Zum Inhalt springen

FAQ - Häufig gestellte Fragen

Frequently Asked Questions, kurz FAQ oder FAQs, englisch für häufig gestellte Fragen oder auch meistgestellte Fragen, sind eine Zusammenstellung von oft gestellten Fragen und den dazugehörigen Antworten zu einem Thema. Die hier aufgeführten FAQs sind eine Sammlung der letzten Monate, die sich aus diversen Gesprächen in Schulungen mit Mitarbeitenden, dem Austausch unter den Kirchlichen Datenschutzbeauftragten oder dem Literaturstudium zum kirchlichen Datenschutz in Kitas, Kirchengemeinden sowie kirchlichen Einrichtungen/Abteilungen ergaben.

Zur besseren Lesbarkeit wird eine einheitliche Bezeichnung für die männliche und weibliche Form verwendet.

Die Sammlung erfüllt nicht den Anspruch auf Vollständigkeit. Anregungen und Anmerkungen sind immer herzlich willkommen.

 

Nachfolgend die häufigsten Fragen für Verwaltung, Kirchengemeinden und Kitas, die vollständige Zusammenstellung können Sie rechts über den entsprechenden Link herunterladen.

FAQ für die Verwaltung

Das kann man leider so pauschal noch nicht beantworten. Schon bislang benötigten Fotografen laut dem Kunsturhebergesetz (KUG) die Zustimmung der aufgenommenen Personen, wenn sie die Fotos veröffentlichen wollten. Diese Zustimmung konnte aber auch mündlich oder durch entsprechendes Verhalten (z.B. in Pose stellen, Nicken …) erteilt werden. Die Datenschutzgrundverordnung geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung benötigt. Es ist noch nicht abzusehen, ob die Rechtsprechung künftig die Kunstfreiheit oder den Datenschutz höher gewichten wird. Wer auf der sicheren Seite sein will, sollte sich vorab von allen abgebildeten Personen eine schriftliche Einverständniserklärung ausstellen lassen.

Für Bildnisse Erwachsener kann eine sogenannte Generaleinwilligung eingeholt werden. Zum Beispiel die Einwilligung der hauptamtlichen und ehrenamtlichen Mitarbeiter (z. B. Verwaltungsrat, Pfarrgemeinderat, Chorleitung, Katecheten), dass alle Bilder, die im Rahmen ihrer Tätigkeit von Ihnen gemacht werden, in der lokalen Tagespresse und im Pfarrbrief veröffentlicht werden können.

Bei Kindern und Jugendlichen bis 16 Jahren ist die Sachlage eindeutiger. Das KDG geht bei Daten von Minderjährigen unter 16 Jahren von einer besonderen Schutzbedürftigkeit aus. So ist beispielsweise in § 6 Abs. 1 Buchstabe. g) KDG geregelt, dass im Rahmen der erforderlichen Abwägung von einer überwiegenden Schutzbedürftigkeit der Betroffeneninteressen insbesondere dann auszugehen ist, „wenn es sich bei der betroffenen Person um einen Minderjährigen handelt."

Hier geht nichts ohne eine von den Personensorgeberechtigten unterschriebene Einwilligung. Diese muss sich auf das beabsichtigte Bilderzeugnis und das zur Veröffentlichung angedachte Medium beziehen. Sie müssen also konkret angeben, wofür Sie die Einwilligung benötigen (z.B. „Wir wollen die Fotos auf der Website der Messdienergemeinschaft veröffentlichen.“). Eine weit gefasste Formulierung („für die Öffentlichkeitsarbeit der Pfarrei“) reicht nicht aus. Die Einwilligung ist freiwillig und kann von den Betroffenen jederzeit widerrufen werden. Diese Hinweise auf Freiwilligkeit und Widerrufsrecht sollten auch auf dem Einwilligungsformular zu finden sein.

Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres oder für Ministranten für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag für das jeweilige Jahr eingeholt werden.

Aus dem Gebot der Datensparsamkeit (§ 7 KDG) folgt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die zwingend für den festgelegten Zweck erforderlich sind. Eine „Vorratsdatenspeicherung“ ist nicht zulässig. Wenn Sie Daten erheben, müssen Sie bereits darauf achten, nur die Daten zu erheben, die Sie zwingend benötigen.

Achten Sie insbesondere darauf, dass in den Anmeldeformularen die Pflichtangaben und freiwillige Angaben zu kennzeichnen sind. Die freiwilligen Angaben sind so sparsam wie möglich vorzusehen. Notieren Sie nur z. B. Angaben, die Sie für eine Rückantwort oder eindeutige Zuordnung benötigen.

Der Grundsatz der Integrität und Vertraulichkeit (§ 7 KDG) verlangt, dass personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Es ist daher sicherzustellen, dass Unberechtigte nicht auf die Daten zugreifen können.

Darauf ist insbesondere zu achten:

▪ Daten müssen z. B. durch Passwörter geschützt werden.

▪ Es gibt Rollen- und Berechtigungskonzepte, die die Zugriffe auf Daten regeln.

▪ Papierakten sind in verschlossenen Büros bzw. verschlossenen Schränken aufzubewahren.

▪ Gruppenablagen sind nur für einen bestimmten festgelegten Nutzerkreis freigeschalten.

Ja! Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Daten) so bestehen, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt, gesetzliche Meldepflichten binnen 72 Stunden. (§ 33 KDG)

Was ist zu tun:

Bitte wenden Sie sich bei derartigen Vorfällen – auch wenn Sie ggf. über die Notwendigkeit der Meldung im Unklaren sind – unverzüglich / sofort an Ihren zuständigen Vorgesetzten und den jeweils zuständigen Datenschutzbeauftragten, da gewisse Meldefristen eingehalten werden müssen.  

 

Sie dürfen personenbezogene Daten, die die Identifizierung der betroffenen Personen ermöglichen, nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. (§ 7 Abs. 1 lit. e KDG)

Es hängt daher von dem jeweils von Ihnen festgelegten Zweck ab, wie lange die Daten gespeichert werden dürfen.

Überlegen Sie sich daher bitte folgendes:

▪ Gibt es gesetzliche Regelungen, die mich zwingen, Daten für einen bestimmten Zeitraum zu speichern? Diese sind einzuhalten.

▪ Welche betrieblichen Erfordernisse habe ich unter Umständen? Diese sind konkret zu benennen und zu dokumentieren.

▪ Ist zu erwarten, dass die betroffenen Personen Ansprüche geltend machen können und für welchen Zeitraum ist dies zu erwarten? Dies ist konkret zu benennen und zu dokumentieren.

Im Ergebnis ist daraus ein Konzept zu Aufbewahrungs- und Löschfristen zu entwickeln. Für diese Aufgabe berät und unterstützt der betriebliche Datenschutzbeauftragte.

Mit dem Inkrafttreten des KDG gelten für die Nutzung digitaler Informationsdienste besondere Anforderungen im Hinblick auf den Einsatz im dienstlichen Kontext. Nicht zulässig sind Messenger-Apps, die auf das Telefonbuch eines Smartphones zugreifen (z. B. WhatsApp). Schon das Synchronisieren der WhatsApp-Kontakte mit dem internen Adressbuch stellt einen Verstoß gegen den Datenschutz dar.

Laut Amtsblatt Nr. 2/2020 werden derzeitig z.B. folgende Messenger-Dienste im Bistum Mainz und ihren unselbstständigen und selbstständigen Einrichtungen zu dienstlichen Zwecken empfohlen:

Ginlo, Threema, FreeMessenger, Signal oder Wire.

FAQ für Kirchengemeinden

Das kann man leider so pauschal noch nicht beantworten. Schon bislang benötigten Fotografen laut dem Kunsturhebergesetz (KUG) die Zustimmung der aufgenommenen Personen, wenn sie die Fotos veröffentlichen wollten. Diese Zustimmung konnte aber auch mündlich oder durch entsprechendes Verhalten (z.B. in Pose stellen, Nicken …) erteilt werden. Die Datenschutzgrundverordnung geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung benötigt. Es ist noch nicht abzusehen, ob die Rechtsprechung künftig die Kunstfreiheit oder den Datenschutz höher gewichten wird. Wer auf der sicheren Seite sein will, sollte sich vorab von allen abgebildeten Personen eine schriftliche Einverständniserklärung ausstellen lassen.

Für Bildnisse Erwachsener kann eine sogenannte Generaleinwilligung eingeholt werden. Zum Beispiel die Einwilligung der hauptamtlichen und ehrenamtlichen Mitarbeiter (z. B. Verwaltungsrat, Pfarrgemeinderat, Chorleitung, Katecheten), dass alle Bilder, die im Rahmen ihrer Tätigkeit von Ihnen gemacht werden, in der lokalen Tagespresse und im Pfarrbrief veröffentlicht werden können.

Bei Kindern und Jugendlichen bis 16 Jahren ist die Sachlage eindeutiger. Das KDG geht bei Daten von Minderjährigen unter 16 Jahren von einer besonderen Schutzbedürftigkeit aus. So ist beispielsweise in § 6 Abs. 1 Buchstabe. g) KDG geregelt, dass im Rahmen der erforderlichen Abwägung von einer überwiegenden Schutzbedürftigkeit der Betroffeneninteressen insbesondere dann auszugehen ist, „wenn es sich bei der betroffenen Person um einen Minderjährigen handelt."

Hier geht nichts ohne eine von den Personensorgeberechtigten unterschriebene Einwilligung. Diese muss sich auf das beabsichtigte Bilderzeugnis und das zur Veröffentlichung angedachte Medium beziehen. Sie müssen also konkret angeben, wofür Sie die Einwilligung benötigen (z.B. „Wir wollen die Fotos auf der Website der Messdienergemeinschaft veröffentlichen.“). Eine weit gefasste Formulierung („für die Öffentlichkeitsarbeit der Pfarrei“) reicht nicht aus. Die Einwilligung ist freiwillig und kann von den Betroffenen jederzeit widerrufen werden. Diese Hinweise auf Freiwilligkeit und Widerrufsrecht sollten auch auf dem Einwilligungsformular zu finden sein.

Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres oder für Ministranten für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag für das jeweilige Jahr eingeholt werden.

Aus dem Gebot der Datensparsamkeit (§ 7 KDG) folgt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die zwingend für den festgelegten Zweck erforderlich sind. Eine „Vorratsdatenspeicherung“ ist nicht zulässig. Wenn Sie Daten erheben, müssen Sie bereits darauf achten, nur die Daten zu erheben, die Sie zwingend benötigen.

Achten Sie insbesondere darauf, dass in den Anmeldeformularen die Pflichtangaben und freiwillige Angaben zu kennzeichnen sind. Die freiwilligen Angaben sind so sparsam wie möglich vorzusehen. Notieren Sie nur z. B. Angaben, die Sie für eine Rückantwort oder eindeutige Zuordnung benötigen.

Das dürfen Sie, jedoch nur in der gedruckten Fassung. Sobald der Kirchengemeindebrief „digitalisiert“ wird, also z.B. als PDF auf der Webseite veröffentlicht, bei social media eingestellt oder an die Kirchenzeitung weitergegeben wird, benötigen Sie dazu vorab das schriftliche Einverständnis der Betroffenen.

Nein. Nur wenn die Helfer/die Austragenden die Datenschutzverpflichtungserklärung gemäß § 5 KDG unterschrieben haben.

Wenn es sich um Daten handelt, die die Helfer für ihre Arbeit benötigen und die Helfer die Datenschutzverpflichtungserklärung gemäß § 5 KDG unterschrieben haben. Gleiches gilt für Sammelaktionen, die für z. B. caritative Zwecke durchgeführt werden. Die Daten sind nach Gebrauch datenschutzkonform zu vernichten oder an die Kirchengemeinde zurückzugeben. Die Anfertigung von Abschriften oder Ablichtungen ist unzulässig.

Ja, wenn eine Einwilligung der betroffenen Person zur Verarbeitung der Daten vorliegt.

Voraussetzung für die Abgabe einer wirksamen Einwilligungserklärung ist, dass die Einwilligung den Anforderungen des § 8 KDG entspricht. Dies bedeutet, dass die Einwilligung freiwillig erfolgen muss und jederzeit für die Zukunft widerrufen werden kann. Auch muss auf den Zweck der Verarbeitung (und ggf. auf die Folgen einer Verweigerung) hingewiesen werden. Zum Nachweis der Einwilligung ist die Schriftform erforderlich.

Ja! Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Daten) so bestehen, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt, gesetzliche Meldepflichten binnen 72 Stunden. (§ 33 KDG)

Was ist zu tun:

Bitte wenden Sie sich bei derartigen Vorfällen – auch wenn Sie ggf. über die Notwendigkeit der Meldung im Unklaren sind – unverzüglich / sofort an Ihren zuständigen Vorgesetzten und den jeweils zuständigen Datenschutzbeauftragten, da gewisse Meldefristen eingehalten werden müssen.  

 

Ja, alle Personen, die mit den personenbezogenen Daten in Kontakt kommen, müssen die Verpflichtungserklärung auf das Datengeheimnis unterschreiben. 

Sie dürfen personenbezogene Daten, die die Identifizierung der betroffenen Personen ermöglichen, nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. (§ 7 Abs. 1 lit. e KDG)

Es hängt daher von dem jeweils von Ihnen festgelegten Zweck ab, wie lange die Daten gespeichert werden dürfen.

Überlegen Sie sich daher bitte folgendes:

▪ Gibt es gesetzliche Regelungen, die mich zwingen, Daten für einen bestimmten Zeitraum zu speichern? Diese sind einzuhalten.

▪ Welche betrieblichen Erfordernisse habe ich unter Umständen? Diese sind konkret zu benennen und zu dokumentieren.

▪ Ist zu erwarten, dass die betroffenen Personen Ansprüche geltend machen können und für welchen Zeitraum ist dies zu erwarten? Dies ist konkret zu benennen und zu dokumentieren.

Im Ergebnis ist daraus ein Konzept zu Aufbewahrungs- und Löschfristen zu entwickeln. Für diese Aufgabe berät und unterstützt der betriebliche Datenschutzbeauftragte.

Mit dem Inkrafttreten des KDG gelten für die Nutzung digitaler Informationsdienste besondere Anforderungen im Hinblick auf den Einsatz im dienstlichen Kontext. Nicht zulässig sind Messenger-Apps, die auf das Telefonbuch eines Smartphones zugreifen (z. B. WhatsApp). Schon das Synchronisieren der WhatsApp-Kontakte mit dem internen Adressbuch stellt einen Verstoß gegen den Datenschutz dar.

Laut Amtsblatt Nr. 2/2020 werden derzeitig z.B. folgende Messenger-Dienste im Bistum Mainz und ihren unselbstständigen und selbstständigen Einrichtungen zu dienstlichen Zwecken empfohlen:

Ginlo, Threema, FreeMessenger, Signal oder Wire.

FAQ für Kitas

Sollen rechtmäßig angefertigte Digitalfotos ausgedruckt werden, ist die sicherste Variante hierfür die Nutzung des Kita eigenen (Foto-)Druckers. So wird vermieden, dass die Daten die Kita überhaupt verlassen.

Bei Nutzung eines Fotodienstes im Internet ist zu bedenken, dass es sich hierbei um eine Auftragsverarbeitung handelt, für die ein entsprechender Vertrag abzuschließen ist. Zudem besteht das Risiko einer unsicheren Datenübertragung sowie das Risiko der Speicherung der Daten auf dem Server des Empfängers. Deshalb ist, soweit ein Onlineservice genutzt werden sollte, auf eine verschlüsselte Übertragung der Bilder zu achten. Zudem ist sicherzustellen, dass die Bilder auf sicheren Servern gelagert werden und dass diese nach Abschluss des Bestellvorgangs nicht weiter auf den Servern gespeichert oder gar anderweitig verwendet werden.

Die Benutzung von Fotoautomaten in Drogeriemärkten birgt Risiken, wie etwa den Verlust des USB-Sticks oder die temporäre Speicherung der Fotos im Automaten.

Das kann man leider so pauschal noch nicht beantworten. Schon bislang benötigten Fotografen laut dem Kunsturhebergesetz (KUG) die Zustimmung der aufgenommenen Personen, wenn sie die Fotos veröffentlichen wollten. Diese Zustimmung konnte aber auch mündlich oder durch entsprechendes Verhalten (z.B. in Pose stellen, Nicken …) erteilt werden. Die Datenschutzgrundverordnung geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung benötigt. Es ist noch nicht abzusehen, ob die Rechtsprechung künftig die Kunstfreiheit oder den Datenschutz höher gewichten wird. Wer auf der sicheren Seite sein will, sollte sich vorab von allen abgebildeten Personen eine schriftliche Einverständniserklärung ausstellen lassen.

Für Bildnisse Erwachsener kann eine sogenannte Generaleinwilligung eingeholt werden. Zum Beispiel die Einwilligung der hauptamtlichen und ehrenamtlichen Mitarbeiter (z. B. Verwaltungsrat, Pfarrgemeinderat, Chorleitung, Katecheten), dass alle Bilder, die im Rahmen ihrer Tätigkeit von Ihnen gemacht werden, in der lokalen Tagespresse und im Pfarrbrief veröffentlicht werden können.

Bei Kindern und Jugendlichen bis 16 Jahren ist die Sachlage eindeutiger. Das KDG geht bei Daten von Minderjährigen unter 16 Jahren von einer besonderen Schutzbedürftigkeit aus. So ist beispielsweise in § 6 Abs. 1 Buchstabe. g) KDG geregelt, dass im Rahmen der erforderlichen Abwägung von einer überwiegenden Schutzbedürftigkeit der Betroffeneninteressen insbesondere dann auszugehen ist, „wenn es sich bei der betroffenen Person um einen Minderjährigen handelt."

Hier geht nichts ohne eine von den Personensorgeberechtigten unterschriebene Einwilligung. Diese muss sich auf das beabsichtigte Bilderzeugnis und das zur Veröffentlichung angedachte Medium beziehen. Sie müssen also konkret angeben, wofür Sie die Einwilligung benötigen (z.B. „Wir wollen die Fotos auf der Website der Messdienergemeinschaft veröffentlichen.“). Eine weit gefasste Formulierung („für die Öffentlichkeitsarbeit der Pfarrei“) reicht nicht aus. Die Einwilligung ist freiwillig und kann von den Betroffenen jederzeit widerrufen werden. Diese Hinweise auf Freiwilligkeit und Widerrufsrecht sollten auch auf dem Einwilligungsformular zu finden sein.

Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres oder für Ministranten für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag für das jeweilige Jahr eingeholt werden.

Aus dem Gebot der Datensparsamkeit (§ 7 KDG) folgt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die zwingend für den festgelegten Zweck erforderlich sind. Eine „Vorratsdatenspeicherung“ ist nicht zulässig. Wenn Sie Daten erheben, müssen Sie bereits darauf achten, nur die Daten zu erheben, die Sie zwingend benötigen.

Achten Sie insbesondere darauf, dass in den Anmeldeformularen die Pflichtangaben und freiwillige Angaben zu kennzeichnen sind. Die freiwilligen Angaben sind so sparsam wie möglich vorzusehen. Notieren Sie nur z. B. Angaben, die Sie für eine Rückantwort oder eindeutige Zuordnung benötigen.

Bei Veranstaltungen wie Sommerfesten oder Abschlussfesten, die von einem größeren Personenkreis (z. B. Verwandte, Freunde der Familien) besucht werden, sollte ein Aushang die Besucher darüber informieren, ob geplant ist, Fotos zu machen (Muster, Intranet).

Für Fotos, die Eltern, Freunde oder Verwandte zu privaten Zwecken anfertigen, ist die fotografierende Person selbst verantwortlich. Aber auch hier gilt: Wenn andere Kinder als das eigene auf dem Foto abgebildet sind, darf dieses nur mit Zustimmung der Sorgeberechtigten der fremden Kinder in sozialen Netzwerken eingestellt werden.

Besonders bei Jubiläen werden gerne Fotos von Kindern vergangener Jahrgänge ausgehängt. Dies ist nur dann zulässig, wenn es ursprünglich eine Einwilligungserklärung der Sorgeberechtigten für das Aushängen der Bilder innerhalb der Kita gab und diese auch tatsächlich noch (nachweisbar) vorhanden ist. Zudem müssen die Eltern/Sorgeberechtigten sich bereits zum damaligen Zeitpunkt dessen bewusst gewesen sein, dass die Bilder ihrer Kinder über die Kita-Zeit hinaus gespeichert und ausgehängt werden können.

Das Hausrecht erlaubt der Kita-Leitung, das Fotografieren innerhalb der Kita zu verbieten. Dies kann jedoch zur Verärgerung seitens der Eltern führen. Daher wird empfohlen, ein Hinweisschild gut sichtbar auszuhängen: „Sollten digitale Fotoaufnahmen o. ä. gemacht werden, achten Sie bitte darauf, dass Sie aus Gründen des Persönlichkeitsschutzes nur Ihr eigenes Kind fotografieren. Für die etwaige Verbreitung, Veröffentlichung und das Inverkehrbringen von Fotos o. ä. ist die fotografierende Person selbst verantwortlich.“

Ja! Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Daten) so bestehen, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt, gesetzliche Meldepflichten binnen 72 Stunden. (§ 33 KDG)

Was ist zu tun:

Bitte wenden Sie sich bei derartigen Vorfällen – auch wenn Sie ggf. über die Notwendigkeit der Meldung im Unklaren sind – unverzüglich / sofort an Ihren zuständigen Vorgesetzten und den jeweils zuständigen Datenschutzbeauftragten, da gewisse Meldefristen eingehalten werden müssen.  

 

Bevor Daten per E-Mail versendet werden dürfen, muss geklärt werden, ob die Weitergabe auch erlaubt ist. Dies bedeutet, dass zuerst geprüft werden muss, ob es für eine Weiterleitung rechtliche/gesetzliche Grundlagen gibt oder ob die Sorgeberechtigten der Weitergabe von Daten zugestimmt haben. Wenn diese Voraussetzungen geklärt sind, können die Daten auch per E-Mail versandt werden, allerdings nur verschlüsselt! (z. B. 7-Zip oder Excel/Word-Dateien mit Kennwörter verschlüsseln).

Passwörter sollten ausschließlich per Telefon an den Adressaten übermitteln werden.

Sie dürfen personenbezogene Daten, die die Identifizierung der betroffenen Personen ermöglichen, nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. (§ 7 Abs. 1 lit. e KDG)

Es hängt daher von dem jeweils von Ihnen festgelegten Zweck ab, wie lange die Daten gespeichert werden dürfen.

Überlegen Sie sich daher bitte folgendes:

▪ Gibt es gesetzliche Regelungen, die mich zwingen, Daten für einen bestimmten Zeitraum zu speichern? Diese sind einzuhalten.

▪ Welche betrieblichen Erfordernisse habe ich unter Umständen? Diese sind konkret zu benennen und zu dokumentieren.

▪ Ist zu erwarten, dass die betroffenen Personen Ansprüche geltend machen können und für welchen Zeitraum ist dies zu erwarten? Dies ist konkret zu benennen und zu dokumentieren.

Im Ergebnis ist daraus ein Konzept zu Aufbewahrungs- und Löschfristen zu entwickeln. Für diese Aufgabe berät und unterstützt der betriebliche Datenschutzbeauftragte.

Mit dem Inkrafttreten des KDG gelten für die Nutzung digitaler Informationsdienste besondere Anforderungen im Hinblick auf den Einsatz im dienstlichen Kontext. Nicht zulässig sind Messenger-Apps, die auf das Telefonbuch eines Smartphones zugreifen (z. B. WhatsApp). Schon das Synchronisieren der WhatsApp-Kontakte mit dem internen Adressbuch stellt einen Verstoß gegen den Datenschutz dar.

Laut Amtsblatt Nr. 2/2020 werden derzeitig z.B. folgende Messenger-Dienste im Bistum Mainz und ihren unselbstständigen und selbstständigen Einrichtungen zu dienstlichen Zwecken empfohlen:

Ginlo, Threema, FreeMessenger, Signal oder Wire.