Am 25. Mai 2018 tritt die neue EU-Datenschutzverordnung in Kraft – und sorgt für Verunsicherung bei vielen Website-Admins. Wir haben mit dem Datenschutzbeauftragten des Deutschen Caritasverbandes, Rechtsanwalt Ziar Kabir, gesprochen und ihn gefragt, worauf wir mit unseren Caritas-Webauftritten achten müssen.
Herr Kabir, die neue EU-Datenschutzverordnung tritt am 25. Mai 2018 in Kraft – und sorgt auch in den Reihen der Caritas für Unruhe. Sind die Auswirkungen auf unsere Arbeit tatsächlich so gravierend?
Das kommt darauf an, wie gut man sich in der Vergangenheit aufgestellt hat. Aber der Reihe nach. Zunächst einmal ist zu berücksichtigen, dass für die Caritas das Gesetz über den Kirchlichen Datenschutz (KDG) gilt. Das ist möglich, weil die Kirche laut EU-Datenschutzgrundverordnung (EU-DSGVO) den Datenschutz selbst regeln darf. Allerdings müssen alle Bestimmungen des KDG im Einklang mit der EU-DSGVO stehen. Sehr viele Regelungen sind also inhaltsgleich.
Bereits die derzeit gültige Regelung zum Datenschutz sieht Formalia wie Verfahrensverzeichnisse (Dokumentation des Umgangs mit personenbezogenen Daten, Anm. d. Redaktion), Auftragsdatenverarbeitung (Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im eigenen Auftrag, Anm. d. Redaktion) und Betroffenenrechte (Rechte jeder Einzelperson gegenüber den für die Verarbeitung Verantwortlichen, Anm. d. Redaktion) vor. Diese Formalia wird es auch nach dem 25. Mai geben. Allerdings kommen noch einige neue Punkte hinzu. Wer diese noch nicht auf dem Schirm hat, muss jetzt schnell seine Hausaufgaben erledigen.
Was sind beispielsweise neue Punkte und wie sehen die Hausaufgaben aus?
Die Caritas muss ab dem 25. Mai beispielsweise ihrer Informationspflicht gegenüber Betroffenen wie zum Beispiel Spender(inne)n oder Mitarbeitenden nachkommen. Welche Informationen man preiszugeben hat, ergibt sich aus §§ 15 und 16 KDG. Unterschieden wird in diesen beiden Vorschriften, ob die Daten unmittelbar bei der betroffenen Person selbst erhoben wurden oder nicht. Diese Information kann der jeweilige Verband grundsätzlich selbst geben, da sich die Inhalte unmittelbar aus dem Gesetz ergeben. Darüber hinaus hat der jeweilige Verband eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Form der Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person bedeutet. Um diese Abschätzung vornehmen zu können, soll es Hilfestellungen der Aufsichtsbehörden geben, so dass man auch dies grundsätzlich selber machen kann.
Wie unterscheidet sich die EU-Verordnung vom kirchlichen Gesetz?
Grundsätzlich gibt es kaum Unterschiede. Der Grund hierfür: Das kirchliche Datenschutzrecht muss mit dem weltlichen im Einklang stehen. Es gibt allerdings die eine oder andere Besonderheit. So ist beispielsweise bei der Bußgeldregelung in der KDG ein maximales Bußgeld in Höhe von „lediglich“ 500.000 Euro geregelt. Im weltlichen Recht liegt das deutlich höher. Allerdings sieht das KDG eine Ausnahme. Gegen kirchliche Stellen können, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, überhaupt keine Geldbußen verhängt werden. Einzige Ausnahme: Kirchliche Institutionen nehmen als Unternehmen am marktwirtschaftlichen Wettbewerb teil. Dann können auch sie bei Verstößen gegen den Datenschutz mit bis zu 500.000 Euro belangt werden.
Wie sieht es mit der Datenweitergabe aus?
Auch hier gibt es eine weitere Besonderheit im KDG. Diese findet sich in § 29 Abs. 11. Hier wird die Auftragsverarbeitung geregelt. Nach der neuen Vorschrift darf der Auftragsverarbeiter beziehungsweise der Dienstleister personenbezogene Daten nur innerhalb der Mitgliedstaaten der Europäischen Union (EU) oder innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten. Für eine Verarbeitung außerhalb ist die Zustimmung der Datenschutzaufsicht erforderlich. Die Aufsichtsbehörde kann die Verarbeitung zulassen, wenn sie selbst oder eine andere Aufsichtsbehörde festgestellt hat, dass an dem Ort, wo die Daten weiterverarbeitet werden, ein angemessenes Datenschutzniveau besteht. Diese Regelung ist daher bei jedem Dienstleister, mit dem man im Web arbeitet, genau zu prüfen. Es kommt nämlich immer wieder vor, dass Dienstleister mit Subunternehmern außerhalb der EU oder des EWR zusammenarbeiten. Dies ist rechtlich ab dem 25. Mai so ohne weiteres nicht mehr erlaubt.
Besonders groß ist die Verunsicherung bei Website-Betreibern und Admins. Worauf müssen diese künftig verstärkt achten?
Die Verunsicherung kann ich nachvollziehen. Auf die System-Administratoren der Caritas kommen schon jetzt viele Datenschutz-Anfragen zu. Meist geht es darum, dass die Mitarbeiter wissen wollen, wie genau die datenschutzrechtlichen Anforderungen umzusetzen sind. Insbesondere Auskunftsersuchen oder der Antrag auf Löschung von personenbezogenen Daten sind in den meisten Fällen ohne Unterstützung der IT nicht möglich. Die Möglichkeit zur Anonymisierung oder Pseudonymisierung der Daten besteht für Anwenderinnen und Anwender nicht. Daher sind auch Nacharbeiten am Code von Websites in vielen Fällen erforderlich.
Welche Anpassungen an der eigenen Website sollten aus Ihrer Sicht bis zum 25. Mai unbedingt umgesetzt sein?
Ich empfehle dringend, die Datenschutzerklärung auf der Homepage anzupassen. Ebenso sollte die Website, soweit noch nicht schon geschehen, HTTPS-verschlüsselt werden. Es wird zwar offiziell verlangt, dass nur Seiten, auf denen personenbezogene Daten eingegeben werden können (zum Beispiel Kontaktformulare), zu verschlüsseln sind, meine Empfehlung ist aber: Gleich die ganze Website verschlüsseln.
Welche Konsequenzen hat es, wenn ich es nicht schaffe, die Website bis zum Inkrafttreten der Verordnung zu 100 Prozent datenschutzkonform zu bekommen?
Das Schlimmste, was passieren kann: Sie werden von findigen Anwälten abgemahnt. Das kann dann teuer werden und ist aus meiner Sicht als Datenschutzbeauftragter leider auch etwas peinlich.
Werden wir konkreter: Ich habe auf meiner Website ein Formular eingebaut, das im Hintergrund einen Datensatz erzeugt, beispielsweise für die Anmeldung zum Newsletter (siehe Beispielbild). Kann ich das einfach so lassen?
Der Grundsatz der Datenminimierung besagt, dass ich grundsätzlich nur die Daten erheben und verarbeiten darf, die ich für die Vertragserfüllung benötige. Die Abmeldung darf keine hohen Hürden haben. Ich meine daher, dass das Formular so, wie es ist, ausreicht. Allerdings müssen Sie die Betroffenen in der Datenschutzerklärung über die Rechtsgrundlage informieren.
Anderes Beispiel: Eine Person meldet sich, die über die Website vor geraumer Zeit einem Spendenaufruf gefolgt ist – und will sämtliche von ihr gespeicherten Daten zugestellt bekommen. Muss ich dieser Aufforderung zeitnah nachkommen?
Ja, die betroffene Person macht von ihrem Auskunftsrecht Gebrauch. Welche Informationen Sie mitzuteilen haben, ergibt sich aus § 17 KDG. Man könnte sich aber auch auf den Standpunkt stellen, dass Betroffene kein Auskunftsrecht haben, da sie durch die schriftliche Bestätigung der getätigten Spende bereits über alle relevanten Informationen verfügten, so dass die Betroffenen wissen sollten, welche Daten von ihnen zur Verfügung gestellt wurden. Ich würde hiervon aber immer abraten. Das kommt nicht gut an. Zum anderen trägt die Caritas immer die Beweislast dafür, dass die Betroffenen tatsächlich die Informationen zum Abgleich erhalten haben. Dies wird – aus meiner Sicht – im Zweifel schwer nachzuweisen sein.
Weitere Infos zum Thema:
- Fachartikel der neuen caritas: Datenschutz erhält mehr Gewicht
- Interview Caritas in NRW: Rechte der Klienten werden gestärkt
Zur Person: Ziar Kabir ist Rechtsanwalt und Geschäftsführer der SCO-CON:SULT GmbH. Seine Datenschutzexpertise weist er durch regelmäßige Fortbildungen nach. Darüber hinaus ist er sowohl „GDDcert.“- als auch „GDDCert. EU“-zertifiziert. Den Deutschen Caritasverband berät er in datenschutzrechtlichen Fragen seit Januar 2015.