pro: Herr Kötz, was wird sich beim Datenschutz ändern?
Daniel Kötz: Die Antwort würde Bücher füllen. Das Wichtigste lässt sich so umschreiben: Datenschutz ist ab dem 25. Mai kein Zustand mehr, sondern ein Prozess. Das führt dazu, dass jeder, der mit personenbezogenen Daten arbeitet, dokumentieren muss, was er mit diesen Daten macht und wie er mit ihnen umgeht. Er muss auch viel weiter als bisher darüber aufklären, was er mit den Daten macht – sonst ist eine Einwilligung unwirksam.
Davon sind hauptsächlich Firmen betroffen, denen hohe Bußgelder drohen, wenn sie dem nicht nachkommen. Wie betrifft es Kirchen und Gemeinden?
Viele Gemeinden sind ja als eingetragener Verein organisiert und müssen sich entsprechend darauf einstellen. Ausnahmen gibt es für Kirchen und religiöse Vereinigungen nach Art. 91 der Datenschutzgrundverordnung (DSGVO) dann, wenn diese heute schon, also vor Inkrafttreten der des neuen Gesetzes, umfassende Regeln zum Schutz natürlicher Personen bei der Datenverarbeitung anwenden. Diese Regeln dürfen unter bestimmten Voraussetzungen weiter verwendet werden. Das Problem der DSGVO ist, dass sie erkennbar für Großunternehmen geschaffen wurde und keine, ich will einmal sagen: Bagatellklausel aufweist.
Was müssen Gemeinden und Vereine konkret tun?
Alle Gemeinden müssen ihren Internetauftritt überprüfen und beispielsweise Formulare, in denen Daten angegeben werden – und sei es für die nächste Gemeindefreizeit – anpassen. Häufig werden zu viele Daten angefordert oder es wird nicht genau erklärt, wofür die Daten eigentlich verwendet werden. Wenn ein Verein mehr als zehn Personen beschäftigt, die ständig mit personenbezogenen Daten zu tun haben, braucht es einen internen oder externen Datenschutzbeauftragten. Das wird eher selten der Fall sein.
Welche Voraussetzungen muss ein solcher Datenschutzbeauftragter (DSB) erfüllen?
Es muss eine Person sein, die sich mit der Materie befasst hat und etwas auskennt. Eine offizielle Anforderungsliste gibt es nicht. Es darf aber weder der Vorstand sein noch der Webmaster – denn die sind gewissermaßen befangen. Es kann auch auf einen externen Datenschutzbeauftragten ausgewichen werden; das wird es künftig im Hinblick auf die Komplexität der Materie immer mehr geben. Ein DSB ist zur Fortbildung freizustellen bzw. verpflichtet.
Was genau sind „personenbezogene Daten“?
In gewerblich tätigen Unternehmen herrscht oft die Fehlvorstellung, dass alles, was irgendwie geheim ist, dem Datenschutz unterliegt. Umfasst sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder jedenfalls bestimmbaren Person. Also etwa Name, Alter, Familienstand, Anschrift, aber auch Rasse, sexuelle Ausrichtung, Parteimitgliedschaft, Religionszugehörigkeit.
Wie sieht es mit dem Datenschutz konkret im Alltag aus? Organisiert beispielsweise jemand den Kirchenkaffee und bittet dafür den Pastor um die Telefonnummer eines anderen Gemeindemitgliedes, darf er diese weitergeben?
Streng genommen darf er das nicht. Er darf es aber dann, wenn dazu eine Einwilligung des betroffenen Gemeindegliedes besteht, also etwa: „Das Team darf mich anrufen, wenn Not am Mann ist“.
Die Einwilligung ist der Dreh- und Angelpunkt beim neuen Datenschutzrecht.
Genau. Die Verarbeitung von Daten ist zulässig, wenn die Betroffenen eingewilligt haben. Ganz wichtig: Die Betroffenen müssen wissen, worin sie einwilligen – man spricht von einer „informierten Einwilligung“. Das bedeutet: Es muss eine Information darüber stattfinden, was mit den Daten passiert. Es ist nicht zulässig, wenn ein Gemeindemitglied pauschal sagt: Hier sind meine Daten, macht damit, was ihr wollt. So erworbene Daten sollten nicht verwendet werden.
Was ist mit Adress- und Mailinglisten von Gemeindemitgliedern?
Wenn alle Betroffenen informiert eingewilligt haben, sollte es kein Problem sein, diese zu verwenden. Aber die Einwilligungen müssen protokolliert werden – da wird alles etwas komplizierter. Man muss also gegebenenfalls eine Liste herumgeben und sich nicht etwa auf Handzeichen verlassen.
Vielen Dank für das Gespräch!
