Infos zu Datenschutz in den Verbänden (DSGVO/KDG)

Praktische Hinweise für Verantwortliche in den Mitgliedsverbänden des BDKJ Speyer

Disclaimer: Bitte beachtet, dass wir an dieser Stelle keinerlei rechtssichere Beratung gewährleisten können. Dies gilt für alle Inhalte, Tipps und Ideen zum Thema Datenschutz! Danke.

Mitte Mai 2018 trat die neue Datenschutzgrundverordnung (DSGVO) und das kirchliche Datenschutzgesetz (KDG) in Kraft. Wir wollen euch hier sehr kompakt so viele Infos wie nötig zur Verfügung stellen. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit. Ihr findet zusätzlich einen sehr hilfreichen Artikel von Felix Neumann zum Thema (auch zu WhatsApp und Co.) auf dem Blog Digitale Lebenswelten des BDKJ Bundesverbandes. Eine sehr hilfreiche Übersicht und FAQs zum Datenschutz hat der DPSG-Bundesverband erarbeitet. Schaut euch gerne auch dort auf der Seite um. 

Im Grundsatz geht es bei den neuen gesetzlichen Regelungen darum, personenbezogene Daten besonders zu schützen. Personenbezogene Daten sind z.B. Name, Alter, Adresse, Bankdaten etc. Als personenbezogene Daten gelten aber auch Fotos, die ihr deshalb unter keinen Umständen mehr ohne Erlaubnis machen dürft. Es gilt sogar: Erst müsst ihr das Bild eines Kindes den Eltern zeigen und euch dann genau für dieses Bild eine schriftliche Freigabe geben lassen  (-> hier erfahrt ihr mehr)!

Also: Wer nicht zugestimmt hat (und zwar pro Veranstaltung und Verwendungszweck, nicht einmal prinzipiell), darf nicht fotografiert werden. Ein entsprechendes Formular findet ihr als Vorlage für eure Veranstaltungen rechts im Kasten. 

Es gilt der Grundsatz der Datensparsamkeit, d.h. personenbezogene Daten dürfen nur der-/demjenigen zugänglich gemacht werden, die/der sie braucht. Das gilt auch für einzelne Personengruppen: Das Küchenteam muss um Allergien wissen, nicht aber um Geburtsdaten. Die/der Kassenwart/-wärtin muss um Bankdaten wissen, nicht aber die Teamer*innen. Datenschutz bedeutet, dass Einsicht in personenbezogene Daten immer nur der-/demjenigen gewährt wird, der diese Daten unmittelbar benötigt. Für zeitliche Abläufe bedeutet das: Was nicht mehr benötigt wird, muss gelöscht/vernichtet werden.

Ein juristischer Graben digitaler Art besteht zwischen Servern, die in EU-Ländern stehen und solchen, die das nicht tun. Das hört sich weit weg an, ist aber ganz schnell ganz nah, wenn ihr mit Tools oder Anbietern (zusammen) arbeitet, deren Server nicht in der EU stehen.

Verarbeitungsverzeichnis

Wichtig ist das Anlegen eines sogenannten Verarbeitungsverzeichnisses (KDG, §31). Das ist zwar Arbeit, aber keine Schikane: Es soll euch ermöglichen, im Falle einer Prüfung nachzuweisen wer welche Daten verwendet hat. Das ist wichtig, weil ihr in der Nachweispflicht seid. Das katholische Datenschutzzentrum stellt dafür ein Muster und eine Checkliste zur Verfügung, an der ihr euch orientieren könnt. 

Homepages

An manchen Stellen ist offensichtlich, dass ihr über eure Homepage Daten abfragt: Im Kontakt- oder Anmeldeformular beispielsweise. Sie sollten verschlüsselt übertragen werden (ssl). Eine solche Verschlüsselung könnt ihr über euren Hostingdienst „einkaufen“ und solltet das bis Mitte Mai unbedingt tun. Wenn ihr dazu Fragen habt, mailt uns an datenschutz@bdkj-speyer.de. 

An anderen Stellen ist die Nutzung von Daten weniger offensichtlich, etwa, wenn ihr Google Adsense oder Analytics nutzt. Eure Nutzer*innen geben damit Daten preis, wissen das aber unter Umständen nicht. Damit sie es wissen, solltet ihr auf der Startseite einen Hinweis auf Cookies setzen. Wie das konkret geht ist systemabhängig: Wordpress bietet etwa eigene Plugins an, die ihr installieren könnt. Der Text kann folgendermaßen lauten: “Wir verwenden Cookies, um unsere Webseite für dich optimal zu gestalten und verbessern zu können. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu. Hier findest du unsere Datenschutzerklärung [Link].“

Eure Homepage muss nicht nur ein Impressum, sondern auch einen Datenschutzhinweis enthalten, der alle Datennutzungen benennt. Es reicht nicht, einen Datenschutzhinweis in das bestehende Impressum einzubauen!  

Der Datenschutzhinweis muss also eine eigene Seite sein, die über die Navigation im Menü angesteuert wird. Hier hinterlegt ihr bitte Hinweise auf Nutzung oder Zurverfügungstellung folgender Dienste:

• Einbindung fremder Inhalte wie Videos von YouTube, Kartenmaterial von Google-Maps,
• RSS-Feeds oder Grafiken
• Kontaktformulare
• Newsletter
• Cookies
• Nutzung von Google-Analytics
• Twitter- und/oder Facebook-Schaltflächen
• Google-AdSense-Werbung

Einen solchen Datenschutzhinweis könnt ihr auf www.e-recht24.de generieren.

Hinweis: Wenn ihr einen Generator benutzt, dann bezieht sich die Datenschutzerklärung die ihr erhaltet auf das europäische Recht (DSGVO). Ihr fallt als kirchliche Einrichtung aber unter das KDG, ein spezielles Datenschutzgesetz der Kirche. Wir empfehlen euch die Generatoren trotzdem, solange es noch keinen eigenen Generator für KDG-konforme Datenschutzerklärungen gibt. Sobald es einen solchen Generator gibt, verlinken wir ihn hier für euch. DGSVO und KDG sind sich sehr ähnlich, sodass auch bei Nutzung eines DSGVO-konformen Generators vermutlich alles Berücksichtigung findet, was berücksichtigt werden muss. 

Datenschutzbeauftragte*r

Wenn ihr einen Bundesverband habt, haltet dort Rücksprache, was die Benennung der/des Datenschutzbeauftragten angeht. Es gilt: Wenn mehr als 10 Personen regelmäßig Einsicht in personenbezogenen Daten haben, muss ein*e Datenschutzbeauftragte*r benannt werden. Praktisch empfehlen wir euch folgendes: Bevor ihr Ausschau nach einer/einem Beauftragten haltet überprüft eure Arbeitsvorgänge. Vielleicht lässt sich die Struktur so anpassen, dass ihr eben nicht mehr als 10 Personen Einblick in die Daten gewährt. Für BDKJ-Dekanatsverbände und den Diözesanverband klären wir aktuell, wer die Aufgabe der/des Datenschutzbeauftragten übernimmt. Ergänzend zu dessen Kontaktdaten könnt ihr immer auch auf das Katholische Datenschutzzentrum verweisen: 

Datenschutzaufsicht
Katholisches Datenschutzzentrum Frankfurt/M
Haus am Dom, Domplatz 3
60311 Frankfurt

Tel. 069-8008718800
Email: info@kdsz-ffm.de

Wichtiger Hinweis: Die Homepages des Diözesanverbandes und die der Dekanatsverbände werden bis Mitte Mai entsprechend zentral durch uns angepasst werden. Eine Überprüfung und Umstellung ist nur für externe Verbandshomepages notwendig.

Auftragsdatenverarbeitungs-Vereinbarung…

…hört sich schlimmer an, als es ist. Eine solche Vereinbarung müsst ihr mit allen Anbietern schließen, die mit euren Daten arbeiten. Das sind etwa externe Versandanbieter für Newsletter, Anbieter von Mailinglisten, Google Analytics o.ä. Bitte fragt dort an, wo die Server stehen, auf denen die Daten gespeichert werden. Es macht juristisch einen großen Unterschied, ob sie in oder außerhalb der EU stehen. 
Ihr findet hier eine gute Zusammenfassung der Rechtslage, sowie eine gut nutzbare Checkliste. 

Anmeldungen, Bildrechtsabfragen etc.

Alle Daten, die ihr im Zuge einer Anmeldung zu einer Veranstaltung erfasst, sind in der Regel personenbezogenen Daten. Klärt in euren zuständigen Gremien, wie ihr Sorge dafür tragen könnt, dass die Daten nur denjenigen Verantwortlichen zugänglich sind, die sie unbedingt brauchen. Hilfreiche Tipps dazu findet ihr in der Arbeitshilfe der DPSG (s. Infobox). 

Einverständniserklärungen für die Nutzung von Fotos solltet ihr unbedingt archivieren. Das kann in Printform erfolgen, ist aber digital sicher leichter zu handhaben. Das gilt insbesondere dann, wenn ihr Bilder für Soziale Netzwerke verwenden möchtet. Und: Wer nicht einwilligt, darf auch nicht auf einem Bild sein! Mehr zu Bildrechten und –nutzung findet ihr in der Handreichung der dpsg (s. Infokasten) und im Formularvorschlag in der grünen Box.

Tools und Soziale Netzwerke

Bitte nutzt keine Dropbox mehr. Wir verstehen, dass die Nutzung überaus praktisch ist. Sie ist aber eben keinesfalls datensicher. Das gilt besonders für den Fall, dass ihr dort Bilder hochladet. Alternativ empfehlen wir euch owncloud o.ä. Für Ortsgruppen kann es möglicherweise auch sinnvoll sein, Cloudlösungen der Pfarrei zu nutzen (z.B. über Telekom). Bitte vergesst nicht, eure bestehenden Daten in einer Dropbox zu löschen, bevor ihr auf eine andere Cloudlösung wechselt. 

Soziale Netzwerke sind ein Alptraum in Sachen Datensicherheit. Wir werden euch dennoch nicht empfehlen, sie nicht mehr zu nutzen. Sie sind Teil unserer digitalen Gesellschaft und ohne Instagram, Snapchat und WhatsApp ist Jugendarbeit auch nicht mehr denkbar. Wir wollen euch aber dafür sensibilisieren, wie ihr selbst mit Daten in den Netzwerken umgeht. Zu Bildrechten haben wir oben bereits etwas gesagt. Tauscht in Sozialen Netzwerken Infos aus, aber keine Adresslisten, Passwörter, Protokolle o.ä. Wenn ihr anlassbezogene WhatsApp-Gruppen einrichtet, dann klärt eure Nutzer*innen auf, was mit ihren Daten (insbesondere ihrer Telefonnummer) geschieht. Postet nur, was ihr selbst auch dann für unverfänglich haltet, wenn ihr euch vorstellt, es in 30 Jahren nochmals anzusehen. 

Wenn ihr euch nach Alternativen zu WhatsApp umschauen möchtet, findet ihr hier eine Bewertung der Verbraucherschutzzentrale zu Messengerdiensten. Wir werden entsprechende Alternativen in den nächsten Monaten auch in kleinen Kreisen für euch testen, um euch praxistaugliche Alternative zu bieten.

Weitere Fragen?

Wir sind uns im Klaren darüber, dass wir hier nicht alle eure Fragen klären können. Vermutlich habt ihr jetzt ganz viele neue Fragen. Wir bieten euch aber an, sie gemeinsam mit euch zu bearbeiten. Mailt uns gerne an datenschutz@bdkj-speyer.de eure konkreten Rückfragen. Wir versuchen, euch schnellstmöglich zu antworten.