Datenschutzschutzberichte legen Fehler offen: Konsequenzen für Umgang mit Spenderdaten

Das Unabhängige Landeszentrum Schleswig-Holstein (ULD) weist in seinem Tätigkeitsbericht 2022 (Seite 8) darauf hin, dass man „eigentlich nach mehr als drei Jahre nach Geltung der DSGVO – hätte erwarten können, dass die Umsetzung von Datenschutzanforderungen zur Selbstverständlichkeit geworden ist. Das müsste doch ebenso für die Behörden und Unternehmen im Land gelten. (…) Leider ist dies noch nicht so gut gelungen, wie ich es mir erhofft hatte.“

Wichtig | Wer sich selbst einen Überblick über die einzelnen Tätigkeitsberichte verschaffen möchte, findet die „gesammelten Werke“ auf der Website der Stiftung Datenschutz – www.iww.de/s6811.

Spenden sind ein wichtiges finanzielles Standbein für steuerbegünstigte Stiftungen. Sie werden nicht nur durch die Stiftungen akquiriert, sondern auch durch den Stifter, die Vorstände, Beiräte etc., die z. B. anlässlich runder Geburtstage zu Spenden „für ihre Stiftung“ aufrufen. Auch bei Trauerfällen kommt es häufig vor, dass statt „Kränzen“ lieber gespendet werden soll. In diesen Fällen stellt sich für Stiftungen – so die Tätigkeitsberichte – ein datenschutzrechtliches Problem, weil die Initiatoren dieser Aktionen eine Aufstellung der Spender und auch der geleisteten Spenden haben möchten.

Dass die Stiftung die Spenderdaten verarbeitet, ist datenschutzrechtlich nicht zu beanstanden. Denn unabhängig von dem Umstand, ob eine Zuwendungsbestätigung erteilt wird, müssen die Daten aus steuerrechtlichen Gründen gespeichert werden, was zu der datenschutzrechtlichen Zulässigkeit führt.

Der Tätigkeitsbericht der Kirchlichen Datenschutzaufsicht Ost verweist (auf Seite 49) darauf, dass zwischen den Spendern und den „Initiatoren“ keine vertragliche Beziehung besteht. Somit ist hier die Weitergabe nicht von Art. 6 Abs. 1 S. 1 b DSGVO gedeckt. Es ist somit eine ausdrückliche Einwilligung für die Weitergabe der Daten des Spenders an den Initiator erforderlich.

Wichtig | Dass der Spender seine Daten bei der Überweisung angibt, heißt nicht, dass er einwilligt, seine Daten an die Initiatoren weiterzuleiten. Auch ein allgemeiner Hinweis auf der Homepage ist nicht ausreichend, weil dies keine wirksame Einwilligung darstellt.

Auch eine sonstige Veröffentlichung der Spenderdaten ist nur möglich, wenn eine Einwilligung vorliegt (BW 2020, Seite 116 f.). Teilnahmebedingungen für ein Gewinnspiel dürfen hier nicht als konkludente Einwilligungserklärungen zur Veröffentlichung der Spenderdaten herangezogen werden. Denn es dürfen nicht automatisch verschiedene Zwecke miteinander gekoppelt werden. Vielmehr ist eine jeweils separate Einwilligungserklärung erforderlich.

Im Rahmen von Fundraising-Maßnahmen sind kreative Maßnahmen gefragt. Aber auch hier sind datenschutzrechtliche Grenzen zu beachten, was aus dem Hamburger Bericht deutlich wird (Seite 23). Hier lag eine Beschwerde zugrunde, dass eine Hilfsorganisation Briefwerbung hatte verschicken lassen, in der Links zu personalisierten Websites enthalten waren. Wenn die Werbeadressaten die Seiten aufriefen, wurden sie namentlich angesprochen.

Für die Einrichtung der personalisierten Landingpages der Werbeempfänger hatte die verantwortliche Stelle deren Namen verarbeitet, die sie nicht selbst bei den Betroffenen erhoben, sondern von dem Dienstleister erhalten hatte, von dem die Datensätze der Adressaten stammten. Dazu waren bei Erhebung der Daten keinerlei Hinweise erteilt worden; auch die Briefwerbung enthielt dazu keine Informationen. In dieser wurde allein auf den Adressdienstleister als Verantwortlichen für die Werbesendung und auf die Möglichkeit des Werbewiderspruchs diesem gegenüber hingewiesen. Die Behörde hat hier eine Verwarnung i. S. v. Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen.