Das Bundesdatenschutzgesetz und die Auswirkungen für Vereine, Religionsgemeinschaften, ...

20.10.2016, letztes Update am 28.10.2016

Lieber Leser,
Dieses Thema wird oft vernachlässigt. Kaum jemand denkt darüber nach. Aber die Folgen sind nicht zu verachten, deshalb trage ich hier einige wichtige Punkte zu diesem wichtigen Thema zusammen.

Was sagt das Bundesdatenschutzgesetz aus?

Wikipedia fast einige Eckpunkte des Bundesdatenschutzgesetzes wie folgt zusammen:
Jede nichtöffentliche Stelle (z. B. Unternehmen), in der zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern, wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymen Übermittlung (Meinungsforschung) verarbeitet werden.
Wenn man über das angegebene Beispiel "Unternehmen" hinausdenkt, betrifft das fast jeden Verein, aber auch die meisten Religionsgemeinschaften (für die katholische und die evangelische Kirche gelten Sonderregelungen) oder andere Organisationen, die personenbezogene Daten elektronisch verarbeiten. Elektronische Datenverarbeitung beginnt dabei recht früh - eine Liste von Email-Adressen oder Telefonnummern, die auf einem Computer vorliegt (und sei es nur als Excel-Liste), erfüllt dieses Kriterium bereits ausreichend. Und die Personen, die Daten verarbeiten, müssen kein offizielles Amt bekleiden - eine ehrenamtliche Tätigkeit, selbst wenn sie nur gelegentlich wahrgenommen wird, reicht hier völlig aus.

Die Pflichten einer solchen Organisation beinhalten laut Wikipedia unter anderem:

• Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
• transparente und dokumentierte EDV (Verfahrensverzeichnis)
• Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§ 9 BDSG nebst Anhang)
• Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

Mit anderen Worten: Auch ein Verein oder eine Religionsgemeinschaft muss darauf vorbereitet sein, dass Betroffene ihre Betroffenenrechte wahrnehmen wollen.
Dies möchte ich an einem Beispiel illustrieren: Ein Verein möchte eine Konferenz mit einigen Workshops (und möglicherweise einigen Gastrednern) durchführen. Zur Raum- und sonstigen Planung ist für diese Konferenz eine Anmeldung nötig, in der von den Gästen neben dem Namen auch die Angabe einer Email-Adresse oder Handynummer obligatorisch ist (weitere personenbezogene Daten wären zum Beispiel der Wohnort (erst recht die Adresse) oder das Alter (erst recht das Geburtsdatum)). Um die Gäste mit einem Newsletter über einige Programmpunkte informieren zu können (zum Beispiel darüber, dass es einen weiteren Workshop gibt, oder um einen Hinweis auf Änderungen im Zeitplan geben zu können), werden diese Daten elektronisch gespeichert, zum Beispiel in einer Excel-Liste oder einer Datenbank. Gehen wir einen Schritt weiter und nehmen an, die Gäste haben sich im Voraus bereits für einen Wunsch-Workshop angemeldet, und ihre Kontaktdaten werden demjenigen weitergegeben, der den Workshop durchführt, damit dieser im Vorfeld die Teilnehmer kontaktieren kann (beispielsweise um den Schwerpunkt des Workshops den Wünschen der Teilnehmher anzupassen).
Was wären in einem solchen Fall die Pflichten des Vereins und der Workshop-Veranstalter?

1. Sie müssten ihren Gästen gegenüber in der Lage sein, Auskunft darüber zu geben, ob und welche personenbezogenen Daten über sie gespeichert sind; der Verein insgesamt, der Workshop-Veranstalter für seinen Workshop.
2. Ferner müssten sie dazu Auskunft geben können, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden.
3. Betroffene haben das Recht, dass falsche personenbezogene Daten berichtigt werden - in unserem Beispiel sind das im Wesentlichen Tippfehler beim Namen, der Email-Adresse oder der Handynummer.
4. Die Gäste haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz (normalerweise der Landes-, manchmal auch der Bundesdatenschutzbehörde).
5. Löschung oder Sperrung der Datensätze ihrer Gäste. Die Daten müssen nicht zwingend gelöscht werden; dürfen aber nicht mehr weiter verwendet werden (wenn man gegebenenfalls von der Rechnungsstellung nach dem Event absieht).
6. Die Gäste haben das Recht, die Übermittlung persönlicher Daten an Dritte zu untersagen.

Diese Betroffenenrechte haben einige praktische Konsequenzen:

• Es sollte ein Datenschutzbeauftragter benannt werden, der über alle Formen der Datenverarbeitung informiert sein muss und auch mit der Vollmacht ausgestattet sein muss, bei Fehlverhalten zu intervenieren.
• Mitarbeiter und Freiwillige müssen über Datenschutzprinzipien aufgeklärt werden und eine Datenschutzerklärung unterschreiben. Der Datenschutzbeauftragte muss auch hier in der Lage sein, die Einhaltung der Regeln zu prüfen!
• Man sollte ausländische Cloud-Anbieter komplett meiden. Deutsche müssen sich wenigstens ebenfalls ans BDSG halten, ein eigener Betrieb der entsprechenden Dienst ist auf jeden Fall zu bevorzugen.
• Die Auskunft zum Verwendungszweck erfordert es beispielsweise, dass die Daten nur unter dem Vorbehalt der korrekten Benutzung an die Workshop-Veranstalter weitergegeben werden dürfen. Der Workshop-Veranstalter darf seine privaten oder geschäftlichen Datenbanken nicht mit den Daten aus dem Workshop füllen, wenn er nicht explizit von jedem Teilnehmer die Erlaubnis eingeholt hat! Also selbst das Speichern der Kontaktdaten in seinem Smartphone setzt ein Einverständnis der Betroffenen voraus! (Hinweis: Darüber hinaus speichern die meisten Smartphones ihre Kontakte bei einem Webdienst, sei es bei Apple (im Fall des iPhones), sei es bei Microsoft (im Falle von Windows Phone) oder sei es bei Google (im Falle von Android der Normalfall, hier gibt es aber die Möglichkeit, eigene Dienste zu verwenden))
• Die Auskunft zum Verwendungszweck erfordert es auch, dass der Verein die Workshop-Veranstalter auf das Datenschutzgesetz verpflichtet: Er muss sich also eigentlich vom Workshop-Veranstalter unterschreiben lassen, dass dieser die Daten nur bestimmungsgemäß (also für die Zwecke des Workshops) verwendet und nicht darüber hinaus.
• Das Recht auf Löschung oder Sperrung der Datensätze erfordert es auch, dass ein entsprechender Wunsch eines Gastes den jeweiligen Workshop-Veranstaltern weitergegeben wird.
• Außerdem folgt aus dem Recht auf Löschung oder Sperrung der Datensätze automatisch, dass man die Hoheit über die Daten niemals ohne Einverständnis der Betroffenen und Verpflichtung auf das Datenschutzgesetz einem Dritten überlässt, weil sie sonst ihre Rechte nicht wahren können. Die Übermittlung kann durch die Gäste ohnehin untersagt werden! Dritte wären zum Beispiel Clouddienste im Internet, die man zur Verarbeitung der Daten heranzieht. Das wären also zum Beispiel Dienste zur Bearbeitung von Dokumenten wie Google Docs; Dienste zur Kommunikation wie Facebook, WhatsApp, Skype, aber auch Maildienste wie Google Mail, GMX, web.de etc; aber auch Dienste zur Terminplanung wie doodle fallen darunter. Viele dieser Dienste erläutern in ihren Nutzungsbedingungen sogar, dass sie die Daten der Nutzer auswerten. Mit anderen Worten: Die Nutzung dieser Dienste ohne die explizite Zustimmung aller Betroffenen ist überhaupt nicht erlaubt! Dienste, bei denen der Anbieter die Daten nur verschlüsselt zu Gesicht bekommt, sind an der Stelle ein Sonderfall, der wohl akzeptabel ist.
• Dritte in diesem Sinn sind auch die Gäste der Konferenz. Statt also alle Empfänger einer Email in "An" oder "Kopie" (bzw. "To" und "Cc") zu stecken, ist es eigentlich das Mindeste, die Mail an sich selbst zu adressieren und alle Empfänger als "Blindkopie" ("Bcc") hinzuzufügen - sonst verteilt man personenbezogene Daten (in diesem Fall Email-Adressen) ohne die Zustimmung der Betroffenen an Dritte!

Und abseits des Bundesdatenschutzgesetzes?

Kunde oder Produkt?

If You're Not Paying For It, You Become The Product
Dieses Zitat ist der Titel eines Artikels bei Forbes. Und es drückt einen Zusammenhang aus, der im Internet allgegenwärtig ist: Viele Dienste kann man zwar - zumindest privat - kostenlos nutzen. Aber hinter den Diensten stehen profitorientierte Unternehmen, die mit diesem Dienstangebot Geld verdienen wollen (und müssen, um nicht pleite zu gehen...). Da die Nutzer aber dieses Geld nicht bringen, muss das auf einem Umweg passieren: Die Daten der Nutzer werden zu Geld gemacht, indem sie beispielsweise entweder direkt oder indirekt an Werbetreibende verkauft werden (es ist hierbei recht bequem für die meisten Firmen, sich auf amerikanisches Recht zu berufen, da sie ja von dort aus operieren. Und die Zustimmung zur Datenverarbeitung und -weitergabe haben die Nutzer bereits bei der Anmeldung gegeben, indem sie die Nutzungsbedingungen des jeweiligen Dienstes akzeptiert haben - ob gelesen oder ungelesen spielt hierbei keine Rolle).
Mit anderen Worten: wer einen Dienst kostenlos nutzt, bezahlt ihn mit der Weitergabe mindestens seiner eigenen Daten.
Es wird aber noch schlimmer: Es werden nämlich nicht nur die Daten des Nutzers selbst verarbeitet, sondern auch seine Metadaten: Wer beispielsweise Google Mail nutzt, stimmt nicht nur zu, dass Google alle Mails dieses Nutzers analysiert, sondern setzt alle Menschen, mit denen er per Mail kommuniziert, denselben Bedingungen aus. Google kennt nicht nur dein persönliches Beziehungsgeflecht sehr genau, sondern auch das Beziehungsgeflecht aller Menschen, mit denen du in Kontakt stehst oder irgendwann mal standest. Wer also Google Mail nutzt, stimmt nicht nur für sich selbst der Datennutzung durch Google zu, sondern auch ohne deren Wissen oder Erlaubnis für alle Menschen, mit denen er in Kontakt tritt. Dasselbe betrifft nicht nur viele andere Maildienste, sondern auch andere Dienste wie Facebook, WhatsApp, ... - man nimmt seine Kontakte in Sippenhaft!

Totalüberwachung

Abgesehen davon, kein Kunde, sondern ein Produkt zu sein, bringt die Nutzung von Clouddiensten eine ganz andere Dimension ins Spiel: Die Totalüberwachung ihrer Anwender. Spätestens seit den Enthüllungen von Edward Snowden (zu vermuten war das bereits lange vorher) wissen wir, dass die Geheimdienste die gesamte Kommunikation überall auf der Welt überwachen, soweit es ihnen möglich ist (ich möchte hierzu an dieser Stelle nicht in die Tiefe gehen, das wäre zu umfangreich. Ich empfehle allerdings zum Einstieg in das Thema die Filme Citizenfour und Snowden, wenngleich diese Filme die Rolle des Bundesnachrichtendienstes völlig außen vor lassen und sich nur um die NSA drehen). Die Clouddienste spielen ihnen dabei in die Karten, da die Daten dort nicht nur nach der Gesetzgebung fast aller Länder an die Dienste übergeben werden müssen, sondern die Dienste ihre Nutzer über eine etwaige Überwachungsmaßnahme auch nicht informieren dürfen. Dieser Überwachung an der Informationsquelle kann man sich nur entziehen, indem man seine relevante Infrastruktur selbst (also entweder als Person, oder als Verein bzw Gruppe von Menschen) betreibt: Also nicht nur einen eigenen Webserver für das Einsammeln der Daten für seine Veranstaltungen, sondern zum Beispiel auch einen eigenen Mailserver. Statt Google Docs könnte man zum Beispiel auf eine eigene Installation von Etherpad zurückgreifen (aber das kann keine Tabellen à la Excel, hierfür wäre zum Beispiel Ethercalc eine Alternative). Statt seine Termine bei Doodle zu planen, wäre eine Installation von dudle sinnvoll. Statt WhatsApp wäre zur Kommunikation ein eigener Jabber-Server hilfreich, als Client käme unter Android zum Beispiel Conversations in Frage. Und statt Skype müsste man dann einen eigenen SIP-Server betreiben und eine entsprechende Client-Software nutzen, eine Liste von möglichen Software-Produkten für diesen Zweck gibt es bei Wikipedia. Und bei jeder Nutzung jedes Webdienstes sollte sich nicht zuerst die Frage stellen, ob der Dienst bequem ist, sondern welche Software man alternativ selbst betreiben kann, um den Dienst nicht zu benötigen.
Hinweis: Insbesondere Angehörige von Religionsgemeinschaften, die in anderen Ländern (erst recht, wenn es ihr Heimatland betrifft) verfolgt werden, sollten über die Nutzung alternative Dienste nachdenken. Das gern genutzte Argument "Ich habe doch nichts zu verbergen" gilt für sie nämlich gerade nicht.

Es gäbe eigentlich noch viel zu diesem Thema zu sagen, aber aus Gründen der Übersichtlichkeit werde ich es erst einmal hierbei belassen. Wer Anmerkungen oder Fragen hat, kann sich jederzeit bei mir melden (Kontaktdaten sind im - für Webseitenbetreiber vorgeschriebenen - Impressum zu finden). Ich kann aber keine kurzfristige Antwort garantieren, manchmal bin ich mit meinen Emails auch ein paar Wochen im Rückstand.