Wer in die entsprechenden Gruppen und Foren sieht, spürt große Verunsicherung. Nichts scheint gesichert zu sein, Angst vor Abmahnungen und Bußgeldern greifen um sich.
Die Unsicherheit ergibt sich auch daraus, dass es schwierig ist zu verstehen, wie die verschiedenen juristischen Normen ineinandergreifen. Wer nur etwas recherchiert, findet schnell abweichende juristische Meinungen, so dass juristische Laien schnell hilflos sind. Panik ist jedoch nicht angebracht.
In einem vorgestern versandten Informationsschreiben unseres Rechtsdezernates heißt es:
Am 24.5.2018 tritt das neue Datenschutzgesetz der EKD in Kraft. Es wurde auf Grund der in allen Mitgliedsstaaten der EU geltenden Datenschutzgrundverordnung erforderlich. Für die Gliedkirchen gilt unmittelbar nur das Datenschutzgesetz der EKD. Die geltende Datenschutzverordnung der Evangelischen Kirche im Rheinland wird an das neue Datenschutzgesetz angepasst. Sie wird wesentlich kürzer sein, weil das Datenschutzgesetz ausführlicher geworden ist und sich sehr viele Regelungen unmittelbar aus dem DSG-EKD ergeben. Die Ihnen aus der Datenschutzverordnung bekannten inhaltlichen Anforderungen an den Datenschutz bleiben erhalten.
Dann wird weiter ausgeführt:
Nur Weniges muss sofort umgesetzt werden.
Für mehrere Neuerungen gelten Übergangsregelungen, manche Pflichten gelten nur intern oder sie sind auf Verlangen zu erfüllen. Dadurch können sich die Leitungsgremien auch noch nach dem 24.5.2018 Schritt für Schritt mit den neuen Anforderungen befassen. Für die Praxis vor Ort ergibt sich folgende Änderung: …
Wichtig ist: Datenschutz ist Leitungsaufgabe. Für die Öffentlichkeitsarbeit im Internet sind in meinen Augen folgende Punkte wichtig:
Datenschutzerklärung
Die Position des EKD-Datenschutzbeauftragten zur Rechtslage ab dem 24. Mai lautet:
Nach Auffassung des BfD EKD wird sich durch die Novellierung des DSG-EKD kein Änderungsbedarf bei gegenwärtig rechtskonformen Datenschutzerklärungen ergeben. Das – unveränderte – TMG ist nach unserer Auffassung nach wie vor die maßgebliche Vorschrift, wenn es um den Inhalt von Datenschutzerklärungen auf Internetseiten geht. Kirchliche Stellen, die gegenwärtig über eine den Vorgaben des § 13 Abs-1 TMG entsprechende Datenschutzerklärung verfügen, können diese daher nach Inkrafttreten des novellierten DSG-EKD am 24.05.2018 weiterverwenden. Es bleibt kirchlichen Stellen natürlich unbenommen, die Datenschutzerklärung um die gemäß § 17 DSG-EKD n.F. (Informationspflichten) erforderlichen Angaben zu ergänzen. Sofern diese Angaben nicht in die Datenschutzerklärung aufgenommen werden, sind sie an anderer Stelle in geeigneter Weise bereitzustellen.
Auch wenn es strittig ist, ob § 13 TMG (Telemediengesetz) ab dem 25.5.2018 noch anwendbar ist oder nicht, empfiehlt es sich, dass die in § 13 TMG vorgesehenen Inhalte alle in der Datenschutzerklärung nach §§ 17 und 25 DSG-EKD enthalten sind. Wir werden eine solche Datenschutzerklärung unseren Gemeinden und Kirchenkreisen zur Verfügung stellen. Dies ist auf jeden Fall gesetzeskonform. Die andere Alterative, die der EKD-Datenschutzbeauftragte auch zulässt, ist für Nutzerinnen und Nutzer einer Website nur verwirrend, wenn auf der Website eine Datenschutzerklärung nach § 13 TMG beibehalten wird und eine weitere nach gemäß § 17 DSG-EKD n.F. (Informationspflichten) an anderer Stelle zusätzlich steht.
Newsletter
Wer Newsletter versendet, tut dies meist in Auftragsdatenverarbeitung. Er kann erstmal durchatmen, denn er hat Zeit. Bestehende Aufträge zur Datenverarbeitung gelten fort, sie müssen bis zum 31.12.2019 angepasst werden. Es können Verträge dann auf das neue DSG-EKD umgestellt werden oder auf Verträge nach DS-GVO, sofern sich der Auftragsdatenverarbeiter der kirchlichen Datenschutzaufsicht „unterwirft“ – so die juristische Terminologie. Die Möglichkeit nach dem neuen DSG-EKD, auch Verträge nach DS-GVO abzuschließen, kann vieles für kirchliche Webmaster vereinfachen, allerdings gibt es noch keine Erfahrungswerte, welche Anbieter bereit sind, sich der kirchlichen Datenschutzaufsicht zu unterstellen.
Immer wenn – so wie beim Anbieten eines Newsletters – personenbezogene Daten verarbeitet werden, bedarf es der Einwilligung, sofern es nicht eine gesetzliche Grundlage dafür gibt. Dazu heißt es im Informationsschreiben unseres Rechtsdezernates:
Schon bisher galt, dass personenbezogene Daten nur auf Grund einer Rechtsgrundlage oder einer Einwilligung verarbeitet werden dürfen. (Das neue Datenschutzgesetz versteht alle Arten des Umgangs mit Daten, z. B. das Erheben, Ordnen, Speichern, Verwenden als Verarbeiten.)
Bisherige Einwilligungen bestehen grundsätzlich fort. Sie müssen aber überprüfen, ob die Einwilligungen den Anforderungen des neuen Datenschutzgesetzes entsprechen. Das wird in der Regel der Fall sein, weil das bisherige und das neue Datenschutzgesetz nicht wesentlich voneinander abweichen.
Dass beim Abo eines Newsletters das so genannte Double-opt-in-Verfahren eingesetzt werden muss, ist bereits jetzt bestehende Rechtslage.
Informationspflichten, Rechenschaftspflichten und technische und organisatorische Maßnahmen zum Datenschutz
Das neue EKD-Datenschutzgesetz gibt Nutzerinnen und Nutzern Informationsrechte, daher müssen sich kirchliche Einrichtungen darauf vorbereiten, wie sie diesen Informationspflichten und Rechenschaftspflichten nachkommen können. Vermutlich werden viele solcher Anfragen in den Pressestellen auflaufen, aber es muss für die Einrichtung geklärt werden, wie solche Anfragen beantwortet werden. Dies gehört zur Verantwortung der Dienststelle. Dies gilt auch für technische und organisatorische Maßnahmen zum Datenschutz und ein IT-Sicherheitskonzept.
DS-GVO schafft Bewusstsein für Datenschutz
Für die Mitarbeitenden in kirchlicher Öffentlichkeitsarbeit ist der Stichtag 25. Mai sicherlich ein gutes Datum, bis dahin zu überprüfen, an welchen Stellen personenbezogene Daten verarbeitet werden und sicherzustellen, dass dies gesetzeskonform geschieht. Viel ist bereits jetzt schon Pflicht, aber es fehlte oft das Bewusstsein dafür. Das Inkrafttreten der EU-Datenschutzgrundverordnung führt dazu, dass das Thema Datenschutz bewusster wahrgenommen wird und Defizite nun sichtbar werden. Wer beispielsweise Newsletter versendet, ohne einen Vertrag zur Auftragsdatenverarbeitung nach EKD-Datenschutzgesetz, durfte es bisher auch nicht. Aber das neue Gesetz ist nun hoffentlich der Anlass, diese Praxis abstellen. Ähnlich bei Cookies, am besten man verschafft sich einen Überblick, welche Cookies der eigene Webserver setzt. Die e-Privacy-Verordnung der EU, die ursprünglich zeitgleich mit der DS-GVO in Kraft teten sollte, lässt vermutlich noch bis 2019 auf sich warten, aber bereits jetzt gilt die Richtlinie 2009/136/EG für Cookies. Wie sich diese EU-Richtlinie zum deutschen Telemediengesetz verhält, diskutieren Fachleute, aber dies sollte einen nicht davon abhalten, falls noch nicht geschehen sofort einen so genannten Cookie-Banner einzusetzen, um eine Opt-in-Lösung für Cookies, die technisch nicht notwendig sind, zu realisieren.
Der 25. Mai – das Inkrafttreten der EU-Datenschutzgrundverordnung – (bzw. der 24. Mai, wenn das neue EKD-Datenschutzgesetz in Kraft tritt) ist daher kein Grund für Panik, sondern Anlass, das umzusetzen, was schon lange Pflicht war – und sich für die Zukunft mehr um den Datenschutz zu kümmern.
3 Antworten zu “DSG-EKD, DS-GVO, TMG, Richtlinie 2009/136/EG und e-Privacy-Verordnung: am 25. Mai geht das Leben weiter”
[…] Nachtrag 18.5.2018: hier ein aktuellerer Blogpost zum Thema […]
[…] und was dies für die kirchliche Öffentlichkeitsarbeit bedeutet. Sowie hier eine Einordnung zu TMG, EKD-DSG, DSGVO etc. von selbiger […]
[…] Datenschutzrechtes passiert? Das Leben geht weiter. Die Anfragen werden etwas geringer. Mein Blogpost zum Datenschutzrecht hat die meisten Zugriffe von allen Artikeln in diesem Jahr. Auf der Homepage des […]