Neue Rechtsauffassung: Der Artikel gibt die Lage im Mai 2018 wieder. Im Mai 2019 hat die Konferenz der Diözesandatenschutzbeauftragten einen neuen Beschluss veröffentlicht, in dem sie ihre Rechtsauffassung verändern und weniger strenge Maßstäbe anlegen.
Das neue Datenschutzrecht rückt näher! Am 24. Mai tritt das Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, einen Tag später die europäische Datenschutzgrundverordnung (EU-DSGVO) – da gibt es einiges zu tun für alle, die mit personenbezogenen Daten zu tun haben. Das heißt natürlich auch: Einiges zu tun für Jugendverbände. Hat die Pfarrei-Homepage eine korrekte Datenschutzerklärung? Werden die Daten der Teilnehmenden am Sommerlager ordentlich geschützt? Und braucht mein DPSG-Stamm vielleicht sogar eine*n Datenschutzbeauftragte*n?
Die Verunsicherung ist groß, nicht nur in der Kirche. Immer wieder liest man in den letzten Tagen in der Presse, dass Vereine und Verbände sich schlecht vorbereitet fühlen und nicht wissen, was auf sie zukommt. Darf der Sportverein künftig keine Bilder mehr von der Siegerehrung veröffentlichen, fragt die Taunus-Zeitung. Die WAZ berichtet, dass Vereine und kleine Firmen große Probleme haben, die EU-DSGVO umzusetzen. In der Welt erschien eine Reportage darüber, wie der Datenschutz Vereinen Problemen bereitet – nur drei von vielen Artikeln.
Bei katholisch.de bin ich der Frage nachgegangen, wie es im Bereich des Kirchlichen Datenschutzes aussieht und habe mit Leuten aus der Praxis, einem Diözesandatenschutzbeauftragten und Erzbischof Stefan Heße geredet.
Klar: Rechtsberatung können wir hier im Blog nicht leisten. Aber ein paar Tipps geben, wie ihr die letzten Tage vor der Umstellung nutzen könnt, um gut auf das neue Datenschutzrecht vorbereitet zu sein.
Was gilt? KDG oder EU-DSGVO?
Für kirchliche Jugendverbände stellt sich zuerst die Frage, welches Gesetz nun gilt: KDG oder EU-DSGVO? Die Antwort darauf dürfte in so gut wie allen Fällen sein: Es gilt das KDG. Das ist bei Einrichtungen anzuwenden, die vorrangig kirchliche Zwecke erfüllen, unabhängig davon, welche Rechtsform sie haben – also auch Ortsgruppen von Jugendverbänden, auch wenn sie kein eingetragener Verein sind. „Einrichtungen unterliegen dann dem KDG, wenn sie nach kirchlichen [sic!] Selbstverständnis ihrem Zweck oder ihrer Aufgabe entsprechend zur Mitwirkung an der Erfüllung des kirchlichen Auftrags berufen sind“, schreibt der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski in einem Skript für kirchliche Datenschutzbeauftragte. Einzige Ausnahme sind Gewerbebetriebe in kirchlicher Trägerschaft (EU-DSGVO gilt) und Orden päpstlichen Rechts (Kirchliche Datenschutzregelung der Ordensgemeinschaften – KDR-OG – gilt, gleichlautend mit dem KDG). Das bestätigen auch staatliche Datenschutzbeauftragte. Im Zweifelsfall fragen staatliche Datenschutzaufsichtsbehörden bei den kirchlichen nach, bevor sie gegen eine mutmaßlich kirchliche Einrichtung tätig werden. Das haben einige Landesdatenschutzbeauftragte auf Anfrage bestätigt. Ein Pressesprecher des „Landesbeauftragten für den Datenschutz und die Informationsfreiheit“ in Rheinland-Pfalz gibt zudem die Auskunft, dass das unstrittig „etwa für Krankenhäuser, Kindertagesstätten, Schulen und kirchliche Jugendorganisationen anerkannt“ sei.
Unter kirchliches Recht zu fallen, hat Vorteile: Vor allem sind die Strafzahlungen bei Verstößen kleiner. Außerdem kennen sich die Diözesandatenschutzbeauftragten besser mit der Kirche aus als weltliche Behörden.
Leider überwiegen die Nachteile: Wer unters KDG fällt, muss das höhere Datenschutzniveau erfüllen, das auch Behörden erfüllen müssen. Die wohl schmerzhafteste und häufigste Auswirkung: Die Benutzung von WhatsApp ist quasi komplett verboten, weil der Dienst Daten in den USA speichert und es keinen Anerkennungsbeschluss der EU-Kommission (vgl. § 40 KDG) für das Datenschutzabkommen EU-US-Privacy-Shield gibt, der das behördliche Datenschutzniveau feststellen würde.
Ein weiterer Nachteil ist, dass das KDG immer eine schriftliche Einwilligung zur Datenverarbeitung voraussetzt. (§ 8 KDG vs. § 7 EU-DSGVO.) Es funktioniert also künftig nicht mehr, einfach anzukündigen, dass fotografiert wird oder rote Punkte für die Nichtfotografierwilligen zu verteilen: Eine solche Einwilligung (und schriftlich heißt mit Unterschrift, digital reicht nicht) genügt nicht. Nach Auskunft des bayerischen Diözesandatenschutzbeauftragten soll allerdings das KDG demnächst so angepasst werden, dass die Schriftform nicht zwingend nötig ist.
Einen Überblick, was neu in der EU-DSGVO ist, gibt’s bei CRonline, und eine Aufstellung der Unterschiede zwischen DSGVO und KDG hat Thomas Hoeren von der Uni Münster zusammengestellt.
Kein Datenschutzrecht greift (neben anderen Ausnahmen, die auch nicht auf die Jugendarbeit zutreffen) nur bei Datenverarbeitung „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Art. 2 Abs. 2 lit. c EU-DSGVO) – man kann sich also nicht damit rausreden, dass man ja mit privaten Geräten oder privaten Accounts arbeitet.
Wie ist es mit WhatsApp?
Mit WhatsApp sieht es schlecht aus. Die Konferenz der Diözesandatenschutzbeauftragten hat beschlossen, dass eine dienstliche Nutzung von WhatsApp nicht zulässig ist. Personenbezogene Daten dürfen nicht über WhatsApp versandt werden – und das betrifft fast jede Nutzung, da schon eine Telefonnummer zu den personenbezogenen Daten gehört.
Broadcast-Listen sind unter bestimmten Voraussetzungen möglich. Hier sollte man sich im Einzelfall vom zuständigen Diözesandatenschutzbeauftragten beraten lassen.
Wie oben erwähnt ist auch die Benutzung von privaten Geräten keine Möglichkeit zur Umgehung des Datenschutzrechts. Die Diözesandatenschutzbeauftragten gehen in der Regel von hauptberuflichen Mitarbeitenden der Kirche aus, daher passen ihre Formulierungen oft nicht auf die Realität in Jugendverbänden mit Ehrenamtlichen. Was erwähnt wird, sind private Geräte von Angestellten: „Soweit der Messenger zu privaten Zwecken eingesetzt wird, soll durch Anleitungen in der Downloadseite versucht werden, die Nutzer zu einer datenschutzgerechten Einstellung zu bewegen, die weiteren Schaden verhindert. Es kann zwar nicht übersehen werden, dass hierdurch das Verbot der dienstlichen Nutzung teilweise konterkariert wird, doch lässt eine Güterabwägung dies als hinnehmbar erscheinen.“ (Bericht des bayerischen Diözesandatenschutzbeauftragten vom 31. 3. 2018, S. 13.)
In diesem Bericht werden Threema und Signal als datenschutzkonforme Messenger erwähnt.
Wo finde ich Informationen zum kirchlichen Datenschutz?
- Das Gesetz über den kirchlichen Datenschutz (KDG) findet man oldschool im jeweiligen Amtsblatt der Diözese oder natürlich online.
- Die Diözesandatenschutzbeauftragten haben nützliche Infoblätter und Checklisten zur Umsetzung erarbeitet. Diese kann man beim Katholischen Datenschutzzentrum herunterladen.
- Auf den Webseiten der Diözesandatenschutzbeauftragten gibt es weitere hilfreiche Informationen. Dort findet man auch die zuständigen Ansprechpartner*innen. Insgesamt gibt es in Deutschland für die verschiedenen Regionen(Bayern, NRW, Norddeutschland, Ostdeutschland, Südwestdeutschland) fünf verschiedene Diözesandatenschutzbeauftragte. Die Adressen sind hier zu finden.
- Eine gute Einführung in den kirchlichen Datenschutz gibt es in dem Skript zur Einführung neuer Datenschutzbeauftragter, das der bayerische Diözesandatenschutzbeauftragte erarbeitet hat.
- Einzelne Bistümer haben sehr gute Materialien erarbeitet: Das Bistum Münster hat eine sehr gute FAQ-Liste zusammengestellt, das Bistum Trier hat eine sehr zugängliche Broschüre zur Information für Mitarbeitende erarbeitet.
Was gibt es für Vereine und Verbände zu beachten?
Leider haben die kirchlichen Datenschützer die speziellen Bedürfnisse von Verbänden nicht besonders im Blick. Außerdem fehlt auch noch ein eigener Kommentar zum KDG. Da das KDG aber in weiten Teilen textgleich zur EU-DSGVO ist, kann man auf die vielfältige Literatur dazu zurückgreifen. Blogbeiträge und Fachartikel zum Thema gibt es unzählige – zu Spezialthemen am besten einfach googeln. Aber aufpassen: Nicht alles ist gleich, nicht alles stimmt – im Zweifelsfall also jemanden fragen, der sich damit auskennt. Einen guten Überblick über Unterschieden zwischen KDG und DSGVO gibt Thomas Hoeren in der Neuen Zeitschrift für Verwaltungsrecht, der auch online verfügbar ist.
Speziell mit der Situation von Vereinen und Verbänden haben sich einige Landesdatenschutzbeauftragte beschäftigt: Es gibt Arbeitshilfen für Vereine von der nordrhein-westfälischen, der niedersächsischen und der baden-württembergischen Behörde. Die entsprechende bayerische Broschüre („Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“) gibt’s im Buchhandel zu kaufen, kleine Teile davon auch online. Der baden-württembergische Datenschutzbeauftragte hat außerdem einen Praxisratgeber für Vereine veröffentlicht.
Auch Jugendverbände haben sich schon damit auseinandergesetzt: Der BDKJ Speyer hat eine Infoseite und eine Handreichung zum Thema. Der Landesjugendring Baden-Württemberg hat sich auch damit beschäftigt, aber natürlich nur mit dem staatlichen Recht, genauso wie der Bundesverband der Vereine. Für die Caritas ist Datenschutz auch wichtig – in deren Blog gibt’s auch etwas zum Thema.
Unter diesen Links finden sich unzählige Handreichungen, Checklisten, FAQ-Listen: Damit sollte die Umstellung gelingen.
Und wie sieht’s bei euch mit dem Datenschutz auf? Was sind bei euch noch offene Fragen? Wo habt ihr Probleme bei der Umsetzung? Wo braucht ihr Unterstützung?
Lieber Felix,
du schreibst oben: „Ein weiterer Nachteil ist, dass das KDG immer eine schriftliche Einwilligung zur Datenverarbeitung voraussetzt. (§ 8 KDG vs. § 7 EU-DSGVO.)“
Wie ist dann in diesem Kontext eben jener §8 KDG zu verstehen, der gleich in seinem ersten Satz auch Ausweichmöglichkeiten lässt:„Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.“?
Was können solche besonderen Umstände sein, für die eine andere Form angemessen ist? Wäre nicht die vorherige Einwilligung bei einer (Groß-)Veranstaltung in einem Zuge mit der verbindlichen Anmeldung eine solche angemessene Form?
Ich weiß, dass du keine Rechtsberatung machen darfst: Aber interpretatorische Lücken lässt das KDG halt auch.
Viele Grüße
Ralf
Hallo Ralf,
die Information stammt auch vom bayerischen Diözesandatenschutzbeauftragten. In der Gegenüberstellung der beiden Regelungstexte zeigt sich, dass das KDG die strengere Formulierung hat und vom Regelfall schriftliche Einwilligung ausgeht, während die DSGVO nur die Nachweispflicht nennt. Daher ist davon auszugehen, dass das KDG auch strenger auszulegen ist als die DSGVO an dieser Stelle; was genau „besondere Umstände“ sind, führt das Gesetz leider nicht aus, und ein Kommentar zum KDG steht immer noch aus. Sehr anweder*innenfreundlich wäre natürlich, wenn das so zu interpretieren ist: Grundsätzlich Schriftform, aber ohne Medienbruch – also durchaus auch Ankreuzkästchen im Onlineformular. Nur: Das weiß momentan noch niemand so genau. Hier würde ich empfehlen, entsprechende Verfahrensbeschreibungen einfach mal prüfen zu lassen.
Guten Abend,
bei uns in der Gemeinde kam heute die Frage auf, wer denn eigentlich haftbar ist, wenn z.B. in der Messdienergemeinschaft, im Chor oder bei der PSG (also allesamt nur ehrenamtlich Tätige) gegen die Verordnung verstoßen wird.
Wir finden dazu keinerlei Aussage.
Über einen entsprechenden Link oder einen Hinweis sind wir sehr dankbar 🙂
Die Frage ist tatsächlich gar nicht so einfach; grundsätzlich ist zu klären, um welche kirchliche Stelle im Sinne des KDG es sich handelt: Fein raus ist man wohl, wenn die Gruppen der Pfarrei unterstehen; bei Ministranten oder einem Kirchenchor kann man schon so argumentieren, bei Jugendverbänden eher nicht. Wenn nicht, dann greifen die üblichen Regeln zur Vereinshaftung bei eingetragenen bzw. nichteingetragenen Vereinen, ansonsten ist wohl die Pfarrei dran.
Die große Schwierigkeit ist hier, daß wir es im ehrenamtlichen kirchlichen Bereich oft nicht mit klar abgegrenzten, rechtsfähigen Organisationen zu tun haben (hier sind e.V.s viel seltener als im weltlichen Vereinsleben). (Und wenn man genau drauf schaut, müßte man bei den unabhängigeren Formen nochmal genau prüfen, ob überhaupt KDG einschlägig ist.) Mir scheint auch, daß das die kirchlichen Datenschutzbehörden nicht so im Blick haben; auch die Gesetze – KDG wie DSGVO – haben diesen Bereich nicht sonderlich klar geregelt.
Daher: Sorry, lange Antwort, kein Erkenntnisgewinn. Ich würde empfehlen, diese Frage mit möglichst genauen Konstellationen (wer trifft die Entscheidungen, welche Rechtsform, gehört’s zur Pfarrei oder nicht, gibt es Satzungen …) an den zuständigen diözesanen Datenschutzbeauftragten zu schicken. Und wenn Du eine Antwort bekommst: Schick sie uns, mich interessiert’s auch!
Der oder die im Verfahrensverzeichnis bzw. in der Datenschutzerklärung benannte Verantwortliche (nicht zu verwechseln mit dem Datenschutzbeauftragten) haftet bei Verstößen. Gegen diese Person können auch Bußgelder durch die Kontrollbehörden verhängt werden.
Das stimmt zwar, hilft aber für die Frage nicht weiter. Denn die zielt darauf ab, wer überhaupt die verantwortliche Stelle ist.