FAQ Datenschutz

Datenschutz in der Jugendverbandsarbeit: Es gibt einiges zu tun! Am 24. Mai 2018 tritt das Gesetz über den Kirchlichen Datenschutz (KDG) in Kraft, einen Tag später die europäische Datenschutzgrundverordnung (EU-DSGVO). Als Jugendverband verarbeiten wir personenbezogene Daten unserer Mitglieder unter Einsatz der automatisierten Datenverarbeitung. Somit ist nach § 2 Abs. 1 des Kirchlichen Datenschutzgesetzes (Art. 2 Abs. 1 DS-GVO) der Anwendungsbereich dieses Gesetzes eröffnet.

Wir möchten euch mit diesen FAQ’s sowie den darin enthaltenen Links so viel Input wie möglich geben, an dem ihr euch orientieren und informieren könnt. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit.

Unsere Handlungsempfehlungen sollen euch dafür sensibilisieren, ob ihr die personenbezogenen Daten der Kinder und Jugendlichen in eurem Stamm gut geschützt habt, oder ob ihr eine korrekte Datenschutzerklärung auf eurer Homepage habt. Ebenfalls wird die Frage geklärt, ob ihr eine betriebliche Datenschutzbeauftragte oder einen betrieblichen Datenschutzbeauftragten benötigt.

Datenschutz Allgemein

Welche Daten unterliegen dem Datenschutz? Im Grundsatz geht es bei den neuen gesetzlichen Regelungen darum, alle personenbezogenen Daten besonders zu schützen. Personenbezogene Daten sind alle Angaben, die eine Person identifizierbar machen.

Beispiele für personenbezogene Daten sind:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Werturteile wie zum Beispiel Zeugnisse
  • Erweiterte Führungszeugnisse
  • Standortdaten
  • Online-Kennungen
  • Ausgaben, die die Gesundheit betreffen
  • Mitgliedsnummer in NaMi

Ein weiteres, im Stammesalltag häufig verwendetes Beispiel sind aber auch Fotos, die ihr deshalb unter keinen Umständen mehr ohne schriftliche Erlaubnis (Unterschrift!) machen dürft. Überall gilt der Grundsatz der Datensparsamkeit, d.h. personenbezogene Daten dürfen nur Personen zugänglich gemacht werden, die sie benötigen. (z.B.: Muss im Stammeslager der Koch wissen, wer welche Allergien/Unverträglichkeiten hat, nicht aber wie dessen Bankverbindung lautet. Der Kassierer hingegen benötigt kein Wissen über die Religionszugehörigkeit oder Einsicht in ein erweitertes Führungszeugnis).

Angaben, die für eine zeitlich begrenzte Aktivität erhoben werden, müssen nach den vorgesehenen Archivierungsfristen gelöscht werden.

Wichtig: Personenbezogene Daten sind nicht nur in digitaler Form vom Datenschutz betroffen. Auch Papieraufzeichnungen müssen berücksichtigt werden.

Was gilt für uns als (kirchlicher) Jugendverband: KDG oder EU-DSGVO?

Bei so gut wie allen Stämmen dürfte das Gesetz über den Kirchlichen Datenschutz (KDG) gelten, denn es ist bei Einrichtungen anzuwenden, die vorrangig kirchliche Zwecke erfüllen, unabhängig davon, welche Rechtsform sie haben. Also auch Ortsgruppen von Jugendverbänden. Auch wenn sie kein eingetragener Verein sind. Einzige Ausnahme könnten Gewerbebetriebe in kirchlicher Trägerschaft darstellen. Im Zweifelsfall fragen aber die staatlichen Datenschutzaufsichtsbehörden erst bei den kirchlichen nach, bevor sie gegen eine mutmaßlich kirchliche Einrichtung tätig werden.

Unter kirchliches Recht zu fallen, hat Vorteile: Vor allem sind die Strafzahlungen bei Verstößen kleiner. Außerdem kennen sich die Diözesandatenschutzbeauftragten besser mit der Kirche aus, als weltliche Behörden.

Das Gesetz über den Kirchlichen Datenschutz (KDG) bringt Herausforderungen für uns alle mit sich: Wer unter das KDG fällt, muss das höhere Datenschutzniveau erfüllen, das auch Behörden erfüllen müssen. So ist die Benutzung von WhatsApp, Facebook, Instagram (derzeit) quasi komplett verboten, weil der Dienst Daten in den USA speichert und es keinen Anerkennungsbeschluss der EU-Kommission (vgl. § 40 KDG) für das Datenschutzabkommen EU-US-Privacy-Shield gibt, der das behördliche Datenschutzniveau feststellen würde.

Ferner setzt das KDG immer eine schriftliche Einwilligung (mit Unterschrift, digital reicht nicht aus) zur Datenverarbeitung voraus.

An wen kann ich mich bei Fragen wenden?

Da es in einigen Bereichen (landes- bzw. diözesanspezifisch) unterschiedliche Rechtslagen gibt, ist es sinnvoll euch bei Fragen vorrangig an die Diözesandatenschutzbeauftragten in euren Regionen zu wenden (Hierbei handelt es sich auch um die zuständige Kontrollaufsicht). Hier findet ihr eine Übersicht der zuständigen Stellen.

Wer ist für die Umsetzung des geänderten Datenschutzes verantwortlich?

Der jeweilige Verantwortliche ist für die Umsetzung und Einhaltung des Datenschutzes verantwortlich. Es liegt auch in der Verantwortung der Vorstände, sowohl ehrenamtliche als auch hauptberufliche Mitarbeitende zu unterrichten bzw. zu belehren.

Was ist bei Problemen/Datenverlust zu tun?

Die zuständige Aufsichtsbehörde muss informiert werden.

Verarbeitungsverzeichnisse

Was ist ein Verarbeitungsverzeichnis und wofür brauchen wir es?

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen (Vorstand und Geschäftsführung) dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

Im KDG findet sich diese Pflicht in § 31. Das katholische Datenschutzzentrum stellt sowohl ein Muster als auch ausführliche Praxishilfen zur Verfügung. Auch von uns werdet ihr in Kürze ein Muster zum Download auf der Homepage finden.

Wir empfehlen allen, die ein solches Verfahrensverzeichnis noch nicht angelegt haben, mit diesem vor dem 24. Mai anzufangen, und es dann sukzessive zu erstellen.

Wir empfehlen, ein solches Verfahrensverzeichnis bis zum 30. Juni 2019 zu erstellen.

Was sind Technische und organisatorische Maßnahmen?

Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die sich physisch umsetzen lassen, zum Beispiel durch das Installieren einer Zugangs- oder Zugriffskontrolle mittels Passwort.

Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die dazu dienen, dass Mitarbeiter den Datenschutz gesetzestreu einhalten.

Technische und organisatorische Maßnahmen solltet ihr bis zum 30. Juni 2019 etabliert haben.

Auftragsdatenverarbeitung

Was bedeutet Auftragsdatenverarbeitung?

Ein Auszug aus der Praxishilfe 04 des katholischen Datenschutzzentrums definiert die Auftragsdatenverarbeitung wie folgt:

„Geregelt ist die Auftragsverarbeitung künftig in § 29 KDG, der sich an die Bestimmung in Art. 28 der Datenschutzgrundverordnung (DS-GVO) anlehnt. Wie bereits in der noch geltenden KDO wird weiterhin der Auftragnehmer nicht als „Dritter“ bei der „Offenlegung“ personenbezogener Daten (frühere Bezeichnung: „Datenübermittlung“) angesehen. Nach der Definition des Begriffs in § 4 Nr. 12 KDG ist „Dritter“ jede natürliche oder juristische Person, soweit es sich bei ihr nicht um den Betroffenen selbst, den Verantwortlichen oder einen von ihm/ihr eingeschaltete/n Auftragsverarbeiter/in handelt. Die/Der Auftragsverarbeiter/in ist also insoweit privilegiert, als eine Offenlegung der Daten an ihn ohne Prüfschranken erfolgen kann. Der Dienstleister wird also im „Innenverhältnis“ für den Verantwortlichen tätig.“

Ausführlich erklärt werden die sogenannten Privilegien u.a. in der o.g. Praxishilfe. Kurz kann man sagen:

Eine Vereinbarung zur Auftragsdatenverarbeitung müsst ihr mit allen Anbietern schließen, die mit euren Daten arbeiten. Das sind etwa externe Versandanbieter für Newsletter, Anbieter von Mailinglisten, Google Analytics o.ä. Bitte fragt dort an, wo die Server stehen, auf denen die Daten gespeichert werden. Es macht juristisch einen großen Unterschied, ob sie in oder außerhalb der EU stehen.

Verträge zur Auftragsdatenverarbeitung solltet ihr bis zum 31. Dezember 2019 geschlossen haben.

Hier findet ihr weiter unten eine gute Zusammenfassung der Rechtslage, sowie eine gut nutzbare Checkliste.

Wichtig: Personenbezogene Daten dürfen nie ohne die Einwilligung der betroffenen Personen an Dritte weitergegeben werden.

NAMI

Sind unsere Daten in der NaMi sicher?

Die Sicherheit eurer Mitgliedsdaten ist für uns das A und O!

Wir sorgen mit abgeschlossenen Datenschutzerklärungen gemäß § 4 Anordnung KDO zwischen unseren Dienstleistern/Programmierern und uns für Sicherheit im Umgang eurer Daten! Die Datenschutzerklärungen werden unsererseits ans neue KDG angepasst und aktualisiert. Ebenfalls wird mit jedem Dienstleister ein Auftragsdatenverarbeitsvertrag geschlossen (siehe oben). Im Bundesamt arbeiten wir ebenfalls alle nach den Richtlinien des KDG und werden die Mitarbeiter entsprechend der Änderungen stets schulen.

Was müssen wir bei NaMi beachten?

Im Stammesalltag möchten wir euch die Empfehlung geben, eure Zugriffe/Rechtevergabe zu überdenken. Es sollten nur die Personen einen Zugriff erhalten, die die NaMi wirklich nutzen. Mit dem Leserecht fallt ihr schon in die Kategorie der Personen, „die ständig mit personenbezogenen Daten arbeiten“ und füllt so schnell die 10 Personen, die die Pflicht zur Bestellung eines Datenschutzbeauftragten mit sich bringt.

Anmeldungen Zeltlager, Teilnehmenden-/Telefon-/E-Maillisten

Wie können wir die Daten ausreichend schützen und was ist zu beachten?

Anmeldebögen sollten bei dem/der jeweiligen Gruppenverantwortlichen aufbewahrt werden, sodass nicht jeder Einsicht in die personenbezogenen Unterlagen hat. Zum Beispiel könnt ihr Allergien etc. für die Küche auf eine extra Liste (Vorname, Stufe, Allergie,…) schreiben, die dann dem Küchenteam zur Verfügung gestellt wird. So könnt ihr darauf achten, dass jede Funktionsträgerin und jeder Funktionsträger (Gruppenleitung, Lagerleitung, Küchenteam, Sanitäterin oder Sanitäter) nur die für die Erfüllung ihrer oder seiner Aufgaben erforderlichen personenbezogenen Daten kennt.

Auch bei Listen zur Kommunikation gilt wieder:

Grundsätzlich: Nur mit Einwilligung! E-Mail-Adressen und Telefonnummern dürfen für verbandliche Zwecke genutzt werden. Allerdings darf jede Funktionsträgerin und jeder Funktionsträger auch hier nur die für die Erfüllung seiner Aufgaben erforderlichen Daten (also Name und E-Mail-Adresse bzw. Telefonnummer) kennen, verarbeiten und nutzen. (Stichwort: Zweckgebunden / Datensparsamkeit!)

Allgemein kann noch gesagt werden: Listen mit personenbezogenen Daten dürfen niemals offen im Gruppenraum/Zeltlager & Co liegen, da schnell Dritte an Daten gelangen oder Listen beispielsweise abfotografiert werden könnten.

Welche Hinweise muss der Mitgliedsantrag enthalten?

Im Mitgliedsantrag der DPSG werden viele persönliche Daten abgefragt. Es ist wichtig, nur die nötigsten Angaben einzufordern. Es besteht auch die Möglichkeit, bestimmte Angaben freiwillig einzutragen. Auch hier gilt der Grundsatz der Datensparsamkeit. Hier findet ihr den aktuellen Mitgliedsantrag, an dem ihr euch orientieren könnt.

Homepage

Was ist auf der Stammeshomepage zu beachten?

Das auf eurer Homepage Daten abgefragt werden ist teilweise offensichtlich. (Kontaktformulare etc.) Wichtig ist, dass alle Informationen verschlüsselt übertragen werden (SSL). Eine solche Verschlüsselung kann über den Hostinganbieter eingekauft werden. Das sollte spätestens am 24.05.2018 geschehen sein.

An anderen Stellen ist die Nutzung von Daten weniger offensichtlich, etwa, wenn ihr Google Adsense oder Analytics nutzt. Eure Nutzerinnen und Nutzer geben damit Daten preis, wissen das aber unter Umständen nicht. Damit sie es wissen, solltet ihr auf der Startseite einen Hinweis auf Cookies setzen. Wie das konkret geht ist systemabhängig: WordPress bietet etwa eigene Plugins an, die ihr installieren könnt.

Der Text kann folgendermaßen lauten: “Wir verwenden Cookies, um unsere Webseite für dich optimal zu gestalten und verbessern zu können. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu.“ Hier findest du unsere Datenschutzerklärung.

Eure Homepage muss nicht nur ein Impressum, sondern auch einen separaten Datenschutzhinweis enthalten, der alle Datennutzungen benennt. Es ist nicht ausreichend, einen Datenschutzhinweis in das bestehende Impressum einzuarbeiten.

Der Datenschutzhinweis muss also eine eigene Seite sein, die über die Navigation im Menü angesteuert wird. Hier hinterlegt ihr bitte Hinweise auf Nutzung oder Zurverfügungstellung folgender Dienste:

  • Einbindung fremder Inhalte wie Videos von YouTube, Kartenmaterial von Google-Maps,
  • RSS-Feeds oder Grafiken
  • Kontaktformulare
  • Newsletter
  • Cookies
  • Nutzung von Google-Analytics
  • Twitter- und/oder Facebook-Schaltflächen
  • Google-AdSense-Werbung

Hinweis: Durch die veränderte Datenschutz-Rechtslage muss damit gerechnet werden, dass Seitenbetreiber abgemahnt werden. In den meisten Fällen beziehen sich diese Abmahnungen auf eine fehlende oder falsche Datenschutzerklärung auf der Webseite. Wenn ihr gerade keine Zeit habt eure Datenschutzerklärung zu prüfen bzw. zu überarbeiten raten wir euch die Seite vorübergehend zu deaktivieren.

Bildrechte

Was ist das „Recht am eigenen Bild“?

„Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden“ (§§ 22 und 23 des Kunsturheberrechtsgesetzes (KunstUrhG)).

Wenn ihr Bilder veröffentlicht (z. B. auf der Homepage, in einem Flyer, auf Facebook oder in der Zeitung), solltet ihr von allen abgebildeten Personen eine – UNBEDINGT SCHRIFTLICHE – Einwilligung einholen und darin darauf hinweisen, dass die Einwilligung aufgehoben/gespeichert wird und dies auch (am besten Jahrzehnte lang) tun.

Bei Kindern ab 12 Jahre muss das Kind selbst und alle erziehungsberechtigten Personen die Einwilligung unterschreiben. Nur Jugendliche ab 18 Jahre können die Einwilligung alleine unterschreiben. Das gilt für ALLE auf einem Foto abgebildeten Personen – unabhängig von der Anzahl.

Einwilligungen müssen anlassbezogen sein. Pauschale Einwilligungen für alle Aktivitäten des Stammes sind nicht zulässig. So muss z.B. für jedes Sommerlager eine neue Einwilligung eingeholt werden.

Eine Vorlage für euren Stamm könnt ihr hier herunterladen.

Gibt es da keine Ausnahmen?

Doch, ein paar Ausnahmen gibt es. Die wichtigsten sind:

  • Beiwerk: wenn die Person im Bild nur eine untergeordnete Rolle spielt und das Bild mit oder ohne die Person quasi das gleiche wäre
  • Versammlungen: öffentliche Veranstaltungen, wobei die Personen im Bild nicht besonders herausgehoben sein dürfen
  • Personen der Zeitgeschichte – Stars, Politikerinnen und Politiker oder Prominente (die sowieso in jeder Zeitung zu sehen sind)

Soziale Netzwerke

Wie ist mit sozialen Netzwerken und WhatsApp & Co umzugehen?

Die Konferenz der Diözesandatenschutzbeauftragten hat beschlossen, dass eine dienstliche Nutzung von WhatsApp nicht zulässig ist. Dabei ist es irrelevant, ob es ein Diensthandy oder beispielsweise bei Ehrenamtlichen ein privates Endgerät ist. Personenbezogene Daten dürfen nicht über WhatsApp versandt werden – und das betrifft fast jede Nutzung, da schon eine Telefonnummer zu den personenbezogenen Daten gehört.

Broadcast-Listen sind unter bestimmten Voraussetzungen möglich.

Information: Für unseren DPSG-Account werden wir Facebook weiterhin nutzen. Wir achten darauf, dass die Einwilligung gemäß KDG der Personen, von denen wir personenbezogene Daten nutzen (bspw. Fotos) vorliegen haben.

Datensicherheit

Für einen effektiven Datenschutz ist eine gute Datensicherheit wichtig. Datensicherheit hat das Ziel jegliche Daten gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Dazu gehört also die Sicherung von Computern genauso wie die wohl überlegte Aufbewahrung von USB-Sticks.

Weitere Informationen zum Thema Datensicherheit findet ihr hier.

Empfehlung

Der Beck-Verlag hat mit dem bayerischen Landesamt für Datenschutz eine Broschüre herausgebracht, die Kompakt und gut auf Maßnahmen und Neuerungen eingeht und einige Beispiele und Gerüste zur Verfügung stellt.