Datenschutz vor Ort - was ist zu beachten?

• Verpflichtungserklärung zum KDG

Die Pfarreien müssen von allen, die mit den Daten (Name, Adresse, Email, Geburtsdatum, Gesundheitsdaten, Bilder, Vidoeaufnahmen, ...) der Minis arbeiten eine sogenannte 'Verpflichtungserklärung' zum Datenschutz unterschreiben lassen und den Gruppenleiter:innen, Betreuer:innen, Planmacher:innen, ... sagen, was das für sie bedeutet.

• Einverständnis der Bearbeitung der Daten von den Minis

Alle Minis und Verantwortliche, mit deren Daten gearbeitet wird, müssen gefragt werden, ob das für sie okay ist, welche Daten verarbeitet werden, wofür, die Dauer der Speicherung und wie die allgemeinen Datenschutzregelungen sind. Klingt erstmal furchtbar kompliziert, ist aber relativ einfach.

Letztlich ist das KDG leicht "schärfer" als die DSGVO, aber im Grunde deckungsgleich. Wichtig ist:

1. 1. Die Daten werden nur im Zeitraum des Dienens verarbeitet, es sei denn diese dürfen auch für ein Ehemaligentreffen o. ä. gespeichert werden. Das müsste man aber extra abfragen.
   2. Es müssen die Zwecke der Verwendung angegeben werden. Also z. B. das Erstellen einer Adressliste mit Namen, Adressen, ...
   3. Wenn die Daten (das sind auch BIlder auf der Homepage, im Pfarrbrief, YouTube, Insta, Zeitung, ...) nicht nur intern genutzt, sondern auch veröffentlicht werden sollen, muss das ebenfalls erlaubt werden.
   4. Deutscher Datenschutzstandard muss seitens der Verarbeitenden (Gruppenleitung, Pfarrbüro, Hauptamtliche, ...) gewährleistet werden. (s. u.)
   5. Die Eltern bzw. der:die Messdiener:in haben die gleichen Rechte, die ihr auch von der DSGVO kennt. Also Auskunftsrecht, Recht auf Löschung im Rahmen des Möglichen, ...
   6. Die Eltern / Minis müssen ihrerseits darauf hingewiesen werden selbst sensibel mit den Daten der anderen, z. B. von der Adressliste, umzugehen oder auch nicht Bilder ohne Genehmigung in den sozialen Netzwerken zu teilen, etc.

Mit Hilfe der Information (Datenschutzerklärung der Pfarrei) und der Einwilligungserklärung ist das abgegolten. Dann müsst ihr euch "nur noch" dran halten.

• Fotos im Gottesdienst, Livestreams und Co

1. 1. Fotos im Gottesdienst: Auch hier braucht es die Einwilligung der Minis bzw. je nach Alter der Personensorgeberechtigten. Die Datenschutzbeauftragte empfiehlt, mehrere Einverständniserklärungen einzuholen: Eine jährliche (01.01.-31.12.20XX) für die Aufnahmen bei Taufen, Hochzeiten, ... bei denen Minis auch drauf sind und eine für die Feiertage, wie Ostern und Weihnachten.
   2. Regelungen zu Livestreams: Hierzu gibt es ein Merkblatt des Bistums, das bei der Datenschutzbeauftragen erfragbar ist. Die Einverstständniserklärung muss seitens der Pfarrei angepasst werden. Sollte rechtzeitig bekannt sein, dass es z. B. an den großen Feiertagen einen Livestream gibt, ist es gut, die Aufnahme und die Plattform des Livestreams in der Gottesdienstordnung / im Pfarrbrief zu veröffentlichen. Sollte die Videoaufzeichnung auf der Homepage oder Socialmediaseite der Pfarrei zur Verfügung gestellt, so muss eine Speicherdauer angegeben werden und das Video danach gelöscht werden.

• DSGVO- bzw. KDG-konform arbeiten!

Das heißt, dass alle Programme, Speicher, Mailanbieter, ... sich an die DSGVO bzw. EU-Recht halten müssen. Leider fallen da diverse und bewährte Apps und Programme durch, wie WhatsApp, Microsoft Office 365, Dropbox, Googlemail und -forms, ... Wir versuchen euch hier eine "Greenlist" zu erstellen, mit Programmen, die ihr ohne datenschutzrechtliche Bedenken nutzen könnt.

• Sensibel mit den Daten umgehen und Zugänge einschränken

1. 1. Nicht jede:r muss alles wissen! Schaut vorab, was wer wissen muss, um seine:ihre Aufgabe zu erfüllen. Wenn jemand den Mini-Plan erstellt, braucht er:sie nur den Namen und die Konaktdaten der Minis und Eltern. Die hochsensiblen Gesundheitsdaten (Allergien, Medikamenteneinnahmen, ...) braucht jede Fahrtenleitung und die Gruppenleitung des Kindes, nicht aber die Planmacher:innen. Im Grunde gilt das Fazit: So wenig Daten wie möglich bei den einzelnen, so viele, wie nötig für die Aufgabe - nicht mehr!
   2. Cloudlösungen prüfen! Dropbox speichert in Australien und ist damit raus. Google ist eine riesige Datenkrake, speichert in Amerika und ist somit ebenfalls nicht nutzbar. Es gibt aber Clouds der Telefonanbieter, wie Telekom, 1und1 u. a., bzw. auch Nextcloud, ... die ihre Server in Deutschland stehen haben und somit sicher sind. Das Bistum führt gerade im Rahmen des Pastoralen Weges die Nextcloud für die Pfarrbüros ein. Vielleicht könnt ihr hier profitieren und dort auch einen Gruppenordner bekommen?
   3. Rundmails mit BCC verschicken! Bisher wurden Mails oft im offenen Verteiler verschickt, so dass man immer sehen konnte, wer denn sonst noch die Mails so bekommen hat. Hier bitte auf Blindcopy (BCC) umstellen! Rundmails einfach im sichtbaren Feld an sich selbst schicken und alle anderen im BCC-Feld einfügen. Es muss nicht jede:r alle Mailadressen haben. Möchte jemand anderes etwas rund schicken, soll er:sie es an euch schicken und ihr leitet es weiter.
   4. Wer hat wo Zugang zu den Daten der Minis (auch Bilder, Videos, ...) und wo können "fremde Personen" Einblicke nehmen? Auch wenn man noch so gut auf die Daten aufpasst, gibt es eine Schwachstelle: Das echte Leben! Wenn ihr eure Minidaten in der Familiencloud / USB-Stick / externen Festplatte speichert, auf die auch eure Eltern und Geschwister Zugriff haben, ist das nicht gut. Hier braucht es dann z. B. einen Passowrtschutz für den Ordner. Gibt es einen Mini-Aktenordner mit allem Möglichen im gemeinsam genutzen Jugendraum oder der Sakristei auf den auch andere Gruppen und Personen Zugriff haben könnten, müsst ihr hier einen abschließbaren Schrank haben oder eine andere, für euch vor Ort geeignete Lösung. Das KDG ist hier recht klar, dass der:die Verarbeitende Sorge für den Schutz der Daten tragen muss.
   5. Datenpanne??? Was jetzt?!? Eine Datenpanne ist z. B. das Verschicken einer Mail mit sichtbaren Mailadressen über den Großverteiler (sofern die nicht alle eh auf der Adressenliste stehen), das Verlieren eines Aktenordners, USB-Sticks, ... mit sensiblen Daten oder ähnliches. Dann bitte sofort euer Pfarrbüro / Pfarrer / ... informieren. Datenpannen müssen binnen 72 Stunden bei der beauftragen Stelle gemeldet werden. Die sagen einem dann auch, welche Maßnahmen man selbst ergreifen muss und was von der Seite des Bistums eingeleitet wird, um die rechtlichen Bestimmungen zu erfüllen.

Es gibt Apps und Programme, die auf deutschen bzw. eurpäischen Servern laufen oder dort gehostet sind und damit auch den Datenschutz im Sinne der DSGVO und damit auch des KDG gewährleisten. Hier eine Auswahl:

- Messenger: z. B. Threema, Signal

- Clouds: z. B. NextCloud (gibt es auch vom Bistum für die Pastoralräume!), 1und1 / ionos, Telekom