Auch Kinder und Jugendliche haben ein Recht auf informationelle Selbstbestimmung – und manchmal muss das auch gegen die Eltern durchgesetzt werden. Vor genau so einem Fall stand Kerstin Fuchs, die Geschäftsführerin des Wiesbadener Jugendhilfezentrums Johannesstift: Ein Vater wollte für seine Tochter Auskunftsrechte geltend machen und auch in höchstpersönliche Therapieunterlagen Einblick nehmen – gegen den Willen der damals Fünfzehnjährigen. Für das Johannesstift war klar: So geht es nicht. Die Datenschutzaufsicht gab der Einrichtung zwar recht, doch der Vater klagte vor dem Interdiözesanen Datenschutzgericht. Dort erzielte das Johannesstift einen Erfolg auf ganzer Linie – die Entscheidung wurde hier bereits ausführlich besprochen.

In seinem Leitbild hat das Johannesstift festgehalten, dass »Solidarität mit den Schwachen, Kultur der Partizipation, Toleranz gegenüber Weltanschauungen, die die Freiheitsrechte anderer nicht verletzen, und Gerechtigkeit für diejenigen, die Benachteiligungen erlitten haben« das Wirken der Einrichtung prägen. Im Interview berichtet Geschäftsführerin Kerstin Fuchs, warum in ihrer Einrichtung Datenschutz Chefsache ist, wie ein Verfahren vor dem IDSG abläuft – und wie man die Bedürfnisse und Rechte von Kindern und Jugendlichen in der Jugendhilfe berücksichtigt.

Frage: Gibt es oft Konflikte mit Eltern über Daten ihrer Kinder?

Kerstin Fuchs: Im Normalfall läuft die Zusammenarbeit mit Eltern sehr unaufgeregt. Was hier passiert ist, ist die absolute Ausnahme. Natürlich haben Eltern immer wieder Fragen und wollen wissen, ob sie nicht mehr Informationen zur Entwicklung ihrer Kinder von uns bekommen können. Aber dann erklären wir, warum etwas nicht geht, und die meisten sehen das auch ein.

Frage: Es wäre deutlich weniger Arbeit gewesen, die gewünschten Informationen einfach herauszugeben. Sie haben es auf ein Gerichtsverfahren ankommen lassen. War das eine schwierige Entscheidung für Sie?

Fuchs: Nein, überhaupt nicht. Bei uns in der Einrichtung ist Datenschutz von jeher ein wichtiges Thema, wie in der Jugendhilfe insgesamt. Im konkreten Fall war sehr schnell klar, dass der Vater eine Grenze überschreiten will, die wir nicht überschreiten können. Am Anfang konnten wir natürlich nicht abschätzen, dass es so weit kommen würde, aber es war für uns sofort klar, dass wir hier konsequent bleiben, auch wenn es für uns viel Arbeit bedeutet.

Frage: … und dann steht man plötzlich vor dem Interdiözesanen Datenschutzgericht. Wie hat man sich das vorzustellen? Was passiert, wenn man vor dem IDSG verklagt wird?

Fuchs: Das ist schon sehr spannend: Man bekommt plötzlich offizielle Gerichtspost und wird darin zur Stellungnahme aufgefordert. Dabei hat uns unser hervorragender externer Datenschutzbeauftragter gut begleitet. Die erste Stellungnahme hat aber leider nicht ausgereicht, wir mussten fünf- oder sechsmal Informationen nachreichen, weil es immer wieder neue Fragen gab, die der Kläger oder das Gericht selbst aufgebracht haben. Das war schon sehr viel Arbeit und hat uns über fast zwei Jahre beschäftigt. Es war quasi eine Verhandlung komplett auf Papier.

Frage: Das klingt teuer – zumal die KDSGO auch nicht vorsieht, dass die unterlegene Seite die Kosten trägt. Sie haben sich Ihre Prinzipien also wahrscheinlich auch viel kosten lassen?

Fuchs: Allerdings, zumal wir uns sehr früh dafür entschieden haben, uns anwaltlich vertreten zu lassen und das nicht selber zu machen. Grundsätzlich wäre das möglich gewesen, es gibt ja keinen Anwaltszwang vor dem IDSG. Allein die Anwaltskosten beliefen sich auf einen vierstelligen Betrag, dazu kommt die Arbeitszeit unserer Mitarbeitenden, die involviert waren. Wir mussten alle Dokumentationen sehr genau prüfen, alles protokollieren, Informationen für Stellungnahmen zusammentragen, das war sehr aufwendig.

Frage: Wie schlägt sich diese Haltung, die informationelle Selbstbestimmung von Jugendlichen zu schützen, im Datenschutzmanagement nieder?

Fuchs: In unserer Einrichtung haben wir ein Datenschutzkonzept und ein Partizipationskonzept. Beides ist sehr eng miteinander verbunden und steht nicht nur auf dem Papier, sondern wird täglich gelebt. Wir bilden alle Mitarbeitenden in beiden Bereichen intensiv aus.

Frage: Welche Besonderheiten gibt es in Ihrem Datenschutzkonzept, die man so etwa bei einem mittelständischen Unternehmen nicht finden würde?

Fuchs: Wir haben beispielsweise festgelegt, dass der Schutz der Daten von Kindern und Jugendlichen absoluten Vorrang hat. Natürlich könnten wir Fotos von Jugendlichen in unserer Öffentlichkeitsarbeit gut verwenden, und über Einwilligungen wäre das auch rechtlich unproblematisch möglich. Das machen wir aber prinzipiell nicht. Wir haben sehr früh entschieden und im Datenschutzkonzept festgehalten, dass wir keine Bilder von Kindern und Jugendlichen nutzen, die bei uns in der Einrichtung leben. Wir muten ihnen nicht die Abwägung zu, ob sie die Konsequenzen tragen wollen, mit unserer Einrichtung verbunden in der Öffentlichkeit zu stehen. Auch wenn Jugendliche viel selbst entscheiden können: Das ist für uns eine Entscheidung mit Konsequenzen über viele Jahre hinaus, vor die wir sie erst gar nicht stellen. Das ist in unserem Kontext sinnvoll. In einem mittelständischen Unternehmen, das seine jugendliche Azubis auf der Webseite präsentieren will, kann man das natürlich viel unbefangener tun.

Frage: In der Arbeit mit Jugendlichen kann man nicht alles kontrollieren – schon deshalb, weil vermutlich ab einem bestimmten Alter alle ein Smartphone haben. Wie gehen Sie damit um?

Fuchs: Ja, das ist immer eine spannende Geschichte. Da erleben Kinder und Jugendliche Datenschutz ganz konkret. Bei uns dürfen sie ihre Handys nutzen und Fotos machen, aber sie dürfen Fotos von anderen nicht weiterleiten. Das kommt natürlich trotzdem vor. Wenn das passiert, thematisieren wir es sofort. Da sind unsere Mitarbeiter auch gut geschult, das wieder einzufangen. Wir thematisieren das regelmäßig in den Gruppenabenden und bei unserer Kinder- und Jugendvertretung. In unserem Heimrat wird das Thema Datenschutz regelmäßig besprochen.

Frage: Welche Bedürfnisse bringen die Jugendlichen im Heimrat in diesem Zusammenhang ein?

Fuchs: Ein Dauerbrenner ist besseres WLAN. Es geht aber oft um Gerechtigkeit, um Gleichbehandlung: Warum darf der das, was die anderen nicht dürfen? Es geht viel um Regeln: Was ist erlaubt, was nicht?

Frage: Und wurden dabei auch schon Datenschutzregeln eingefordert oder entworfen?

Fuchs: Nein, noch nicht.

Frage: Und was ist ihr Eindruck? Wäre das nötig, darüber zu sprechen, welche Datenschutzbedürfnisse die Jugendlichen selbst haben?

Fuchs: Das ist ein Thema, das sicher sinnvoll wäre, aber wo es auch viel medienpädagogische Bildung braucht. Kinder und Jugendliche sind oft sehr freizügig mit ihren Daten und überblicken dabei nicht immer die Konsequenzen. Die Jugendlichen selbst machen in der Regel Datenschutz nur zum Thema, wenn sie sich eingeschränkt fühlen. Unsere Aufgabe ist es, sie dazu zu befähigen, verantwortungsvoll mit ihren Daten umzugehen. Kinder und Jugendliche in der Jugendhilfe kommen fast immer aus einem Kontext, in dem ihre Rechte nicht gewahrt wurden und sie keine Selbstbestimmung erleben durften. Deshalb müssen sie erst einmal lernen, dass sie selbst Rechte haben und dass sie mehr können, als sie glauben.

Frage: Ein sensibler Umgang mit Daten ist auch für Erwachsene eine Herausforderung. Wie sehen bei Ihnen die Datenschutzschulungen für Mitarbeitende aus?

Fuchs: Bei uns werden alle neuen Mitarbeitenden zweimal geschult. Zu Beginn des Arbeitsverhältnisses gibt es eine interne Kurzschulung. Die ist immer individuell auf das jeweilige Arbeitsfeld abgestimmt und persönlich, eins-zu-eins – diese Schulungen mache immer ich selbst. Einmal im Jahr gibt es eine weitere, sehr ausführliche Schulung für alle neuen Mitarbeitenden. Alle zwei bis drei Jahre schulen wir alle Mitarbeitenden noch einmal in den Grundlagen.

Frage: Was sind die jugendhilfespezifischen Inhalte dieser Schulung?

Fuchs: Wir wecken das Bewusstsein dafür, dass wir besonders sensible Daten haben. Unsere Mitarbeitenden gehen tagtäglich mit pädagogischen und therapeutischen Sachstandsberichten um, mit Berichten aus Kliniken, mit höchstpersönlichen Themen wie Geschlechtsidentität und Konflikten in der Familie. Über diese Informationen müssen sie mit anderen Beteiligten des Verfahrens oder der Hilfeplanung kommunizieren – und dabei darf nichts schiefgehen. Sichere Datenübermittlung ist daher ein großes Thema bei uns.

Frage: Wie gestaltet man das? Unverschlüsselte E-Mails kommen wohl nicht in Frage.

Fuchs: Wir stehen da vor der Herausforderung, dass nicht alle Beteiligten den gleichen Blick auf Datenschutz haben, gerade Behörden. Die sehen Datenschutz oft nur als Hindernis und wollen immer möglichst schnell und unkompliziert kommunizieren. Behörden glauben, alle Informationen jetzt und sofort zu brauchen. Das kann ich als Einrichtung zwar erfüllen, aber dann kann ich den Datenschutz nicht gewährleisten – jedenfalls nicht bei der technischen Ausstattung von Behörden. Da gibt es oft gar keine sicheren Kontaktwege. Das haben wir vor allem während den Corona-Hochphasen bemerkt, als wir quasi jeden Tag einen Fall in der Einrichtung hatten, den wir sofort an die Behörden melden sollten – aber die Behörden haben keinerlei Möglichkeiten zur verschlüsselten Kommunikation angeboten. Das kann ich in den ersten Monaten einer Pandemie gerade noch nachvollziehen. Aber nach zwei Jahren müsste man doch so weit sein, das irgendwie zu regeln und aus dem Krisenmodus rauszukommen. Ich habe den Verdacht, dass diese Trägheit auch damit zusammenhängt, dass sich der deutsche Gesetzgeber entschieden hat, Behörden von Bußgeldern auszunehmen – anders als uns Einrichtungen.

Frage: Und wie lösen Sie das Problem?

Fuchs: Im Umgang mit Behörden haben wir uns entschieden, auf ein eigenes verschlüsseltes System zu setzen, in unserem Fall ist das SEPPMail. Und wenn eine Behörde damit nicht umgehen kann oder will, dann kommunizieren wir eben nur per Post mit denen. Wir senden keine Mails mehr raus mit Daten, die schutzbedürftig sind, nur weil die Behörde sagt, sie braucht es jetzt.

Frage: Klappt die sichere Kommunikation innerhalb von Caritas-Einrichtungen?

Fuchs: Ja, das funktioniert gut. Mein Eindruck ist, dass mit der Reform im Datenschutzrecht 2018 kirchliche Stellen das Thema sehr ernst genommen haben, gerade in der Caritas. Sicher wurde in der Vergangenheit nicht immer alles richtig gemacht, aber in der Caritas hat man die Reform zum Anlass genommen, durchweg ein angemessenes Datenschutzniveau zu erreichen. Ich erlebe es jedenfalls schon so, dass andere Einrichtungen ähnlich sorgfältig wie wir agieren.

Frage: Was sind Ihre Tipps, um ein gutes Datenschutzmanagement in einer Einrichtung zu etablieren?

Fuchs: Auf jeden Fall sollte man sich einen guten externen Datenschutzbeauftragten suchen. Ich habe mich zwar selbst im Datenschutz fortgebildet, aber Datenschutz ist kompliziert, sowohl rechtlich wie technisch. Da braucht man Profis. Das darf man aber nicht als Ausrede dafür nehmen, sich selbst nicht um das Thema zu kümmern. Es ist wichtig, Datenschutz zur Chefsache zu machen. Es funktioniert nicht, das an irgendwelche Mitarbeitende zu delegieren, die das womöglich noch nebenbei zusätzlich zu ihren eigentlichen Aufgaben machen und dann jede einzelne Entscheidung der Geschäftsführung noch einmal erklären müssen, bevor die sie absegnet. Das dauert zu lange und sorgt für Reibungsverluste. Bei uns bin ich für den Datenschutz zuständig und kann gemeinsam mit meinem Kollegen in der Geschäftsführung sofort entscheiden. Das funktioniert natürlich nur, wenn die Leitung versteht, dass Datenschutz wichtig und zentral ist. Der dritte Tipp: Schulen, schulen, schulen. Man muss immer wieder für einen sorgfältigen Umgang mit Daten sensibilisieren – nur dann kann sich in der ganzen Einrichtung eine Haltung entwickeln.

Frage: Das KDG wird gerade evaluiert. Wo sehen Sie aus Ihrer Perspektive Reformbedarf?

Fuchs: Ich würde mir wünschen, dass der Gesetzgeber noch einmal an die Altersgrenzen geht. Bislang findet man zum Umgang mit Daten von Minderjährigen nur die Regeln für die Einwilligung in elektronische Dienstleistungen, dort wurde die Altersgrenze auf 16 Jahre festgelegt, obwohl die DSGVO auch ein jüngeres Alter ermöglichen würde. Dieser Sonderfall wird oft zur Interpretation für alle Einwilligungen herangezogen. Ich bin froh, dass in unserem Fall das Gericht das gerade nicht getan hat und auch bei einer Fünfzehnjährigen das Recht auf informationelle Selbstbestimmung anerkannt hat. Ich würde mir wünschen, dass generell klarer formuliert wird, dass Minderjährige in der jeweiligen Entwicklung in ihrer informationellen Selbstbestimmung auch ernst genommen werden. Es muss klar sein, dass die Betroffenenrechte bei Minderjährigen in allererster Linie Kinderrechte schützen, nicht Elternrechte. Ansonsten ist das KDG grundsätzlich schon ein gutes Gesetz, mit dem man arbeiten kann, auch wenn vieles in der Umsetzung sehr aufwendig ist. Da könnte man sicher einige Dokumentationspflichten etwas einfacher gestalten.

Frage: Auch die Datenschutzgerichtsordnung soll evaluiert werden. Wo sehen Sie nach Ihrem erfolgreich bestrittenen Verfahren Verbesserungsmöglichkeiten?

Fuchs: Ich würde mir eine Anwaltspflicht für alle Beteiligten wünschen. Ich glaube, dass dann Verfahren schneller und professioneller laufen würden. Bei uns hat es deshalb auch so lange gedauert, weil der Kläger nicht durch einen Anwalt vertreten war. Und ich glaube, man muss noch mal über darüber sprechen, wer die Kosten trägt. Wir haben zwar im ganzen Umfang Recht bekommen, bleiben aber auf unseren Kosten sitzen.