Rückverfolgbarkeit von Gottesdienst-Teilnehmenden ist für die Infektionskettenverfolgung immer noch ein wichtiges Thema – die Lösungen dafür sind vielfältig und realisieren ganz unterschiedliche Datenschutzniveaus: Von der Eintragung in eine fortlaufende, offen einsehbare Liste (ganz schlecht) bis zum Einwurf von individuellen Karten mit Kontaktdaten in geschlossene Behältnisse (sehr gut) ist alles dabei – und auch elektronische Varianten mit Ticketsystemen und Voranmeldungen sind im Einsatz.
So praktisch das ist: Datenschutzrechtlich ist die Umsetzung anspruchsvoll – erst recht, wenn eine Gemeinde ein besonderes Serviceniveau durch die Reservierung von Dauerplätzen oder eine vereinfachte Anmeldung mit hinterlegten Daten anbieten will. Um solche Systeme einigermaßen datenschutzkonform zu betreiben, braucht es einige Überlegungen.
Die richtige Rechtsgrundlage
Keine Datenverarbeitung ohne Rechtsgrundlage – dieser Grundsatz gilt auch hier. In der Regel müssen die Daten von Teilnehmenden aufgrund der Verordnungen des zuständigen Bundeslandes erhoben werden, denkbar sind auch spezielle kirchliche Gesetze. (Eine Übersicht über Corona-Recht von Bund und Ländern gibt es beim Wiki »Lex Corona«, Gemeinden sollten von ihren Bistümern oder Landeskirchen die nötigen Informationen zur Rechtsgrundlage bereits erhalten haben.) Daraus ergibt sich dann die datenschutzrechtlich einschlägige Rechtsgrundlage: die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung nötig, also in der katholischen Kirche § 6 Abs. 1 lit d) KDG, in den EKD-Kirchen § 6 Nr. 6 DSG-EKD (entsprechend Art. 6 Abs. 1 lit. d) DSGVO).
Das gilt grundsätzlich sowohl für papiergebundene Lösungen wie für digitale Ticketsysteme, falls das Recht nichts Spezielles vorsieht (die NRW-Verordnung verlangt bei digitalen Lösungen eine Einwilligung für die Erhebung der Daten). Dauerplätze in der Kirche (und bei anderen Veranstaltungen) sehen die Verordnungen nicht vor. (Das erzeugt ohnehin neue Probleme: Wie wird sichergestellt, dass der Dauerplatz auch wahrgenommen wird?) Die Daten dürfen grundsätzlich nur für die Rückverfolgbarkeit genau einer Veranstaltung verwendet werden. Aus den Verordnungen allein lässt sich also nicht ablesen, ob und wie Dauerplätze oder auch nur Datenspeicherung für eine vereinfachte Anmeldung möglich sind. Die NRW-Verordnung deutet immerhin an, dass solche Fälle im Blick des Normgebers lagen: Der Satz »Der gesonderten Erfassung von Adresse und Telefonnummer bedarf es nicht, wenn diese Daten für den Verantwortlichen bereits verfügbar sind« (§ 2a Abs. 1 S. 2 Corona-SchVO NRW) impliziert wohl, dass eine Verwendung von z. B. Ticketsystem-Accounts oder Mitgliederlisten für die Rückverfolgbarkeit zulässig ist.
Für eine solche Hinterlegung von Adressen lässt sich die Rechtsgrundlage »rechtliche Verpflichtung« aber nicht nutzen. Stattdessen liegt hier ein Fall vor, in denen eine Einwilligung sinnvoll ist, wenn die Daten dafür erhoben werden – auch deshalb, weil Daten zur Gottesdienstteilnahme selbst nach kirchlichem Datenschutzrecht wohl unter die besonderen Kategorien personenbezogener Daten fallen, für die ein besonderes Schutzniveau einzuhalten ist.
Bei der Formulierung der Einwilligung gilt es aber, vorsichtig zu sein: Auf keinen Fall darf sie so formuliert werden, dass sie sich auf die Rückverfolgbarkeit einzelner Veranstaltungen bezieht – denn sonst kann der Verantwortliche in ein Dilemma geraten: Einwilligungen können jederzeit frei widerrufen werden, die rechtliche Verpflichtung besteht aber trotzdem. Egal wie man handelt, handelt man bei einem Widerruf rechtswidrig: Entweder ignoriert man den Widerruf und erfüllt die rechtliche Verpflichtung, oder man setzt den Widerruf um und missachtet die rechtliche Verpflichtung. (Bei fehlerhafter Einwilligung ist es nach Ansicht der Datenschutzkonferenz zudem nicht zulässig, sich hilfsweise einer anderen Rechtsgrundlage zu bedienen.)
Die Einwilligung sollte sich daher darauf beziehen, die nötigen Daten zu erheben und zu speichern, um sie für die jeweilige konkrete Veranstaltung zur Verfügung zu haben und das dafür notwendige (virtuelle) Formular auszufüllen, das dann wiederum im Rahmen der rechtlichen Verpflichtung (also nicht auf Grundlage einer Einwilligung) verarbeitet wird. Ein Widerruf dieser Einwilligung führt dazu, dass die Account-Daten (oder der Eintrag in der Liste im Pfarrbüro) gelöscht werden und nicht mehr verwendet werden, während die gesondert abgelegten Teilnahmedaten zur Rückverfolgbarkeit von bereits stattgefundenen Gottesdiensten erst nach der gesetzlich vorgeschriebenen Frist gelöscht werden. (Hier muss ein Ticket-System genau geprüft werden, ob es das leisten kann.)
Die üblichen Bedingungen für die Einwilligung müssen natürlich alle erfüllt werden (vergleiche dazu die Praxishilfe 17 der Konferenz der Diözesandatenschutzbeauftragten und das schon erwähnte Kurzpapier 20 der Datenschutzkonferenz):
- Freiwilligkeit (dürfte gegeben sein, insbesondere, wenn wie in der NRW-Verordnung gefordert eine papiergebundene Variante für die einzelne Veranstaltung als Alternative zur Verfügung steht)
- für den bestimmten Fall (hier sollte festgelegt werden, dass die Einwilligung für die Dauer der pandemiebedingten Verwendung eines Ticketing-Systems und nur dort gilt)
- in informierter Weise (es braucht Datenschutzinformationen und eine klare Formulierung, in was eingewilligt wird)
- mit Verweis auf die Verarbeitung besonderer Kategorien personenbezogener Daten (Die Daten machen eine Aussage darüber, dass die Person an Gottesdiensten teilnimmt; damit lässt sich argumentieren, dass dies Daten über religiöse Überzeugungen sind)
- durch unmissverständliche Willensbekundung (nicht in AGB oder im Kleingedruckten verstecken, sondern z. B. mit explizit anzukreuzendem, nicht vorausgefüllten Kästchen »Ja, ich willige ein«)
- grundsätzlich in der Form einer schriftlichen Erklärung (bei rein digitalen Systemen lässt sich der Verzicht auf die Schriftform mit Unterschrift vertreten; das Schriftformerfordernis in dieser Härte steht nur im KDG, beim DSG-EKD genügt ohnehin die Nachweisbarkeit)
(Eine konkrete Formulierung für die Einwilligung und die Differenzierung der Rechtsgrundlagen steht hier bewusst nicht – dieser Artikel kann keine Rechtsberatung leisten.)
Technische und organisatorische Maßnahmen (TOMs)
Bei elektronischen Systemen ist neben den üblichen Anforderungen an Datensicherheit (z. B. verschlüsselte Übertragung, Schutz vor unbefugtem Zugriff) vor allem ein Löschkonzept wichtig, das sicherstellt, dass die Daten nach der durch die Verordnung vorgegebene Frist vollständig gelöscht werden. (In NRW: 4 Wochen.) Das dürfte die größte Schwierigkeit beim Einsatz von generischen Systemen sein: Schließlich müssen Ticket-Daten im Normalfall nicht gelöscht, sondern für die Buchhaltung aufbewahrt werden. Auch der Widerruf der Einwilligung und damit die Löschung der hinterlegten Daten mit Ausnahme der auf Grundlage der rechtlichen Verpflichtung gespeicherten Teilnahmedaten muss umsetzbar sein, und schon vorher muss dokumentiert werden, dass die Einwilligung auch wirksam eingeholt wurde. (Gerade bei Anrufen im Pfarrbüro ist das eine sehr hohe Hürde, wenn keine mithörenden Zeug*innen oder Gesprächsaufzeichnungen vorliegen – zumindest ein klarer Aktenvermerk über den Anruf sollte abgelegt werden.)
Sinnvoll ist es außerdem, den Grundsatz der Speicherbegrenzung zu bedenken: Sollen die Daten immer vorgehalten werden, solange Corona-bedingt Ticketing nötig ist? Oder löscht man nach einer gewissen definierten Zeit der Inaktivität (keine Anmeldung im System; keine Teilnahme am Gottesdienst …)?
In Nordrhein-Westfalen kommt noch eine Schwierigkeit dazu: § 2a Abs. 3 S. 4 Corona-SchVO NRW legt fest, dass auf Wunsch eine »nur papiergebundene Datenerfassung« anzubieten ist – Veranstalter haben kein Recht auf eine rein digitale Lösung.
Auch bei Papierlisten oder Tabellen, die im Pfarrbüro gepflegt werden, braucht es TOMs – die Liste darf nicht offen einsehbar ausliegen, sollte sauber abgeheftet werden und nicht zugänglich sein, wenn der Arbeitsplatz verlassen wird, nicht mehr benötigte Ausdrucke müssen geschreddert werden und so weiter – also genau so behandelt werden wie alle anderen Unterlagen mit personenbezogenen Daten.
Datenschutzinformationen
Mit der Wahl der richtigen Rechtsgrundlage und technischen und organisatorischen Maßnahmen steht schon vieles. Wichtig ist es aber auch, die betroffenen Personen korrekt über die Datenverarbeitung zu informieren, in der Regel über eine online verfügbare Informationsseite; bei Papierformularen kann, wenn genug Platz ist, auch die Rückseite genutzt werden.
Ein Musterformular nach DSGVO, KDG und DSG-EKD für den einfachen Fall der Verarbeitung aufgrund rechtlicher Verpflichtung stellt Alexander Golland auf seiner Webseite zur Verfügung (gemäß der NRW-Corona-Schutzverordnung; für andere Bundesländer muss die Rechtsgrundlage überprüft werden). Diese Vorlage kann auch für die kompliziertere Variante mit Account-System nützliche Textbausteine bieten.
Welche Informationen zur Verfügung gestellt werden müssen, lässt sich in den §§ 14 und 15 KDG oder §§ 16 und 17 DSG-EKD nachlesen. Nachdem die Frage der Rechtsgrundlage umfangreich beantwortet wurde, sollten die üblichen Informationen auch keine Probleme darstellen. (Wahrscheinlich existiert für die Gemeinde-Webseite ohnehin schon eine Datenschutzinformation, aus der einiges übertragen werden kann.)
Fazit
Das datensparsamste (und unkomplizierteste) System ist papiergebunden und ohne Anmeldung: Einzelne Zettel, die in einen verschlossenen Kasten kommen. Wer dennoch Anmeldungen ermöglichen will (ob digital oder per Liste im Pfarrbüro), sollte sich für das System folgende Fragen stellen:
- Wird die Einwilligung in die Speicherung der Daten informiert und freiwillig eingeholt, wird dabei auf die Betroffenenrechte transparent hingewiesen, ist die Einwilligung klar nachweisbar dokumentiert und von der Verwendung aufgrund einer rechtlichen Verpflichtung abgegrenzt?
- Ist ein Löschkonzept sichergestellt, das sowohl die rechtliche Verpflichtung zur Aufbewahrung wie das Recht auf Widerruf der Einwilligung und Löschung der Daten korrekt umsetzt?
- Ist die Datensicherheit (digital oder für Ausdrucke) mit geeigneten Maßnahmen sichergestellt?
- Kann ich Transparenzpflichten und Betroffenenrechte umsetzen? D.h. vor allem: Kann ich jederzeit auf Anfrage Auskunft geben, welche Daten über eine Person gespeichert sind?
- Steht – wo das rechtlich nötig ist – eine rein papiergebundene Alternative zur Verfügung?
(Dazu auch auf Artikel 91: Rechtskonforme Rückverfolgbarkeit von Gottesdiensten – gar nicht so einfach)