Die Erhebungund Nutzung personenbezogener Daten eines Kunden durch die Tafel sind nur zulässig, soweit der Kunde eingewilligt hat oder das Bundesdatenschutzge-setz (BDSG) oder eine andere Rechtsvorschrift dies erlaubt oder anordnet.Die Erhe-bung und Nutzung sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben oder zunutzen.Für eine wirksame Einwilligung ist der Kunde auf den vorgesehenen Zweck der Erhe-bung oder Nutzung hinzuweisen. Dafür empfiehlt sich die Erstellung eines entspre-chenden Informationsblattes in den üblichen Sprachen der Kunden der jeweiligen Tafel. DieEinwilligung bedarf grundsätzlich der Schriftform, also der persönlichen Unterschrift des Kunden unter die entsprechende Einwilligungserklärung. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders her-vorzuheben. Außerdem muss der Kunde, soweit es nach den Umständen des Einzel-falles erforderlich ist oder von dem Kunden verlangt wird, auf die Folgen der Verwei-gerung der Einwilligung hingewiesen werden.Aufgrund des Satzungszwecks einer Tafel darf diese auch ohne ausdrückliche Einwil-ligung des Kunden dessen persönliche Daten erheben und Nutzen, soweit es um den Nachweis seiner Bezugsberechtigung geht. Denn die Förderung der in der Satzung festgelegten Zwecke durch die Tafel muss dem jeweiligen Finanzamt nachgewiesen werden können. Damit hat die Tafel ein berechtigtes Interesse an der Erhebung und Nutzung der Daten und es besteht in der Regel kein Grund zu der Annahme, dass das schutzwürdige Interesse des Kunden an dem Ausschluss der Nutzung überwiegt.Die Daten dürfen auch auf einem Computer gespeichert werden.Doch müssen die Tafeln die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu gewährleisten. Deshalb muss sichergestellt sein, dass nur die Personen Zugang zu den Daten (bzw. dem Computer) haben, welche die Kenntnis dieser Daten für die Tafelarbeit benötigen.Auch bei der Speicherung personenbezogener Daten im Rahmen von Cloud-Services sind alle datenschutzrechtlichen Bestimmungen einzuhalten. Der Cloud-Anbieter wird als Auftragnehmer tätig. Der Cloud-Anwender bleibt für die Einhaltung sämtli-cher datenschutzrechtlicher Bestimmungen verantwortlich. Weiterhin muss der Cloud-Anwender einen schriftlichen Auftrag an den Cloud-Anbieter erteilen und da-bei die inhaltlichen Anforderungen nach dem BDSG erfüllen. Hilfreich kann hierfür die Mustervereinbarung zur Auftragsdatenverarbeitung des Hessischen Datenschutz-beauftragten in der Fassung des vom Regierungspräsidiums Darmstadt entwickelten Musters sein.

Nach den steuerrechtlichen Regelungen ist die Tafel sogar verpflichtet, eine Kopie des Bewilligungsbescheides des Kunden in ihren Unterlagen aufzubewahren, um so gegenüber dem Finanzamt den Nachweis zu führen, dass die Mittel des Vereins tat-sächlich für mildtätige Zwecke eingesetzt worden sind.Jedoch kann die Tafel bei dem für sie zuständigen Finanzamt die Befreiung von die-ser Nachweispflicht beantragen. Sofern das Finanzamt die Befreiung erteilt, ist auf-grund des Prinzips der „Datensparsamkeit“ die Einholung und Aufbewahrung der Kopie des Bewilligungsbescheides nicht mehr erforderlich. Ab dann sind die Erhe-bung der Daten vom Kunden auf diejenigen zu beschränken, die für die Tafel dann noch erforderlich sind. Deshalb reicht dann die Erfassung der Daten des Bewilli-gungsbescheides (Ausstellungsbehörde, Aktenzeichen, Ausstellungsdatum, Rechts-grundlage, Geltungszeitraum, Begünstigte)ohne die Fertigung einer Kopie aus.

Wie lange darf die Tafel die Daten aufbewahren?

Aufgrund des Satzungszwecks einer Tafel darf diese auch ohne ausdrückliche Einwil-ligung des Kunden dessen persönliche Daten solange aufbewahren, als dies für den Nachweis seiner Bezugsberechtigung erforderlich ist. Nach dem Steuerrecht beträgt die Aufbewahrungsfrist für diese Daten sechs Jahre. Spätestens danach sind die Da-ten zu löschen, soweit die Daten nicht wegen des weiteren Besuchs der Tafel durch den Kunden noch benötigt werden.

Müssen Tafelmitarbeiterinnen und -mitarbeiter besonders belehrt wer-den?

Den von der Tafel bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit aufdas Datengeheimnis zu verpflichten. DasDatengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Darf die Tafel „Ausweise“ erstellen und dafür Fotos von den Kunden an-fertigen?

Die Tafel darf für ihre Kunden eigene Ausweise ausstellen, aus denen sich die Berech-tigung zum Warenbezug ergibt. Damit wird vermieden, dass jeder Kunde bei jedem Aufsuchen der Tafel einen Bewilligungsbescheid und einen gültigen amtlichen Aus-weis vorlegen muss. Jedoch darf der Kunde verweigern, dass dazu von ihm ein Licht-bild gefertigt wird. Denn dieses ist nicht erforderlich, da er sich auch mit dem „Tafel-Ausweis“ in Verbindung mit seinem amtlichen Ausweis ausweisen kann, dass er die berechtigte Person ist.

Benötigt die Tafel einen Datenschutzbeauftragten?

Eine Tafel,die personenbezogene Daten automatisiert (z. B. mit Verwaltungspro-gramm auf Computer) verarbeitet, hat einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Bestellung des Da-tenschutzbeauftragten hat dann spätestens innerhalb eines Monats ab Eintritt der Voraussetzungen zu erfolgen.

Darf die Tafel ihre Räume videoüberwachen?