Datenschutz für Verbände
Mitte Mai trat die neue Datenschutzgrundverordnung (DSGVO) und das kirchliche Datenschutzgesetz (KDG) in Kraft. Wir wollen euch hier sehr kompakt so viele Infos wie nötig zur Vefügung stellen. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit
Betrieblicher Datenschutzbeauftragte*r
Jeder Rechtsträger bei dem mehr als 10 Personen mit Daten arbeiten bzw. sobald regelmäßig besondere Personenmerkmale (z.B. Gesundheitsdaten wie Allergien) verarbeitet werden, muss einen betrieblichen Datenschutzbeauftragten (bDSB) benennen.
Für uns Jugendverbände bedeutet dies, dass teilweise Datenschutzbeauftragte bestellt werden müssen. Inwieweit eine einheitliche Lösung innerhalb des BDKJs möglich ist, klären wir gerade.
Server
Egal ob für Homepage, Mail-Programme, backup oder ähnliches werden Server genutzt. Diese müssen natürlich nach dem neuesten Stand der Technik geschützt werden, aber v.a. auch in Deutschland oder zumindest der EU stehen, damit die Datensicherheit auch rechtlich sichergestellt ist.
Cloud Lösungen
Die bekannteste und verbreiteste Cloud ist sicherlich Dropbox. Diese solltet ihr nicht weiter nutzen, da die Daten dort keinesfalls sicher sind. Wenn ihr weiterhin mit Cloud-Lösungen arbeiten wollt, nutzt Anbieter, die euch deutsche Server bieten können. Möglich sind hier z.B. Telekomlösungen, owncloud, nextcloud oder Strato.
Homepage
Auf nahezu jeder Homepage werden Daten erfasst. Hierzu gehören die offensichtlichen Erfassungen durch Formulare, aber auch Hintergrundsoftware wie bspw. Google Analytics. Wenn ihr Kontaktformulare nutzt, achtet darauf, dass diese verschlüsselt (ssl) übertragen werden. Für die zusätzliche Erfassung der Daten solltet ihr auf die Startseite einen Hinweis auf Coockies setzen. Neben dem Impressum braucht ihr zukünftig eine eigene Datenschutzerklärung. Diese Datenschutzerklärung darf nicht teil des Impressums sein, sondern braucht eine eigene Unterseite. Eine solchen Hinweis könnt ihr auf: https://www.activemind.de/datenschutz/datenschutzhinweis-generator/ generieren.
Auch E-Mail-Adressen gehören zu den personenbezogenen Daten. Dementsprechend darf ohne vorherige Einwilligung ein Mailverteiler nicht öffentlich die Adressen anzeigen. Nutzt für Mail-Verteiler die BCC-Funktion eures Providers bzw. Programms.
Achtet bei der Wahl des Providers darauf, dass auch hier deutsche oder zumindest EU-Server genutzt werden und alle Mails verschlüsselt versendet werden.
Newsletter
Bei der Verwendung von Newslettern ergeben sich nur wenige Änderung durch das KDG auf die geachtet werden muss. Natürlich muss die Einwilligung den geltenden Datenschutzregeln entsprechen. Da wir hier die eigentlich grundsätzlich geltende Schriftform für nicht realistisch erachten und das KDG unter besonderen Umständen eine andere Form erlaubt, raten wir auch weiterhin eine digitale Anmeldung zuzulassen. Hierbei muss allerdings ausdrücklich in die Verarbeitung der Daten durch die Nutzer eingewilligt werden.
Für die Bestandsnutzer müssen keine neuen Einwilligungen eingeholt werden. Allerdings sollten alle über die neue Regelung informiert werden und auch die Möglichkeit haben der Einwilligung zu widersprechen. Auf die Möglichkeit der Abmeldung vom Newsletter und der Nutzung der Daten muss in jedem Newsletter hingewiesen werden.
Anmeldungen
Alle Daten, die ihr im Zuge eurer Anmeldungen zu einer Veranstaltung erfasst sind personenbezogene Daten. Diese müssen so geschützt sein, dass nur die verantwortlichen Zugriff auf die Daten haben. Nicht jede*r Leiter*in während einer Freizeit, braucht alle Daten. Für die Küche reichen bspw. Allergien aus. Für die Zuschussbewilligung durch den Kinder- und Jugendförderplan (KJP) müssen weiterhin Teilnahmelisten ausgefüllt werden. Durch eure Anmeldungen oder andere Teilnahmebögen, die ihr abfragt, muss allerdings eine Einwilligung eingeholt werden, dass die Daten für Zuschussmittel weitergegeben werden dürfen.
Ein möglicher Satz, den ihr ergänzen könnt lautet: „Wir nutzen Daten ausschließlich für verbandliche Zwecke. Wir achten die Privatsphäre unserer Mitglieder und halten selbstverständlich alle Vorgaben und Richtlinien des Datenschutzes ein. Eine Weitergabe der Daten an Dritte erfolgt nur für verbandliche Zwecke, wie bspw. Zuschussgeber*innen oder Mitgliedermeldungen.“
Bilder
Digitalbilder fallen auch unter die personenbezogenen Daten. Hier greift das KDG in die bisherigen Regelungen des KunstUrhG ein, da die Einwilligung zur Erhebung von personenbezogenen Daten der Schriftform bedarf, d.h. einer Handschriftlich unterschriebenen Einwilligung. Unter besonderen Umständen, kann auch eine andere Form angemessen sein (vgl. §8 Abs. 2 KDG) angemessen sein. Da dies nicht näher ausgeführt ist, empfehlen wir euch nur die Schriftform, damit ihr Rechtssicher seid. Wir hoffen, dass hier noch eine Anpassung erfolgt.
Im April 2018 haben die Diözesandatenschutzbeauftragten beschlossen, dass für die Veröffentlichung von Bildern unter 16-Jährige*r für jede Veröffentlichung (also jedes einzelne Bild) jeweils vorher die Einverständniserklärung eingeholt werden muss. Eine generell Einwilligung vor Ferienfreizeiten würde somit nicht mehr ausreichen.
Weitergabe von Bildern nach Ferienfreizeiten und anderen Veranstaltungen
Üblicherweise werden auf Ferienfreizeiten und bei anderen Veranstaltungen Bilder gemacht, die hinterher an die Teilnehmenden und Eltern weitergegeben werden sollen. Bei einer solchen Weitergabe handelt es sich lediglich um eine Weitergabe und nicht um eine Veröffentlichung, weshalb hierbei nicht die strengen Vorschriften einer Veröffentlichung einzuhalten sind. Dennoch braucht ihr hier auch eine Einwilligung der betroffenen Personen bzw. Erziehungsberechtigten. Diese kann aber gesamt für alle Bilder erfolgen. Hierbei solltet ihr aber auch unbedingt erwähnen, dass nicht weiterverbreitet werden und nicht veröffentlicht werden dürfen.
WhatsApp und Soziale Netzwerke
Die Konferenz der Diözesandatenschutzbeauftragten hat beschlossen, dass eine dienstliche Nutzung von WhatsApp nicht zulässig ist und Personenbezogene Daten hierüber nicht versendet werden dürfen. Da WhatsApp, genau wie andere Soziale Netzwerke nicht aus der Jugendarbeit wegzudenken sind, wollen wir euch nicht empfehlen diese nicht mehr zu nutzen. Wir halten euch allerdings an kritisch zu prüfen, welches Medium sinnvoll ist und welche Daten hierüber ausgetauscht werden sollen. Im BDKJ Diözesanausschuss haben wir entschieden auf den Messenger Threema umzusteigen, anstatt weiterhin WhatsApp zu nutzen.
Tauscht in Sozialen Netzwerken Infos aus, aber keine Adresslisten, Passwörter, Protokolle o.ä. Wenn ihr anlassbezogene Gruppen gründen solltet, klärt untereinander, ob alle mit der Weitergabe der Nummer etc. einverstanden sind.
Weitere Informationen findet ihr in unserer Arbeitshilfe zum Datenschutz und auf unserer Materialseite.
Hilfreiche Links:
- Übersicht vom BDKJ Speyer: https://www.bdkj-speyer.de/unterstuetzung/geld-material-beratung/datenschutz-in-den-verbaenden/
- Häufig gestellte Fragen - Deutsche Bischofskonferenz: https://www.dbk.de/themen/kirche-staat-und-recht/datenschutz-faq/
- Katholisches Datenschutzzentrum: https://www.katholisches-datenschutzzentrum.de/
- Blog vom BDKJ Bundesverband: http://digitalelebenswelten.bdkj.de/2018/05/04/eu-dsgvo-kdg-erste-hilfe-datenschutz-im-jugendverband/
- FAQ vom DPSG-Bundesverband: https://dpsg.de/de/fuer-mitglieder/datenschutz-heute/faq.html
Bei Fragen helfen wir euch gerne weiter: