Skip to main content
katholisch
politisch
aktiv
joffi / pixabay.de

Infos zu Datenschutz in den Verbänden (DSGV/KDG)

Praktische Hinweise für Verantwortliche in den Mitgliedsverbänden des BDKJ Speyer

Mitte Mai tritt die neue Datenschutzgrundverordnung (DSGVO) und das kirchliche Datenschutzgesetz (KDG) in Kraft. Wir wollen euch hier sehr kompakt so viele Infos wie nötig zur Verfügung stellen. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit. 

Im Grundsatz geht es bei den neuen gesetzlichen Regelungen darum, personenbezogene Daten besonders zu schützen. Personenbezogene Daten sind z.B. Name, Alter, Adresse, Bankdaten etc. Es gilt der Grundsatz der Datensparsamkeit, d.h. personenbezogene Daten dürfen nur der-/demjenigen zugänglich gemacht werden, die/der sie braucht. Das gilt auch für einzelne Personengruppen: Das Küchenteam muss um Allergien wissen, nicht aber um Geburtsdaten. Die/der Kassenwart/-wärtin muss um Bankdaten wissen, nicht aber die Teamer_innen. Datenschutz bedeutet, dass Einsicht in personenbezogene Daten immer nur der-/demjenigen gewährt wird, der diese Daten unmittelbar benötigt. Für zeitliche Abläufe bedeutet das: Was nicht mehr benötigt wird, muss gelöscht/vernichtet werden.

Ein juristischer Graben digitaler Art besteht zwischen Servern, die in EU-Ländern stehen und solchen, die das nicht tun. Das hört sich weit weg an, ist aber ganz schnell ganz nah, wenn ihr mit Tools oder Anbietern (zusammen) arbeitet, deren Server nicht in der EU stehen.

Homepages

An manchen Stellen ist offensichtlich, dass ihr über eure Homepage Daten abfragt: Im Kontakt- oder Anmeldeformular beispielsweise. Sie sollten verschlüsselt übertragen werden (ssl). Eine solche Verschlüsselung könnt ihr über euren Hostingdienst „einkaufen“ und solltet das bis Mitte Mai unbedingt tun. Wenn ihr dazu Fragen habt, mailt uns an datenschutz@bdkj-speyer.de

An anderen Stellen ist die Nutzung von Daten weniger offensichtlich, etwa, wenn ihr Google Adsense oder Analytics nutzt. Eure Nutzer_innen geben damit Daten preis, wissen das aber unter Umständen nicht. Damit sie es wissen, solltet ihr auf der Startseite einen Hinweis auf Cookies setzen. Wie das konkret geht ist systemabhängig: Wordpress bietet etwa eigene Plugins an, die ihr installieren könnt. Der Text kann folgendermaßen lauten: “Wir verwenden Cookies, um unsere Webseite für dich optimal zu gestalten und verbessern zu können. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu. Hier findest du unsere Datenschutzerklärung [Link].“

Eure Homepage muss nicht nur ein Impressum, sondern auch einen Datenschutzhinweis enthalten, der alle Datennutzungen benennt. Es reicht nicht, einen Datenschutzhinweis in das bestehende Impressum einzubauen!  

Der Datenschutzhinweis muss also eine eigene Seite sein, die über die Navigation im Menü angesteuert wird. Hier hinterlegt ihr bitte Hinweise auf Nutzung oder Zurverfügungstellung folgender Dienste:

  • Einbindung fremder Inhalte wie Videos von YouTube, Kartenmaterial von Google-Maps,
  • RSS-Feeds oder Grafiken
  • Kontaktformulare
  • Newsletter
  • Cookies
  • Nutzung von Google-Analytics
  • Twitter- und/oder Facebook-Schaltflächen
  • Google-AdSense-Werbung

Einen solchen Datenschutzhinweis könnt ihr auf www.e-recht24.de generieren. Wenn ihr einen Bundesverband habt, haltet dort Rücksprache, was die Benennung des Datenschutzbeauftragten angeht. Für BDKJ-Dekanatsverbände und den Diözesanverband klären wir aktuell, wer die Aufgabe des Datenschutzbeauftragten übernimmt. Ergänzend zu dessen Kontaktdaten könnt ihr immer auch auf das Katholische Datenschutzzentrum verweisen: 

Datenschutzaufsicht
Katholisches Datenschutzzentrum Frankfurt/M
Haus am Dom, Domplatz 3
60311 Frankfurt

Tel. 069-8008718800
Email: info@kdsz-ffm.de

Wichtiger Hinweis: Die Homepages des Diözesanverbandes und die der Dekanatsverbände werden bis Mitte Mai entsprechend zentral durch uns angepasst werden. Eine Überprüfung und Umstellung ist nur für externe Verbandshomepages notwendig.

Auftragsdatenverarbeitungs-Vereinbarung…

…hört sich schlimmer an, als es ist. Eine solche Vereinbarung müsst ihr mit allen Anbietern schließen, die mit euren Daten arbeiten. Das sind etwa externe Versandanbieter für Newsletter, Anbieter von Mailinglisten, Google Analytics o.ä. Bitte fragt dort an, wo die Server stehen, auf denen die Daten gespeichert werden. Es macht juristisch einen großen Unterschied, ob sie in oder außerhalb der EU stehen. 
Ihr findet hier eine gute Zusammenfassung der Rechtslage, sowie eine gut nutzbare Checkliste. 

Anmeldungen, Bildrechtsabfragen etc.

Alle Daten, die ihr im Zuge einer Anmeldung zu einer Veranstaltung erfasst, sind in der Regel personenbezogenen Daten. Klärt in euren zuständigen Gremien, wie ihr Sorge dafür tragen könnt, dass die Daten nur denjenigen Verantwortlichen zugänglich sind, die sie unbedingt brauchen. Hilfreiche Tipps dazu findet ihr in der Arbeitshilfe der DPSG (s. Infobox). 

Einverständniserklärungen für die Nutzung von Fotos solltet ihr unbedingt archivieren (und zwar dauerhaft für Jahrzehnte!). Das kann in Printform erfolgen, ist aber digital sicher leichter zu handhaben. Das gilt insbesondere dann, wenn ihr Bilder für Soziale Netzwerke verwenden möchtet. Und: Wer nicht einwilligt, darf auch nicht auf einem Bild sein! Mehr zu Bildrechten und –nutzung findet ihr in der Handreichung der dpsg (s. Infokasten).

Tools und Soziale Netzwerke

Bitte nutzt keine Dropbox mehr. Wir verstehen, dass die Nutzung überaus praktisch ist. Sie ist aber eben keinesfalls datensicher. Das gilt besonders für den Fall, dass ihr dort Bilder hochladet. Alternativ empfehlen wir euch owncloud o.ä. Für Ortsgruppen kann es möglicherweise auch sinnvoll sein, Cloudlösungen der Pfarrei zu nutzen (z.B. über Telekom). Bitte vergesst nicht, eure bestehenden Daten in einer Dropbox zu löschen, bevor ihr auf eine andere Cloudlösung wechselt. 

Soziale Netzwerke sind ein Alptraum in Sachen Datensicherheit. Wir werden euch dennoch nicht empfehlen, sie nicht mehr zu nutzen. Sie sind Teil unserer digitalen Gesellschaft und ohne Instagram, Snapchat und WhatsApp ist Jugendarbeit auch nicht mehr denkbar. Wir wollen euch aber dafür sensibilisieren, wie ihr selbst mit Daten in den Netzwerken umgeht. Zu Bildrechten haben wir oben bereits etwas gesagt. Tauscht in Sozialen Netzwerken Infos aus, aber keine Adresslisten, Passwörter, Protokolle o.ä. Wenn ihr anlassbezogene WhatsApp-Gruppen einrichtet, dann klärt eure Nutzer_innen auf, was mit ihren Daten (insbesondere ihrer Telefonnummer) geschieht. Postet nur, was ihr selbst auch dann für unverfänglich haltet, wenn ihr euch vorstellt, es in 30 Jahren nochmals anzusehen. 

Weitere Fragen?

Wir sind uns im Klaren darüber, dass wir hier nicht alle eure Fragen klären können. Vermutlich habt ihr jetzt ganz viele neue Fragen. Wir bieten euch aber an, sie gemeinsam mit euch zu bearbeiten. Mailt uns gerne an datenschutz@bdkj-speyer.de eure konkreten Rückfragen. Wir versuchen, euch schnellstmöglich zu antworten.

Downloadbereich Datenschutz

Arbeitshilfen des Datenschutzbeauftragten im
Bistums Speyer

Arbeitshilfen aus Verbänden

  • Arbeitshilfe des DPSG-Bundesverbandes

    Hinweis: Die Arbeitshilfe bezieht sich nicht auf die neue Gesetzeslage! Sie gibt aber sehr gute Beispiele für den Umgang mit Daten und Bildrechten und ist insofern hilfreich. 

Kontakt

BDKJ Speyer
Diözesanvorstand

Webergasse 11
67346 Speyer

fon 0 62 32 . 102-359
info@bdkj-speyer.de