Datenschutz ist Chefsache

Daten(träger) müssen während der gesamten Spanne der Erhebung, der Nutzung und schließlich Löschung/Entsorgung der Daten sorgsam verwaltet werden.Fotolia/Stockfotos-MG

Das neue Datenschutzgesetz sorgt für eine einheitliche Anwendung des Datenschutzes innerhalb der Europäischen Union. Somit betrifft es Unternehmen, karitative sowie kirchliche Einrichtungen, Vereine und sonstige Stellen, die mit personenbezogenen Daten in Berührung kommen, gleichermaßen. Im Umkehrschluss heißt das, dass sämtliche Stellen, die personenbezogene Daten verarbeiten, auf einen Nenner mit der neuen Datenschutzgrundverordnung (DSGVO) gebracht werden müssen.

Datenschutz von A bis Z

Die größte Herausforderung dürfte wohl sein, sämtlichen gesetzlichen Anforderungen Genüge zu tun, unabhängig ob von Mitarbeiter(inne)n aus kirchlichen oder privaten Einrichtungen, von Betreuungsvereinen, Vereinsbetreuer(inne)n oder gar ehrenamtlichen Betreuer(inne)n, beginnend von der Auftragsdatenverarbeitung bis zur Zweckbindung. Da fällt es nicht leicht, den Überblick über den Paragrafendschungel zu behalten. Insbesondere, da sich das neue Gesetz über den kirchlichen Datenschutz (KDG) stark an der DSGVO orientiert. Mit definierten Prozessen und Einteilung in verschiedene Verantwortungsbereiche lässt sich der Datenschutz im Unternehmen umsetzen.

Was bleibt, was kommt?

Jeder, der sich schon jetzt mit dem Datenschutz auseinandergesetzt hat und in Berührung gekommen ist, weiß, dass das Datenschutzgesetz in Deutschland schon streng gefasst wurde. Bestehende Prozesse müssen angepasst, neue Anforderungen umgesetzt werden. Weiterhin wird auch ein Verzeichnis über die Verarbeitungsvorgänge zu führen sein. Unterschied zu vorher: Es muss gemäß § 31 KDG beziehungsweise Art. 30 DSGVO noch ein Verzeichnis über Verarbeitungstätigkeiten geführt werden. Erfasst werden müssen sämtliche Vorgänge, in denen personenbezogene Daten verarbeitet werden (beispielsweise Personaldaten, Spenden, Kontaktformulare etc.).

Praxistipp: Setzen Sie sich rechtzeitig mit den Abteilungsleitern zusammen und erörtern Sie gemeinsam, wann und wo personenbezogene Daten erhoben werden. Dies hilft, einen Überblick darüber zu bekommen, welche Vorgänge in das Verzeichnis übertragen werden müssen. Bei dem Verzeichnis handelt es sich im optimalen Fall um ein "lebendiges" Dokument, welches regelmäßig angepasst und überarbeitet wird.

Nach der Auflistung der Verarbeitungsvorgänge müssen diese einzeln einer Risikoanalyse unterzogen werden. Hier wird bestimmt, welche Vorgänge einem geringen oder einem hohen Risiko unterliegen und welche Vorkehrungen und organisatorischen Maßnahmen den Risikoklassen entsprechend vorgenommen werden müssen.

Zweckbindung und Rechenschaftspflicht

Darf ich die personenbezogenen Daten verarbeiten? Grundsätzlich ist die Antwort erstmal: nein. Jede Verarbeitung, auch das Erheben von personenbezogenen Daten, muss gemäß § 6 KDG beziehungsweise Art. 6 DSGVO immer rechtmäßig sein. Darüber hinaus gilt es, die Grundsätze der Verarbeitung von personenbezogenen Daten zu beachten. Die Grundsätze einer ordnungsgemäßen Verarbeitung nach § 7 KDG beziehungsweise Art. 5 DSGVO sind Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Zusammenfassend bedeutet dies, dass Sie weiterhin so wenig Daten wie nötig und nur für einen bestimmten Zweck verarbeiten. Die Daten sollten richtig sein und müssen gelöscht werden, wenn der Zweck entfällt, für den die Daten erhoben wurden. Gesetzliche Aufbewahrungsfristen bleiben zu beachten. Ein weiterer wichtiger Grundsatz ist die neue Rechenschaftspflicht. Sie müssen zu jederzeit nachweisen können, dass Sie die Grundsätze auch einhalten.

Besonderheit - die Einwilligung

Liegen keine anderen Voraussetzungen vor und die Verarbeitung beruht auf einer Einwilligung des Betroffenen (beispielsweise Newsletter, Kontaktformular Websites, Anamnesebogen), so müssen die Einwilligungen bestimmte Bedingungen gemäß § 8 KDG beziehungsweise Art. 7, 8 DSGVO erfüllen. Als verantwortliche Stelle müssen Sie nachweisen können, dass der Betroffene auch tatsächlich in die Verarbeitung eingewilligt hat. Die Einwilligungen sollten immer schriftlich eingeholt werden. Die Einwilligung muss in verständlicher und leicht zugänglicher Form und in einer einfachen und klaren Sprache erfolgen. Die betroffene Person muss wissen, worin sie einwilligt. Jede(r) Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. Diese Widerrufserklärung sollten Sie mit in die Einwilligungserklärung aufnehmen.

Handelt es sich bei der betroffenen Person um ein Kind, dann ist die Einwilligung in die Verarbeitung seiner personenbezogenen Daten nur dann wirksam, wenn das Kind das 16. Lebensjahr vollendet hat. Anderenfalls bedarf es der Zustimmung des Sorgeberechtigten!

Ausnahme: Hat das Kind das 13. Lebensjahr vollendet, benötigt es keine Zustimmung des Sorgeberechtigten, wenn es sich um eine Beratungsleistung im sozialen Bereich handelt. Es soll ermöglicht werden, dass das Kind sich Hilfe einholen kann, wenn es sich zum Beispiel um familiäre Angelegenheiten handelt.

Wer ist eine betroffene Person?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Werden von einer natürlichen Person Informationen erhoben, so ist sie eine betroffene Person. Neu ist, dass dem/der Betroffenen zukünftig mehr Rechte eingeräumt werden. Die bereits bekannten Rechte wurden optimiert und durch Informationspflicht, "Recht auf Vergessenwerden", Datenübertragbarkeit, Einschränkung und Mitteilungspflicht ergänzt (§§ 15-23 KDG beziehungsweise Art. 13-21 DSGVO).

Die Informationspflicht dürfte zu Beginn ein Holperstein werden. Da die Informationspflicht sehr umfangreich ist, sind die Überlegungen groß, wie man am besten alle Vorgaben unter einen Hut bekommt. Mit den Informationspflichten soll der/die Betroffene über die Verarbeitung seiner Daten informiert werden, und zwar zum Zeitpunkt der Datenerhebung.

Praxistipp: Immer da, wo personenbezogene Daten erhoben werden, besteht die Pflicht, den Betroffenen ausreichend und nach den gesetzlichen Vorgaben über die Verarbeitung seiner Daten zu informieren. Diese Informationspflicht betrifft alle Unternehmensbereiche (zum Beispiel Personalabteilung, Vertrieb, Marketing etc.)!

Wie die Informationspflichten sind auch die anderen Rechte der Betroffenen zu beachten. Wichtig ist hier, festzulegen, wer für die Abwicklung der Anfragen verantwortlich ist und die Ansprüche entsprechend durchführt. Damit nicht einfach willkürlich etwa bei einem Auskunftsanspruch die Daten an die falsche Person ausgegeben werden, sollte unbedingt beachtet ­werden, dass die anfragende Person auch ordnungsgemäß authentifiziert wird. Dies sollte der erste Schritt einer jeden Anfrage sein.

Sicherheit der Verarbeitung

Zu den Voraussetzungen bei der Verarbeitung personenbezogener Daten gehört ebenfalls, dem Risiko entsprechende Schutzmaßnahmen zu treffen. In diesem Zusammenhang haben der Verantwortliche und ebenfalls der Auftragsverarbeiter - gemäß § 26 KDG beziehungsweise Art. 32 DSGVO - unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen. Hiermit soll gewährleistet werden, dass dem Betroffenen durch die Verarbeitung seiner personenbezogenen Daten kein Schaden entsteht. Praxistipp: Die Umsetzung der geforderten technischen und organisatorischen Maßnahmen lässt sich am Besten in Zusammenarbeit mit dem Datenschutzbeauftragten und der IT-Abteilung realisieren!

Ungewollter Datenabfluss - Datenpanne

Trotz größter gebotener Sorgfalt bleibt immer ein Restrisiko, dass personenbezogene Daten abfließen können. Tritt ein solcher Fall ein, ist höchste Eile geboten, denn gemäß § 33 KDG beziehungsweise Art. 33 DSGVO ist bei einer Datenpanne die Datenschutzaufsicht innerhalb von 72 Stunden zu benachrichtigen. Beispiele eines Datenabflusses sind der Verlust eines Datenträgers, auf dem personenbezogene Daten gespeichert sind, das Versenden an eine falsche Faxnummer, Hackerangriffe, Nutzung von unsicheren Messenger-Diensten etc.

Praxistipp: Legen Sie einen Prozess fest, um die 72-Stunden-Frist einhalten zu können. Ziehen Sie auf jeden Fall immer den Datenschutzbeauftragten hinzu.

Schadensersatzansprüche und Bußgelder - wer haftet?

Datenschutz ist Chefsache. Das machen die DSGVO und somit auch der kirchliche Datenschutz deutlich. Die Geschäftsführung beziehungsweise der Vorstand ist für die Umsetzung und Durchführung der Datenschutzvorschriften verantwortlich. Entsteht einer Person durch die Verarbeitung seiner Daten ein materieller oder immaterieller Schaden, so haftet gemäß § 50 KDG beziehungsweise Art. 82 DSGVO der Verantwortliche. Dies bedeutet allerdings nicht, dass jeder Einzelne, der mit der Verarbeitung von personenbezogenen Daten zu tun hat, sich seiner eigenen Verantwortung entziehen kann. Die Mithilfe der Mitarbeiter(innen) ist unabdingbar, damit ein reibungsloser Ablauf in der Umsetzung der Datenschutzvorschriften geschaffen werden kann.

Praxistipp: Wenn Sie mit der Verarbeitung von personenbezogenen Daten zu tun haben, überlegen Sie sich auch hier immer, wie Sie möchten, dass man mit Ihren Daten umgeht. Seien Sie offen für die Umsetzung der Datenschutzvorschriften.

Um deutlich zu machen, wie wichtig die Umsetzung und Einhaltung der Datenschutzvorschriften ist, wurden die Bußgelder bei Nichtbeachtung drastisch erhöht. Die Bußgelder können sich hierbei gemäß § 51 KDG auf 300.000 Euro belaufen.

Verantwortlichkeiten müssen festgelegt werden

Der Datenschutz hat zunehmend an Bedeutung gewonnen. Legen Sie daher schon jetzt intern die Verantwortlichkeiten fest. Bestimmen Sie, wer sich um welche Abläufe kümmert. Ihr Datenschutzbeauftragter steht Ihnen bei allen Fragen und Umsetzungen zur Seite. Machen Sie daher Ihre Mitarbeiter(innen) auf Ihren Datenschutzbeauftragten aufmerksam und sensibilisieren Sie Ihre Mitarbeiter(innen), den Datenschutzbeauftragten bei Unklarheiten jederzeit zu kontaktieren.