Der Bundestagsausschuss für Familie, Senioren, Frauen und Jugend hatte am Montag eine öffentliche Anhörung zum Thema »Datenschutzgrundverordnung (DSGVO) bzw. Bürokratieabbau im Ehrenamt« auf der Tagesordnung. Die Beiträge der Sachverständigen zeigen einiges auf, was im Bereich Datenschutz gerade schiefläuft – geben aber auch einige Hinweise, wie es besser gehen könnte.

Stellenweise lesen sich die eingereichten Stellungnahmen, als sei es noch Mai 2018 – Angst vor hohen Bußgeldern, kuriose Missverständnisse, Fotos als beherrschendes Thema und manchmal sogar der Wunsch, das mit dem Datenschutz lieber ganz zu lassen. Naturgemäß ging es um die DSGVO und nicht um den kirchlichen Datenschutz. Aber auch für die Datenschutzpraxis in den Religionsgemeinschaften lassen sich Schlüsse ziehen.

Durch manche Stellungnahmen zieht sich der Vorwurf, dass – so etwa der Regionssportbund Hannover – es nicht sein könne, »dass Vereine mit 50 Mitgliedern die gleichen Anforderungen erfüllen müssen, wie Vereine z.B. mit 10.000 Mitgliedern«. Das gipfelt in die Forderung der »Stiftung Aktive Bürgerschaft«, gemeinnützige Organisationen ohne bezahlte Mitarbeitende grundsätzlich von der DSGVO auszunehmen, außer da wo sie besonders schutzwürdige personenbezogene Daten verarbeiten. Auch die Angst vor Bußgeldern ist nach wie vor groß; der Hannoveraner Sportbund fordert eine »Senkung der Strafen von 4% auf 2% des Umsatzes« (weiß die Sachverständige, dass es sich hierbei um Höchststrafen handelt?) oder gleich die Einführung einer Bagatellgrenze, ohne sie näher auszuführen.

Dass auch 2020 noch solche Anfragen und Probleme genannt werden, zeigt drei Problemkomplexe in der Kommunikation und Umsetzung der DSGVO: Dass Datenschutz Grundrechtsschutz ist und auch rein ehrenamtliche Vereine verantwortlich mit personenbezogenen Daten umgehen müssen, scheint nicht überall präsent zu sein. Dass die DSGVO einen risikobasierten Ansatz verfolgt, ist vielen Verantwortlichen unklar – allerdings auch in der Verordnung oft nur unzureichend klar. Und schließlich hat die tatsächliche Entwicklung der Bußgelder (gerade im kirchlichen Bereich, wie die Tätigkeitsberichte der kirchlichen Aufsichten zeigen) die Befürchtungen nicht erfüllt, und dennoch bleibt die Angst.

Stellungnahmen der Datenschutz-Profis nehmen Druck vom Kessel

Hilfreich ist da die Stellungnahme der »Stiftung Datenschutz«: »Teilweise ergibt sich […] schon aus dem Gesetz, dass bestimmte DSGVO-Auflagen durch Vereine gar nicht erfüllt werden müssen. Diese ›eingebaute Entlastung‹ ist jedoch oft nicht bekannt, und datenschutzrechtlich nicht Bewanderte sehen sich einer schwer verständlichen ›Wand‹ von Bürokratie gegenüber«, heißt es dort. Zu den Bußgeldern hält die Stiftung fest, dass sie gegen gemeinnützige Vereine die Ausnahme seien. An konkreten Beispielen konnte sie nur solche aus dem Ausland finden: »Der Dritte Sektor steht nicht im Fokus der Datenschutzaufsichtsbehörden; diese konzentrieren sich – kapazitätshalber und risikobezogen – auf Unternehmen, da dort mehr Potential für Datenpannen erwartet wird«, so die Stiftung.

Zu der Forderung, gemeinnützige Vereine gleich ganz auszunehmen, findet die Bremische Landesbeauftragte für Datenschutz passende Worte: »Aus Sicht der Grundrechtsträgerinnen und Grundrechtsträger ist es in der Regel weniger erheblich, welche Stelle ihre personenbezogenen Daten in rechtswidriger Weise verarbeitet. Entscheidend für die Betroffenen ist vor allem der Grad des Eingriffs in das Grundrecht. Beispielsweise stellt die Offenbarung sensibler Gesundheitsdaten an viele Dritte durch eine ehrenamtliche Stelle einen tieferen Eingriff in das Grundrecht dar als die Falschadressierung eines Bescheides über die Höhe der Müllgebühren durch eine öffentliche Stelle.«

Die Bremische Datenschutzbeauftragte erläutert auch, warum und wie sich gutes Datenschutzmanagement für Vereine lohnt: Die Erforderlichkeitsprüfung offenbare Fehler (»z.B. unsinnige Verfahren, ›Bürokratie‹«), Datenminimierung führe zu Kosteneinsparungen (sicherlich das schlechteste Argument, hier Kosten für Speicherplatz anzuführen – schlagender wäre: was nicht vorhanden ist, braucht keine Ressourcen, um es zu managen), und schließlich ersetzten »sichere Kommunikationsverbindungen« »Zettelwirtschaft«. Mit guten technischen und organisatorischen Maßnahmen entstünde so eine Win-Win-Situation: Höhere Zufriedenheit bei den Vereinsmitgliedern, weil weniger Grund für Beschwerden entstehen, und damit auch eine Reduktion der Arbeitsbelastung der Aufsicht.

Handlungsorientierung statt DSGVO-Wünsch-dir-was

Zu den besseren Stellungnahmen gehört die des Deutschen Bundesjugendrings (DBJR), auch wenn dort noch die längst auf 20 angehobene Grenze von 10 Mitarbeitenden für die verpflichtende Stelle eines*r Datenschutzbeauftragten angeführt wird: Kritisch merkt der Dachverband der Jugendverbände an (vertreten durch seine Vorsitzende Lisi Maier, die zugleich Bundesvorsitzende des BDKJ ist), dass der Grundsatz der Datensparsamkeit an einigen Stellen mit tatsächlich verlangten Verfahren über Kreuz liegt: Bei Verwendungsnachweisen von Fördermitteln, bei Rückverfolgbarkeits-Regelungen zur Corona-Eindämmung, und, besonders gravierend, bei der Überprüfung qualifizierter Führungszeugnisse von in der Jugendarbeit Tätigen zur Prävention sexualisierter Gewalt. Hier schlägt der DBJR vor, statt der wenig datensparsamen Prüfung der Zeugnisse bei den jeweiligen Stellen der Jugendarbeit durch ein Abfrageverfahren beim Bundeszentralregister zu ersetzen.

Gelungen sind die Einlassungen des DBJR vor allem, weil sie kein DSGVO-Wünsch-dir-was betreiben, sondern kritisch auf das gesetzliche Umfeld schauen, das tatsächlich von den nationalen Legislativen verändert werden kann. Ähnlich handlungsorientiert (und mit erkennbarer engagementpolitischer Expertise und Einfühlung in ehrenamtliche Mentalitäten) ist auch die Stellungnahme des Bundesnetzwerks Bürgerschaftliches Engagement (BBE). Wie auch der DBJR hebt das Netzwerk auf bessere Beratung ab und schlägt dazu konkret Fachabteilungen zu »Datenschutz und bürgerschaftliches Engagement/Ehrenamt« bei Datenschutzbeauftragten vor: »Bei der DSGVO sollte es also nicht um engagementorientierte Versuche von Gesetzesänderungen oder um nationale Ausnahmen gehen, sondern darum, vorhandene Strukturen so zu stärken, dass bürgerschaftlich Engagierte erkennen können, dass sie dort mit ihren engagementspezifischen Anliegen verstanden, beraten und unterstützt werden.«

Und immer wieder Fotos

Ein Problem, das neben der allgemeinen Verunsicherung viele ansprechen, ist das von Veranstaltungsfotos. Zu diesem Thema ist eigentlich schon viel gesagt – nur ein Aspekt bleibt auch in den abgegebenen Stellungnahmen erstaunlich unerwähnt: Zwar wird das als Rechtsgrundlage meist mögliche berechtigte Interesse des Vereins an einer Veröffentlichung angesprochen – der Aspekt der demokratischen Öffentlichkeit, die nicht nur von Presse und anderen journalistischen Medien konstituiert wird, taucht gar nicht auf. Diese Öffentlichkeit wird ganz wesentlich von Publikationen und Kommunikation der Zivilgesellschaft mitgestaltet, die in der Regel nicht unters Presseprivileg fallen.

Dabei wäre genau das ein Hebel, den wohl auch nationale Gesetzgeber hätten: Die Öffnungsklausel des Art. 85 DSGVO zur Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit hebt zwar auf journalistische Verarbeitungen ab – im zugehörigen Erwägungsgrund 153 wird aber eine weite Auslegung von Begriffen wie »Journalismus« angemahnt. Zumindest ein abgestuftes Vereinspresseprivileg könnte viele Probleme abmildern.

Fazit

Schon der sperrige Titel der Veranstaltung, der ganz selbstverständlich DSGVO und Bürokratie zusammenbringt, weist auf zentrale Probleme in der Wahrnehmung und in der Kommunikation hin. Dass selbst in einer Bundestagsanhörung noch fröhlich Missverständnisse, Mythen und Schwarzmalereien vorgetragen werden, als sei es Mai 2018, überrascht leider nicht allzusehr und zeigt, was in der Datenschutzkommunikation schiefläuft – und auch, dass die DSGVO trotz ihrer Verdienste in Teilen gescheitert ist, weil es mit ihr nicht gelungen ist, einen klar ersichtlichen risikobasierten Ansatz durchgängig zu formulieren: Vereine und die Zivilgesellschaft sind in der DSGVO bestenfalls mitgemeint.

Eine chancenorientierte Kommunikation, wie sie die Bremische Datenschutzbeauftragte in ihrer Stellungnahme gelegentlich anführt, kam vor allem von den Aufsichtsbehörden viel zu kurz, und wichtige Themen mit hoher Lebensrelevanz wie die Kommunikation und Öffentlichkeitsarbeit nicht nur von Vereinen wurden vom nationalen Gesetzgeber verschleppt durch eine immer noch nicht erfolgte kluge, zeitgemäße und pragmatische Ausgestaltung von Art. 85 DSGVO.

Lohnend sind darüber hinaus vor allem zwei Vorschläge: Die Überlegung, Datenschutzaufsichten institutionell mit Kompetenz für die Zivilgesellschaft auszustatten, wie es das BBE vorschlägt (da ist gerade bei den kirchlichen Aufsichten einiges im Argen), und Prozesse und rechtliche Verpflichtungen kritisch auf Datensparsamkeit und damit einhergehende Bürokratiereduktion zu überprüfen, wie es der DBJR einbringt.

Nachtrag, 5. Dezember 2020: Auch bei vereint.digital gibt’s eine kritische Bewertung der Anhörung: Die DSGVO und Bürokratie im Ehrenamt – es gibt noch viel zu tun …