Praktische Hinweise für Verantwortliche in den Mitgliedsverbänden
Nachdem Mitte Mai die neue Datenschutzgrundverordnung (DSGVO) und somit auch ein neues kirchliches Datenschutzgesetz (KDG) in Kraft getreten ist, möchten wir Euch hier einen kompakten Überblick über die Änderungen und die damit in Verbindung stehenden Auswirkungen auf Eure praktische Arbeit im Jugendverband bereitstellen.
Trotz sorgfältiger Prüfung und Recherche erheben wir keinen Anspruch auf Vollständigkeit und juristische Richtigkeit. Ihr findet weitere nützliche und hilfreiche Tipps auf der Homepage des BDKJ Speyer und auf dem Blog Digitale Lebenswelten des BDKJ Bundesverbandes. Weiter hat auch der Bundesverband der DPSG eine gute Übersicht erarbeitet. Diese findet Ihr auf deren Homepage.
Grundsätzlich zielt die neue Gesetzeslage darauf ab, den Schutz personenbezogener Daten jedes Einzelnen zu stärken. Als personenbezogene Daten gelten z.B. Name, Alter, Adresse, Bankdaten, Fotos etc..
Für Fotos gilt insbesondere, dass diese nur mit schriftlicher Erlaubnis gemacht werden dürfen. Ihr müsst sogar erst das Bild eines Kindes den Eltern zeigen und Euch dann für dieses eine schriftliche Freigabe geben lassen (weitere Infos findet Ihr in diesem Artikel). Es gilt also: Es ist nicht erlaubt, Euch einmalig eine generelle Einverständniserklärung geben zu lassen. Wer dieser nicht zugestimmt hat, darf nicht fotografiert werden. Eine entsprechende Vorlage für Eure Veranstaltungen findet Ihr hier.
Für den Umgang mit den von Euch verwendeten und erhobenen Daten gilt grundlegend das Prinzip der Datensparsamkeit. Das bedeutet konkret, dass Ihr die Daten nur den Personen weitergebt, welche sie auch wirklich brauchen. Soll heißen: Das Küchenteam auf Eurer Freizeit braucht die Info über Allergien, aber nicht das Geburtsdatum oder Ähnliches. Genauso benötigt z.B. Eure*r Kassenwart*wärtin die Bankdaten, die Gruppenleiter*innen aber nicht. Datenschutz bedeutet, dass wirklich nur solche Einsicht und Zugriff auf die personenbezogenen Daten haben, welche sie unmittelbar benötigen.
Ein juristischer Graben medialer Art besteht zwischen Servern, welche in EU-Ländern stehen und solchen, die es nicht tun. Das hört sich erst einmal weit weg an, wird aber zum Thema, wenn Ihr mit Tools oder Anbietern (zusammen) arbeitet, deren Server nicht in der EU stehen.
Stellenweise ist es offensichtlich, dass Ihr über eure Homepage Daten abfragt: Beispielsweise im Kontakt- oder Anmeldeformular. Diese Daten sollten verschlüsselt übertragen werden (ssl). Eine solche Verschlüsselung könnt Ihr über Euren Hostingdienst „einkaufen“. Wir empfehlen Euch das unbedingt zu tun. Wenn Ihr dazu Fragen habt, mailt uns unter bdkjbistum-fuldade.
An manch anderen Stellen ist die Nutzung und das Abfragen von Daten weniger offensichtlich. Zum Beispiel wenn Ihr Tools wie z.B. Google Analytics nutzt. Die Nutzer*innen Eurer Homepage geben damit Daten preis, wissen das aber möglicherweise nicht. Um darüber zu informieren, solltet Ihr auf der Startseite einen Hinweis auf Cookies setzen. Wie das konkret geht ist systemabhängig. Der Hinweistext kann folgendermaßen lauten: “Wir verwenden Cookies, um unsere Webseite für dich optimal zu gestalten und verbessern zu können. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu. Hier findest du unsere Datenschutzerklärung [Link].“
Eure Homepage muss darüber hinaus nicht mehr nur ein Impressum, sondern auch einen Datenschutzhinweis enthalten, welche alle Datennutzungen benennt. Vorsicht: Hier reicht es nicht, einen Datenschutzhinweis in das bestehende Impressum einzubauen!
Der Datenschutzhinweis muss also eine eigene Seite sein, welche über die Navigation im Menü zu finden ist (Tipp: Einen solchen Datenschutzhinweis könnt Ihr auf www.e-recht24.de generieren). Hier hinterlegt Ihr bitte Hinweise auf Nutzung oder Zurverfügungstellung folgender Dienste:
- Einbindung fremder Inhalte wie Videos von YouTube, Kartenmaterial von Google-Maps,
- RSS-Feeds oder Grafiken
- Kontaktformulare
- Newsletter
- Cookies
- Nutzung von Google-Analytics
- Twitter- und/oder Facebook-Schaltflächen
- Google-AdSense-Werbung
Hinweis: Wenn Ihr einen Generator benutzt, dann bezieht sich die Datenschutzerklärung, welche Ihr erhaltet auf das europäische Recht (DSGVO). Ihr fallt als kirchliche Einrichtung aber unter das KDG, ein spezielles Datenschutzgesetz der Kirche. Wir empfehlen Euch die Generatoren trotzdem, solange es noch keinen eigenen Generator für KDG-konforme Datenschutzerklärungen gibt. Sobald es einen solchen Generator gibt, verlinken wir ihn hier für Euch. DGSVO und KDG sind sich sehr ähnlich, sodass auch bei Nutzung eines DSGVO-konformen Generators vermutlich alles Berücksichtigung findet, was berücksichtigt werden muss.
In allen Organisationen, in denen regelmäßig mehr als 10 Personen Einsicht in personenbezogene Daten haben, muss ein*e Datenschutzbeauftragte*r benannt werden. Aktuell stehen wir in Kontakt mit der Bistumsleitung, wie hier Unterstützungsmöglichkeiten für die BDKJ-Mitgliedsverbände aussehen können. Ergänzend dazu, könnt Ihr Euch schon jetzt immer an das Katholische Datenschutzzentrum wenden bzw. dorthin verweisen.
Datenschutzaufsicht
Katholisches Datenschutzzentrum Frankfurt a.M.
Haus am Dom, Domplatz 3
60311 Frankfurt
Tel. 069-8008718800
Email: infokdsz-ffmde
Die Daten, welche Ihr im Zuge einer Anmeldung für eine Freizeit oder Veranstaltung erhebt, sind in der Regel überwiegend personenbezogene Daten. Dies bedeutet, dass Ihr in Euren zuständigen Gremien thematisieren müsst, wie Ihr Sorge dafür tragen könnt, dass die Euch vorliegenden Daten nur denjenigen Verantwortlichen (Lagerleitung/Küche/Betreuer*in) zugänglich sind, die sie zwingend benötigen.
Die Einverständniserklärungen für die Nutzung von Fotos solltet Ihr zwingend archivieren. Das kann in Printform erfolgen, wird aber digital wahrscheinlich leichter sein. Das gilt insbesondere dann, wenn Ihr Bilder für soziale Netzwerke verwenden möchtet. Bitte beachtet, dass Personen, die nicht einwilligen auch nicht auf einem Bild zu sehen sein dürfen! Wir haben Euch ein entsprechendes Formular vorbereitet, welches Ihr für Eure Freizeit nutzen könnt.Aus Datenschutzgründen raten wir dringend davon ab, weiterhin Dropbox als Cloudlösung zu verwenden. Gerade das Hochladen von Bildern sollte hier vermieden werden. Als Alternative empfehlen wir Euch beispielsweise owncloud. Ortsgruppen und Stämme können darüber hinaus prüfen, inwieweit sie auf Lösungen in ihrer Pfarrgemeinde zurückgreifen können. Bitte vergesst nicht Eure bestehenden Daten in einer Dropbox zu löschen, bevor Ihr auf eine andere Cloudlösung wechselt.
Soziale Netzwerke sind für unsere Jugendarbeit unverzichtbar und sollten von Euch auch weiterhin genutzt werden. Dennoch sind sie aus datenschutztechnischen Gründen nicht zu empfehlen. Uns ist es wichtig, dass Ihr verantwortungsvoll mit Daten in den sozialen Netzwerken umgeht und Ihr gerade in WhatsApp keine Adresslisten, Passwörter, Protokolle usw. austauscht. Wenn Ihr anlassbezogene WhatsApp-Gruppen einrichtet, dann weist Eure Nutzer*innen daraufhin, was mit ihren Daten (insbesondere ihren Telefonnummern) passiert. Stellt nur solches Material online, was auch noch zu einem späteren Zeitpunkt unverfänglich erscheint.
Eine Alternative zu WhatsApp kann Threema oder Telegram darstellen. Weitere Messangerdienste werden von der Verbraucherschutzzentrale zu Messengerdiensten hier bewertet.
Weitere Fragen?
Wir bitten um Euer Verständnis, dass wir hier nicht alle Fragen bis ins Detail beantworten können. Wir hoffen dennoch, dass Euch der kurze Überblick eine Hilfe für die anstehenden Sommerfreizeiten darstellt. Solltet Ihr weitere Fragen haben, könnt Ihr Euch sehr gerne jederzeit an unsere BDKJ-Diözesanstelle wenden. Die Kontaktdaten findet Ihr hier.