Datenschutzgrundverordnung
Ein sehr komplexes Thema.
Wir sind nicht berechtigt, Rechtsberatung zu erteilen. Deshalb handelt es sich hier um unverbindliche Einschätzungen.
Die bereits am 25. Mai 2018 in Kraft tretende Datenschutzgrundverordnung
– betrifft uns alle
– ist komplex
– dem Thema muss man sich jetzt widmen (nicht irgendwann)
– das Thema ist Vorstandssache.
Empfohlene Literatur: „Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine“ vom C.H. Beck
(bei Amazon z.T. noch erhältlich, Mitglieder des Paritätischen erhalten es kostenfrei in Kürze zugesendet).
Sowie die „Handreichung: Datenschutz in paritätischen Mitgliedsorganisationen. Ausgewählte Fragen zum Umgang mit personenbezogenen Daten und Geheimnisschutz“. Beinhaltet wichtige Informationen zur Umsetzung der neuen datenschutzrechtlichen Anforderungen.
Fünf Punkte sind unmittelbar relevant:
- Ist auch eure Einrichtung zur Benennung eines Datenschutzbeauftragten verpflichtet, weil „besonders sensible Daten“ verarbeitet werden?
Wir schätzen es so ein, dass alle integrativen Einrichtungen (Gesundheitsdaten) und alle ab 10 Mitarbeitern inklusive Vorständen, die mit Datenverarbeitung in irgendeiner Form befasst sind, einen Datenschutzbeauftragten benötigen. [Es schadet absolut nichts, die Anzahl dieser Personen auf die absolut notwendigen zu beschränken!] Wir können als Datenschutzbeauftragter Herrn Friedrich Böhm aus Bochum empfehlen, der z.B. unsere Einrichtungen Mozartkugeln gut aufgestellt hat. Ob auch alle übrigen einen benennen müssen, lässt sich derzeit nicht rechtssicher beantworten. Der Datenschutzbeauftragte der Stadt Köln gab als unverbindliche Einschätzung, dass die Erhebung des Impfstatus allein noch nicht die Verpflichtung zur Benennung eines Datenschutzbeauftragten auslöst, da es sich hier um keine Kernaufgabe von Kindertagesstätten handelt. Hinsichtlich der Sensibilität von Bildungsdokumentationen gibt es sehr unterschiedliche Einschätzungen – letztlich kommt es ja darauf an, was darin erfasst wird. Der Paritätische bietet hinsichtlich Datenschutz einen Rahmenvertrag an. Den übrigen empfehlen wir, sich mit Herrn Böhm in Verbindung zu setzen. Wer einen Datenschutzbeauftragten ernennt, hat anschließend jemand an Bord, der sich wirklich damit auskennt! Das ist nie falsch! - Homepage: Von außen wahrnehmbar ist zu allererst eure Homepage, ihr gebührt also oberste Priorität.
Im Header oder Footer und von allen Unterseiten her direkt anwählbar muss sich ein Punkt „Datenschutz“ befinden. Dieser muss eindeutig als solches benannt sein. Das Verstecken der Datenschutzhinweise im Impressum, auch der Kontaktseite o.ä. reicht nicht aus. Zu den unter Datenschutz einzupflegenden Hinweisen gibt es diverse Vorlagen im Netz. Sucht direkt nach denjenigen, welche die neue Datenschutzgrundverordnung berücksichtigen! Der Umfang der Hinweise hängt von den durch euch verwendeten Apps und Funktionen auf eurer Homepage ab. Bei der Nutzung von Google Analytics reichte es bislang, auf der Datenschutzseite neben der Erklärung dazu einen Link zu hinterlegen, mit welchem Nutzern ermöglicht wurde, seine Verhaltensüberwachung zu stoppen. Das reicht nach derzeitiger Einschätzung ggf. nicht mehr aus. Der Nutzer sollte, bevor überhaupt irgendwelche Daten von ihm erfasst werden, dieser Tatsache zustimmen. Ihr kennt das vielleicht von diesen nervigen Pop-Up-Fenstern zu den Cookies, denen man zustimmen soll, ehe die eigentliche Seite geladen wird – ungefähr so muss das dann wohl auch unter Umständen für Analysetools umgesetzt werden. Allerdings gibt es inzwischen in den meistern Brwosern die Möglichkeit für den Nutzer selbst, einzustellen, ob er der Übermittlung von Daten zustimmt oder nicht. Inwieweit das die Anbieter von Webseiten ein Stück weit von der aktiven Einholung einer Zustimmung befreit, ist ungeklärt. Newsletter: Es reicht nicht aus, dass irgendwer irgendeine Mailadresse eingibt, um an diese Adresse anschließend Newsletter versenden zu dürfen. Notwendig ist die Rückbestätigung der Mailadresse durch den Inhaber dieser Mailadresse. Viele Apps haben das glücklicherweise bereits umgesetzt-. Kontaktformulare: Müssen einen Hinweis enthalten, wie, wo, wozu und warum überhaupt und bis wann die eingegebenen Daten verarbeitet und gespeichert werden und die Aufklärungsfloskel, dass jeder jederzeit das Recht hat, eine Informnation darüber zu erhalten, welche Daten von ihm gespeichert sind (s.u., Punkt 3.). Außerdem seid ihr so oder so zur Datensicherheit verpflichtet, d.h. Sicherheitsupdates müssen verwendet und aktualisiert werden und wer Kontaktformulare hat (insbesondere solche mit besonders sensiblen Daten, d.h. Kontoverbindungen usw.) werden ihre Seite auf https umstellen müssen. - Neben den ganzen altbekannten Hüten zur Einholung von Fotogenehmigungen von Kindern, Schweigeverpflichtung der Mitarbeiter usw. ist ein brandneuer dabei, das sogenannte Jedermannsrecht auf Auskunft. Jeder darf ab 25. Mai bei euch vorstellig werden und verlangen, dass ihr ihm eine Übersicht aushändigt, welche Informationen zu ihm ihr gespeichert habt, wo, auf welcher rechtlicher Grundlage dies geschieht usw. Ihr müsst also Verzeichnislisten anlegen, für jede Person einzeln. Musterdokumente, die so oder ähnlich (da letztlich EU-Recht!) auch bei uns laufen könnten, sind hier zu finden: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html. Auch im Anhang des Paritätischen gibt es dazu etwas.
- Die Eltern sind proaktiv darüber aufzuklären, sobald sie euch Daten zur Verfügung stellen, was mit diesen geschieht. Das geschieht per Informationsbogen zur Datenverarbeitung, welcher folgende Punkte enthalten muss: Name und Kontaktdaten der Einrichtung/des Ansprechpartners (wenn vorhanden: auch des Datenschutzbeauftragten). Zweck und Rechtsgrundlage der Datenerhebung bzw. Verarbeitung. Wenn Daten weitergereicht werden sollen an externe Stellen, an wen dies geschieht und warum. Eine Information darüber, wann die Daten gelöscht werden. Eine Belehrung über die Rechte (insb. auch das Jedermannsrecht). Die nüchternen Folgen, was geschieht, wenn Daten nicht zur Verfügung gestellt werden (Anmeldung nicht möglich usw.) – aber hier an diesem letzten Punkt nicht unnötig Druck aufbauen, denn niemand darf gezwungen werden, Daten herauszurücken, die genaugenommen nicht wirklich notwendig sind, damit der Dienstleister seiner Aufgabe nachkommen kann. Dieser Vordruck muss ab 25. Mai an alle gehen.
- Werden Dienstleistern von euch Daten zur Verfügung gestellt, z.B. Mitarbeiterdaten zur Erstellung von Personalbuchhaltung, so ist mit diesen Dienstleistern ein sogenannter AVV-Vertrag zu schließen. Darin verpflichtet sich der Dienstleister zur Einhaltung des Datenschutzes (und dass er die Adressen nicht einfach weiterverkauft).