Daniel Kötz ist Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für gewerblichen Rechtsschutz

Daniel Kötz ist Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für gewerblichen Rechtsschutz

Neue Regeln zum Datenschutz: Das ändert sich für Gemeinden

Ab dem 25. Mai gilt in der Europäischen Union ein neues Datenschutzrecht, wodurch das bisherige Deutsche Recht abgelöst wird. pro hat den Anwalt Daniel Kötz gefragt, welche Veränderungen auf Kirchen, Gemeinden und Vereine zukommen.

pro: Herr Kötz, was wird sich beim Datenschutz ändern?

Daniel Kötz: Die Antwort würde Bücher füllen. Das Wichtigste lässt sich so umschreiben: Datenschutz ist ab dem 25. Mai kein Zustand mehr, sondern ein Prozess. Das führt dazu, dass jeder, der mit personenbezogenen Daten arbeitet, dokumentieren muss, was er mit diesen Daten macht und wie er mit ihnen umgeht. Er muss auch viel weiter als bisher darüber aufklären, was er mit den Daten macht – sonst ist eine Einwilligung unwirksam.

Davon sind hauptsächlich Firmen betroffen, denen hohe Bußgelder drohen, wenn sie dem nicht nachkommen. Wie betrifft es Kirchen und Gemeinden?

Viele Gemeinden sind ja als eingetragener Verein organisiert und müssen sich entsprechend darauf einstellen. Ausnahmen gibt es für Kirchen und religiöse Vereinigungen nach Art. 91 der Datenschutzgrundverordnung (DSGVO) dann, wenn diese heute schon, also vor Inkrafttreten der des neuen Gesetzes, umfassende Regeln zum Schutz natürlicher Personen bei der Datenverarbeitung anwenden. Diese Regeln dürfen unter bestimmten Voraussetzungen weiter verwendet werden. Das Problem der DSGVO ist, dass sie erkennbar für Großunternehmen geschaffen wurde und keine, ich will einmal sagen: Bagatellklausel aufweist.

Was müssen Gemeinden und Vereine konkret tun?

Alle Gemeinden müssen ihren Internetauftritt überprüfen und beispielsweise Formulare, in denen Daten angegeben werden – und sei es für die nächste Gemeindefreizeit – anpassen. Häufig werden zu viele Daten angefordert oder es wird nicht genau erklärt, wofür die Daten eigentlich verwendet werden. Wenn ein Verein mehr als zehn Personen beschäftigt, die ständig mit personenbezogenen Daten zu tun haben, braucht es einen internen oder externen Datenschutzbeauftragten. Das wird eher selten der Fall sein.

Welche Voraussetzungen muss ein solcher Datenschutzbeauftragter (DSB) erfüllen?

Es muss eine Person sein, die sich mit der Materie befasst hat und etwas auskennt. Eine offizielle Anforderungsliste gibt es nicht. Es darf aber weder der Vorstand sein noch der Webmaster – denn die sind gewissermaßen befangen. Es kann auch auf einen externen Datenschutzbeauftragten ausgewichen werden; das wird es künftig im Hinblick auf die Komplexität der Materie immer mehr geben. Ein DSB ist zur Fortbildung freizustellen bzw. verpflichtet.

Was genau sind „personenbezogene Daten“?

In gewerblich tätigen Unternehmen herrscht oft die Fehlvorstellung, dass alles, was irgendwie geheim ist, dem Datenschutz unterliegt. Umfasst sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder jedenfalls bestimmbaren Person. Also etwa Name, Alter, Familienstand, Anschrift, aber auch Rasse, sexuelle Ausrichtung, Parteimitgliedschaft, Religionszugehörigkeit.

Wie sieht es mit dem Datenschutz konkret im Alltag aus? Organisiert beispielsweise jemand den Kirchenkaffee und bittet dafür den Pastor um die Telefonnummer eines anderen Gemeindemitgliedes, darf er diese weitergeben?

Streng genommen darf er das nicht. Er darf es aber dann, wenn dazu eine Einwilligung des betroffenen Gemeindegliedes besteht, also etwa: „Das Team darf mich anrufen, wenn Not am Mann ist“.

Die Einwilligung ist der Dreh- und Angelpunkt beim neuen Datenschutzrecht.

Genau. Die Verarbeitung von Daten ist zulässig, wenn die Betroffenen eingewilligt haben. Ganz wichtig: Die Betroffenen müssen wissen, worin sie einwilligen – man spricht von einer „informierten Einwilligung“. Das bedeutet: Es muss eine Information darüber stattfinden, was mit den Daten passiert. Es ist nicht zulässig, wenn ein Gemeindemitglied pauschal sagt: Hier sind meine Daten, macht damit, was ihr wollt. So erworbene Daten sollten nicht verwendet werden.

Was ist mit Adress- und Mailinglisten von Gemeindemitgliedern?

Wenn alle Betroffenen informiert eingewilligt haben, sollte es kein Problem sein, diese zu verwenden. Aber die Einwilligungen müssen protokolliert werden – da wird alles etwas komplizierter. Man muss also gegebenenfalls eine Liste herumgeben und sich nicht etwa auf Handzeichen verlassen.

Vielen Dank für das Gespräch!

Die Fragen stellte Moritz Breckner

Sie können sich über Disqus, facebook, Twitter oder Google+ anmelden um zu kommentieren. Bitte geben Sie einen Namen, unter dem Ihr Kommentar veröffentlicht wird, und eine E-Mail-Adresse ein. Die E-Mail-Adresse wird nicht veröffentlicht. Um Missbrauch zu vermeiden, werden wir Ihren Kommentar erst nach Prüfung auf unserer Seite freischalten. Wir behalten uns vor, nur sachliche und argumentativ wertvolle Kommentare online zu stellen. Bitte achten Sie auch darauf, dass wir Beiträge mit mehr als 1600 Zeichen nicht veröffentlichen. Mit Abgabe des Kommentars erkennen Sie die Nutzungsbedingungen an.

Datenschutz
Die Technik der Kommentarfunktion "DISQUS" wird von einem externen Unternehmen, der Big Head Labs, Inc., San Francisco/USA., zur Verfügung gestellt. Weitere Informationen, insbesondere darüber, ob und wie personenbezogene Daten erhoben und verarbeitet werden, finden Sie in unserer Datenschutzerklärung.

Moderation
Die Moderation der Kommentare liegt allein beim Christlichen Medienverbund KEP e.V. Allgemein gilt: Kritische Kommentare und Diskussionen sind willkommen, Beschimpfungen / Beleidigungen hingegen werden entfernt. Wie wir moderieren, erklären wir in den Nutzungsbedingungen.

comments powered by Disqus