Datenschutz für Nachzügler in der Caritas

• Es ist erstaunlich, aber die Abkürzung DSGVO scheint mittlerweile mehr Menschen geläufig zu sein als jedes andere Gesetzeskürzel. Die Umsetzung dieser seit Mai 2018 geltenden Datenschutz-Grundverordnung hat erstaunliche Wellen geschlagen – und eine irritierend große

  Die Datenschutz-Grundverordnung verlangt, bestimmte Vorkehrungen zu treffen und dies zu dokumentieren.AdobeStock / DOC RABE Media

  Zahl an Auswüchsen hervorgebracht. Wenn große Hausverwaltungen damit beginnen, Klingelschilder zu entfernen, und harmlose Websites nur deshalb abgeschaltet werden, weil sich die Betreiber in datenschutz-rechtlicher Hinsicht unsicher sind, ist es Zeit, Aufklärung zu betreiben. Denn ein solcher Unsinn ist weder vom Gesetzgeber gewollt noch vom Gesetz verlangt. Gleichzeitig haben viele Unternehmen und Einrichtungen es bislang gänzlich unterlassen, sich mit dem Thema zu befassen. Auch hier gilt jedoch, dass ein „Kopf-in-den-Sand-Stecken“ so gut wie nie empfehlenswert ist.

1. Was ist Datenschutz? – Datenschutz als Grundrecht

Datenschutz dient nicht dem Schutz von Daten, sondern dem Schutz der Menschen, über die diese Daten Auskunft geben können. Aus diesem Grunde ist der Umgang mit besonders sensiblen Daten (insbesondere Informationen zur Gesundheit) strengeren Regeln unterworfen. Zudem gilt, dass es insgesamt keine „unwichtigen“ Daten mehr gibt. Dies hatte das Bundes-Verfassungsgericht schon 1983 festgestellt (Volkszählungs-Urteil).

Wer meint, er „habe nichts zu verbergen“, zeigt in erster Linie Unverständnis gegenüber den Möglichkeiten der Einflussnahme und Kontrolle, die die Sammlung von Informationen über Menschen, ihre Lebensumstände, Stärken und Schwächen mit sich bringt. Aus diesem Grunde findet sich Datenschutz sowohl mittelbar als Grundrecht im Grundgesetz (hergeleitet aus dem Allgemeinen Persönlichkeitsrecht) als auch unmittelbar in Artikel 8 der EU-Grundrechte-Charta.

2. Datenschutz-Prinzipien

Datenschutz ist nicht nur gut und nötig, sondern auch vernünftig. Vorausgesetzt, man hört nicht auf den Unsinn, der zuweilen verbreitet wird. Dabei bin ich mir manchmal unsicher, ob dies aus Unkenntnis geschieht, ob die Handelnden (oder besser: Unterlassenden) lediglich keine Verantwortung übernehmen wollen – oder ob dieser Unsinn interessengeleitet verbreitet wird, um als „Berater“ mehr Umsatz machen zu können.

Inhaltlich hat die DSGVO gar nicht so viel umgekrempelt, wie die allgemeine Aufregung vermuten lassen könnte. Diese rührt eher daher, dass viele Verantwortliche aufgrund erhöhter Bußgeld-Drohungen in Panik verfallen – und sich oft zum ersten Mal (!) mit der Frage beschäftigen, ob ihre Unternehmen oder Einrichtungen datenschutz-rechtlich ordnungsgemäß aufgestellt sind. Die Prinzipien, Grundregeln und die wesentlichen Normen sind weitgehend gleich geblieben.

Wirklich neu ist allerdings eine Rechenschaftspflicht – in der Autofahrer-Sprache würde man es einen Fahrtenschreiber nennen. In der Vergangenheit genügte es, sich an das geltende Recht zu halten; jetzt muss man es auch nachweisen können. Dies hat einen echten Vorteil: Zum ersten Mal machen sich Unternehmen und Einrichtungen ernsthaft Gedanken über ihren Umgang mit personenbezogenen Informationen, denn sie müssen förmliche Papiere (Verarbeitungsverzeichnisse und technische Dokumentationen) führen.

3. Muss ich Angst um meine Einrichtung haben, wenn mir ein Datenschutz-Lapsus unterläuft?

Nein. Datenschutz bezweckt weder eine allgemeine Business-Verhinderung (nur die Datensammel-Industrie muss sich verstärkt um ordentliche Einwilligungen bemühen), noch sollen die Einrichtungen der Caritas in den Ruin getrieben werden.

Beim Umgang mit digitalen Patienten- oder Klientendaten hat der Datenschutz oberste Priorität.fotolia/nenetus

Die im Gesetz genannten neuen Bußgelder von 20 Millionen Euro (statt bislang 50.000) hat der Gesetzgeber nicht für soziale Einrichtungen geschaffen; er hatte vielmehr weltweit agierende Internetkonzerne im Auge, deren Geschäftsmodell viel zu oft in der Missachtung des Datenschutz-Rechts zu bestehen scheint. Im Kirchlichen Datenschutzgesetz (KDG) beträgt die Höchstgrenze 500.000 Euro. Die früheren Möglichkeiten der Aufsichtsbehörden hatten nicht die geringste Abschreckungswirkung besessen – selbst gegenüber vorsätzlichen und systematischen Datenschutzverstößen.

Ihre Einrichtung hat die seit Mai 2018 geltenden Regeln noch gar nicht umgesetzt? Sie befinden sich in „guter“ Gesellschaft, denn dies gilt (leider) für wohl die Hälfte aller Unternehmen in Deutschland. Und das, obwohl der Gesetzgeber einen Vorlauf von zwei Jahren gewährt hatte. Dennoch – langsam wird es Zeit, denn die Aufsichtsbehörden mögen bei völliger Arbeitsverweigerung doch einmal ungeduldig werden.

4. Bußgelder und Abmahnungen drohen aber?

Im Grundsatz ja. Dennoch dürfte das Risiko zumindest derzeit noch geringer sein, als es die allgemeine Panikmache im vergangenen Jahr suggerierte. Bußgelder können allein die hierfür zuständigen Behörden verhängen. Ungeachtet einiger Drohungen ist bislang keine Aktivität in dieser Hinsicht bekannt geworden.

Gleichwohl sollten sich die bislang säumigen Betriebe und Einrichtungen nicht darauf verlassen, dass dies so bleibt. Die Geduld der Datenschutz-Behörden wird mit Ablauf von noch mehr Zeit nicht größer – und die Umsetzung hätte bereits zum 25. Mai 2018 abgeschlossen sein sollen.

Abmahnungen hingegen können von unterschiedlicher Seite kommen. Da sind zum einen insbesondere Einrichtungen des Verbraucherschutzes, die über das Unterlassungsklagen-Gesetz auch Verstöße gegen das Datenschutz-Recht verfolgen können. Das Kostenrisiko einer solchen Abmahnung ist freilich überschaubar und dürfte im Regelfall 250 Euro nicht überschreiten.

Unangenehmer – weil teurer – sind Abmahnungen von Rechtsanwält(inn)en, die dann allerdings einen Mitbewerber als Mandanten haben müssen. Eine solche Abmahnung setzt dann aber auch die Verletzung von Vorschriften mit „Marktbezug“ voraus: Unverlangte Werbung per Telefon oder E-Mail wäre ein typischer Fall. Ob das simple Fehlen einer Datenschutz-Erklärung hierunter fällt, wird derzeit wohl überwiegend bezweifelt. Und inwieweit karitative Einrichtungen tatsächlich auch „am Markt“ tätig sind, ist ebenfalls eine berechtigte Frage – generell ausgeschlossen ist es aber nicht.

5. Muss ich denn jetzt von jedem schriftlich eine Einwilligung einholen?

Nein. Auch Caritas-Einrichtungen werden nur in seltenen Fällen eine Einwilligung benötigen, denn für die gewöhnliche Datenverarbeitung – insbesondere zur Vertragserfüllung – gestattet bereits das Gesetz alle erforderlichen Verarbeitungsvorgänge. Eine gesonderte Einwilligung ist nur dann vonnöten, wenn Daten zu Zwecken verarbeitet werden, die für die Vertragserfüllung nicht unbedingt zwingend sind. Hierher gehören zum Beispiel das Versenden von Newslettern, das Veröffentlichen von Mitarbeiterfotos auf der eigenen Website oder unter Umständen das Zusammenführen von Kundendaten verschiedener Unternehmen oder Einrichtungen. Bedarf es tatsächlich einer förmlichen Einwilligung, muss diese nicht immer schriftlich sein. Schriftlichkeit erleichtert einen gegebenenfalls nötigen gerichtlichen Beweis, erfordert aber erheblichen Aufwand auf allen Seiten. So mögen sich alle Beteiligten fragen, ob dies wirklich nötig ist, wenn eine mündliche oder gar konkludente Einwilligung ausreichen kann.

6. Benötigt meine Einrichtung einen Datenschutzbeauftragten?

Das Gesetz verlangt die Bestellung eines/ einer Datenschutzbeauftragten (intern oder extern) nicht ab einer Mitarbeiterzahl von zehn Personen, sondern erst dann, wenn zehn Mitarbeiter(innen) oder mehr mit personenbezogenen Daten umgehen.

Bevor es wieder ans Datenverarbeiten geht, bitte kurz überlegen: Ist der Schutz sensibler Daten noch auf aktuellem Stand?Fotolia/Paolese

Bei kleineren Einheiten greift die Pflicht nur, wenn es zu deren Kerntätigkeit gehört, besonders sensitive Daten zu verarbeiten (wie insbesondere Gesundheitsdaten). Die übrigen Fälle derartiger Pflichten, die sich auf die durch konkrete Datenverarbeitung entstehenden besonderen Gefährdungslagen beziehen, dürften im Caritas-Bereich normalerweise ohne Bedeutung sein. Überprüft werden sollte diese Frage dennoch.

7. Kunden oder Lieferanten wollen einen Auftragsverarbeitungs-Vertrag – ist das nötig?

In der Tat: nein. Ein solcher Vertrag muss zwingend abgeschlossen werden, wenn ein Betrieb beziehungsweise eine Einrichtung bestimmte Datenverarbeitungs-Vorgänge auslagert. Typische Fälle sind die externe Lohnbuchhaltung und die IT-Betreuung inklusive Website-Hosting. Weder Lieferanten noch Abnehmer stehen in einem derartigen Auftragsverhältnis zum Betrieb oder zur Einrichtung. In solchen Fällen ergibt sich das Recht zur Datenverarbeitung schon aus der Notwendigkeit zur Vertragsverwaltung und -abwicklung.

8. Darf ich per Videoüberwachung mein Eigentum schützen?

Diese Frage ist nicht pauschal zu beantworten. Grundsätzlich besteht die Möglichkeit, sich und sein Eigentum auch durch Kameras zu schützen. Dies gilt allerdings nur, wenn nicht fremde Rechte allzu sehr beeinträchtigt werden. So dürfen Kameras öffentliche Wege nicht mit überwachen. Auch die eigenen Beschäftigten dürfen nicht beeinträchtigt werden (vgl. neue caritas Heft 17/2017, S. 17 [Rubrik Arbeitsrecht – nur in der Printausgabe]).

Wichtig ist, jede Überwachung im Vorhinein sorgfältig zu dokumentieren und rechtlich zu prüfen, ob mildere Mittel vorhanden sind (und sei es auch nur eine kurzfristige Löschung der Aufnahmen). Im Übrigen sind Kameras im Auto, die den Verkehr überwachen, meist datenschutzwidrig, stellte der Bundesgerichtshof kürzlich fest.

9. Besondere Sachverhalte erfordern besondere Maßnahmen

Besonders viel Aufregung entsteht, wenn Ereignisse außerhalb des Tagesgeschäfts datenschutz-rechtliche Relevanz besitzen. Dazu gehören zum Beispiel das Erstellen und Verwenden von Fotos bei Veranstaltungen, gleich ob Externe anwesend sind oder nicht. Noch mehr gilt dies, wenn die Fotos Minderjährige zeigen. Aber auch in diesen Fällen ist die Einholung der erforderlichen Einwilligungen nicht zwingend nur mit übermäßigem Aufwand möglich. Dies kann in diesem Beitrag nicht vertieft werden, doch sei darauf hingewiesen, dass die Probleme umso größer werden, je datenschutz-rechtlich rücksichtsloser die für Kontaktaufnahme oder Publikation verwendeten Dienste sind. Hier kann es in Einzelfällen höhere Haftungsrisiken geben.

10. Was muss ich denn wirklich jetzt sofort tun?

Folgende Maßnahmen sollte jede Einrichtung umgehend zumindest prüfen und dann gegebenenfalls umsetzen: 

• Prüfung, ob ein Datenschutzbeauftragter benötigt wird. Wenn ja, ist unbedingt zu überlegen, ob ein(e) Mitarbeiter(in) diese Rolle (nach einer Schulung) intern übernehmen kann – dies ist in der Regel auf mittlere Sicht weitaus preiswerter.
• Datenschutz-Belehrung/Infoblatt für Mitarbeiter(innen) und Ehrenamtliche;
• gegebenenfalls Informationen zum Datenschutz für betroffene Externe;
• Erstellen von Verarbeitungsverzeichnissen (das klingt aufwendiger, als es ist);
• Erstellen einer Übersicht über den Stand der Technik im Betrieb (sogenannte technische und organisatorische Maßnahmen);
• Erstellen einer Datenschutzerklärung für die Website;
• Abschluss der erforderlichen Verträge zur Auftragsverarbeitung, insbesondere mit IT-Dienstleistern;
• Prüfung, ob die eigenen Mitarbeiter Notebooks/Smartphones für dienstliche Tätigkeiten erhalten oder gar private Geräte einsetzen – und dies juristisch sauber klären;
• die Nutzung von Social Media sowie anderen IT-Hilfsmitteln (zum Beispiel Projekttools und Ähnlichem) regeln und die Mitarbeiter entsprechend aufklären;
• gegebenenfalls ein Löschungskonzept entwickeln, das gesetzliche Aufbewahrungspflichten und den Wegfall von Nutzungszwecken in Einklang bringt;
• Schulung der Mitarbeiter zum Datenschutz (gegebenenfalls mit externen Referenten).

Ein Rat zum Abschluss: Wenn sich ein Mitarbeiter unsicher ist in Bezug auf datenschutz-rechtliche Zulässigkeit, mag er sich fragen: „Wäre es mir unangenehm, wenn jemand mit meinen Daten das täte, was ich gerade plane – bevorzugt jemand, den ich nicht leiden kann?“ Dies ist oftmals ein guter Indikator für Problemfälle.