Das ändert sich durch Datenschutz-Grundverordnung und Katholisches Datenschutzgesetz

Die 13 wichtigsten Fragen und Antworten zum Datenschutz

Der Schutz der Daten vor dem Missbrauch durch Dritte ist wichtig. Aber wie wirken sich die Regelungen der Datenschutz-Grundverordnung und des Katholischen Datenschutzgesetzes aus? Dazu wichtige Fragen und Antworten.

Was sind DSGVO und KDG überhaupt und warum soll ich mich damit befassen?

Die EU-Datenschutz-Grundverordnung (DSGVO) will vor dem Missbrauch von Daten schützen. Sie gilt bereits seit Mai 2016 und tritt am 25. Mai endgültig und unmittelbar in Kraft. Das Katholische Datenschutzgesetz (KDG) tritt einen Tag früher in Kraft.

Für wen gilt es?

Für Bistümer, Kirchengemeinden, kirchliche Stiftungen, Einrichtungen und Verbände. Es ersetzt die Kirchliche Datenschutzordnung (KDO) von 2015. Weitere rechtliche Verordnungen in Bezug auf den kirchlichen Datenschutz bleiben zunächst bestehen, solange sie den Regelungen des KDG nicht widersprechen. Wer mit „personenbezogenen Daten“ zu tun hat, sollte sich mit dem Datenschutz zumindest grundlegend auskennen.

Wen betrifft das?

Alle, die eine Website betreiben, einen Social-Media-Kanal haben oder für die Kirchengemeinde Fotos von Aktivitäten schießen. Auch ein großer Teil der Arbeit im Pfarrbüro gehört dazu.

Was sind „personenbezogene Daten“?

Sämtliche Informationen, die sich auf eine bestimmte Person beziehen. Das können zum Beispiel der Name oder die Adresse sein, aber auch ein Porträtfoto.  

Muss ich sofort tätig werden?

Viele Umsetzungsverpflichtungen, die sich aus den Datenschutzbestimmungen ergeben, sehen eine Übergangsfrist bis zum 30. Juni 2019 vor. Bei einigen Regelungen ist es aber jetzt schon wichtig, dass sie beachtet werden. Das gilt insbesondere für die Betreiber von Webseiten.

Was muss ich als Webmaster jetzt beachten?

Ausführliche Informationen im Internet unter https://www.bistum-muenster.de/datenschutz-faq

Schon bisher benötigten Websites ein Impressum und eine separate Datenschutzerklärung. Das regelt das Telemediengesetz. Nach Inkrafttreten der DSGVO muss die Datenschutzerklärung nunmehr noch genauer aufführen, welche Daten auf der Website erhoben werden und welche Rechte die Nutzer in Bezug auf die Verarbeitung ihrer Daten haben. Bei der Erstellung einer Datenschutzerklärung gibt es Hilfe im Web durch aktuelle Generatoren, die aus Textbausteinen eine individuell angepasste Erklärung zusammensetzen.

Was gehört noch in die Erklärung?

Die Information, dass der Nutzer ein Recht auf Auskunft, Widerspruch oder auf Löschung und Sperrung seiner Daten hat. Was die Datenschutzerklärung alles beinhalten muss, hängt davon ab, wie die jeweilige Seite aufgebaut ist und welche Daten konkret erhoben werden. Deswegen gibt es keine Mustertexte für eine solche Erklärung.

Unser Webseiten-Provider hat uns einen „Auftragsdatenverarbeitungs-Vertrag“ zugeschickt. Müssen wir den unterschreiben?

Ja, das Gesetz sieht vor, dass immer dann, wenn ein Dienstleister für einen Auftraggeber personenbezogene Daten verarbeitet, so eine Vereinbarung zu schließen ist.

Darf ich Namen von Täuflingen, Kommunionkindern, Hochzeitspaaren und Mess-Intentionen im Gemeindebrief veröffentlichen?

Ja, aber nur in der gedruckten Fassung. Sobald der Gemeindebrief als PDF-Datei auf der Webseite veröffentlicht, bei Facebook eingestellt oder an die Kirchenzeitung weitergegeben wird, benötigt man vorab das schriftliche Einverständnis der Betroffenen. Das war auch bislang bereits so.

Wie sieht es grundsätzlich mit dem Einsatz von Social Media aus?

Facebook, Twitter und andere Social-Media-Kanäle sind gerade dabei, ihre Geschäftsbedingungen DSGVO-konform anzupassen. Da die Nutzer dieser Dienste den neuen Geschäftsbedingungen zustimmen müssen, stehen Sie grundsätzlich auf der sicheren Seite, wenn Sie zum Beispiel eine Facebook-Seite betreiben. Wichtig ist, dass Sie Ihre Inhalte wie Fotos auf diesen Seiten datenschutzgerecht verwenden.

Gelten nun andere Regeln fürs Fotografieren als vorher?

Das kann man leider so pauschal noch nicht beantworten. Schon bislang benötigten Fotografen laut dem Kunsturhebergesetz die Zustimmung der aufgenommenen Personen, wenn sie die Fotos veröffentlichen wollten. Diese Zustimmung konnte aber auch mündlich oder durch entsprechendes Verhalten (zum Beispiel in Pose stellen, Nicken...) erteilt werden. Die Datenschutzgrundverordnung geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung benötigt. Es ist noch nicht abzusehen, ob die Rechtsprechung künftig die Kunstfreiheit oder den Datenschutz höher gewichten wird. Wer auf der sicheren Seite sein will, sollte sich vorab von allen abgebildeten Personen eine schriftliche Einverständniserklärung ausstellen lassen.  

Wie sieht es bei Jüngeren aus?

Bei Kindern und Jugendlichen bis 16 Jahren ist die Sachlage eindeutiger: Hier geht nichts ohne eine von den Eltern unterschriebene Einwilligung. Diese muss sich auf das beabsichtigte Bilderzeugnis und das zur Veröffentlichung angedachte Medium beziehen. Sie müssen also konkret angeben, wofür Sie die Einwilligung benötigen (zum Beispiel: „Wir wollen die Fotos auf der Website der Messdienergemeinschaft veröffentlichen.“). Eine weit gefasste Formulierung („für die Öffentlichkeitsarbeit der Pfarrei“) reicht nicht aus. Die Einwilligung ist freiwillig und kann von den Betroffenen jederzeit widerrufen werden. Diese Hinweise auf Freiwilligkeit und Widerrufsrecht sollten auch auf dem Einwilligungsformular zu finden sein.  

Muss ich in meiner Kirchengemeinde oder Einrichtung ein Datenschutzkonzept erstellen oder einen Datenschutzbeauftragten benennen?

Ja, prinzipiell ist das so: Alle kirchlichen Einrichtungen sind  angehalten, ein Datenschutzkonzept zu entwickeln und müssen einen fachlich qualifizierten Datenschutzbeauftragten benennen. Allerdings muss das nicht direkt sein, und das Bistum bietet hier für seine Kirchengemeinden und Einrichtungen konkrete Dienstleistungen an.

Dürfen Gruppen WhatsApp nutzen?
Nicht allein Jugendgruppen nutzen WhatsApp – auch in der Firmvorbereitung oder beim Planen der Lektorendienste werden diese so genannten Messenger zur Kommunikation eingesetzt.
Darf man das? „Grundsätzlich nein“, sagt Thomas Mollen, Leiter Digitale und Interne Kommunikation im General­vikariat. „Schon das Synchronisieren der Whatsapp-Kontakte mit dem internen Adressbuch verstößt gegen den Datenschutz.“ Denn automatisch werden in einer Kontaktliste Menschen aufgeführt, von denen man eine Einverständniserklärung einholen müsste.
Was tun? Mollen nennt zwei Alternativen. Die erste: Man benutzt ein Handy ausschließlich für WhatsApp, und im Telefonbuch stehen nur die Daten derjenigen, die dieser Benutzung zugestimmt haben.
Möglichkeit zwei: Man verwendet eine „Broadcast-Liste“, bei der sich die Empfänger vorab damit einverstanden erklären, Nachrichten über diese Liste zu empfangen. | hav