Das "mobile Arbeiten" und das Coronavirus

Oder: Was muss beachtet werden?

Aufgrund der staatlichen Maßnahmen zur Bekämpfung der Ausbreitung des Coronvirus werden in vielen Vereinen und Verbänden die Vereinsgeschäfte nicht mehr in der Geschäftsstelle, sondern zu Hause erledigt. Das betrifft nicht nur den Vorstand, sondern auch haupt-, neben- und ehrenamtliche Mitarbeiter der Vereine und Verbände. Trotz der Krise sind die datenschutzrechtlichen Regelungen einzuhalten.

Die Hauptproblemfelder sind beim „mobilen Arbeiten“ oder beim „Homeoffice“ die Nutzung privater Geräte (z.B. Laptop, PC oder Smartphone), die vom Gesetz zwingend geforderten angemessenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten (Art. 32 Abs. 1 DSGVO) und die Belehrung der Personen, die für den Verein oder Verband personenbezogene Daten „mobil“ oder im „Homeoffice“ verarbeiten (Art. 32 Abs. 4 DSGVO).

Zwar findet nach deren Art. 2 Abs. 2 die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten „ausschließlich für persönliche oder familiäre Tätigkeiten“. Wird allerdings ein ursprünglich „privat“ genutztes IT-Gerät (z. B. Laptop, Smartphone) nunmehr auch für den Verein eingesetzt, „infiziert“ diese Tätigkeit für den Verein die übrigen Daten und führt dazu, dass die Tätigkeit mit diesem Gerät insgesamt der DSGVO unterfällt. Das gilt nur dann nicht, wenn eine technische oder organisatorische Trennung beider Tätigkeitsbereiche stattfindet (Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufla-ge 2019, Teil V. Kapitel 2., Bring Your Own Device und Datenschutz Rn. 27). Das ist jedoch meistens nicht der Fall.

Auch wenn die personenbezogenen Daten für den Verein bzw. Verband durch einen seiner Mitarbeiter (egal ob haupt-, neben- oder ehrenamtlich) auf dessen privat angeschafften IT-Geräten verarbeitet werden, ist Verantwortlicher im Sinne des Datenschutzrechts der Verein bzw. Verband. Die Nutzung der privaten IT-Geräte im Rahmen des Vereins stellt eine eigenständige Form der Verarbeitung dar, bei der auch zu prüfen ist, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist (Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Teil V. Kapitel 2., Bring Your Own Device und Datenschutz Rn. 42).

Außerdem hat der Verein nach Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, um auch bei der Nutzung der privaten IT-Geräte ein dem Risiko angemessenes Schutzniveau zu gewährleisten. So ist Zugriff unbefugter Dritter auf die mobil gehaltenen Daten durch geeignete technische Maßnahmen (z. B. Passwortschutz, Verschlüsselung der Daten) sicherzustellen.

Ist der Verein oder Verband verpflichtet, durch technische und organisatorische Maßnahmen die Einhaltung des Datenschutzes zu gewährleisten, so muss er die Einhaltung und die Funktionsfähigkeit der technischen und organisatorischen Maßnahmen auch überprüfen. Deshalb ist der Verein oder Verband verpflichtet auch die erforderlichen Maßnahmen zu ergreifen, dass er diese Pflicht auch einhalten kann.

Problematisch ist, dass bei Ausübung dieses Kontrollrechts die privaten Interessen und speziell die privat verarbeiteten Daten kaum von denen des Vereins abgrenzbar sind. Dem Kontrollinteresse des Vereins steht das eigentumsrechtliche Abwehrrecht des Mitarbeiters entgegen. Hieraus folgt, dass der Verein seiner Kontrollverpflichtung nur dann wirksam nachkommen kann, wenn diese auf der Basis einer individuellen Vereinbarung mit dem Mitarbeiter erfolgt (Forgó/Helfrich/Schneider, Betrieblicher Daten-schutz, 3. Auflage 2019, Teil V. Kapitel 2., Bring Your Own Device und Datenschutz Rn. 43).

Schließlich ist nach Art. 32 Abs. 4 DSGVO sicherzustellen, dass dem Verein unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Vereins verarbeiten. Maßnahmen, mit denen der Verantwortliche dieser Gewährleistungspflicht nachkommen kann, sind die Etablierung eindeutiger Verhaltensregeln und Dienstanweisungen gegenüber den Weisungsempfängern (Paal/Pauly/Martini, DS-GVO, 2. Aufl. 2018, Art. 32 Rn. 66). Demnach müssen die einzelnen Mitarbeiter des Vereins angemessen über die neuen Anforderungen bei der Arbeit mit ihren eigenen IT-Geräten informiert („belehrt“) werden.


Fazit:

Jeder Verein und Verband muss aus datenschutzrechtlicher Sicht mit jedem einzelnen „mobil“ oder im „Homeoffice“ arbeitenden Mitarbeiter eine vertragliche Grundlage für die Überprüfung der Einhaltung des Datenschutzrechts schaffen, die jeweils angemessenen technischen und organisatorische Maßnahmen treffen und die Mitarbeiter entsprechend belehren.


Stand: 25.03.2020

*) Rechtsanwalt Patrick R. Nessler ist Inhaber der RKPN.de-Rechtsanwaltskanzlei Patrick R. Nessler, St. Ingbert. Er ist tätig auf den Gebieten des Vereins-, Verbands- und Gemeinnützigkeitsrechts, des Datenschutzrechts für Vereine und Verbände, sowie des Kleingartenrechts. Außerdem unterrichtet er als Rechtsdozent an verschiedenen Bildungseinrichtungen, u.a. an der Deutschen Hochschule für Prävention und Gesundheitsmanagement sowie, der Führungsakademie des Deutschen Olympischen Sportbundes e.V., und für eine ganze Reihe von Organisationen.

Rechtsanwalt Nessler ist Justiziar des Landessportverbandes für das Saarland und ehrenamtlich tätig in verschiedenen Gremien des Deutschen Betriebssportverbandes. Seit 2004 ist er bereits dessen Generalsekretär. Darüber hinaus ist er der Fach-Experte für Rechtsfragen bei der Landesarbeitsgemeinschaft Pro Ehrenamt, Mitglied der Arbeitsgruppe Recht sowie des wissenschaftlichen Beirates des Bundesverbandes Deutscher Gartenfreunde und Verbandsanwalt des Landesverbandes Saarland der Kleingärtner, Mitglied des Ausschusses „Recht und Satzung“ des Landessportbundes Berlin e.V. u.a.

RKPN.de-Rechtsanwaltskanzlei
Patrick R. Nessler
Kastanienweg 15
66386 St. Ingbert

Tel.: 06894 / 9969237
Fax: 06894 / 9969238