Heute ist der internationale Tag des Ehrenamtes. Auf Twitter kann man unter dem Hashtag #TagDesEhrenamtes beobachten wie sich Organisationen bei ihren Freiwilligen für die Unterstützung bedanken und die Bundesregierung das Ehrenamt lobt. Ich möchte mich thematisch dem Tag des Ehrenamts anschließen, aber ein Thema etwas kritischer beleuchten. Nämlich die (fehlende?) Unterstützung welche ehrenamtlich Engagierte bei der Bewältigung bürokratischer Aufgaben bekommen. Und da es mir thematisch am nächsten liegt, am Beispiel der Datenschutzgrundverordnung.
Ein schöner Aufhänger hierfür ist die Anhörung des Bundestagsausschusses für Familie, Senioren, Frauen und Jugend, welche Anfang letzter Woche stattfand. Unter dem Titel „Datenschutzgrundverordnung (DSGVO) bzw. Bürokratieabbau im Ehrenamt“ gab es dort eine Anhörung von Sachverständigen. Die Anhörung kann man sich als Video auf der Webseite des Bundestags ansehen. Dort sind ebenfalls die schriftlich eingereichten Stellungnahmen zu finden.
Meine Gedanken zum Thema DSGVO im Ehrenamt hatte ich bereits ein paar Tage vor der Anhörung auf Twitter veröffentlicht. Meine These ist kurz gesagt, dass die DSGVO als Gesamtkonstrukt zu komplex und die „Einstiegshürde“ für jemanden der sich in einem ehrenamtlichen Kontext darum kümmern soll zu hoch ist. Mal davon abgesehen, dass die politischen Chancen auf auf eine Veränderung einzelner Vorgaben, vor allem auf EU-Ebene, äußerst schlecht stehen, halte ich die einzelnen Vorgaben auch nicht für das zentrale Problem. Viele Vorgaben der DSGVO verfolgen einen risikobasierten Ansatz und lassen bereits Spielräume, um bei eher alltäglichen Datenverarbeitungen im Vereinskontext die Hürden nicht allzu hoch zu legen. Das ist aber nicht hinreichend bekannt und der fehlende Überblick über das Zusammenspiel aller Vorgaben ist eher das Problem.
Ohne tiefergehende Kentnisse der Materie und konkrete Hilfestellungen von außen, stehen Vereinsverantwortliche und Aktive daher vor dem Problem, einen scheinbar unüberwindbaren Berg ohne ein klares Ziel vor Augen erklimmen zu müssen. Dementsprechend komme ich zu dem Schluss, dass es neben Informationen auch strukturierte Begleitung und Beratungsangebote braucht.
Die Bundestagsanhörung
Aber zurück zur Bundestagsanhörung. Ich hatte mir erhofft, dass sich dort politische Wege abzeichnen, um Vereine bei ihrer alltäglichen Arbeit im Umgang mit dem Datenschutz zu unterstützen. Als ich mir den Livestream der Anhörung ansah, war ich dann doch etwas enttäuscht. Es ging eher um Bürokratieabbau im Allgemeinen und die DSGVO war scheinbar nur als die Spitze des Eisbergs mit in den Titel aufgenommen worden. Dementsprechend breit war dann auch das Themensprektrum, so dass eine gezielte Auseinandersetzung mit den Herausforderungen beim Datenschutz gar nicht erst möglich war.
Die Fragen mancher Abgeordneten und die Ausführungen einiger der geladenen Sachverständigen lösten ehrlich gesagt etwas Stirnrunzeln bei mir aus. Eine sonderlich tiefe Auseinandersetzung mit dem Thema Datenschutz aus der Sicht von Vereinen war nicht zu erkennen. Es kamen eher alte Scheindebatten wie die Grenze für die Benennungspflicht für einen Datenschutzbeauftragten zur Sprache. In Bezug auf Unterstützungsangebote wurde immer wieder auf die neu gegründete Deutsche Stiftung für Engagement und Ehrenamt verwiesen. Die politischen Erwartungen an die Stiftung sind also äußerst hoch.
Die veröffentlichten Stellungnahmen der Sachverständigen sind, in Bezug auf die dort enthaltenen Aussagen zum Thema Datenschutz, von sehr unterschiedlicher Qualität. Man kann sie grob in drei Kategorien einteilen:
- Fachlich fragwürdig und scheinbar auf der Wahrnehmung von Datenschutz basierend sind die Stellungnahmen von Dagmar Ernst (Regionssportbund Hannover), Dr. Stefan Nährlich (Stiftung Aktive Bürgerschaft) und Dr. Gisela Meister-Scheufelen (Normenkontrollrat Baden-Württemberg). Hier kommen eher Vorurteile über Datenschutz zur Sprache und einige Aussagen lassen vermuten, dass sich die Autor:innen noch nicht tiefergehend mit der konkreten Umsetzung von Datenschutzvorgaben in einem Verein auseinander gesetzt haben. Mehr dazu weiter unten.
- Ein ausgewogeneres Bild in Sachen Datenschutz geben die Stellnungahmen von Lisi Maier (Deutscher Bundesjugendring) und Dr. Rainer Sprengel (Bundesnetzwerk Bürgerschaftliches Engagement) ab. Die Stellungnahme von Lisi Maier enthält konstruktive Vorschläge und zeigt auf, dass es so manche gesetzliche Vorgaben aus anderen Bereichen gibt, die einer datensparsamen Vereinsarbeit entgegen stehen. Die Stellungnahme von Dr. Rainer Sprengel enthält lesenswerte Ausführungen zum „bürgerschaftlichen Engagement als Lernort“ und den Strukturen in denen ein datenschutzgerechter Umgang erlernt werden kann.
- Die Stellungnahmen von Frederick Richter (Stiftung Datenschutz) und Dr. Imke Sommer (LfDI Bremen) sind schon aufgrund der durch sie vertretenen Organisationen eindeutig Stellungnahmen von Expert:innen im Bereich des Datenschutzes. Besonders lesenswert sind die Ausführungen von Frederick Richter zum „risikobasierten Ansatz“ im Hinblick auf Vereine und von Dr. Imke Sommer zu gesetzlichen Grundlagen bei typischen Verarbeituntstätigkeiten im Verein.
Das Schreckgespenst DSGVO lebt neu auf
Wie oben angesprochen, scheinen einige der eingereichten Stellungnahmen bzw. Wortbeiträge der eigentlichen Anhörung auf einem recht oberflächlichen Verständnis von Datenschutz zu beruhen. Dies zeigt jedoch sehr schön, dass beim Start der DSGVO im Jahr 2018 medial verbreitete Missverständnisse noch immer nicht ausgeräumt wurden. Und wenn selbst als Sachverständige in den Bundestag geladene Personen hier kein tieferes Verständnis entwickelt haben, dann kann man es von ehrenamtlich Engagierten wohl kaum erwarten. Um zumindest mit zwei recht häufigen Missverständnissen aufzuräumen, möchte ich nun einige Aussagen aus den eingereichten Stellungnahmen exemplarisch beleuchten.
Die grundsätzliche Einführung des DSGVO 2018 war schon wichtig. Hierdurch wurde sicherlich erreicht, dass die Vereine noch einmal sensibler mit ihren (digitalen) Personendaten umgehen. Allerdings sollten die Auflagen bzw. zu erstellende Kataloge, wie z.B. Verarbeitungstätigkeiten in abgespeckter Form ausreichen.
Es kann überlegt werden, ob Vereine mit einer geringeren Mitgliederzahl hiervon befreit werden können. Es kann nicht sein, dass Vereine mit 50 Mitgliedern die gleichen Anforderungen erfüllen müssen, wie Vereine z.B. mit 10.000 Mitgliedern. Gut war, dass die Bestellung eines Datenschutzbeauftragen erst ab 20 Personen notwendig ist und nicht, wie erst festgelegt, ab 10 Personen.
Die Regelungen zum Datenschutz werden von Vereinen und ehrenamtlich Engagierten nach wie vor als größte Bürokratiebelastung wahrgenommen. Sie fühlen sich unverhältnismäßig hoch mit bürokratischen Pflichten belastet.
Die Heraufsetzung des Schwellenwerts für die Verpflichtung, einen Datenschutzbeauftragten einzustellen, auf 20 Personen ist für die Vereine eine spürbare Erleichterung. Es wurde allerdings kaum bekannt gemacht. Nicht alle Bundesländer haben auf Landesebene Ehrenamtsbeauftragte, die auf diese Rechtsänderungen hinweisen.
Zu einer wirklichen Entlastung des Ehrenamtes kann meiner Ansicht nach nur eine Freistellung führen. Gemeinnützige Organisationen, die rein ehrenamtlich und ohne bezahlte Mitarbeiterinnen und Mitarbeiter arbeiten (laut ZiviZ Survey 2017 gut 70% der gemeinnützigen Organisationen in Deutschland), sollten grundsätzlich aus dem Anwendungsbereich der DSGVO herausgenommen werden. Nur die Konzentration auf die Wahrung von gesetzlich besonders schutzwürdigen personenbezogenen Daten wie die rassische und ethnische Herkunft, politische Meinungen usw. sowie auf den Schutz personenbezogener Daten und Bilddaten (Fotos) von Kindern würde hier meiner Einschätzung nach zu einer wirkungsvollen Entlastung führen und wäre gleichzeitig auch verhältnismäßig.
Die hier zitierten Aussagen enthalten zwei häufige Missverständnisse zur Anwendung der DSGVO. Zum einen, die Bedeutung des Schwellenwertes ab dem ein:e Datenschutzbeauftragte:r benannt werden muss. Die Benennung eines/einer Datenschutzbeauftragten wird nämlich häufig damit gleichgesetzt, sich auch erst dann mit Datenschutz beschäftigen zu müssen. Alle übrigen Pflichten der DSGVO gelten aber in jedem Fall. Es geht also nur darum, ob jemand mit Sachverstand diese Rolle ausfüllt. Um Datenschutz kümmern muss man sich aber in jedem Fall. Damit ist der gesetzlich definierte Schwellwert eigentlich gar nicht so relevant. Die politische Diskussion um die Heraufsetzung des Schwellertes hat aber wohl ihr Übriges getan, dieses Missverständnis zu festigen.
Ein anderes Missverständnis ist die Aussage, dass sämtliche Pflichten für alle Organisationen genau gleich gelten würden und man daher Ausnahmen für den ehrenamtlichen Bereich schaffen müsse. Auch das ist nur bedingt richtig. Zwar gelten in der Tat fast alle Vorschriften für alle Arten von Organisationen, aber innerhalb dieser Vorschriften gibt es häufig den sogenannten risikobasierten Ansatz. D.h. der Aufwand den man betreiben muss um diese Vorschriften zu erfüllen ist abhängig davon, wie risikoreich die Datenverarbeitung ist. Für viele eher alltägliche Tätigkeiten im Ehrenamt kann man daher schon allein deshalb etwas lockerer mit dem Datenschutz umgehen und die in den zitierten Aussagen angesprochene Vereinfachung für den ehrenamtlichen Bereich ist vielleicht gar nicht notwendig. Wenn man aber beispielsweise eine ehrenamtliche organisierte Selbsthilfegruppe zu psychischen Erkrankungen betreibt, dann sollte die Messlatte im Bereich Datenschutz logischerweise auch etwas höher liegen.
Es scheint als ob den Verfasser:innen der oben zitierten Aussagen die Systematik der DSGVO in diesen beiden Punkten nicht bekannt ist. Selbiges gilt übrigens für die Fragestellungen der Bundestagsabgeordneten an die Sachverständigen. Wenn die fachliche Auseinandersetzung mit der DSGVO aber selbst in einer Bundestagsanhörung zwischen Ausschussmitgliedern und Sachverständigen auf diesem Niveau abläuft, so kann man von ehrenamtlichen Engagierten wohl kaum erwarten, dass sie autodidaktisch zu DSGVO-Verstehern werden. Ein politischer Handlungsbedarf besteht hier also ganz klar. Nur liegt die Lösung meines Erachtens nicht unbedingt in den spezifischen Regelungen der DSGVO selbst, sondern im Umgang mit der Komplexität, die eine praxistaugliche Anwendung der DSGVO mit sich bringt.
Fazit: Es braucht mehr Unterstützung
Daher lautet mein Fazit, dass es mehr Unterstützung für ehrenamtlich Engagierte braucht. Und hiermit meine ich eben nicht (nur) Handreichungen zum Selbststudium, sondern echte strukturierte Begleitung. So lautete auch das Fazit meines Twitter-Threads, welchen ich bereits vor der Bundestagsanhörung veröffentlicht hatte.
Gut lesbare Handreichungen gibt es meiner Meinung nach bereits einige. Zum Beispiel die der Datenschutzaufsichtsbehörden aus Baden-Württemberg oder aus Bayern, aber auch von Verbänden wie dem Landessportbund Nordrhein-Westfalen. Über das Projekt Digitale Nachbarschaft von Deutschland sicher im Netz gibt es auch einiges an Informationen und mit den DiNa-Treffs sogar Anlaufstellen in einigen Städten.
Was meiner Meinung nach jedoch noch mehr bringt als das reine zur Verfügung stellen von Informationen, ist eine strukturierte Begleitung ehrenamtlich Tätiger. Daher biete ich auch einen Kurs Datenschutz im Verein an, der für das nächste Jahr ebenfalls als Online-Kurs geplant ist. So etwas sollte aber nicht rein über Teilnehmerbeiträge finanziert laufen, sondern auch öffentlich gefördert werden. Auch Beratungsgutscheine für gemeinnützige Organisationen, ähnlich dem Existenzgründerprogramm in Baden-Württemberg, könnten eine praxistaugliche Möglichkeit sein, sofern denn politischer Wille hierfür besteht.
Es gilt also ehrenamtlich Engagierte beim Datenschutz an die Hand zu nehmen und auch Berührungsängste mit dem doch eher komplex geratenen Regelwerk DSGVO abzubauen. Im Vorfeld an die Bundestagsanhörung hatte ich die Hoffnung, dass dort in diese Richtung diskutiert würde. Leider muss ich mich aber dem Fazit des Portals Artikel 91, welches sich ebenfalls kritisch mit der Bundestagsanhörung auseinandergesetzt hat, anschließen:
Dass selbst in einer Bundestagsanhörung noch fröhlich Missverständnisse, Mythen und Schwarzmalereien vorgetragen werden, als sei es Mai 2018, überrascht leider nicht allzusehr und zeigt, was in der Datenschutzkommunikation schiefläuft […].
