Werden personenbezogene Daten verarbeitet, ist die verantwortliche Stelle verpflichtet, bei unmittelbarer und mittelbarer Erhebung den von der Verarbeitung betroffenen Personen bestimmte Informationen zur Verfügung zu stellen. Damit soll eine faire und transparente Datenverarbeitung gewährleistet und Betroffene in die Lage versetzt werden, ihre Rechte angemessen ausüben zu können. Die Transparenz gehört zu den Grundsätzen der Datenverarbeitung (§ 5 Abs. 1 Nr. 1 DSG-EKD), deren Einhaltung nachzuweisen ist.
Eine bedingungslose vorverlagerte Transparenzpflicht, also die Pflicht zur sofortigen Information für die verantwortliche Stelle zum Zeitpunkt der Direkterhebung beim Betroffenen (§ 17 Abs. 1 DSG-EKD) – wie es für Anwender der Datenschutzgrundverordnung (Art. 13 Abs. 1 DSGVO) bzw. des Katholischen Datenschutzgesetzes (§ 15 Abs. 1 KDG) gilt – gibt es im DSG-EKD nicht. Auch der zur Verfügung zu stellende Datenkatalog ist nach DSGVO bzw. KDG umfangreicher als nach dem DSG-EKD.
Die verantwortliche Stelle muss jederzeit auf die Informationspflicht vorbereitet sein. Es wird empfohlen, entsprechende Informationsblätter vorzuhalten bzw. auszuhändigen oder darauf zu verweisen. Dies ist mit geringerem Aufwand verbunden, als Auskunftsersuchen Betroffener nach § 19 DSG-EKD zu bearbeiten. Die Nicht-Erfüllung der Transparenzpflichten ist ein Verstoß gegen Datenschutzbestimmungen, der von der Datenschutzaufsicht sanktioniert werden kann.
Informationspflicht bei Direkterhebung nach § 17 DSG-EKD:
Anwender des DSG-EKD müssen bei Erhebung beim Betroffenen die Informationen nach § 17 DSG-EKD (erst) auf Verlangen zur Verfügung stellen. Das Verlangen scheint ein Vorteil zu sein. Jedoch besteht die Informationspflicht solange für die Verarbeitung weitere Daten erhoben werden.
Sollen die Daten zu einem anderen Zweck verarbeitet werden, muss die verantwortliche Stelle vor dieser Weiterverarbeitung diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß § 17 Abs. 2 DSG-EKD (ab Speicherdauer, s. u.) zur Verfügung stellen.
Nach § 17 Abs. 1 und 2 DSG-EKD sind folgende Angaben zur Verfügung zu stellen:
- Name und Kontaktdaten der verantwortlichen Stelle,
- ggf. Kontaktdaten der/des örtlichen bzw. betrieblichen Datenschutzbeauftragten,
- Verarbeitungszwecke und Rechtsgrundlage,
- Empfänger oder Empfängerkategorien, falls die Daten weitergegeben werden,
- voraussichtliche Speicherdauer oder, falls nicht möglich, Kriterien für die Festlegung,
- Hinweis auf die Datenschutzrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch),
- Hinweis auf das Beschwerderecht bei der Datenschutzaufsichtsbehörde,
- ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche Folgen die Nichtbereitstellung hat.
In Bezug auf Löschfristen reicht der allgemeine Satz „Für das Löschen gelten die gesetzlichen Aufbewahrungsfristen.“ nicht aus. Erforderlich ist eine konkrete Frist oder eine Löschregel.
Die Informationspflicht entfällt, wenn eine der Voraussetzungen nach § 17 Abs. 4 DSG-EKD in Anspruch genommen werden kann. Vom Ausschlussgrund „Betroffene verfügt bereits über die Informationen“ kann ausgegangen werden, wenn ein entsprechendes Informationsblatt ausgehändigt wurde.
Informationspflicht bei Dritterhebung nach § 18 DSG-EKD:
Werden die Daten nicht bei der betroffenen Person erhoben, sondern bei Dritten – z. B. im Rahmen der Zusammenarbeit – sind grundsätzlich die Informationspflichten nach § 18 DSG-EKD zu erfüllen. Über die Angaben nach § 17 Abs. 1 und 2 DSG-EKD hinaus (s.o.) sind die gespeicherten Daten mitzuteilen, auch soweit sie sich auf die Herkunft oder empfangende Stellen beziehen. Von der Informationspflicht nach § 18 DSG-EKD ist die verantwortliche Stelle unter Voraussetzungen nach § 18 Abs. 2 DSG-EKD (insbesondere Geheimhaltung) befreit.
Wie müssen die Informationen zur Verfügung gestellt werden?
Gemäß § 16 Abs. 1 DSG-EKD hat die verantwortliche Stelle geeignete Maßnahmen zu treffen, um alle Informationen, welche zu geben sind, in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Dies gilt insbesondere für Informationen, die sich speziell an Minderjährige richten.
In einigen Bereichen können die Informationen in einfacher Sprache notwendig sein. Grundsätzlich müssen die Informationen in deutscher Sprach erteilt werden. Bei fremdsprachigem Adressatenkreis empfiehlt es sich, die Informationen auch in anderen Sprachen vorzuhalten.
Die Informationen können schriftlich oder in anderer Form (Informationsblatt, Flyer, Aushang, Schild, Bildsymbol, Fax oder elektronisch [E-Mail oder Website]) zur Verfügung gestellt werden.
Falls die betroffene Person es verlangt, ist die mündliche Form möglich. Ebenso können die Informationen in mehreren Stufen und mittels verschiedener Medien erteilt werden. So können beim Erstkontakt Basisinformationen (Kurzfassung) wie beispielsweise die genaue Bezeichnung der verantwortlichen Stelle, die Verarbeitungszwecke und Rechtsgrundlagen (allgemein) sowie der Verweis auf die Betroffenenrechte mitgeteilt werden. Für die weiteren Informationen kann auf eine Langfassung – z. B. auf der Website – verwiesen werden. Ein bloßer Verweis auf die Website ist nicht ausreichend.
Eine Bestätigung der Kenntnisnahme der Informationen ist nicht erforderlich. Es muss nur die Gelegenheit gegeben werden, die Informationen zu erhalten. Wer die Informationen nicht zur Kenntnis nehmen möchte, muss dies nicht tun. Die Leistungserbringung darf nicht von einer verweigerten Kenntnisnahme bzw. deren Bestätigung abhängig gemacht werden. Zum Nachweis, ob die Informationen bereitgestellt wurden, reicht eine Beschreibung des Verfahrens mit Verweis auf das aktuelle Informationsblatt sowie ein Vermerk in der Akte.
Information bei persönlicher Anwesenheit:
Bei persönlicher Anwesenheit kann aktiv auf einen Aushang, einen Flyer oder ein Informationsblatt verwiesen werden. Für den Klienten muss die Kenntnisnahme vor der Leistungserbringung möglich sein (Zeit zum Durchlesen lassen, Rückfragen ermöglichen).
Information bei telefonischer Kontaktaufnahme:
Bei einer telefonischen Kontaktaufnahme können die Informationen auf Angaben zur verantwortlichen Stelle (erfolgt in der Regel durch die Eingangsmeldung) und zum Verarbeitungszweck (für [Rückruf/Schreiben …] benötigen wir …) beschränkt werden. Bezüglich der weiteren Informationen kann auf die Website verwiesen werden.
Bei einer Terminvereinbarung per Telefon müssen die Informationen noch nicht mitgeteilt werden. Wird der Termin wahrgenommen, besteht die Informationspflicht analog zur persönlichen Anwesenheit (siehe oben).
Information bei Kommunikation per Brief:
Bei einer Kommunikation per Brief kann eine zusätzliche Kommunikation bezüglich des Verlangens nach den Angaben vermieden werden, wenn am Endes des Schreibens mittels Textbaustein auf die Informationen auf der Website verwiesen wird oder die Informationen dem Brief beigefügt werden. Muster für einen derartigen Textbaustein:
Informationen über die Verarbeitung personenbezogener Daten in … (Fachbereich-/Leis-tungsbereich) … und Ihre Rechte nach dem Datenschutzrecht sowie Ihre Ansprechpartner in Datenschutzfragen entnehmen Sie bitte unseren Datenschutzhinweisen. Diese finden Sie auf unserer Website unter „Datenschutz“ (Link); oder fordern Sie sie bitte an.
Information bei Kommunikation per E-Mail:
Bei Kommunikation per E-Mail kann die Informationspflicht erfüllt werden, indem nach einer kurzen Darstellung der Basisinformationen ein Link auf die Website mit den vollständigen Angaben verweist (Textbaustein analog Briefkommunikation (siehe oben)) oder ein Informationsblatt als Anlage beigefügt wird.
Information bei Einladung zur Audio- oder Videokonferenz:
Auch bei Einladung zu einer Audio- oder Videokonferenz sollten neben Nutzungshinweisen gleich in der Einladung wesentlichen Datenschutz-Informationen mitgeteilt werden. Es sollte darüber informiert werden, wie die Videokonferenz funktioniert, dass eine gesicherte Verbindung aufgebaut wird, welche Teilnehmerdaten verarbeitet werden und für andere Teilnehmende sichtbar sind, welche Daten/Unterlagen hochgeladen bzw. nicht hochgeladen werden dürfen, dass Mitschnitte nicht (bzw. nur mit Zustimmung aller) gestattet sind und dass mit Teilnahme an der Videokonferenz die Zustimmung zu den Nutzungsbedingen erklärt wird.
Soll für ein Bewerbungsgespräch Videochat genutzt werden, muss der Bewerber zwischen diesem Verfahren und einem persönlichen Gespräch wählen können. Vor einem Videochat sollten die Informationen nach § 17 DSG-EKD analog zur persönlichen Anwesenheit (s. o.) zur Verfügung gestellt werden. Im Videochat dürfen nur Fragen gestellt werden, für die der Arbeitsgeber ein Fragerecht hat. Der Bewerber muss sämtliche Gesprächsteilnehmer des Arbeitgebers sehen können bzw. sie müssen ihm vorgestellt werden. Eine Gesprächsaufzeichnung zur etwaigen späteren Auswertung ist nicht zulässig, weil dies nicht durch § 49 Abs. 1 DSG-EKD gedeckt ist. Die Kommunikation muss verschlüsselt sein.
Information bei Stellenausschreibungen und im Bewerbungsverfahren:
Für kirchliche und diakonische Stellen ist bei Bewerbungen auf ausgeschriebene Stellen § 49 Abs. 1 DSG-EKD die Rechtsgrundlage für die Verarbeitung, so dass eine Einwilligung oder Zustimmung für Datenverarbeitungen im Rahmen des Bewerbungsverfahrens nicht erforderlich ist. Bei Initiativbewerbungen käme für die Phase, bis ein Bewerbungsverfahren durchgeführt wird, eine Einwilligung in Frage. Mit (freiwilliger) Zusendung der Bewerbung kann diese Einwilligung als andere Form gemäß § 49 Abs. 3 Satz 3 DSG-EKD angenommen werden.
In eine Stellenausschreibung könnte nachfolgender Text aufgenommen werden:
Ihre personenbezogenen Daten werden unter Beachtung des Datenschutzgesetzes der EKD (DSG-EKD) ausschließlich für den Zweck des Bewerbungsverfahrens verarbeitet und genutzt. Das schließt die Weitergabe an Beteiligte am Bewerbungsverfahren sowie an die Interessenvertretungen im Rahmen der gesetzlichen Zuständigkeit ein. In der Regel 6 Monat nach Abschluss des Bewerbungsverfahrens werden Ihre Daten gelöscht bzw. Unterlagen vernichtet, es sei denn, Sie erteilen Ihre Einwilligung zur weiteren Aufbewahrung. Weitere Information über die Verarbeitung Ihrer Daten im Bewerbungsverfahren, über Ihre Rechte nach dem DSG-EKD sowie über Ansprechpartner in Datenschutzfragen finden Sie unter (Link).
Sofern es sich um Initiativbewerbungen handelt, die nicht auf einer Stellenausschreibung basieren, kann bei Antwort auf eine derartige Bewerbung ein Hinweisblatt mitgesandt oder darauf verwiesen werden, wo die Informationen zum Datenschutz abrufbar sind. Möglich wäre auch ein kurzer Text im Schreiben entsprechend Briefkommunikation (siehe oben).
Sogenannte Backroundchecks (z. B. Internetrecherchen) über Bewerber sind umstritten, sofern sie nicht in beruflichen Netzwerken (XING, LikedIn) erfolgen. Erhobene Daten müssen vom Fragerecht des Arbeitgebers erfasst sein. Aufgrund der Datenerhebungen bei Dritten ist die Informationspflicht nach § 18 DSG-EKD relevant. Danach muss zusätzlich zu den Angaben nach § 17 DSG-EKD darüber informiert werden, welche Daten woher erhoben wurden und an welche Empfänger gehen.
Information im Beschäftigungsverhältnis:
Die Informationspflichten bestehen auch gegenüber Beschäftigten i. S. v. § 4 Nr. 20 DSG-EKD. Dazu gehören bei Dritterhebung die Pflichten nach § 18 DSG-EKD sowie – vor der Weiterverarbeitung zu einem anderen Zweck – auch die Informationspflichten nach § 17 Abs. 3 DSG-EKD, d. h. der andere Zweck sowie alle anderen maßgeblichen Informationen gemäß § 17 Abs. 2 DSG-EKD sind mitzuteilen. Gegenüber Beschäftigten sollten die Informationen in einer Form zur Verfügung stehen, die es ermöglicht, die Informationen jederzeit abzurufen. Dazu können die üblicherweise zur Verfügung stehenden Kommunikationskanäle genutzt werden (Aushang am schwarzen Brett, Intranet, E-Mail). Es ist nicht notwendig, jedem Beschäftigten ein persönliches Schreiben mit den Informationen auszuhändigen und den Empfang des Schreibens bestätigen zu lassen. Die Androhung arbeitsrechtlicher Konsequenzen bei Nichtbestätigung des Erhalts der Informationen ist gegenstandslos.
Information bei Fotoaufnahmen auf Festen, Veranstaltungen:
Die Informationen nach § 17 DSG-EKD sind auch relevant, wenn Fotos oder Videos auf Festen und Veranstaltungen angefertigt werden. Die wichtigsten Basisinformationen können z. B. durch Aufsteller oder Aushang im offiziellen Eingangsbereich zum Veranstaltungsort zur Verfügung gestellt werden. Bezüglich weitergehender Informationen kann auf die Website verwiesen werden. Entsprechende Basisinformationen wären: Name und Kontaktdaten des Fotografen bzw. des sonstigen Verantwortlichen, Zwecke der Fotos und der eventuellen Veröffentlichung (auch wo), Rechtsgrundlage, Hinweis auf wichtige Betroffenenrechte.
Information auf der Website:
Zusätzlich zu den oben aufgeführten Angaben und den Impressumsangaben nach § 5 Telemediengesetz (TMG) muss die Datenschutzerklärung auf der Website (§ 13 Abs. 1 TMG) Informationen zu den speziell durch die Nutzung der Seite erhobenen personenbezogenen Daten (z. B. IP-Adresse) und ggf. zu genutzten Cookies enthalten. Werden Analysetools eingesetzt, muss auch darüber informiert werden, ebenso über die Verwendung von Tracking-Mechanismen. Für derartige Verarbeitungen sind die Zwecke, die einschlägigen Rechtsgrundlagen sowie die Speicherdauer mitzuteilen, ggf. ist eine rechtskonforme Einwilligung einzuholen.
Von jeder Seite des Webangebotes sollte ein direkter Link zur Datenschutzerklärung führen, möglichst ohne dass ein endloses Scrollen erforderlich ist.
Information bei Videoüberwachung:
Auch bei einer Videoüberwachung müssen die Informationen nach § 17 DSG-EKD zur Verfügung stehen. Dazu gibt es inzwischen Muster für Piktogramme mit Basisinformationen. Neben dem Umstand der Beobachtung (Kamerasymbol) sowie Kontaktdaten zu verantwortlicher Stelle und ggf. Datenschutzbeauftragtem gehören strichwortartig die Zwecke (z. B. Personen- und Sachschutz, Zugangsschutz) mit Rechtsgrundlage, die Dauer der Speicherung sowie ein Hinweis auf Zugangsmöglichkeiten zu weiteren Informationen (Website) dazu.
Ist eine Information von Bestandskunden erforderlich?
Bestandskunden/-klienten/-patienten oder auch Mitglieder eines Fördervereins („alte“ bzw. „Bestands“-Betroffene) müssen nicht nachträglich informiert werden. Für einen gleichen Informationsstand im Vergleich zu „neuen“ Betroffenen können die Informationen über die Datenverarbeitung jedoch auch „alten“ Betroffenen zur Verfügung gestellt werden. Spätestens bei Zweckänderungen sind gemäß § 17 Abs. 3 DSG-EKD vor der Weiterverarbeitung zu dem anderen Zweck dieser Zweck sowie die Informationen nach § 17 Abs. 2 DSG-EKD fällig.
Andererseits steht das Recht auf Auskunft nach § 19 DSG-EKD jedem zu, dessen Daten verarbeitet werden, so dass für „Bestands“-Betroffene keine Einschränkung bei der Transparenz bezüglich der Verarbeitung ihrer Daten besteht. Im Rahmen des Rechts auf Auskunft muss zusätzlich über die gespeicherten Daten und ggf. über die Herkunft der Daten informiert werden. Hierfür ist der Aufwand erheblich größer, als bei Aushändigung eines Informationsblattes nach §§ 17 und 18 DSG-EKD.
Stand: 21. Juli 2020
Der Datenschutzbeauftragte für Kirche und Diakonie