Datenschutz-Grundverordnung (DSGVO) & Gesetz über den kirchlichen Datenschutz (KDG)

für Redakteurinnen und Redakteure im Bistum Mainz

Ab 25. Mai 2018 geht es um die konsequente Umsetzung der Datenschutz-Grundverordnung (DSGVO). Sie soll den Datenschutz in den EU-Ländern vereinheitlichen. Für kirchliche Institutionen tritt am 24. Mai 2018 das Gesetz über den Kirchlichen Datenschutz (KDG) in Kraft, das die Umsetzung der Datenschutz-Grundverordnung für den kirchlichen Bereich regelt.

Der Schutz der Daten auf der Bistumsplattform war uns schon immer wichtig und wird auch in unserem Rechtsleitfaden in einem eigenen Kapitel thematisiert. 

Auch weisen alle Seiten der Bistumsplattform eine Datenschutzerklärung auf, die den Nutzer darüber informiert, in welcher Form die Erhebung personenbezogener Daten auf der Webseite erfolgt. In den kommenden Tagen wird diese Datenschutzerklärung an die Anforderungen der Datenschutzgrundverordnung (DSGVO) angepasst und in unseren CMS-Systemen (dcms, isiweb und OpenCms) verlinkt.

Aber auch Ihre Mitarbeit ist gefragt. Daher möchten wir kurz die wichtigsten Punkte der Datenschutzgrundverordnung (DSGVO) zusammenfassen und anschließend eine Checkliste für Ihre Internetarbeit empfehlen.

Weitere und darüber hinausgehende Fragen aus Ihrer Arbeit können Sie an Ihre zuständige Datenschutzstelle richten.

Auch wenn die Auseinandersetzung mit dem Thema zunächst Arbeit bedeutet: sie schützt auch jeden von uns!

Die wichtigsten Informationen zum Thema Datenschutz-Grundverordnung (DSGVO)

  • Die DSGVO ist ein europäisches Gesetz.

  • Es geht um die nicht nur privat genutzten

    personenbezogenen Daten, also um Informationen, wie z.B. richtiger Name, Adresse, Postanschrift oder Telefonnummer. Die DSGVO geht über das hinaus, was es bisher gab: IP-Adressen und pseudonyme Daten zählen jetzt auch dazu, wenn diese dazu dienen, Personen zu identifizieren.

  • Die wichtigste Änderung ist, dass die Einhaltung der Datenschutzrichtlinien nachweisbar sein muss. Man kann nicht auf Nachbesserung setzen. Einen Nachweis erbringt man zum einen durch eine korrekte und vollständige Datenschutzerklärung. Zum zweiten wird es zur Pflicht, alle Vorgänge, bei denen personenbezogene Daten im Spiel sind, übersichtlich in einem Verfahrensverzeichnis zu dokumentieren.

  • Datenschutzerklärung: Man erstellt eine inhaltlich, technisch und datenschutzrechtlich korrekte und vollständige Datenschutzerklärung. Das haben alle unsere Websites seit Beginn der Plattform und diese halten wir beständig aktuell. Ihre Websites auf der Internetplattform erhalten jeweils automatisch die von uns zentral erstellte Datenschutzerklärung. Unsere Datenschutzerklärungen werden in den kommenden Tagen noch einmal erweitert, denn es ist jetzt notwendig, alles noch genauer zu erklären und Ansprechpartner, Datenschutzbeauftragte und Kontrollstelle anzugeben.

  • Verfahrensverzeichnis: Dieses ist für alle verpflichtend, die ständig personenbezogene Daten verarbeiten, egal wie groß das Unternehmen ist. Man erstellt eine Übersicht der Bereiche, in denen man personenbezogene Daten erhebt. Darin wird dokumentiert, welche Daten man von wem zu welchem Zweck erhebt, was genau damit gemacht wird, wie lange sie vorgehalten und wann sie wieder gelöscht werden sollen. Der Fachbegriff dafür ist „Verfahrensverzeichnis“. Ein Beispiel in Tabellenform finden Sie im Anhang und auf der Themenseite (Link).

Welche Inhalte sind wichtig für uns?

  • Man darf Daten nur rechtmäßig erheben, also nur dann, wenn der Betroffene dazu seine Erlaubnis gegeben hat. Diese Einwilligung muss freiwillig sein und darf nicht an Bedingungen geknüpft sein. Der Betroffene darf diese Einwilligung zurücknehmen und in diesem Fall müssen die Daten gelöscht werden.

    Was ist mit bereits erhobenen Daten? Wenn die wesentlichen Bestimmungen der DSGVO eingehalten wurden, muss keine erneute Einwilligung der Benutzer eingeholt werden.

  • Man darf Daten nur sparsam erheben.
    Beispiel: Bauen Sie ein Formular für eine Veranstaltungsanmeldung, so dürfen Sie nur die für die Veranstaltung notwendigen Punkte abfragen und nicht mehr. Im isiweb-System etwa werden Sie beim Anlegen von Formular-Feldern automatisch darauf hingewiesen.

  • Man darf Daten nur zu genau dem Zweck verwenden, zu dem sie erhoben worden sind.
    Beispiel: Teilnehmende einer Veranstaltung dürfen nicht ungefragt in den Newsletter aufgenommen werden oder zur Werbung für weitere Veranstaltungen angeschrieben werden.

    Tipp: Ergänzen Sie in der Online-Anmeldung ein Feld mit dem Angebot für den Newsletter oder der Erlaubnis, Teilnehmende für weitere Veranstaltungen einladen zu dürfen. Beides muss unbedingt freiwillig sein, darf also nicht als Pflichtfeld definiert sein. Oder lassen Sie auf der Veranstaltung eine Liste rundgehen, die im Kopfbereich beschreibt, um was es geht, und in die man Name, Kontakt und Unterschrift eintragen kann.

  • Es gilt dieses zuvor beschriebene Verbotsprinzip, aber es gibt auch sogenannte Erlaubnistatbestände.
    Das sind z.B.
    * die berechtigten Interessen eines Unternehmens,

    * die gesetzliche Verpflichtung zur Datenspeicherung oder * die handelsrechtliche Aufbewahrungsfrist z.B. für die Steuer.

  • Es gibt ein berechtigtes Interesse eines Internet-Anbieters seine Seiten für die Bedürfnisse der Nutzer zu optimieren.

Beispiel: Wir lassen eine Statistik der Website erstellen, um das Nutzerverhalten besser zu erfassen, damit wir das Angebot für den Nutzer verbessern können. Wenn wir die Daten anonymisieren, so ist dies erlaubt. Wir lassen übrigens bereits seit der Einführung von statistischen Erhebungen in unseren Systemen die IP-Adressen anonymisieren.

  • Es geht um die Abwägung zwischen den Interessen des Unternehmens und den Interessen der Betroffenen. Entscheidend ist, was den vernünftigen Erwartungen der Betroffenen entspricht. Womit rechnet der Benutzer? Beispiel: Ein Nutzer, der sich über eine App das Wetter automatisch am aktuellen Ort ausgeben lässt, rechnet vermutlich damit, dass die App auch erfassen muss, wo sich der Nutzer gerade befindet.

  • Es ist darüber zu informieren, welche Daten man zu welchem Zweck erhebt. Es gibt also eine Verpflichtung (online und offline) die Betroffenen über die Datenverarbeitung zu informieren.

    Beispiel: Gefordert ist eine deutlich umfangreichere Datenschutz-Erklärung. Sie muss zum einen über alle Vorgänge korrekt informieren und dies auch verständlich ausführen.

  • Betroffene haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, beziehungsweise Sperrung ihrer Daten. Dies galt auch bisher schon. Neu ist: Man muss bei einer Anfrage unverzüglich Antwort geben. Also muss schon vorsorglich ein Prozess verabredet werden, wie Anfragen zu bearbeiten sind, damit diese schnell abgearbeitet werden können.

  • Jedes Unternehmen, dessen Kerngeschäft das Verarbeiten von personenbezogenen Daten ist oder Unternehmen, in denen mindestens zehn Personen mit der Datenverarbeitung beschäftigt sind, benötigen einen Datenschutzbeauftragten.

    Konkrete Handlungsfelder für Sie

  • Brainstorming: Wo erheben und nutzen Sie oder ein von Ihnen genutzter Dienst personenbezogene Daten? (siehe dazu auch die Checkliste)

  • Prüfung der einzelnen Vorgänge, ob sie konform sind mit dem Datenschutz und ggf Änderung (siehe dazu auch die Checkliste)

  • Anpassung der Datenschutzerklärung (zentral durch die Internetredaktion)

  • Erstellen eines Verzeichnisses über die Verarbeitungstätigkeiten: Verfahrensverzeichnis (siehe Beispiel im Anhang)

    Checkliste für die Arbeit auf der Internetplattform

    Auch wenn die datenschutzrechtlichen Bestimmungen schon immer eine wichtige Rolle gespielt haben, so ist es sinnvoll zeitnah -am besten vor dem 25. Mai 2018- nochmals folgende Fragen durchzugehen:

  • Online-Veranstaltungsanmeldung: Nutzen Sie das Veranstaltungsmodul mit Online-Anmeldung? In diesem Zusammenhang ist das Erheben von Daten natürlich erlaubt. Prüfen Sie jedoch, ob Sie personenbezogene Informationen eventuell über den für Ihre Veranstaltung wirklich notwendigen Umfang hinaus abfragen? Solche persönlichen, für die Veranstaltung nicht zwingend notwendigen Daten dürfen in Formularen auf keinen Fall verpflichtend sein, dürfen also nicht als Pflichtfeld definiert sein. Zudem dürfen Sie über Veranstaltungsanmeldungen oder andere Formulare eingegangene Daten nicht im System archivieren, sondern müssen sie spätestens mit Abrechnung der Veranstaltung dort löschen.

    Außerdem dürfen Sie die Daten nicht zu anderen als den abgefragten Zwecken nutzen. Es ist nicht erlaubt, Daten aus Anmeldungen für die ungefragte Zusendung von Werbung per Post oder E-Mail zu nutzen.

  • Selbst erstellte Formulare: Möglicherweise haben Sie für weitere Zwecke eigene Online-Formulare erstellt? Überprüfen Sie diese bitte ebenfalls auf diese Fragen.

  • Newsletter: Versenden Sie Newsletter über unsere Systeme? Falls ja, müssen Sie gewährleisten, dass alle Empfänger auch bewusst dem Empfang zugestimmt haben. Grundsätzlich sind alle unsere Newsletter mit einer Zwei-Faktor-Bestätigung versehen und somit konform mit dem Datenschutzgesetz. Beachten Sie, dass nicht einfach E-Mail-Adressen importiert werden dürfen.
    Die gesammelten E-Mail-Adressen dürfen zu keinem anderen Zweck verwendet werden. Ein Abmeldelink gehört ebenfalls zu den vorgeschriebenen Standards eines Newsletters, den unser Modul bietet.

  • Pfarrbriefe und Mitgliederzeitschriften: Enthalten diese Kontaktdaten oder weitere persönliche Informationen von Personen und haben diese ihre Zustimmung zu dieser Veröffentlichung gegeben? Falls Sie nicht sicher sind, entfernen Sie bitte pdf ́s etc von Ihren Seiten und ganz wichtig (!) auch aus Ihrer Datenbank (dcms: aus dem Asset Management, isiweb: aus der Mediendatenbank). Ansonsten können diese Informationen weiter über Google gefunden werden, denn sie haben ja einen eigenen Link.

  • Gottesdienstübersichten: Bitte veröffentlichen Sie in der Gottesdienstübersicht keine Namen von Brautpaaren, Täuflingen o.a., es sei denn Sie haben sich das Einverständnis dazu bei der Anmeldung zur Taufe, Anmeldung einer Beerdigung, etc. geben lassen. Bei der Nennung der Namen von Verstorbenen gibt es unterschiedliche Ansichten. Überlegen Sie bitte, ob das Aufführen der Intentionen notwendig ist. Angehörige werden meist anderweitig informiert und für die weiteren Gottesdienstbesucher ist dies vermutlich eine nachrangige Information.

  • Kontaktdaten: Nennen Sie auf Ihrer Website die Kontaktdaten der Mitglieder aus Gremien und Arbeitskreisen und haben Sie diese um ihr Einverständnis dazu gebeten? Holen Sie dies bitte ggf nach. Bitte beachten Sie dies auch für die Verwendung der dazu geschalteten Bilder.

  • Kontaktformular: Anfragen über das Kontaktformular dürfen nicht einfach an Dritte weitergeleitet werden oder die E-Mail-Adressen zu anderen Zwecken verwendet werden.

  • Bilder: Bitte beachten Sie dazu die Informationen aus unserem Rechtsleitfaden.

  • Alte Daten: Bitte überprüfen Sie einmal, wie viele alte Daten noch in der Datenbank Ihrer Website oder sogar online im Auftritt vorhanden sind. Das betrifft etwa alte Nachrichten, Veranstaltungen, Newsletter und alte Bilder und pdf ́s. Nicht mehr benötigte Daten empfehlen wir zu löschen, vor allem wenn nicht mehr klar nachvollziehbar ist, ob die zuvor genannten Kriterien beachtet sind. Wenn Ihnen das Löschen zu aufwändig ist, so schalten Sie zumindest alte Daten offline. Wenn alte Nachrichten und Veranstaltungen noch auf grün = online geschaltet sind, so können sie auch von Google gefunden werden. Schalten Sie diese ggf auf gelb (dcms) oder rot (isiweb). Denken Sie bitte beim Wechsel in das neue OpenCms-System daran, nicht zu viele alte Daten mitzunehmen. Meist reichen die Inhalte der letzten 1-2 Jahre aus.

  • Einbinden fremder Dienste, wie Facebook: Haben Sie selbst mit Hilfe eines html-Codes weitere Internet-Dienste (über Youtube oder Google-Maps-Karten hinaus) in Ihren Internetauftritt eingebunden? (Das trifft für die meisten Auftritte nicht zu.) Erhebt dieser Dienst eigenmächtig Daten von den Benutzern Ihrer Website, die nicht in der Datenschutzerklärung abgedeckt sind? Wenn dies der Fall ist, so löschen Sie diese Dienste bitte. Verlinken Sie diese Dienste ggf mit einem klar gekennzeichneten Link auf die entsprechende externe Seite.
    Beispiel: Sie möchten die Posts von Ihrem Facebook Account gleichzeitig auf Ihrer Website ausspielen lassen. Dazu ist ein Code-Schnipsel von Facebook eingebunden. Dadurch werden Daten der Benutzer Ihrer Seite an Facebook übermittelt. Das darf nicht sein. Löschen Sie den html-Code und schalten Sie einen einfachen Link zu Ihrer Facebook-Seite: „mehr Infos zum Thema x auf unserem Facebook-Auftritt“
    Information: Das systemseitig in isiweb und OpenCms angebotene Teilen von Nachrichten oder Veranstaltungen auf Facebook oder Twitter ist konform mit dem Datenschutzgesetz. Beide Systeme verwenden das zugelassene Shariff-Verfahren. Benutzerdaten werden nicht automatisch übermittelt.

    Datenschutz bei der Nutzung von Social Media

  • Facebook: Bei der Nutzung von Facebook hat der Nutzer sich selbst dort angemeldet und dabei seine Zustimmung zu den Regeln von Facebook gegeben. Überprüfen Sie Ihren Facebook-Auftritt auf ein korrektes Impressum! Achten Sie darauf, dass dieser Facebook-Auftritt nicht komplett in Ihre Website eingebunden ist, sondern nur (klar erkennbar) verlinkt ist (s.o.).

  • Whatsapp: Positiv ist, dass Whatsapp eine Ende zu Ende Verschlüsselung nutzt. (Das bieten aber auch andere Dienste.) Allerdings ist das zwangsweise Uploaden von Kontaktdaten aus dem eigenen Adressbuch nicht mit dem Datenschutzgesetz vereinbar.

    Anhang:

  • Link zur Community-Website mit Rechtsleitfaden, Datenschutzgesetz, Formularvorlagen und Beispiel für Verfahrensverzeichnis: https://bistums-community.bistummainz.de/inhalte/rechtsleitfaden   

  • Kirchliches Datenschutzgesetz (KDG) als pdf
    Im Kirchlichen Amtsblatt für die Diözese Mainz Nr. 3/2018 vom 26. Februar 2018 wurde das Gesetz über den Kirchlichen Datenschutz (KDG) veröffentlicht. Dieses tritt am 24. Mai 2018 in Kraft und muss von allen kirchlichen Stellen beachtet werden. Es ist die Umsetzung der Europäischen Datenschutz-Grundverordnung für den kirchlichen Bereich des Bistums Mainz.

  • Thema Datenschutzbeauftragte/r im Kirchlichen Amtsblatt (7/2018 vom Mai 2018 - dort die Nr. 57)
    Für viele kirchliche Stellen – auch für die Kirchengemeinden bedeutet dies, dass von diesen ein betrieblicher Datenschutzbeauftragter benannt werden muss. Für das Bischöfliche Ordinariat mit allen Außenstellen, das Offizialat und die Dotation wurde Herr Verwaltungsdirektor Günter Zwingert (Maria-Ward-Str. 12, 55116 Mainz) als betrieblicher Datenschutzbeauftragter benannt. Für die katholischen Schulen in Trägerschaft des Bistums wurden schulische Datenschutzbeauftragte über die jeweiligen Schulen benannt. Für die Kirchengemeinden soll im Ordinariat eine zentrale Stelle für den betrieblichen Datenschutz eingerichtet werden. Bis zu deren Errichtung können bei datenschutzrechtlichen Fragen diese an den betrieblichen Datenschutzbeauftragten des Bischöflichen Ordinariates gestellt werden. Für den Bereich des Diözesancaritasverbandes, seiner Untergliederungen und Mitglieder ist Herr Justiziar Heinrich Griep (Bahnstr. 32, 55128 Mainz) bei Fragen ansprechbar.

  • Thema Schulungen zum Datenschutz im Kirchlichen Amtsblatt (7/2018 vom Mai 2018 - dort die Nr. 57)
    Für alle mit der Verarbeitung personenbezogener Daten Beschäftigten beabsichtigt das Bistum Mainz eine Online- Schulung anzubieten. Diese wird in Kooperation mit weiteren Bistümern noch erstellt. Sobald sie zur Verfügung steht, erfolgt eine gesonderte Information.

  • Kirchliche Datenschutzstelle:
    Als gemeinsame Diözesandatenschutzbeauftragte im Sinn der Datenschutzaufsicht (Kapitel 6 - §§42-47 KDG) haben die (Erz-)Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier Frau Ursula Becker-Rathmair ernannt.
    Sitz dieser überdiözesanen Aufsichtsstelle im Datenschutz für alle kirchlichen Stellen der beteiligten Diözesen ist das Haus am Dom in Frankfurt. Mit der Einrichtung der gemeinsamen Datenschutzstelle kommen die beteiligten (Erz-)Diözesen den Verpflichtungen des künftigen europäischen Datenschutzrechtes nach. Ein unabhängiger Datenschutz wird dadurch gewährleistet.
    Kontakt:
    Datenschutzstelle der (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier Haus am Dom, Domplatz 3, 60311 Frankfurt
    Tel.: 069 8008718-800, Fax: 069 8008718-815,
    E-Mail: u.becker-rathmair@kdsz-ffm.de 

    Für rechtsverbindliche Auskünfte wenden Sie sich bitte an Ihre/n Datenschutzbeauftragte/n!