Kleine Caritasvereine brauchen neues Datenschutzgesetz nicht zu fürchten

Im Zuge des Gesetzes über den Kirchlichen Datenschutz (KDG)¹, das zum 24. Mai in Kraft getreten ist, werden in allen Diözesen unabhängige Diözesandatenschutzbeauftragte als Leiter(innen) der Datenaufsicht bestellt beziehungsweise katholische Datenschutzzentren eingerichtet. In Nordrhein-Westfalen (NRW) gibt es beispielsweise bereits seit dem Jahr 2016 das für alle (Erz-)Diözesen in NRW zuständige Katholische Datenschutzzentrum.² Der betreffenden Aufsichtsbehörde sind die betrieblichen Datenschutzbeauftragten der kirchlichen Stellen und Einrichtungen mitzuteilen.

Bevor es wieder ans Datenverarbeiten geht, bitte kurz überlegen: Ist der Schutz sensibler Daten noch auf aktuellem Stand?Fotolia/Paolese

Die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) ist in § 36 KDG geregelt. Alle Diözesen, Kirchengemeinden und kirchlichen Einrichtungen müssen unabhängig von der Zahl der Mitarbeitenden einen eigenen betrieblichen Datenschutzbeauftragten benennen (§ 36 Abs. 1 KDG). Andere Einrichtungen, wie etwa caritative Wohlfahrtsverbände - also auch alle Mitglieder des Deutschen Caritasverbandes -, müssen einen betrieblichen Datenschutzbeauftragten einsetzen, wenn mindestens zehn Mitarbeiter(innen) mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Sofern ein caritativer Verein keine zehn Mitarbeitende hat, benötigt er trotzdem einen Datenschutzbeauftragten, wenn seine Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten umfasst.

Gerade kleine caritativ tätige Vereine mit weniger als zehn Mitarbeitenden hat dies verunsichert. Die Frage stellt sich, ob jeder dieser Vereine einen eigenen betrieblichen Datenschutzbeauftragten bestellen muss. Einerseits muss und will man das KDG gewissenhaft umsetzen, andererseits sind die Möglichkeiten, zusätzliche Aufgaben zu bezahlen, ganz eng begrenzt. Es muss deshalb besonders genau hingeschaut werden, was wirklich notwendig ist.

Auch kleine Vereine verarbeiten Daten

Die Frage ist zu beantworten, ob die "Kerntätigkeit" dieser kleinen caritativen Vereine in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten liegt. "Verarbeitung" ist in § 4 KDG definiert als das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Damit ist klar, dass auch die kleinen Caritasvereine Daten verarbeiten.

Aber ist diese Datenverarbeitung ihre "Kerntätigkeit"?

 In § 4 KDG ist diese Kategorie bestimmt als personenbezogene Daten, aus denen die "rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person".

Von dieser Aufzählung kommt in erster Linie die Verarbeitung von Gesundheitsdaten in Betracht. Aber gehört dies zur Kern­tätigkeit? Mit dieser Frage hat sich der Deutsche Caritasverband an das Katholische Datenschutzzentrum in NRW mit Sitz in Dortmund gewandt. In dessen Bewertung heißt es:

"Zentrale Frage Ihres Anliegens ist, ob kleine Betreuungsvereine einen betrieblichen Datenschutzbeauftragten benennen müssen. Mit Bezug auf die bisherige Korrespondenz beschränken wir uns auf die zu bewertende Regelung.

In § 36 Abs. 2 lit. c) KDG findet sich der Begriff der Kerntätigkeit. Zwar ist der Begriff nicht im KDG selbst näher definiert, jedoch findet sich der identische Begriff in Art. 37 Abs. 1 lit. c) EU DSGVO.
In der Kommentierung von Helfrich (Handkommentar Europäische Datenschutzgrundverordnung, Sydow)³ findet sich dazu folgende Erläuterung:

,(…) Ist die Verarbeitung personenbezogener Daten erforderlich, damit der Verantwortliche für die Verarbeitung seinen Geschäftszweck verfolgen kann, ist die Verarbeitung zur Kerntätigkeit zu rechnen. Die Verarbeitung selbst muss dabei nicht der eigentliche Geschäftszweck sein, ihr muss vielmehr eine solche Bedeutung zukommen, dass ohne die Verarbeitung die Erfüllung des Geschäftszweckes entweder nicht möglich ist oder so erschwert wird, dass unter kaufmännischen Gesichtspunkten die Verarbeitung personenbezogener Daten naheliegt und sinnvoll ist. (…)‘" Daher, so das Datenschutzzentrum NRW, seien unter anderem die Betreuungsvereine von dieser Regelung umfasst und müssten bei Vorliegen der sonstigen Voraussetzungen einen betrieblichen Datenschutzbeauftragten benennen.

Allerdings sei zunächst nichts dagegen einzuwenden, dass für die Betreuungsvereine ein(e) gemeinsame(r) betriebliche(r) Datenschutzbeauftragter bestellt wird, solange dies, wie § 36 Abs. 3 KDG vorgibt, aufgrund der Größe und der Organisationsstruktur der Vereine möglich sei.

Zusammenfassend lässt sich damit sagen:

Ein Betreuungsverein muss, um seinen Geschäftszweck verfolgen zu können, Daten verarbeiten. Deshalb gehört die Datenverarbeitung zur Kerntätigkeit des Vereins. Damit ist klar, dass auch jeder Betreuungsverein, unabhängig von der Zahl seiner Mitarbeitenden, einen betrieblichen Datenschutzbeauftragten (bDSB) haben muss. Aber es braucht nicht jeder dieser in der Regel kleinen Vereine (mit häufig deutlich unter zehn hauptamtlich Mitarbeitenden) einen eigenen betrieblichen Datenschutzbeauftragten zu bestellen.

Die Aufgaben werden gebündelt

Vielmehr ist es den Vereinen mit weniger als zehn hauptamtlichen Mitarbeitenden, also zum Beispiel einem Betreuungsverein, freigestellt, für eine größere Anzahl von kleineren Vereinen einen gemeinsamen betrieblichen Datenschutzbeauftragten einzusetzen.

So ist es rechtlich zulässig, wenn beispielsweise ein auf diözesaner Ebene agierender Katholischer Verband für soziale Dienste (SKM) für die ihm angeschlossenen Betreuungsvereine einen Datenschutzbeauftragten bestellt, der dann zu gegebener Zeit als betrieblicher Datenschutzbeauftragter für die Ortsvereine bei der aufsichtführenden Stelle gemeldet wird. Dies ermöglicht eine Zentrierung der anfallenden Aufgaben und wird auch die Kosten für die einzelnen Vereine erheblich reduzieren.

Eine Anmerkung zu Betreuungsvereinen, deren Besonderheit unter anderem in der intensiven Zusammenarbeit mit Ehrenamtlichen liegt:

Gemäß § 1908 f. BGB ist für die Anerkennung als Betreuungsverein Voraussetzung, "dass er sich planmäßig um die Gewinnung ehrenamtlicher Betreuer bemüht, diese in ihre Aufgaben einführt, fortbildet und sie sowie Bevollmächtigte berät".

Diese ehrenamtlichen Betreuer(innen) sind nicht beim Betreuungsverein beschäftigt. Sie führen ihre jeweilige gesetzliche Betreuung rechtlich selbstständig, sind dem Vormundschaftsgericht gegenüber rechenschaftspflichtig und stehen nicht unter der Aufsicht der Betreuungsvereine. Zwischen dem Betreuungsverein/den Vereinsbetreuer(inne)n und den Ehrenamtlichen werden keine nach dem Datenschutzrecht relevanten Daten der Betreuten ausgetauscht. Die ehrenamtlichen Betreuer(innen) sind keine "Datensammler" für den Verein, sondern sie benötigen persönliche Daten ihrer Betreuten für die Erfüllung ihres vom Gericht fest­ge­legten gesetzlichen Betreuungsauftrages. Dementsprechend ist auch der für Betreu­ungs­vereine zu bestellende betriebliche Datenschutzbeauftragte nicht verantwortlich für die Einhaltung des Datenschutzes durch die ehrenamtlichen Betreuer(innen).

Ehrenamtliche willigen in Datenspeicherung ein

Der Betreuungsverein speichert persönliche Daten seiner Ehrenamtlichen, insbesondere deren Adressen und Geburtsdaten, damit der persönliche Kontakt gehalten werden kann: Einladung zu Mitgliederversammlungen, Fortbildungen und sonstigen Veranstaltungen des Vereins, Gratulation zu Geburtstagen. Dies geschieht immer nur mit Einwilligung der Ehrenamtlichen, und es handelt sich hier auch nicht um "besondere Kategorien personenbezogener Daten" im Sinne des § 4 Nr. 2 KDG, also datenschutzrechtlich sensible Daten.

Das KDG schreibt vor, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen (§ 31 KDG). So war dies auch schon in der früheren Anordnung über den Kirchlichen Datenschutz (KDO) geregelt. Dieses Verzeichnis muss aber nicht durch ein externes Audit erstellt oder bestätigt werden.

Das Fazit für kleine Vereine

Das KDG muss ernst genommen und ohne Einschränkung umgesetzt werden, aber mit Maß und Ziel. In einer klugen überregionalen Bündelung, angefangen bei der Bundes­ebene über die Diözesanebene, liegen erhebliche Einsparpotenziale für die kleinen örtlichen Vereine.

Dazu gehört auf Bundesebene als Richtschnur für diese (Betreuungs-)Vereine das Erstellen eines Musterdatenschutzkonzeptes, insbesondere eines Musterverzeichnisses über die Verarbeitungstätigkeiten eines (Betreuungs-)Vereins. Auch ist das Angebot von Schulungen diözesanüber­greifend möglich, ebenso das Erstellen von Schulungsmaterial.

Dazu könnte auch das Einholen von drei vergleichbaren Angeboten zu den Kosten eines bDSB für einen Diözesan-SKM gehören, dem eine Vielzahl von kleineren SKM-Ortsvereinen angeschlossen ist. Vergleichbares gilt für andere katholische Diözesanvereine.

Jeder (Betreuungs-)Verein muss einen betrieblichen Datenschutzbeauftragten haben. Aber nicht jeder kleine (Betreuungs-)Verein muss einen eigenen bDSB selbst bestellen. Es genügt, wenn ein Diözesanverein für viele ihm angeschlossene kleinere (Betreuungs-)Vereine einen bDSB bestellt. Dies ermöglicht eine Zentrierung der anfallenden Aufgaben und wird auch die Kosten erheblich reduzieren.

Ein Audit schreibt das KDG nicht vor, und es ist auch nicht notwendig. Vorgeschrieben ist aber die Erstellung und Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Dies sollte, wie oben gesagt, der wesentliche Bestandteil eines Musterdatenschutzkonzeptes sein.

Anmerkungen
1. Siehe zur KDO auch Gottwald, A.: Datenschutz erhält mehr Gewicht. In: neue caritas Heft 3/2018, S. 24 ff. und Mülot, D.-M.: Datenschutz ist Chefsache. In: neue caritas Heft 7/2018, S. 22 ff.
2. Um sich einen Einblick in das KDG zu verschaffen, sind die vom Kirchlichen Datenschutzzentrum in NRW veröffentlichten Praxishilfen sehr hilfreich: www.katholisches-datenschutzzentrum.de
3. Sydow (Hrsg.): Europäische Datenschutzverordnung. Baden-Baden: Nomos, 2017.