Landesjugendring Hamburg e.V.
Heft DSGVO-Sonderheft 2019, Rubrik Titelthema

Die Grundideen des Datenschutzes

Aus unserem Alltag sind analoge und digitale Informationen nicht mehr wegzudenken. Wir sind umgeben von Geräten, die unsere Daten erheben, verarbeiten, speichern und weiterleiten. Täglich nehmen uns Überwachungskameras (S-Bahn, Bus, Kreuzung) auf. Apps auf unseren Smartphones bieten zahllose Möglichkeiten, Informationen über uns und unser Verhalten zu sammeln, zu speichern und weiterzuleiten. Per GPS kann unser monentaner Standort bestimmt, mit anderen Daten verknüpft und ausgewertet werden. Viele Berechtigungen von Smartphone-Apps geben Dritten zudem Zugriff auf unsere Bilder, Kontakte und Sprachnachrichten. Auch beim Surfen im Internet hinterlassen wir bewusst oder unbewusst Spuren. Wir posten in Sozialen Netzwerken oder werden beim Surfen über Internetseiten hinweg weiterverfolgt (tracking). Ohne Datenschutz droht eine umfassende Überwachung des Bürgers, die seine Freiheit bedroht und sein Recht auf informationelle Selbstbestimmung aushölt.

Die Datenschutzgrundverordnung der EU soll Verbraucher vor umfassender Überwachung schützen. Firmen, Geschäftsleute, Vereine und sonstige Institutionen, die mit persönlichen Daten hantieren, müssen gewisse Standards einhalten, um die Datensicherheit zu gewährleisten. Dabei soll unter anderem Datenverlust, -manipulation und unberechtigter Zugriff verhindert werden. Dies soll dadurch gewährleistet werden, dass Zweckbindung, Transparenz, Datensparsamkeit, Richtigkeit, Speicherbegrenzung (Recht auf Löschen), Integrität und Vertraulichkeit beim Umgang mit personenbezogenen Daten einzuhalten sind.

- - - - - - - - - - - - - - - - - - - - - -
Rechtliche Grundlagen: EU-Datenschutzgrundverordnung (DSGVO) : https://dsgvo-gesetz.de/art-1-dsgvo | Bundesdatenschutzgesetz (BDSG): www.gesetze-im-internet.de/bdsg_2018/index.html | ePrivacy: https://www.datenschutz-bayern.de/0/eprivacyVO.html
- - - - - - - - - - - - - - - - - - - - - -

Grundlage ist das Recht auf informationelle Selbstbestimmung, welches im Grundgesetz, der Europäischen Menschenrechtskonvention und der Allgemeinen Erklärung der Menschenrechte (Art. 12) verankert ist. (Art. 1 und 2 GG, Art. 10 EMK, Art. 12 AEMR)
Die Datenschutzgrundverordnung wird ergänzt durch das Bundesdatenschutzgesetz (BDSG). Dieses Gesetz gilt im Wesentlichen für öffentliche Stellen (Verwaltung) und im privaten Bereich (natürliche und juristische Personen, z. B. Vereine), bei ganz oder teilweiser automatisierter Verarbeitung und außerdem für Beschäftigtendaten. Das BDSG ergänzt die Regeln der DSGVO, weshalb nachfolgend überwiegend die Vorschriften der DSGVO dargestellt werden.

Die ePrivacy-Verordnung (Stand 28.02.2019) soll Vorgaben für datenschutzfreundliche Software-Technik in der elektronischen Kommunikation unterbreiten und die Datenschutzgrundverordnung ergänzen. Die bisher geltende ePrivacy-Richtlinie (2002/58/EG) und die ergänzende Cookie-Richtlinie (2009/136/EG) sollten abgelöst werden. Die Verordnung ist jedoch nicht am 25.5.2018 in Kraft getreten, so dass weiter auf die bisherigen Vorschriften und Gesetze (BDSG, TMG, StGB u. DSGVO) zurückgegriffen werden muss.

1. Begriffe, die immer wieder vorkommen, kurz erklärt:
Alle Informationen, die es ermöglichen natürliche Personen zu identifizieren oder identifizierbar zu machen, werden als personenbezogene Daten bezeichnet. Neben Namen und Geburtsdatum gehören dazu auch besondere Merkmale wie Geschlecht, kulturelle oder wirtschaftliche Informationen. (Art. 4 DSGVO)

Als Verarbeitung werden alle Arbeiten wie das Erheben, Erfassen, Ordnen, Anpassen, Verändern, Auslesen und Abfragen etc. von Daten bezeichnet. Die Verarbeitung umfasst digitale wie ebenso handschriftlich gemachte Vorgänge.

Verantwortliche Stelle sind die Personen, Vereine, Behörden, Einrichtungen oder andere Stellen, die allein oder mit anderen zusammen über die Zwecke und die Mittel der Verarbeitung der Daten entscheiden.

Um Daten zu verarbeiten, muss eine Berechtigung vorliegen: Die Verarbeitung muss einen Grund haben. Juristen nennen das Rechtmäßigkeit der Datenverarbeitung bzw. Rechtsgrundlage. Die DSGVO benennt in Art. 6 mehrere Gründe, nach der die Datenverarbeitung berechtigt ist. Liegt keiner der genannten Gründe vor, dürfen Daten nicht verarbeitet werden. Für Jugendverbände gibt es im Wesentlichen drei Rechtsgrundlagen: die Erfüllung des Vertrages (Mitgliedschaft), dessen Anbahnung, das berechtigte Interesse und die Einwilligung.

Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Bei Jugendverbänden gibt die Satzung den Zweck vor. Der Inhalt des zwischen Mitgliedern und Jugendverband geschlossenen Vertrag bestimmt sich nach der Satzung und evtl. weiteren Regeln wie der Geschäftsordnung.
Dadurch ist auch der Zweck, für den die Daten erhoben werden, klar umrissen. Damit dürfen alle Daten erhoben werden, die zur Verfolgung der Verbandsziele und für die Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum und die Bankverbindung) notwendig sind. Für andere als den Vereinszweck dürfen die Daten nicht – bzw. nur mit anderer Rechtsgrundlage – genutzt werden.

Datenminimierung: Es dürfen nur die Daten erhoben werden, die angemessen und erheblich sind. Die Datenmenge ist auf das notwendige Maß zu beschränken. Wichtig ist darauf zu achten, dass bereits bei der Datenerhebung (Anmeldebögen, Fragebögen etc.) nur die Daten abgefragt werden, die tatsächlich für die Arbeit benötigt werden. Immer wenn Sie denken, das könnte ich mal gebrauchen, sind die Daten zum jetzigen Zeitpunkt nicht notwendig.
Häufig wird vorgeschlagen, die erhobenen Daten zu anonymisieren oder zu pseu-
donymisieren. Das macht im Bereich von Forschung und Analyse Sinn. In der Jugendverbandsarbeit sollen Personen jedoch konkret angesprochen und daher Daten zugeordnet werden können.

Richtigkeit: Die erhobenen und verarbeiteten Daten müssen immer sachlich richtig und auf dem neuesten Stand sein. Es sind angemessene Maßnahmen zu treffen, damit unrichtige Daten aktualisiert werden.

Recht auf Löschung: Daten, die der Identifikation von Personen dienen, dürfen nur solange gespeichert werden, wie dies erforderlich ist. »Wir könnten die Informationen mal gebrauchen« oder »die Neueingabe ist unbequem« sind keine ausreichenden Gründe, Daten länger als notwendig zu speichern. Näheres dazu beschreibt der Abschnitt »Veranstaltungen und Ferienfreizeiten« in diesem Heft.

Integrität und Vertraulichkeit: Es muss gewährleistet werden, dass es Unbefugten nicht möglich ist, Daten zu verändern oder die Daten zur Kenntnis zunehmen. Um die Integrität und Vertraulichkeit zu gewährleisten, sind geeignete organisatorische und technische Maßnahmen zu treffen. Siehe dazu den Abschnitt »Datenschutz in der Geschäftsstelle« in diesem Heft.

Privacy by design und Privacy by default: Zum Schutz der personenbezogenen Daten setzt die DSGVO auf zwei weitere Grundsätze. Die Verantwortlichen sollen interne Strategien festlegen und Maßnahmen ergreifen, durch die personenbezogene Daten geschützt werden können. Dies kann durch technische Maßnahmen (Privacy by design) und durch datenschutzfreundliche Voreinstellungen (Privacy by default) geschehen.
Privacy by design bezieht sich auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen (Software), Diensten und Produkten. Anwendungen und Produkte sollen bereits technisch die Möglichkeit bieten, den Datenschutz zu gewährleisten, wenn z. B. in Formularen nur notwendige Daten eingegeben werden können.
Durch Privacy by default sollen IT-Anwender auch ohne besondere technische Kenntnisse in die Lage versetzt werden, ihren Datenabfluss zu überwachen. So werden Voreinstellungen in IT-Geräten datenschutzfreundlich eingerichtet, z. B. Ortungsfunktionen im Smartphone ausgeschaltet.

2. Schutz von Minderjährigen in der DSGVO
Die DSGVO gewährleistet Minderjährigen bis zur Vollendung des 16. Lebensjahres einen besonderen Schutz. Die allgemeine Regel, dass die Volljährigkeit mit Vollendung des 18. Lebensjahres eintritt, bleibt bestehen. Der Wille der Erziehungsberechtigten – meist der Eltern – ist daher bindend, auch wenn die Jugendlichen einen anderen Wunsch geäußert haben.

Berechtigte Interessen: Basiert die Verarbeitung der Daten auf einer Interessenabwägung, so überwiegen bei Kindern und Personen unter 16 Jahren regelmäßig die schutzwürdigen Interessen der Kinder. Im Alter zwischen 16 und 18 Jahren kann hingegen die Abwägung ergeben, dass die eigenen berechtigten Interessen des Jugendverbandes überwiegen.

Einwilligung: Bis zur Vollendung des 16. Lebensjahres können Kinder und Jugendliche nur bedingt eine Einwilligung in die Verarbeitung der personenbezogenen Daten geben. Ist eine Einwilligung erforderlich (z. B. Anmeldung zur Ferienfahrt per Kontaktformular), müssen Jugendverbände besondere Vorkehrungen treffen, um sich zu vergewissern, dass die Einwilligung durch die Erziehungsberechtigten für das Kind oder mit dessen Zustimmung erteilt wurde.