Externer Datenschutzbeauftragter für Stiftungen und NPOs

Warum brauchen Stiftungen einen Datenschutzbeauftragten?

Stiftungen und gemeinnützige Organisationen verarbeiten eine Vielzahl sensibler personenbezogener Daten – von Förderer- und Spenderdaten über Begünstigtendaten bis hin zu Projektpartner- und Gremienmitgliederdaten. Die besondere Vertrauensstellung gegenüber Spendern und Fördermittelgebern macht den sorgsamen Umgang mit Daten zu einem zentralen Element der Stiftungsgovernance.

Stiftungen unterliegen neben der DSGVO auch dem Stiftungsrecht der jeweiligen Landesstiftungsaufsicht, den Anforderungen der Abgabenordnung zur Gemeinnützigkeit und gegebenenfalls weiteren sektorspezifischen Regelungen. Die Rechenschaftspflichten gegenüber Stiftungsaufsicht, Finanzverwaltung und Öffentlichkeit erfordern ein durchdachtes Datenschutzkonzept, das Transparenz und Vertraulichkeit in Einklang bringt.

Ein externer Datenschutzbeauftragter mit Schwerpunkt Stiftungsrecht navigiert sicher durch das Spannungsfeld zwischen Transparenzgebot der Landesstiftungsgesetze und dem Datenschutzpostulat der DSGVO. Gerade die Treuhandstiftung als rechtlich unselbständige Konstruktion wirft besondere Zuordnungsfragen bei der Verantwortlichkeit auf, die ein spezialisierter Berater praxisnah klärt. DATUREX bietet Stiftungsberatung in Dresden und Sachsen mit Fokus auf Governance-Compliance.

Typische Datenschutz-Herausforderungen für Stiftungen

Spender- und Fördererdaten

Die Verwaltung von Spenderdaten umfasst Kontaktinformationen, Spendenhistorien, Zahlungsinformationen und häufig auch persönliche Präferenzen für die Kommunikation. Zuwendungsbestätigungen erfordern die Speicherung steuerlich relevanter Daten über gesetzliche Aufbewahrungsfristen. Spender-CRM-Systeme müssen DSGVO-konform konfiguriert sein, und Fundraising-Maßnahmen dürfen nur auf einer gültigen Rechtsgrundlage (Einwilligung oder berechtigtes Interesse) basieren.

Begünstigtendaten und Förderanträge

Stiftungen, die Fördermittel vergeben, verarbeiten umfangreiche Daten der Antragsteller und Begünstigten. Je nach Stiftungszweck können dies auch besondere Kategorien personenbezogener Daten sein – etwa Gesundheitsdaten bei medizinischen Förderprogrammen, Daten zur ethnischen Herkunft bei Integrationsprojekten oder Informationen über religiöse Überzeugungen bei konfessionellen Stiftungen. Die Verarbeitung dieser sensiblen Daten erfordert erhöhte Schutzmaßnahmen und eine sorgfältige Rechtsgrundlagenprüfung.

Zusammenarbeit mit Finanzverwaltung und Stiftungsaufsicht

Stiftungen müssen regelmäßig Rechenschaft gegenüber der Stiftungsaufsichtsbehörde und dem Finanzamt ablegen. Die Übermittlung personenbezogener Daten an diese Stellen muss auf einer klaren Rechtsgrundlage basieren und auf das erforderliche Minimum beschränkt werden. Insbesondere bei der Prüfung der Gemeinnützigkeit müssen Stiftungen abwägen, welche personenbezogenen Daten tatsächlich vorgelegt werden müssen.

Öffentlichkeitsarbeit und Transparenzpflichten

Viele Stiftungen veröffentlichen Jahresberichte, Projektdokumentationen und Erfolgsgeschichten, die personenbezogene Daten von Begünstigten, Projektpartnern oder Gremienmitgliedern enthalten können. Die Balance zwischen Transparenzpflichten und Datenschutz erfordert klare Richtlinien für Veröffentlichungen, Foto-/Videoaufnahmen und die Darstellung von Einzelschicksalen in der Öffentlichkeitsarbeit.

Stiftungsaufsicht und Rechenschaftspflichten

Stiftungen unterliegen der staatlichen Stiftungsaufsicht und müssen regelmäßig Rechenschaftsberichte vorlegen. Diese Berichte enthalten häufig personenbezogene Daten von Begünstigten, Gremienmitgliedern und Geschäftspartnern. Die Weitergabe an Aufsichtsbehörden muss auf einer klaren Rechtsgrundlage basieren – in der Regel Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit dem jeweiligen Landesstiftungsgesetz. Besondere Vorsicht gilt bei der Übermittlung an Finanzbehörden im Rahmen der Gemeinnützigkeitsprüfung: Hier dürfen nur die für den Nachweis der Mittelverwendung zwingend erforderlichen Daten weitergegeben werden. Ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO muss diese Datenflüsse transparent dokumentieren. Darüber hinaus müssen Stiftungen bei der Zusammenarbeit mit anderen gemeinnützigen Organisationen oder bei Kooperationsprojekten klare Vereinbarungen zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO treffen. Zudem sollten Stiftungen bei internationalen Förderprojekten die besonderen Anforderungen an Drittlandtransfers nach Kapitel V der DSGVO beachten und geeignete Garantien wie Standardvertragsklauseln implementieren.

DSGVO-Checkliste für Stiftungen und NPOs

• Verzeichnis der Verarbeitungstätigkeiten mit Spender-, Begünstigten-, Gremien- und Mitarbeiterdaten erstellt
• Datenschutzhinweise für Spender, Förderantragsteller und Projektpartner bereitgestellt
• Rechtsgrundlagen für Fundraising-Kommunikation (Einwilligung vs. berechtigtes Interesse) geprüft und dokumentiert
• Auftragsverarbeitungsverträge mit Spenden-CRM, Buchhaltungssoftware und Fundraising-Plattformen abgeschlossen
• Löschkonzept unter Berücksichtigung steuerlicher Aufbewahrungsfristen (6-10 Jahre) implementiert
• Zugriffskonzept für sensible Begünstigtendaten mit Need-to-know-Prinzip umgesetzt
• Richtlinien für Foto- und Videodokumentation von Förderprojekten mit Einwilligungsmanagement erstellt
• Datenschutzschulungen für Mitarbeiter und ehrenamtliche Gremienmitglieder durchgeführt
• Verfahren für die datenschutzkonforme Übermittlung an Stiftungsaufsicht und Finanzamt dokumentiert
• Website mit Datenschutzerklärung, Cookie-Consent und DSGVO-konformem Spendenformular ausgestattet

Was kostet ein externer Datenschutzbeauftragter für Stiftungen?

Das Honorar orientiert sich am Stiftungsvermögen, der Förderquote und der Bandbreite der Destinatärsbeziehungen. Eine Treuhandstiftung mit wenigen Zuwendungsempfängern kalkuliert ab 300 Euro monatlich. Operative Stiftungen mit Projektträgerschaft, Stipendienprogrammen und Drittmittelkooperationen planen 500 bis 1.200 Euro ein.

Stiftungen unterliegen dem Wirtschaftlichkeitsgebot des Stiftungsrechts: Verwaltungsausgaben müssen im angemessenen Verhältnis zur Mittelverwendung stehen. Die Mandatierung eines externen Sachverständigen vermeidet die Fixkostenbelastung einer Vollzeitstelle und wahrt die Unabhängigkeit gegenüber Kuratorium und Vorstand – ein wesentlicher Governance-Vorteil.

§ 38 BDSG und die Auswirkung auf Stiftungen

Die Benennungspflicht nach § 38 BDSG greift bei Stiftungen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Viele kleinere Stiftungen unterschreiten diese Schwelle. Unabhängig davon kann eine Benennungspflicht bestehen, wenn die Stiftung besondere Kategorien personenbezogener Daten in großem Umfang verarbeitet oder wenn eine DSFA erforderlich ist.

Auch ohne gesetzliche Pflicht empfiehlt sich die freiwillige Benennung eines DSB für Stiftungen, die Spenderdaten verwalten, Förderanträge mit sensiblen Daten bearbeiten oder umfangreiche Öffentlichkeitsarbeit mit personenbezogenem Material betreiben. Die Benennung signalisiert gegenüber Spendern und der Öffentlichkeit Verantwortungsbewusstsein im Umgang mit Daten und stärkt die Reputation der Stiftung.

Datenschutz-Folgenabschätzung (DSFA) für Stiftungen

Eine DSFA kann für Stiftungen erforderlich werden, wenn sie besondere Kategorien personenbezogener Daten in größerem Umfang verarbeiten – etwa Gesundheitsdaten in medizinischen Förderprogrammen, Sozialdaten in Armutsbekämpfungsprojekten oder Daten schutzbedürftiger Personengruppen wie Geflüchteter oder Kinder.

Auch die Einführung neuer digitaler Förderplattformen, die umfangreiche Profilbildung von Spendern für zielgerichtetes Fundraising oder die Nutzung von Analysewerkzeugen für Spenderverhalten können DSFA-pflichtig sein. DATUREX unterstützt Ihre Stiftung bei der systematischen Identifikation risikoreicher Verarbeitungen und der methodisch korrekten Durchführung der Folgenabschätzung.

Häufige Fragen: Datenschutzbeauftragter für Stiftungen

Unterliegen Stiftungen der DSGVO?

Ja, Stiftungen unterliegen der DSGVO unabhängig von ihrer Rechtsform und Gemeinnützigkeit. Ob rechtsfähige Stiftung bürgerlichen Rechts, Treuhandstiftung oder Unternehmensstiftung – sobald personenbezogene Daten verarbeitet werden, gelten die DSGVO-Anforderungen vollumfänglich. Die Gemeinnützigkeit befreit nicht vom Datenschutz.

Wie lange dürfen Spenderdaten gespeichert werden?

Spenderdaten unterliegen den steuerlichen Aufbewahrungsfristen von sechs bis zehn Jahren für Zuwendungsbestätigungen und Buchungsbelege. Darüber hinausgehende Kontaktdaten für Fundraising-Zwecke dürfen nur mit Einwilligung oder auf Basis eines berechtigten Interesses gespeichert werden. Nach Widerruf der Einwilligung oder Wegfall des berechtigten Interesses sind die Daten unverzüglich zu löschen – mit Ausnahme der steuerlich relevanten Unterlagen.

Dürfen Begünstigte namentlich in Jahresberichten erwähnt werden?

Die namentliche Erwähnung von Begünstigten in Veröffentlichungen erfordert grundsätzlich eine Einwilligung. Anonymisierte oder pseudonymisierte Falldarstellungen sind datenschutzrechtlich unkritisch und oft ebenso wirksam für die Öffentlichkeitsarbeit. Bei besonders schutzbedürftigen Begünstigten (z. B. Kinder, Geflüchtete) ist besondere Zurückhaltung geboten.

Braucht eine kleine Familienstiftung einen DSB?

Kleine Familienstiftungen mit weniger als 20 datenverarbeitenden Personen und ohne umfangreiche Verarbeitung sensibler Daten sind grundsätzlich nicht zur Benennung verpflichtet. Eine freiwillige Benennung kann dennoch sinnvoll sein, um Datenschutzrisiken systematisch zu managen und die Compliance gegenüber der Stiftungsaufsicht zu dokumentieren.

Kostenlose Erstberatung für Stiftungen

Vereinbaren Sie ein Orientierungsgespräch mit DATUREX zum Thema Stiftungsdatenschutz. Wir evaluieren Ihr Governance-Modell, prüfen Rechenschaftspflichten gegenüber der Landesstiftungsaufsicht und entwerfen ein Compliance-Programm für Ihre Fördertätigkeit. Unsere Spezialberatung richtet sich an Stiftungen, Bürgerstiftungen und gemeinnützige Trusts in Dresden und ganz Sachsen.

Unsere Datenschutz-Leistungen für Stiftungen

• Stellung des externen Datenschutzbeauftragten gemäß Art. 37 DSGVO mit NPO-Expertise
• Erstellung von Datenschutzkonzepten für Stiftungen und gemeinnützige Organisationen
• Prüfung und Optimierung von Spender-CRM-Systemen und Fundraising-Prozessen
• Schulung von Mitarbeitern und ehrenamtlichen Gremienmitgliedern
• Beratung zur datenschutzkonformen Öffentlichkeitsarbeit und Projektdokumentation
• Prüfung von Auftragsverarbeitungsverträgen mit IT-Dienstleistern und Plattformanbietern
• Durchführung von Datenschutz-Folgenabschätzungen für Förderprogramme
• Unterstützung bei Anfragen der Aufsichtsbehörde und Stiftungsaufsicht

Verwandte Branchen

Informieren Sie sich auch über unsere Datenschutzlösungen für verwandte Branchen:

• Datenschutzbeauftragter für Vereine
• Datenschutzbeauftragter für Behörden
• Datenschutzbeauftragter für Schulen