Seit Mai 2018 ist ein neues, europaweites Datenschutzgesetz, genannt Datenschutzgrundverordnung (DSGVO), in Kraft getreten. Die DSGVO dient dazu, die Daten von Bürger*innen in der Europäischen Union vor Missbrauch zu schützen. Nicht nur Unternehmen und Behörden, sondern auch Vereine müssen sich an die neuen Vorgaben und Regelungen halten. Diese betreffen vor allem die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten.
Für kirchliche Vereine gilt das Kirchliche-Datenschutzgesetz (KDG), welches der DSGVO aber ähnelt. Die wichtigsten Punkte aus DSGVO und KDG fassen wir auf dieser Seite für euch zusammen. Bitte beachtet, dass es sich hierbei um Informationen vom Stand Juli 2020 handelt. Wir versuchen, die Seite jederzeit aktuell zu halten. Solltet ihr euch unsicher sein, schreibt uns gerne eine E-Mail oder schaut im Internet nach.
Was sind personenbezogene Daten und wann werden diese erhoben?
Personenbezogene Daten sind Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Hierunter fallen beispielsweise Name, Anschrift, E-Mail oder Telefonnummer einer Person. Aber auch bei der ethnischen Herkunft, politischen Meinungen oder religiösen Überzeugungen handelt es sich um personenbezogene Daten. Ausgefüllte Anmeldeformulare oder beispielsweise auch Mitgliedsanträge enthalten personenbezogenen Daten. Diese Daten sind in besonderer Weise schützenswert.
Die Erhebung, Erfassung, Ordnung, Speicherung, Verwendung, Sperrung, Löschung und Änderung dieser personenbezogenen Daten wird unter den Begriff der „Datenverarbeitung“ gefasst.
Als Ortsgruppe dürft ihr nach Art. 6 Abs. 1 nur dann personenbezogene Daten verarbeiten, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Einwilligung des Betroffenen
- Für Vertragserfüllung erforderlich (z.B. bei Anmeldung zu einer Veranstaltung)
- Rechtliche Verpflichtung
- Schutz lebenswichtiger Interessen des Betroffenen (z.B. im Falle von Naturkatastrophen)
- Öffentliches Interesse
- Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen (..) „Interessenabwägung“
Worauf muss ich bei der Datenverarbeitung achten?
Personenbezogene Daten sind sensible Daten, d.h. diese dürfen ausschließlich zu dem Zweck genutzt werden, zu dem sie auch erhoben wurden. Euer Ortsgruppenvorstand ist für die Einhaltung der Datenschutzvorgaben verantwortlich und muss dafür sorgen, dass mit den personenbezogenen Daten sorgsam umgegangen wird. Dabei gilt es, nur die Daten zu speichern, die ihr für das Vereinsleben oder den festgelegten Zweck tatsächlich braucht (Stichwort „Datensparsamkeit“).
Achtet darauf, dass ihr die personenbezogenen Daten an einem sicheren Ort mit Passwortschutz aufbewahrt. Solltet ihr die Daten auf einer Cloud speichern wollen, muss sich diese in einem EU-Land befinden. Zudem solltet ihr nur den Leuten Zugriff auf die Daten geben, die auch mit den Daten arbeiten müssen. Hierunter fallen beispielsweise Schriftführer*in, Kassierer*in, Vorsitzende*r. Eine Weitergabe der Daten an Dritte ist ohne schriftliche Einwilligung der jeweiligen Person nicht erlaubt.
Sollten mehr als 10 Personen einen Zugriff auf die Daten haben, müsst ihr eine*n Datenschutzbeauftragte*n ernennen. Diese Person muss sich mit dem Thema Datensicherheit auseinandersetzen und darauf achten, dass die Datenschutzverordnung eingehalten wird.
Zudem gilt es, Personen, zu denen ihr personenbezogene Daten erhebt, zu informieren. Aus dieser Information sollte ersichtlich sein, wofür ihr die Daten erhebt, welche Daten gespeichert werden und wie lange die Daten gespeichert werden. Dies kann beispielsweise über die Datenschutzerklärung der Homepage passieren.
Datenschutz auf eurer Homepage
Solltet ihr eine Homepage betreiben, so ist es wichtig, dass ihr euch grundlegend mit dem Thema Datenschutz auseinandersetzt. So muss in der Datenschutzerklärung und/oder Datenverarbeitung der Homepage klar ersichtlich sein, welche Daten auf der Webseite erhoben werden und welche Rechte Nutzer*innen in Bezug auf die Verarbeitung der Daten haben. Werden beispielsweise Cookies oder Anmeldeformulare genutzt sowie Social Media Kanäle über Plugins auf der Homepage eingebunden, so muss dies in der Datenschutzerklärung ersichtlich sein. Auch sollte ersichtlich sein, wofür diese Daten erhoben werden (Zweck) und wie lange diese gespeichert werden (Zeitliche Begrenzung).
Beispiel Datenschutzerklärung des Erzbistums Köln: https://www.erzbistum-koeln.de/thema/praevention/datenschutz/index.html
Anmeldeformulare über eure Homepage
Solltet ihr Kontaktformulare oder Anmeldeformulare auf eurer Homepage einbinden wollen, prüft zunächst, ob eure Website SSL-verschlüsselt ist. Dies erkennt ihr an dem Schloss-Symbol ganz links in der Adresszeile des Browsers. Da im Sinne der Datensparsamkeit generell nur Daten zu erheben sind, die zwingend benötigt werden, sind Pflichtangaben und freiwillige Angaben als solche zu kennzeichnen. Am Ende der Anmeldung sollte der oder die Interessent*in aktiv der Verarbeitung der Daten zustimmen. Dies könnt ihr beispielsweise durch ein Kästchen zum Abhaken machen. Weist in diesem Zusammenhang darauf hin, dass eine Löschung der persönlichen Daten nach Abschluss der Veranstaltung stattfindet.
Da Falschanmeldungen erfolgen können, solltet ihr im Anschluss die Identität überprüfen. Für die Überprüfung gibt es verschiedene Möglichkeiten:
- Sichert die Anmeldeseite durch ein Passwort, welches nur eurer Ortsgruppe bekannt ist
- Überprüfung der E-Mail durch ein „Double-Opt-In“
- Andere Arten der Überprüfung (SMS, Telefonanruf)
Zudem solltet ihr darauf achten, dass sich nur mündige Erwachsene über 18 Jahren online für Veranstaltungen anmelden dürfen. Bei Kindern und Jugendlichen müssen die Eltern ein separates Dokument unterschreiben.
Anschließend dokumentiert ihr die Anmeldungen in einem separaten Dokument und verseht dieses mit einem Passwortschutz. So sind die Daten für euch auch nach Ablauf der Veranstaltung nachvollziehbar.
Veröffentlichung von Daten und Fotos über eure Homepage
Ihr habt ein Bild gemacht, welches ihr gerne auf eurer Homepage oder Social Media verbreiten möchtet? Bevor ihr Bilder oder personenbezogene Daten im Internet veröffentlichen dürft, benötigt ihr eine (schriftliche) Einverständnis der Personen. Kinder und Jugendliche unter 16 Jahren dürfen nicht ohne unterschriebene Einwilligung der Sorgeberechtigten fotografiert und deren Fotos veröffentlicht werden.
Aus der Einverständniserklärung muss klar hervorgehen, wofür eine Einwilligung gegeben wird (z.B. Veröffentlichung der Bilder auf der Webseite, Veröffentlichung der Bilder in der Kirchenzeitung, Namensveröffentlichung, etc.). Seit Mai 2019 ist es möglich, dass ihr für eure Veranstaltungen wie Pfingst- oder Sommerlager eine pauschale Einwilligung der Sorgeberechtigten einholen könnt. Somit muss bei einer Veranstaltung nicht jedes einzelne Bild durch die Sorgeberechtigten freigegeben werden. Die Einwilligung der Einverständniserklärung ist freiwillig und kann jederzeit widerrufen werden. Der Hinweis zur Freiwilligkeit und das Recht auf Widerruf sollte in jeder Einverständniserklärung zu finden sein.
Im Anschluss dürft ihr die Bilder und Daten nur für den Zweck verarbeiten und nutzen, zu dem sie erhoben wurden. Achtet darauf, dass ihr keine Bilder veröffentlicht, die unvorteilhaft oder verletzend für die betroffene Person sind. Falls ihr euch unsicher seid, fragt lieber nach.
Bei den folgenden Veranstaltungen benötigt ihr keine Einverständniserklärung:
Eine Ausnahme besteht bei öffentlichen Versammlungen, welche zu einem begrenzten Zeitraum stattfinden (z.B. Sportveranstaltungen, kirchliche Veranstaltungen, Nachbarschaftsfeste, jedoch KEINE internen KLJB-Vereinsveranstaltungen). Eine weitere Ausnahme betrifft Bilder, bei denen Personen nicht im Fokus des Bildes, sondern neben dem eigentlichen Motiv stehen (z.B. Person als Beiwerk neben einer Landschaft).
Für diese Art von Bildern ist (Stand Mai 2019) bei Personen über 16 Jahren kein Einverständnis der Sorgeberechtigten notwendig. Hierfür solltet ihr vorher sicherstellen, dass z.B. in den Einladungen oder durch Hinweisschilder bei einer Veranstaltung alle Informationen für die Teilnehmer*innen in präziser, transparenter, verständlicher und leicht zugänglicher Form mitgeteilt werden. Ein Hinweisschild kann beispielsweise folgenden Text beinhalten: „Auf dieser Veranstaltung werden zur Dokumentation des Tages Bilder gemacht. Diese Bilder werden im Anschluss in das Protokoll eingefügt und auf der Homepage hochgeladen. Sollten Sie nicht fotografiert werden wollen, melden Sie sich bitte bei dem oder der Fotograf*in.“
Quellen:
Deutsche Bischofskonferenz: Häufig gestellte Fragen – neues Kirchliches Datenschutzgesetz (KDG). https://www.dbk.de/themen/kirche-staat-und-recht/datenschutz-faq/.
Erzbistum Köln: Kirchliches Datenschutzgesetz (KDG) Informationen. https://www.erzbistum-koeln.de/kirche_vor_ort/service_pfarrgemeinden/rendanturen_und_service_kirchengemeinden/betrieblicher-datenschutz/archiv/index.html.
Katholisch.de: Kirchliche Datenschützer erleichtern Umgang mit Fotos von Minderjährigen. https://www.katholisch.de/artikel/21662-kirchliche-datenschuetzer-erleichtern-umgang-mit-fotos-von-minderjaehrigen.
Katholisches Datenschutzzentrum für NRW: FAQ. https://www.katholisches-datenschutzzentrum.de/faq/.
Katholische Kirche Bistum Münster: Die häufigsten Fragen rund um KDG und DSGVO für katholische Kirchengemeinden und Einrichtungen. https://www.bistum-muenster.de/datenschutz-faq.
Mensch und Medien GmbH: Datenschutz im Verein. https://www.katholisches-datenschutzzentrum.de/faq/