Datenschutz

Die europaweit geltende Datenschutzgrundverordnung (DSGVO) trat im Mai 2018 in Kraft. Das Datenschutzrecht wurde durch die Verordnung EU-weit vereinheitlicht. Die DSGVO ersetzt die vorher geltenden nationalstaatlichen Datenschutzregelungen. Die einzelnen Länder der EU haben das Recht, die DSGVO in eigenen Gesetzen zu konkretisieren und zu ergänzen. Ausgehend davon wurde das deutsche Bundesdatenschutzgesetz grundlegend überarbeitet. Es ergänzt als sogenanntes BDSG die DSGVO.
Die DSGVO und das BDSG regeln die Erhebung und Verarbeitung von personenbezogenen Daten in allen Kontexten – außer wenn dies in einem rein privaten Rahmen geschieht.
Vieles in der DSGVO entspricht dem, was bereits im bisher geltenden deutschen Datenschutzrecht galt. Da jetzt aber (hohe) Geldbußen bei Verstößen möglich werden, bekommt das Datenschutzrecht mehr Durchschlagkraft.

Das Datenschutzrecht kennzeichnet manche Daten als besonders schützenswert. Zu diesen sogenannten Art. 9-Daten gehören Gesundheitsdaten, genetische und biometrische Daten, genauso aber auch Daten zum Sexualleben, der sexuellen Orientierung und andere Daten. Für solche Daten besteht die Gefahr, dass es sich für die Person nachteilig auswirken könnte, wenn diese in die falschen Hände geraten. Selbsthilfegruppen, -vereinigungen und -kontaktstellen haben häufig mit genau solchen personenbezogenen Daten zu tun.
Alle in der Selbsthilfe und in der Selbsthilfeunterstützung aktiven Personen müssen sich folglich mit der Frage befassen, wo in ihren Tätigkeiten personenbezogene Daten verarbeitet werden und ob die bisherigen Routinen dem neuen Recht entsprechen.

Ein besonderes Feld machen dabei die Aktivitäten der Selbsthilfe oder der Selbsthilfeunterstützung aus, bei denen digitale Instrumente zur Anwendung kommen. Vieles was hier – und auch in anderen Bereichen – üblich ist, scheint mit dem Datenschutzrecht nicht vereinbar: zum Beispiel die Einbindung von Social Plug-Ins und weiteren „trackenden“ Anwendungen, bei denen das Surfverhalten nachverfolgt und zu Profilen zusammengeführt wird oder die Nutzung von E-Mail-Anbietern, die E-Mail-Inhalte auslesen. Das Anliegen, niedrigschwellige und alltagsnahe Angebote zu machen, um mehr Menschen in Kontakt mit gemeinschaftlicher Selbsthilfe zu bringen, steht oft im Konflikt mit dem notwendigen Schutz personenbezogener Daten.

Alle Internetseiten von Selbsthilfegruppen, Selbsthilfevereinigungen und Selbsthilfekontaktstellen benötigen neben einem Impressum eine Datenschutzerklärung. Diese muss als extra Unterseite angeboten werden (also nicht als Teil des Impressums). Diese Unterseite muss eindeutig bezeichnet sein (also etwa „Datenschutz“ oder „Datenschutzerklärung“). Und sie muss von allen anderen Unterseiten aus mit einem Klick zu erreichen sein. In der Datenschutzerklärung muss beschrieben sein, wie mit den personenbezogenen Daten umgegangen wird, die bei einem Besuch der Internetseite entstehen.

Folgende Informationen müssen in der Datenschutzerklärung genannt werden:

• Kontaktdaten des*der Betreibenden der Internetseite
• Kontaktdaten des*der Datenschutzbeauftragten (sofern vorhanden)
• Aufzählung aller Datenverarbeitungsvorgänge beim Besuch der Internetseite
• Dauer der Speicherung der Daten
• Betroffenenrechte, Hinweis auf Widerrufsrecht, Auskunftsrecht über die verarbeiteten Daten, Beschwerderecht bei der Aufsichtsbehörde

Eine Datenschutzerklärung ist auch dann Pflicht, wenn auf der Internetseite keine Namen, E-Mail-Adressen oder Telefonnummern abgefragt werden. Denn bei jedem Besuch einer Internetseite fallen technisch bedingt Nutzungsdaten wie zum Beispiel IP-Adresse, MAC-Adresse, Werbe-ID oder andere Geräte-Identifikationsnummern an. Auch diese Daten gelten nach der DSGVO als personenbezogene Daten, weil ein Rückschluss auf eine*n konkrete*n Nutzer*in technisch möglich ist.
Die Informationen in der Datenschutzerklärung müssen korrekt und für die jeweilige Anwendung zutreffend sein. Daher empfiehlt sich der Rückgriff auf Mustertexte aus dem Internet ohne Anpassung auf die eigene Situation in der Regel nicht.
Häufig wissen Selbsthilfegruppen und Selbsthilfekontaktstellen nicht genug über die technische Grundlage ihrer Internetseite, um zu entscheiden, welche Informationen sie in der Datenschutzerklärung geben müssen. Lassen Sie sich die notwendigen Informationen von den Techniker*innen zur Verfügung stellen, die den Internetauftritt betreuen oder programmiert haben.

Für die Veröffentlichung im Internet von Informationen rund um Personen, die aufgrund einer eigenen Betroffenheit oder als Angehörige in der Selbsthilfe aktiv sind, sollte das Prinzip der Datensparsamkeit unbedingt beachtet werden. Es sollten folglich immer nur solche personenbezogenen Daten [Namen, (E‑Mail-)Adressen, Telefonnummern, Fotos etc.] im Internet veröffentlicht werden, die wirklich notwendig sind.
Wann immer möglich, sollten keine privaten E-Mail-Adressen oder Telefonnummern veröffentlicht werden. Es empfiehlt sich also eine spezielle E-Mail-Adresse für die Gruppe anzulegen und gegebenenfalls ein Gruppenhandy anzuschaffen.
Für die Veröffentlichung von personenbezogenen Daten im Internet (zum Beispiel auf der Internetseite einer Selbsthilfekontaktstelle) muss eine Einwilligung eingeholt werden. Dabei muss der datengebenden Person im Detail mitgeteilt werden, welche Daten veröffentlicht werden sollen und wie diese verarbeitet werden.
Eine Ausnahme besteht bei den Daten von Funktionsträgern, zum Beispiel der Geschäftsführung. Angaben zu deren dienstlicher Erreichbarkeit dürfen ohne Einwilligung veröffentlicht werden.
Personenbezogene Daten von Referent*innen bei Veranstaltungen können im Prinzip ebenfalls ohne Einwilligung im Internet veröffentlicht werden, da solche Veranstaltungen als öffentlich gelten.
Allerdings kommt es hier auf den Einzelfall an: Wenn ein erkennbarer Zusammenhang zur Betroffenheit von einer Erkrankung oder von einem anderen sensiblen Thema vorhanden ist, sollte besser auch bei Referent*innen eine Einwilligung eingeholt werden beziehungsweise auf eine Veröffentlichung verzichtet werden.

Fotos zur Veröffentlichung im Internet

Im Bereich der Selbsthilfe ist dazu zu raten, immer eine schriftliche Einwilligung der abgebildeten Personen einzuholen. Bei Fotos von Kindern unter 18 Jahren müssen die Eltern einwilligen. Bei Kindern zwischen 16 und 18 Jahren zusätzlich das betroffene Kind.

Auch E-Mail-Adressen sind personenbezogene Daten und unterliegen damit dem Datenschutz.
Wählen Sie einen E-Mail-Anbieter, für den das deutsche/europäische Datenschutzrecht gilt. Kostenfreie Anwendungen wie zum Beispiel Gmail oder Yahoo Mail finanzieren sich in der Regel über das Abschöpfen der Nutzer*innendaten. Für den Bereich Selbsthilfe sind entsprechende Anwendungen daher nicht geeignet. Einen hohen Sicherheits- und Datenschutzstandard bieten beispielsweite die in der Initiative „E-Mail made in Germany“ zusammengeschlossenen Firmen oder das Projekt „DE-Mail“. Bei letzterem werden die E-Mails verschlüsselt übertragen.

Newsletter

Newsletter dürfen nur an E-Mail-Adressen verschickt werden, deren Empfänger*innen in den Erhalt des Newsletters eingewilligt haben. Die Empfänger*innen müssen in jedem verschickten Newsletter darauf hingewiesen werden, dass sie ihn abbestellen können. Dazu muss ein einfacher Weg angeboten werden.
Bei der Anmeldung zu einem Newsletter muss beachtet werden, dass nur Daten abgefragt werden, die für den Versand notwendig sind. In der Regel reicht also eine E-Mail-Adresse.
Daten von Personen, die den Newsletter nicht mehr erhalten wollen, müssen gelöscht werden.