Datenschutz erhält mehr Gewicht

Die Spender(innen) können selbst bestimmen, ob und wie viele Spendenaufrufe sie erhalten möchten: Bei Caritas international ist dies langjährige Praxis.DCV/kbö

Ende Mai 2018 wird sowohl im zivilen als auch im kirchlichen Bereich ein nahezu vollständig novelliertes Datenschutzregime in Kraft treten. Mit dem „Gesetz über den Kirchlichen Datenschutz“ (KDG) wurde im November 2017 die Anpassung des kirchlichen Datenschutzes an die europäische Datenschutz-Grundverordnung (DS-GVO) beschlossen. Das Kirchliche Datenschutzgesetz (KDG – hier im Wortlaut abrufbar) wird am 24. Mai 2018 die Anordnung über den Kirchlichen Datenschutz (KDO) weitestgehend ablösen.

Kirchliche Stellen werden damit vor erhebliche Herausforderungen gestellt. Bislang genoss der Datenschutz beider Kirchen keinen hohen Stellenwert. Nun ist in Rekordzeit die neue Rechtslage umzusetzen, während die zivilen Verantwortlichen zwei Jahre Zeit dazu hatten. Die gestiegene Bedeutung des kirchlichen Datenschutzes zeigt sich bereits darin, dass die bloße "Anordnung" normativ aufgewertet wurde hin zu einem "Gesetz" über den kirchlichen Datenschutz. Darüber hinaus werden bei Verstößen gegen den Datenschutz erstmals Meldepflichten gegenüber Betroffenen und Aufsichtsbehörden und gegebenenfalls finanzielle Sanktionen von bis zu 500.000 Euro auf die kirchlichen Stellen zukommen. Daneben steigt der Aufwand für die Dokumentation der für den Datenschutz relevanten Prozesse erheblich an, um die neue Rechenschaftspflicht erfüllen beziehungsweise den vorgeschriebenen Nachweis über die Konformität der Datenschutzorganisation mit der neuen Rechtslage führen zu können.

Spendenaufrufe haben in den Kirchen eine lange Tradition, um die vielseitigen seelsorgerischen Angebote und sozialen Projekte der Gemeinden zu finanzieren. Zwar sieht die bisherige KDO dazu keine ausdrückliche Rechtsgrundlage vor, und lediglich das Bistum Hildesheim erließ eine spezielle Fundraisingordnung. Jedoch dürfte der Aufruf zu Spenden als Teil der kirchlichen Identität Gewohnheitsrecht und somit unter bestimmten formellen Voraussetzungen kirchenrechtlich zulässig sein. Zivile gemeinnützige Unternehmen und Organisationen konnten hingegen bei der Spendenwerbung bislang auf das im Bundesdatenschutzgesetz (BDSG) normierte sogenannte Listenprivileg nach § 28 Abs. 3 Satz 2 Nr. 3 BDSG zurückgreifen.

Spendenwerbung ist auch weiterhin gestattet

Unter der Geltung der europäischen DS-GVO und des neuen KDG werden gemeinnützige und kirchliche Organisationen weiterhin gezielte Spendenwerbung betreiben dürfen, auch wenn das Listenprivileg gerade für zivile Organisationen entfällt. Als künftige Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten zu Spendenwerbung kommen zuerst die Einwilligung der Betroffenen sowie die Interessenabwägung, die Zweckänderung oder die Wahrnehmung von Aufgaben im kirchlichen Interesse in Betracht.

Die Regeln für eine wirksame Einwilligung werden durch die neue Rechtslage strenger. Insbesondere ist der/die Betroffene auf den Zweck der Verarbeitung hinzuweisen, und der Verantwortliche hat zu belegen, dass der/die Betroffene tatsächlich eingewilligt hat. Sofern die Spender(innen) der Verarbeitung ihrer Daten zu mehr als einem Zweck schriftlich zustimmen sollen, muss in leicht zugänglicher Form und in klarer und einfacher Sprache auf diese anderen Sachverhalte hingewiesen werden. Die Einwilligung muss ­darüber hinaus freiwillig sein. Unter diesen Voraussetzungen sind die vorhandenen Einwilligungen konkret auf Konformität zu prüfen, bevor diese als Rechtsgrundlage für die Spendenwerbung genutzt werden können.

Die Spendenwerbung stellt ein "berechtigtes Interesse" des Verantwortlichen dar, das aber gegen die Interessen der Betroffenen - das Recht auf Privatsphäre und die informationelle Selbstbestimmung - ab­zuwägen ist. Daher können Spendenaufrufe nicht pauschal als zulässig betrachtet werden. Es spielen jedoch auch die "vernünftigen Erwartungen" eine Rolle. So kann der/die Spender(in) bei Bekanntgabe seiner/ihrer Adresse an eine kirchliche oder gemeinnützige Organisation erwarten, dass er/sie zu Spenden aufgerufen wird. Ersteres muss aber auch nachweisbar sein. Für die Kaltakquise von Spender(inne)n - also die Spendenwerbung ohne vorherigen Kontakt zum Betroffenen - gilt das Vorgenannte nur eingeschränkt. Unkompliziert sind Fälle, in denen die Daten der Betroffenen öffentlichen Registern entnommen worden sind, da damit zu rechnen ist, Spendenwerbung zu erhalten.

Im Rahmen der Zweckänderung kann eine weitere Grundlage für die Verarbeitung von Daten dann bestehen, wenn die Daten ursprünglich zwar nicht zu Zwecken der Spendenwerbung erhoben wurden, die ­Zwecke der ursprünglichen Erhebung jedoch damit vereinbar sind (Art. 6 Abs. 4 DS-GVO/
§ 6 Abs. 2 KDG). Die Kriterien der DS-GVO zur Zweckänderung sind jedoch noch zu unklar, um zur Bestimmung der Zulässigkeit dienen können. Das KDG hingegen sieht hier einen abschließenden Katalog vor. Doch auch in diesem Zusammenhang stellt sich die Frage, ob die Spendenwerbung ein "Auftrag der Kirche" ist. Gleiches gilt letztlich für die Rechtsgrundlage der "Wahrnehmung von Aufgaben im kirchlichen Interesse".

Die Verantwortlichen sind dabei nicht auf die postalische Werbung beschränkt, denn die allgemeinen wettbewerbsrechtlichen Regelungen - insbesondere § 7 des Gesetzes gegen den unlauteren Wettbewerb - finden nach Ansicht der Aufsichtsbehörden keine Anwendung auf Spendenwerbung. Ein gewisses Risiko verbleibt zwar, da die Zulässigkeit der Werbung per E-Mail, Telefon oder Fax im Bereich der Spendenwerbung noch nicht richterlich bestätigt worden ist. Allerdings kann die Anwendbarkeit des Gesetzes gegen unlauteren Wettbewerb insbesondere im kirchlichen Bereich aufgrund des kirchlichen Sendungsauftrages mit überzeugenden Gründen abgelehnt werden.

Beim Ankauf oder bei der Anmietung von Kontaktdaten potenzieller Spender(innen) ist weiter zu beachten, dass der Adresshändler die Garantie für die - auch unter der künftigen Rechtslage - rechtmäßige Nutzung der Daten für Spendenwerbung übernimmt. Somit erlangen Haftungsklauseln und Nachweise über die aktive Einwilligung ("Opt-in") bei Verträgen mit Adresshändlern entscheidende Bedeutung. Der/Die Betroffene ist künftig grundsätzlich umfassender und transparenter über den Zweck der Verarbeitung seiner/ihrer Daten und Rechte zu informieren. Daher ist darauf zu achten, die Spender(innen) bei der Akquise insbesondere über die Rechtsgrundlage beziehungsweise die Gründe, die im Rahmen der Interessenabwägung berücksichtigt worden sind, und auf das Widerrufs- beziehungsweise Widerspruchsrecht hinzuweisen.

Technische Änderungen bei Patientendaten

Daten zur Gesundheit von Patient(inn)en und Klient(inn)en werden nun als besondere Kategorien von personenbezogenen Daten bezeichnet, Art. 9 DS-GVO/§ 11 KDG. Die Verarbeitung ist weiterhin nur gestattet, wenn besondere Gründe vorliegen, zum Beispiel die ausdrückliche Einwilligung des/der Betroffenen oder die konkrete Lebensgefahr. Die Übermittlung von Gesundheitsdaten an Dritte beziehungsweise andere Rechtsträger - damit sind auch andere Kliniken in einem Klinikverbund oder einem Konzern ge­meint - ist nach wie vor nur in wenigen Ausnahmefällen zulässig und bedarf entweder der expliziten Einwilligung des Klienten oder einer gesetzlichen Erlaubnis. Ein Ausnahmefall ist etwa die Auftragsverarbeitung, innerhalb der ein Dritter als weisungsgebundener Dienstleister handelt.

Sicherheitsstandards steigen

Die bei der Verarbeitung einzuhaltenden Sicherheitsstandards - die sogenannten technischen und organisatorischen Maßnahmen (TOM) - steigen jedoch deutlich. Künftig haben sich diese insbesondere am dynamischen Begriff des "Stands der Technik" zu orientieren. Damit ist nicht der Einsatz der neuesten und fortschrittlichsten Technologie ("Stand der Wissenschaft und Forschung") gemeint, sondern solche Methoden, die Fachleuten bekannt sind und sich bereits am Markt als effektiv bewährt haben. Dementsprechend haben sich die IT-Fachkräfte künftig regelmäßiger fortzubilden und die TOM häufiger auf Anpassungsbedarf zu überprüfen.

Darüber hinaus müssen die TOM einer Risikobewertung unterzogen werden, die den drohenden Schaden und dessen Eintrittswahrscheinlichkeit abwägt. Daran ist die Intensität der weiteren Schritte auszurichten. Neuerdings dürfen Daten grundsätzlich nur innerhalb der Europäischen Union verarbeitet werden. Dadurch sind insbesondere "Cloud-Lösungen" und damit Dienstleister generell auf den Prüfstand zu stellen. Sogenannte Gruppen-Accounts, die von mehreren Mitarbeitenden genutzt werden, sind nach der DS-GVO und dem KDG nicht mehr zulässig. Nach dem sogenannten "Need-to-know-Prinzip" muss künftig transparent sein, wer Daten über Patient(inn)en oder Klient(inn)en verarbeitet - also erhebt, speichert, ändert oder auch nur einsieht - um die erhöhten Anforderungen an Dokumentation und Rechenschaft erfüllen zu können. Dies gelingt durch Single Sign-on ("Einmal-Anmeldung") sowie Access-Management-Plattformen. Dadurch können komplexe Passwörter durch Auflegen von Karten oder andere unkomplizierte Autorisierungsverfahren ersetzt werden, so dass Zeit gespart werden kann.

Fazit: Vorsicht ist geboten

Spendenwerbung wird auch weiterhin unter bestimmten Voraussetzungen zulässig bleiben. In Zusammenhang mit den rechtlichen Unklarheiten bleibt jedoch abzuwarten, ob die europäischen Institutionen oder die zivilen beziehungsweise kirchlichen Aufsichtsbehörden die rechtlichen Unklarheiten im Hinblick auf die Spendenwerbung beseitigen oder gar Erleichterungen schaffen werden, damit kirchliche und zivile gemeinnützige Organisationen auch zukünftig effektiv für Spenden werben können. Wie auch im Hinblick auf den Umgang mit Patienten- und Klientendaten müssen die Formulare für die Einwilligung an die DS-GVO und das KDG angepasst werden. Bei der Gestaltung ist jedoch erhöhte Vorsicht geboten, denn sofern der Nachweis der wirksamen Einwilligung in die Datenverarbeitung misslingt und ansonsten keine anderweitige Rechtsgrundlage gegeben ist, drohen die eingangs erwähnten drastischen Bußgelder. Dies gilt noch mehr für zivile gemeinnützige Organisationen, da nach der DS-GVO sogar finanzielle Sanktionen in Höhe von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes in Betracht kommen.