Gott gehabt!

Das Bundesdatenschutzgesetz und die Auswirkungen für Vereine, Religionsgemeinschaften, ...

20.10.2016, letztes Update am 28.10.2016

Lieber Leser,
Dieses Thema wird oft vernachlässigt. Kaum jemand denkt darüber nach. Aber die Folgen sind nicht zu verachten, deshalb trage ich hier einige wichtige Punkte zu diesem wichtigen Thema zusammen.

Was sagt das Bundesdatenschutzgesetz aus?

Wikipedia fast einige Eckpunkte des Bundesdatenschutzgesetzes wie folgt zusammen:
Jede nichtöffentliche Stelle (z. B. Unternehmen), in der zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern, wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymen Übermittlung (Meinungsforschung) verarbeitet werden.
Wenn man über das angegebene Beispiel "Unternehmen" hinausdenkt, betrifft das fast jeden Verein, aber auch die meisten Religionsgemeinschaften (für die katholische und die evangelische Kirche gelten Sonderregelungen) oder andere Organisationen, die personenbezogene Daten elektronisch verarbeiten. Elektronische Datenverarbeitung beginnt dabei recht früh - eine Liste von Email-Adressen oder Telefonnummern, die auf einem Computer vorliegt (und sei es nur als Excel-Liste), erfüllt dieses Kriterium bereits ausreichend. Und die Personen, die Daten verarbeiten, müssen kein offizielles Amt bekleiden - eine ehrenamtliche Tätigkeit, selbst wenn sie nur gelegentlich wahrgenommen wird, reicht hier völlig aus.

Die Pflichten einer solchen Organisation beinhalten laut Wikipedia unter anderem: Mit anderen Worten: Auch ein Verein oder eine Religionsgemeinschaft muss darauf vorbereitet sein, dass Betroffene ihre Betroffenenrechte wahrnehmen wollen.
Dies möchte ich an einem Beispiel illustrieren: Ein Verein möchte eine Konferenz mit einigen Workshops (und möglicherweise einigen Gastrednern) durchführen. Zur Raum- und sonstigen Planung ist für diese Konferenz eine Anmeldung nötig, in der von den Gästen neben dem Namen auch die Angabe einer Email-Adresse oder Handynummer obligatorisch ist (weitere personenbezogene Daten wären zum Beispiel der Wohnort (erst recht die Adresse) oder das Alter (erst recht das Geburtsdatum)). Um die Gäste mit einem Newsletter über einige Programmpunkte informieren zu können (zum Beispiel darüber, dass es einen weiteren Workshop gibt, oder um einen Hinweis auf Änderungen im Zeitplan geben zu können), werden diese Daten elektronisch gespeichert, zum Beispiel in einer Excel-Liste oder einer Datenbank. Gehen wir einen Schritt weiter und nehmen an, die Gäste haben sich im Voraus bereits für einen Wunsch-Workshop angemeldet, und ihre Kontaktdaten werden demjenigen weitergegeben, der den Workshop durchführt, damit dieser im Vorfeld die Teilnehmer kontaktieren kann (beispielsweise um den Schwerpunkt des Workshops den Wünschen der Teilnehmher anzupassen).
Was wären in einem solchen Fall die Pflichten des Vereins und der Workshop-Veranstalter?
  1. Sie müssten ihren Gästen gegenüber in der Lage sein, Auskunft darüber zu geben, ob und welche personenbezogenen Daten über sie gespeichert sind; der Verein insgesamt, der Workshop-Veranstalter für seinen Workshop.
  2. Ferner müssten sie dazu Auskunft geben können, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden.
  3. Betroffene haben das Recht, dass falsche personenbezogene Daten berichtigt werden - in unserem Beispiel sind das im Wesentlichen Tippfehler beim Namen, der Email-Adresse oder der Handynummer.
  4. Die Gäste haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz (normalerweise der Landes-, manchmal auch der Bundesdatenschutzbehörde).
  5. Löschung oder Sperrung der Datensätze ihrer Gäste. Die Daten müssen nicht zwingend gelöscht werden; dürfen aber nicht mehr weiter verwendet werden (wenn man gegebenenfalls von der Rechnungsstellung nach dem Event absieht).
  6. Die Gäste haben das Recht, die Übermittlung persönlicher Daten an Dritte zu untersagen.
Diese Betroffenenrechte haben einige praktische Konsequenzen:

Und abseits des Bundesdatenschutzgesetzes?

Kunde oder Produkt?

If You're Not Paying For It, You Become The Product
Dieses Zitat ist der Titel eines Artikels bei Forbes. Und es drückt einen Zusammenhang aus, der im Internet allgegenwärtig ist: Viele Dienste kann man zwar - zumindest privat - kostenlos nutzen. Aber hinter den Diensten stehen profitorientierte Unternehmen, die mit diesem Dienstangebot Geld verdienen wollen (und müssen, um nicht pleite zu gehen...). Da die Nutzer aber dieses Geld nicht bringen, muss das auf einem Umweg passieren: Die Daten der Nutzer werden zu Geld gemacht, indem sie beispielsweise entweder direkt oder indirekt an Werbetreibende verkauft werden (es ist hierbei recht bequem für die meisten Firmen, sich auf amerikanisches Recht zu berufen, da sie ja von dort aus operieren. Und die Zustimmung zur Datenverarbeitung und -weitergabe haben die Nutzer bereits bei der Anmeldung gegeben, indem sie die Nutzungsbedingungen des jeweiligen Dienstes akzeptiert haben - ob gelesen oder ungelesen spielt hierbei keine Rolle).
Mit anderen Worten: wer einen Dienst kostenlos nutzt, bezahlt ihn mit der Weitergabe mindestens seiner eigenen Daten.
Es wird aber noch schlimmer: Es werden nämlich nicht nur die Daten des Nutzers selbst verarbeitet, sondern auch seine Metadaten: Wer beispielsweise Google Mail nutzt, stimmt nicht nur zu, dass Google alle Mails dieses Nutzers analysiert, sondern setzt alle Menschen, mit denen er per Mail kommuniziert, denselben Bedingungen aus. Google kennt nicht nur dein persönliches Beziehungsgeflecht sehr genau, sondern auch das Beziehungsgeflecht aller Menschen, mit denen du in Kontakt stehst oder irgendwann mal standest. Wer also Google Mail nutzt, stimmt nicht nur für sich selbst der Datennutzung durch Google zu, sondern auch ohne deren Wissen oder Erlaubnis für alle Menschen, mit denen er in Kontakt tritt. Dasselbe betrifft nicht nur viele andere Maildienste, sondern auch andere Dienste wie Facebook, WhatsApp, ... - man nimmt seine Kontakte in Sippenhaft!

Totalüberwachung

Abgesehen davon, kein Kunde, sondern ein Produkt zu sein, bringt die Nutzung von Clouddiensten eine ganz andere Dimension ins Spiel: Die Totalüberwachung ihrer Anwender. Spätestens seit den Enthüllungen von Edward Snowden (zu vermuten war das bereits lange vorher) wissen wir, dass die Geheimdienste die gesamte Kommunikation überall auf der Welt überwachen, soweit es ihnen möglich ist (ich möchte hierzu an dieser Stelle nicht in die Tiefe gehen, das wäre zu umfangreich. Ich empfehle allerdings zum Einstieg in das Thema die Filme Citizenfour und Snowden, wenngleich diese Filme die Rolle des Bundesnachrichtendienstes völlig außen vor lassen und sich nur um die NSA drehen). Die Clouddienste spielen ihnen dabei in die Karten, da die Daten dort nicht nur nach der Gesetzgebung fast aller Länder an die Dienste übergeben werden müssen, sondern die Dienste ihre Nutzer über eine etwaige Überwachungsmaßnahme auch nicht informieren dürfen. Dieser Überwachung an der Informationsquelle kann man sich nur entziehen, indem man seine relevante Infrastruktur selbst (also entweder als Person, oder als Verein bzw Gruppe von Menschen) betreibt: Also nicht nur einen eigenen Webserver für das Einsammeln der Daten für seine Veranstaltungen, sondern zum Beispiel auch einen eigenen Mailserver. Statt Google Docs könnte man zum Beispiel auf eine eigene Installation von Etherpad zurückgreifen (aber das kann keine Tabellen à la Excel, hierfür wäre zum Beispiel Ethercalc eine Alternative). Statt seine Termine bei Doodle zu planen, wäre eine Installation von dudle sinnvoll. Statt WhatsApp wäre zur Kommunikation ein eigener Jabber-Server hilfreich, als Client käme unter Android zum Beispiel Conversations in Frage. Und statt Skype müsste man dann einen eigenen SIP-Server betreiben und eine entsprechende Client-Software nutzen, eine Liste von möglichen Software-Produkten für diesen Zweck gibt es bei Wikipedia. Und bei jeder Nutzung jedes Webdienstes sollte sich nicht zuerst die Frage stellen, ob der Dienst bequem ist, sondern welche Software man alternativ selbst betreiben kann, um den Dienst nicht zu benötigen.
Hinweis: Insbesondere Angehörige von Religionsgemeinschaften, die in anderen Ländern (erst recht, wenn es ihr Heimatland betrifft) verfolgt werden, sollten über die Nutzung alternative Dienste nachdenken. Das gern genutzte Argument "Ich habe doch nichts zu verbergen" gilt für sie nämlich gerade nicht.

Es gäbe eigentlich noch viel zu diesem Thema zu sagen, aber aus Gründen der Übersichtlichkeit werde ich es erst einmal hierbei belassen. Wer Anmerkungen oder Fragen hat, kann sich jederzeit bei mir melden (Kontaktdaten sind im - für Webseitenbetreiber vorgeschriebenen - Impressum zu finden). Ich kann aber keine kurzfristige Antwort garantieren, manchmal bin ich mit meinen Emails auch ein paar Wochen im Rückstand.