für mildtätige Zwecke eingesetzt worden sind (Nr. 11 Satz 5 AEAO zu § 53). Jedoch kann die Tafel bei dem für sie zuständigen Finanzamt die Befreiung von dieser Nachweispflicht beantragen. Sofern das Finanzamt die Befreiung erteilt, ist aufgrund des Prinzips der „Datensparsamkeit“ die Einholung und Aufbewahrung der Kopie des Bewilligungsbescheides nicht mehr erforderlich. Ab dann ist die Erhebung der Daten vom - 4 - Kunden auf diejenigen zu beschränken, die für die Tafel dann noch erforderlich sind. Deshalb reicht dann die Erfassung der Daten des Bewilligungsbescheides (Ausstellungsbehörde, Aktenzeichen, Ausstellungsdatum, Rechtsgrundlage, Geltungszeitraum, Begünstigte) ohne die Fertigung einer Kopie aus. Wie lange darf die Tafel die Daten aufbewahren? Aufgrund des Satzungszwecks einer Tafel darf diese auch ohne ausdrückliche Einwilligung des Kunden dessen persönliche Daten solange aufbewahren, als dies für den Nachweis seiner Bezugsberechtigung erforderlich ist. Nach dem Steuerrecht beträgt die Aufbewahrungsfrist für diese Daten sechs Jahre nach Beendigung des Jahres, in dem der Kunde zum letzten Mal Waren abgeholt hat. Spätestens danach sind die Daten zu löschen. Müssen Tafelmitarbeiterinnen und -mitarbeiter besonders belehrt werden? Den von der Tafel bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Um diese Verpflichtung auch später nachweisen zu können, sollte sie schriftlich erfolgen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Darf die Tafel „Ausweise“ erstellen und dafür Fotos von den Kunden anfertigen? Die Tafel darf für ihre Kunden eigene Ausweise ausstellen, aus denen sich die Berechtigung zum Warenbezug ergibt. Damit wird vermieden, dass jeder Kunde bei jedem Aufsuchen der Tafel einen Bewilligungsbescheid und einen gültigen amtlichen Ausweis vorlegen muss. Jedoch darf der Kunde verweigern, dass dazu von ihm ein Lichtbild gefertigt wird. Denn dieses ist nicht erforderlich, da er sich auch mit dem „Tafel-Ausweis“ in Verbindung mit seinem amtlichen Ausweis ausweisen kann, dass er die berechtigte Person ist. Benötigt die Tafel einen Datenschutzbeauftragten? Eine Tafel, die personenbezogene Daten automatisiert (z. B. mit Verwaltungsprogramm auf Computer) verarbeitet, hat einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Die Tafel hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese Daten der für den Sitz der Tafel zuständigen Datenschutzaufsichtsbehörde mitzuteilen. Dabei umfassen die „Kontaktdaten“ nicht den Namen, sondern beschränken sich auf seine Funktion und Erreichbarkeit (z.B. EMail-Adresse, Telefonnummer). Darf die Tafel ihre Räume videoüberwachen? Dazu wird auf das Merkblatt des Tafel Deutschland e.V. „Die Videoüberwachung von Vereinsräumen“ verwiesen. Muss die Tafel Verfahrensverzeichnisse betreffend ihre Datenverarbeitungsprozesse führen? - 5 - Jede Tafel muss ein Verzeichnis aller seiner Verarbeitungstätigkeiten bezüglich personenbezogener Daten führen. Diese Pflicht besteht für die Tafel nur dann nicht, wenn sie weniger als 250 Mitarbeiter beschäftigen, sofern die von der Tafel vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der Kunden birgt und die Verarbeitung nur gelegentlich erfolgt. Ob diese Ausnahme bei der Tafel gegeben ist oder nicht, kann nur im Einzelfall geprüft werden. Die Verfahrensverzeichnisse sind schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. In den Verfahrensverzeichnissen sind anzugeben: a) der Name und die Kontaktdaten des Rechtsträgers der Tafel sowie die eines etwaig vorhandenen Datenschutzbeauftragten; b) die Zwecke der Datenverarbeitung; c) eine Beschreibung der Kategorien von der Datenverarbeitung betroffener Personen und der Kategorien personenbezogener Daten d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation; f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Hilfreich kann bei der Erstellung solcher Verfahrensverzeichnisse das von dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit unter https://www.datenschutz-hamburg.de/uploads/media/Muster-Verfahrensverzeichnis.rtf veröffentlichte Muster-Verfahrensverzeichnis sein. Muss die Tafel Datenschutzfolgeabwägungen durchführen? Die Tafel muss prüfen, ob die von ihr eingesetzten Formen der Verarbeitung personenbezogener Daten, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Kunden zur Folge haben. Ist das nicht der Fall, muss keine Datenschutzfolgeabschätzung durchgeführt werden. Kommt die Tafel jedoch zu dem Ergebnis, dass bei einer bestimmten Form oder gar mehreren Formen der Datenverarbeitung ein hohes Risiko besteht, so führt die Tafel vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch und legt das Ergebnis schriftlich nieder. Was in der Niederschrift enthalten sein muss, ergibt sich aus Art. 35 Abs. 7 DSGVO. Eine Datenschutzfolgenabschätzung ist insbesondere erforderlich, bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche. Das kann zum Beispiel bei einer Tafel mit Videoüberwachung der Ausgaberäumlichkeiten gegeben sein. Das kann aber nur im Einzelfall geprüft werden. Muss die Tafel Datenschutzverletzungen melden, die sich bei ihr ereignet haben? Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Rechtsträger der Tafel unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung - 6 - bekannt wurde, diese der für ihn zuständigen Datenschutzbehörde melden. Das muss er dann nicht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Kunden führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Welche Angaben eine solche Meldung enthalten muss, ergibt sich aus Art. 33 Abs. 3 DSGVO. Außerdem muss der Rechtsträger der Tafel die Verletzungen einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der bereits ergriffenen Abhilfemaßnahmen dokumentieren. Diese Dokumentation muss -auch inhaltlich- so gestaltet sein, dass der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen zur Meldepflicht von Verletzungen möglich ist. Hat die Datenschutzverletzung betreffend personenbezogene Daten voraussichtlich ein hohes Risiko für die Kunden zur Folge, so muss die Tafel in der Regel die betroffenen Kunden unverzüglich in klarer und einfacher Sprache über die Art der Verletzung des Schutzes personenbezogener Daten informieren und zumindest die in Art. 33 Abs. 3 b, c und d DSGVO genannten Informationen und Maßnahmen mitzuteilen.