Beim Barcamp Bonn habe ich am Freitag eine Session mit einer Einführung ins Datenschutzrecht angeboten: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.
DSGVO in 45 Minuten, inklusive Fragen – da muss man sich auf den Kern konzentrieren.
Dazu habe ich ein sehr weites Feld auf drei Punkte heruntergebrochen, die ich hier im Blog in einer kleinen Serie vorstelle – einschließlich der Besonderheiten im kirchlichen Datenschutzrecht. Die Folien der Session gibt es hier zum Download (pdf).
- Personenbezogene Daten und wie man mit ihnen umgeht
- Das Grundprinzip: Verbot mit Erlaubnisvorbehalt
- Digitale Mündigkeit: Kenne Deine Rechte!
Personenbezogene Daten und wie man mit ihnen umgeht
Warum sollte ich genau das wissen? Nur wenn klar ist, was personenbezogene Daten sind, weiß ich, womit sich Datenschutz überhaupt beschäftigt. Die Grundsätze für den Umgang mit personenbezogenen Daten sind verständliche Richtlnien, um auch im Alltag achtsam und respektvoll mit den Daten anderer Menschen umzugehen.
»Personenbezogene Daten« ist ein weitreichendes Konzept – das sind alle Daten, die sich auf identifizierte oder sogar identifizierbare natürliche Personen beziehen. Besonders geschützt sind »besondere Kategorien personenbezogener Daten«, etwa über ethnische Herkunft, sexuelle Präferenz, Gesundheit oder Gewerkschaftsmitgliedschaft (Art. 9 DSGVO, § 4 Nr. 2 KDG/DSG-EKD). Immer dann, wenn man es mit personenbezogenen Daten zu tun hat, greift grundsätzlich Datenschutzrecht, wenn es sich nicht um »ausschließlich persönliche oder familiäre« Verarbeitungen handelt (Haushaltsausnahme). Daten, die sich nicht auf natürliche Personen beziehen, also zum Beispiel auch Geschäftsgeheimnisse, fallen nicht unters Datenschutzrecht.
Wie man mit personenbezogenen Daten allgemein umgeht, steht in Art. 5 DSGVO (§ 7 KDG, § 5 DSG-EKD): Sechs Prinzipien, die nicht nur rechtlich relevant sind, sondern auch eine Richtschnur für den achtsamen Umgang mit der Privatsphäre anderer Menschen sein können – ganz unabhängig davon, ob man als Verantwortliche*r auch formal für den Datenschutz zuständig ist. Am Beispiel einer Sommerfreizeit wird klar, wie selbstverständlich diese Grundsätze grundsätzlich sind:
§ 7 (1) Personenbezogene Daten müssen | Für die Sommerfreizeit bedeutet das |
a) auf rechtmäßige und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;[Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz] | Wer Daten erhebt, ist an die geltenden Gesetze gebunden, und die betroffenen Personen haben ein Anrecht darauf, zu wissen, dass und wie die rechtlichen Spielregeln eingehalten werden. Schon bei der Gestaltung der Anmeldung muss ich überlegen und transparent machen, wofür ich Daten benötige und wissen, wie und wo ich die verarbeite – und jederzeit in der Lage sein, das auch den Menschen zu erklären, die das Formular ausfüllen. |
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; [Zweckbindung] | Wer eine Sommerlageranmeldung unterschreibt, der will über die angegebene E-Mail-Adresse die Einladung zum Elternabend bekommen, über die angegebene Handy-Nummer angerufen werden, wenn das Kind sich das Knie geprellt hat, und sicherstellen, dass die Lagerküche weiß, wer keine Erdnüsse essen darf. Die Mail-Adresse aber ungefragt in allgemeine Verteiler eintragen, die Telefonnummer an die Pfarrei weitergeben, damit sie fürs Fundraising für die neue Orgel verwendet werden kann: Das geht nicht. Die Einwilligung, Fotos den anderen Teilnehmenden zur Verfügung zu stellen, beinhaltet nicht automatisch, dieses Foto für die Werbung fürs Lager im nächsten Jahr verwenden zu dürfen. |
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein; insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und der Aufwand nicht außer Verhältnis zum angestrebten Schutzzweck steht; [Datenminimierung] | Kontaktadressen, Bankverbindung, Allergien: Das braucht man fürs Lager. Beruf der Eltern? Die Krankengeschichte von der Geburt an? Mitgliedschaften in anderen Vereinen? Dafür gibt’s keinen Grund, das in der Anmeldung abzufragen.Statistiken sind nützlich, um damit das eigene Angebot zu prüfen – aber statt einer Geburtstagsliste mit Name und genauem Alter tut es auch die anonyme Strichliste, um festzustellen, dass man ein Problem hat, 13–15-Jährige Teilnehmende zu gewinnen. |
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;[Richtigkeit] | Wenn die Daten vom Anmeldeformular in die Liste für die Lagerleitung wandern, dann müssen die auch stimmen – und wenn ich oder die betroffene Person feststellen, dass dabei etwas durcheinandergekommen ist, dann wird die falsche Allergie, die veraltete E-Mail-Adresse gelöscht oder korrigiert. |
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; [Speicherbegrenzung] | Probleme machen vor allem Daten, die man hat: Es ist sinnvoll, die Unterlagen vergangener Sommerlager aufs Nötige zu reduzieren. Sobald das Sommerlager vorbei ist, brauche ich sensible Informationen zum Beispiel zur Gesundheit nicht mehr. Also: Weg damit! Für die Zuschüsse vom Landesjugendplan muss ich aber vielleicht doch Teilnehmendenlisten eine Weile aufbewahren – aber wirklich nur mit den Informationen, die dort benötigt werden, und nur so lange, wie die Zuschussordnung es vorschreibt. |
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. [Integrität und Vertraulichkeit] | Nicht alle Beteiligten müssen Zugriff auf alle Daten haben – nicht, weil man sich nicht vertraut, sondern weil das die Punkte reduziert, an denen Fehler gemacht werden können: Das Küchenteam braucht keine Bankverbindungen der Teilnehmenden, die Kassenwartin keine Informationen über Allergien. Der Ordner mit den Anmeldungen, in dem Gesundheitsdaten und Bankverbindungen, Adressen und Kontaktpersonen stehen, gehört nicht offen ins Regal im Gruppenraum; mindestens ein abgeschlossener Schrank sollte es schon sein. Und so praktisch der Cloud-Speicher auch ist: Auch da muss sichergestellt werden, dass nicht alle Zugriff haben und der gewählte Dienst den rechtlichen Anforderungen genügt. |
Wer selbst verantwortlich für eine Datenverarbeitung ist, hat schon viel erreicht, wenn diese Grundsätze im Hinterkopf sind. Immer, wenn personenbezogene Daten erhoben und verarbeitet werden – und das ist vom Ministrant*innen-Plan über die Mitgliederverwaltung bis hin zur Gestaltung von Webseite und Social-Media-Auftritten ziemlich viel –, lohnt es sich, im Kopf ein paar an diesen Prinzipien orientierte Kontrollfragen durchzuspielen:
Brauche ich diese Daten wirklich an dieser Stelle – oder erreiche ich mein Ziel auch ohne sie? Wie lange muss ich diese Daten aufbewahren, und welche rechtliche Grundlage habe ich dafür? Wie stelle ich sicher, dass ich dann die Daten wieder lösche? Weiß ich, was und wo ich überhaupt Daten aufbewahre – und kann ich jederzeit Betroffenen und mir selbst Rechenschaft darüber ablegen? Habe ich die Daten angemessen gegen Verlust, Diebstahl oder auch bloße Schusseligkeit gesichert?
Besonderheiten im kirchlichen Datenschutzrecht
Nach staatlichem Recht gehören »religiöse oder weltanschauliche Überzeugungen« zu den besonderen Kategorien personenbezogener Daten, also auch die Information über die Zugehörigkeit zu einer Religions- oder Weltanschauungsgemeinschaft. Das regeln KDG und DSG-EKD anders: Im Geltungsbereich des KDG fällt die »Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft« nicht unter die besonderen Kategorien (§ 4 Nr. 2 KDG), das DSG-EKD nimmt darüber hinaus auch die Zugehörigkeit zu einer Weltanschauungsgemeinschaft (§ 4 Nr. 2 a) DSG-EKD) heraus. (Auch die DSGVO enthält schon eine Regelung für die Verarbeitung durch Religionsgemeinschaften, Art. 9 (d).)
Weiterführende Links und Literatur
- Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket (Affiliate-Link)
- DSGVO und ePrivacy-VO auf Websites umsetzen: 250 praktische Antworten plus kompakte Checklisten von Datenschutzexperten (Affiliate-Link)
- Infoseite des Bayerischen Staatsministerium
- Der Beauftragte für den Datenschutz der EKD hat eine Einführung in den Datenschutz veröffentlicht.
- Schnell runterladen, bevor es Brexit-Opfer wird: Eine sehr verständliche Einführung hat die britische Datenschutzaufsicht ICO.
- In der Diskussion beim Barcamp kam der Auskunftsanspruch (Art. 15 DSGVO) als Waffe auf – dazu: »Datenschutzrechtlicher Auskunftsanspruch – Höhere Abfindung bei Kündigung?«