Sensibilität für Klienten umfasst auch ihre Daten

Die europäische Datenschutzgrundverordnung (DSGVO) räumt den Kirchen und religiösen Vereinigungen und Gemeinschaften das Recht ein, dass sie ihre Datenschutzregeln weiter anwenden dürfen. Allerdings müssen diese mit den einheitlichen Standards der DSGVO in Einklang gebracht werden.¹ Deshalb sollten jetzt in den kirchlichen Einrichtungen die Verwaltungsabläufe ge­prüft und angepasst werden, um die gegenwärtigen und zukünftigen Anforderungen zu erfüllen.

Handlungsbedarf haben viele kirchliche Einrichtungen durch die Verpflichtung, unabhängige, fachlich versierte be­triebliche Datenschutzbeauftragte zu be­stellen. Eine Bestellung ist dann erforderlich, wenn mehr als zehn Mitarbeitende personenbezogene Daten verarbeiten oder - unabhängig von der Personenzahl - besondere Kategorien personenbezogener Daten wie Informationen zur Gesundheit, zur religiösen Überzeugung oder der ­ethnischen Herkunft verarbeitet werden.² Dies ist bei kirchlichen Einrichtungen immer der Fall, wenn sie beispielsweise Beratung zu Migration, Sucht oder Schwangerschaft anbieten oder Sozialstationen und Pflegeeinrichtungen betreiben. Auch kirchliche Verbände und Verwaltungszentren werden in der Regel eine(n) Datenschutzbeauftragte(n) bestellen müssen. Kirchliche Einrichtungen sind des Weiteren in der Pflicht, ein Datenschutzkonzept zu erstellen und regelmäßig weiterzuentwickeln. Dieses muss ein Ver­fahrensverzeichnis enthalten sowie technische und organisatorische Maßnahmen beschreiben, wie personenbezogene Daten geschützt werden. Dabei ist ein fortlaufender Prozess einzurichten, um die Sicherheit der Verarbeitung regelmäßig überprüfen zu können.³

Zu den grundlegenden Maßnahmen gehört, dass alle Mitarbeitenden und auch Ehrenamtliche mit einer separaten Erklärung auf das Datengeheimnis verpflichtet werden.⁴ Ein Hinweis im Arbeitsvertrag allein reicht nicht aus, da er in der Vielzahl an Informationen untergeht. Die Mitarbeitenden müssen auch darin geschult werden, welche Bedeutung die Verpflichtung auf das Datengeheimnis für ihre Tätigkeit hat und wie es mit praktischen Maßnahmen gelebt werden soll. Dazu gehören zum Beispiel die Nutzung sicherer Passwörter (siehe Praxistipp S. 24), das Sperren des Bildschirms beim Verlassen des Arbeitsplatzes oder Regeln für den Umgang mit sozialen Medien und mit Be­sucher(inne)n. Bei der Zusammenarbeit mit Dienstleistern muss ebenfalls darauf geachtet werden, dass diese auf das Datengeheimnis verpflichtet sind.

Transparenz für die Nutzer von Online-Auftritten

Beim Betreiben einer Website mit Kontaktformular ist sicherzustellen, dass neben dem Impressum ein Datenschutzhinweis vorhanden ist.⁵ Im Datenschutzhinweis muss über die Verarbeitung von personenbezogenen Daten unterrichtet werden. Ebenso ist hier über den Einsatz von Trackern (Nachverfolgern) wie Google Analytics, Addthis etc. und über Social Plug-ins⁶ von sozialen Medien wie Facebook oder Twitter zu informieren und ein Widerspruchsrecht einzuräumen. An­bie­ter sensibler Beratungsleistungen wie Ehe- und Familienberatung oder Suchtberatung sollten auf den Einsatz von Tracker-Software und ­Social Plug-ins grundsätzlich verzichten, insbesondere dann, wenn die IP-Adressen⁷ der am Online-Kontakt be­teiligten Rechner in ein datenschutz-bezogen unsicheres Drittland (zum Beispiel die USA) übermittelt und nicht zuvor anonymisiert werden. Zumindest sollten vor deren Einsatz die genauen technischen Vorgänge geprüft und angemessene Sicherheitsmaßnahmen ergriffen werden.

Beim Einsatz von Cookies⁸ ist eine Einwilligung erforderlich, wenn man auf der sicheren Seite sein möchte. Bietet man ein Kontaktformular an, so sollte dies über eine verschlüsselte Verbindung angeboten werden. Dies ist notwendig, damit die Anfragen von Ratsuchenden nicht von Unberechtigten gelesen werden können. Zu den weiteren technischen Maßnahmen gehört auch, neben der Verschlüsselung nach dem Stand der Technik regelmäßig Sicherheitsupdates einzuspielen.

Notwendig ist ebenfalls, die interne Postverteilung zu regeln.⁹ Hier gilt es, am besten in einer Postordnung festzulegen, welche Post von einer zentralen Poststelle geöffnet werden darf und welche ungeöffnet an den entsprechenden Empfänger zu gelangen hat. Postsendungen, die mit "Persönlich" oder "Vertraulich" versehen sind, müssen dem Adressaten ungeöffnet ausgehändigt werden. Ungeöffnet müssen Poststücke auch an den/die Empfänger(in) weitergegeben werden, wenn anzunehmen ist, dass diese vertrauliche Daten enthalten können. Dies ist zum Beispiel bei Post an die Personalabteilung oder an die Mitarbeitervertretung der Fall. Auch Post, die dem Privatgeheimnis unterliegt, wie Briefe an Beratungsstellen oder an den Datenschutzbeauftragten, muss ungeöffnet weitergegeben werden.

Der Zugriff auf betriebliche E-Mails bei Abwesenheit des Mitarbeiters bei Urlaub, Krankheit oder nach dem Ausscheiden durch seine Vertretung oder den Vorgesetzten muss auch organisatorisch gelöst werden.¹⁰ Wenn die private Nutzung des betrieblichen E-Mail-Accounts erlaubt ist oder wenn keine Regelung besteht, so ist der Zugriff durch die Vertretung oder den Vorgesetzten nicht erlaubt, da sonst die Gefahr besteht, das Fernmeldegeheimnis zu verletzen. Bei einer erlaubten privaten Nutzung des betrieblichen E-Mail-Ac­counts sollte daher unbedingt eine betriebliche Vereinbarung mit der Mitarbeitervertretung geschlossen werden, um ein geordnetes Verfahren sicherzustellen, und es sollte eine ausdrückliche Einwilligung von den Mitarbeitern eingeholt werden.

Oder man entscheidet sich für die Lösung, die private Nutzung zu verbieten. Die Einhaltung des Verbots der privaten Nutzung muss dabei in regelmäßigen Abständen kontrolliert werden, da es sonst nicht wirksam ist. Ebenso sollte die ­Nutzung von Internet, Telefon und geschäftlichen Laufwerken geregelt werden. Wichtig ist auch, einen gesicherten E-Mail-Verkehr anzubieten.

Bei einer Zusammenarbeit mit Dienstleistern wie beispielsweise Aktenvernichtern, Facility-Management, Buchhaltungsservice, IT-Dienstleistern wie Anbietern von Cloud-Diensten oder Fernwartung müssen die gesetzlich vorgeschriebenen Anforderungen einer Auftragsdatenverarbeitung eingehalten werden.¹¹ Im ersten Schritt wird man auflisten, mit welchen Dienstleistern überhaupt zusammengearbeitet wird. Dann wird man abklären, ob bereits ein Vertrag zur Auftragsdatenverarbeitung vorliegt, so dass dieser geprüft und gegebenenfalls angepasst werden kann oder ob ein solcher neu abgeschlossen werden muss.

Ein Auftragsdatenverarbeitungsvertrag muss dabei mindestens zehn vorgeschriebene Bestandteile wie beispielsweise den genauen Zweck und die Dauer der Datenverarbeitung, die Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers, die Regelung einer Un­terbeauftragung, die technischen und organisatorischen Maßnahmen zum Schutz der Daten sowie die Löschpflichten umfassen. Welches Vertragsmuster von verschiedenen Anbietern mit Anpassungen verwendet werden kann oder ob ein völlig neuer Vertragsentwurf erstellt werden sollte, hängt dabei vom Einzelfall ab. Neben dem Abschluss eines ordnungsgemäßen Auftragsdatenverarbeitungsvertrages ist die sorgfältige Auswahl und Prüfung des Dienstleisters (sind die Daten bei ihm sicher?) wichtig. Vorgelegte Zertifikate sollte man dabei kritisch hinterfragen.

Datenschutz als Teil der Aufbau-Organisation

Die Zusammenlegung von Organisationseinheiten zur Verbesserung von Verwaltungsabläufen muss immer auch unter dem Blickwinkel des Datenschutzes geprüft werden.¹² Ist geplant, beispielsweise Beratungsstellen zusammenzulegen, so ist dies nach dem Sozialrecht und dem Datenschutzrecht nicht ohne weiteres zulässig. Ein Organisationsverschulden liegt vor, wenn die Dienststelle so organisiert wird, dass es zu Verstößen gegen das Datengeheimnis oder die datenschutzrechtlichen Regeln des Sozialgesetzbuchs kommt oder das Privatgeheimnis beeinträchtigt wird. Klarheit kann eine Vorabkontrolle, zukünftig Datenschutzfolgenabschätzung, durch den Datenschutzbeauftragten bringen, der neben den Rechtsgrundlagen auch die Erforderlichkeit und Verhältnismäßigkeit der Maßnahmen prüfen sowie eine Risikoeinschätzung mit Maßnahmenempfehlung vornehmen kann.

Eine Vorabkontrolle sollte auch immer durchgeführt werden, wenn besondere Risiken für die Betroffenen Personen bestehen.¹³ Dies ist zum Beispiel beim ­Einsatz von Videokameras oder bei der elektronischen Zeiterfassung der Fall.

Die aufgeführten Beispiele geben nur einen kleinen Blick auf die Aufgaben, die hinsichtlich eines funktionierenden Da­tenschutzes zu lösen sind. Wichtig ist, einen Prozess anzustoßen, das heißt sich auf den Weg zu machen. Dann verhindert Datenschutz nicht nur Sanktionen, sondern bietet einen Mehrwert als Qualitätsmerkmal.

Anmerkungen
1. Siehe DSGVO Art. 91; Fachet, S.: Tätigkeitsbericht 2015/2016, Nr. 2.3.
2. Siehe Kirchliche Datenschutzordnung (KDO) § 20; DSGVO Art. 37 sowie ­Fachet, S.: Tätigkeitsbericht 2015/2016, Nr. 2.5.
3. Siehe KDO § 3a sowie § 6; DSGVO Art. 30 sowie Art. 32; ­Fachet, S.: a.a.O., Nr. 2.4.
4. Siehe KDO § 4.
5. Siehe Telemediengesetz (TMG) §§ 5, 13, 15.
6. Ein Social Plug-in ist ein sogenanntes soziales Erweiterungsmodul, über das kleine Anwendungen von Dritten in den eigenen Webauftritt der Einrichtungen oder des Beratungsdienstes integriert werden können.
7. Internet-Protokoll-Adressen machen Rechner und damit möglicherweise auch ihre Besitzer/Nutzer identifizierbar.
8. Cookies sind kleine Dateien, die von der eigenen Website auf der Festplatte des Nutzers hinterlassen werden, um künftige Kontakte zu erleichtern.
9. Fachet, S.: a.a.O., Nr. 5.14.
10. Siehe auch Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail- und anderen ­Internetdiensten am Arbeitsplatz 01-2016.
11. Siehe KDO § 8; DSGVO Art. 28.
12. Siehe ausführlich Fachet, S.: a.a.O., Nr. 5.
13. Siehe KDO § 3 (5) (6) und DSGVO Art. 35.