Die Inhalte dieses Eintrages stellen wir nach bestem Wissen und Gewissen zusammen. Es handelt sich hierbei nicht um eine Rechtsberatung.
Das neue Datenschutzgesetz der EKD (DSG-EKD) ist am 24. Mai 2018 und somit einen Tag vor der Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten. Für den kirchlichen Bereich findest die DSGVO keine Anwendung.
Das DSG-EKD lehnt sich unter Beachtung europarechtlicher Vorgaben eng an staatliches Recht an und berücksichtigt dabei gleichzeitig kirchliche Besonderheiten.
Die nachfolgenden Informationen sind Ergebnisse aus einem Fachtag Datenschutz der aej, der am 28. Juni 2018 in Hannover stattgefunden hat. Referentin zum Thema war die Juristin Sandra Coors. Sie ist die Regionalverantwortliche für die Datenschutzregion Nord, in der Außenstelle Hannover, des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland.
Datenschutz praktisch
Wichtig: Grundsätze zur Datenerhebung und Datenverarbeitung beachten (§5 DESG-EKD):
- Rechtmäßigkeit, Verhältnismäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz;
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Datenübertragungen verschlüsseln
Sollen personenbezogene Daten, dienstlich berechtigt, übertragen werden (z. B. per E-Mail), ist grundsätzlich auf eine sichere und verschlüsselte Übertragung zu achten. Sollten aktuelle Mail-Verschlüsselungsmethoden zu aufwändig und/oder kompliziert in der praktischen Anwendung sein, könnten verschlüsselte Zip-Archive und getrennte Passwortübertragung eine Alternative darstellen.
Die übertragenden Stellen/Organisationen sollten sich im Vorfeld auf ein Prozedere einigen, dass allen Nutzer*innen und Anforderungen gerecht wird.
Für die Kinder- und Jugendarbeit in der Ev.-Luth. Kirche in Oldenburg stehen die Plattformen ejoPRO und „Laju-Box“ für gesicherte Kommunikation zur Verfügung.
Bestehende Einwilligungen zur Datenverarbeitung
Einwilligungen zur Datenverarbeitung, die auf der Grundlage des alten Datenschutzrechts eingeholt wurden und die damalige Grundsätze beachtet haben sind nach wie vor in Ordnung und müssen nicht erneuert werden.
Einwilligungen bei Minderjährigen
Eine Einwilligung in die Erhebung und Verarbeitung von Daten Minderjähriger ist in der Regel von den Erziehungsberechtigten zu leisten. Sind die Jugendlichen älter, z. B. religionsmündig (ab 14 Jahre), sollten auch sie, zusätzlich zu den Erziehungsberechtigten, ihre Einwilligung erteilen.
Einwilligungen in die Verwendung von Personenabbildungen
Oben Gesagtes gilt auch für die Einwilligung in die Verwendung von Personenabbildern, die allerdings nicht nach dem DSG-EKD, sondern nach dem Kunsturhebergesetzt (KunstUrhG) behandelt werden.
Besondere Beachtung gilt hier der Veröffentlichung von Fotos von Kindern.
Verpflichtungserklärung für Ehrenamtliche auf das Datengeheimnis
Wenn Ehrenamtliche in Kirche und Diakonie regelmäßig mit personenbezogenen Daten umgehen, müssen diese auf das Datengeheimnis verpflichtet werden.
Bei der EKD gibt es dafür zwei hilfreiche Downloads:
- Verpflichtungserklärung für Ehrenamtliche auf das Datengeheimnis
- Merkblatt über den Datenschutz für Ehrenamtliche
Informationspflichten
Vor der Erhebung und Verarbeitung von Daten müssen die betroffenen Personen umfassend über Zweck, Art und Dauer der Datenerhebung, -verarbeitung und -aufbewahrung informiert werden.
Dieses Recht besteht auf verlangen wie auch das Recht der vollständigen Datenlöschung (sofern kein rechtliches Interesse besteht wie z.B. Aufbewahrungsfristen bei Belegen). Es ist sinnvoll sich schon im Vorfeld entsprechend zu überlegen, wie diese Informationspflichten erfüllt werden können.
Etwa durch
- Eine Datenschutzerklärung auf der Website
- Umfängliche Hinweise bei Erhebungsformularen (Anmeldungen, etc.)
- Strategieentwicklung zur Kommunikation der Pflichten
- Dokumentation darüber führen: warum, in welcher Form, wo und wofür die Daten erhoben werden und wie lange, um schnell auskunftsfähig zu sein
Social Media
Verwendung von WhatsApp
Die dienstliche Verwendung von WhatsApp ist aus Datenschutzrechtlichen Gründen bedenklich und wird vom Datenschutzbeauftragten der EKD abgelehnt (Auslesen von Adressbüchern, etc.; Datenübermittlung in die USA; Verarbeitung der Daten in den USA nach Grundsätzen und Verfahren, die nicht nachvollzogen werden können, etc.).
Eine dienstliche Verwendung von WhatsApp geschieht somit ausschließlich in eigener Verantwortung.
Alternativen: ejoPRO, Threema, Telegram, Signal, landeskirchliche Messenger, etc.
Cloud-Dienste
Dienste von Cloudanbietern, deren Serverstandorte nicht in Deutschland oder in Europa stehen, sollten möglichst nicht in Anspruch genommen werden. Deutsche Anbieter mit deutschen Serverstandorten, die nach deutschem/europäischem Recht handeln, sind zu bevorzugen.
Die Server der Kinder- und Jugendarbeit in der oldenburgischen Kirche genügen diesen Rechtsansprüchen vollumfänglich. Sie stehen in der Geschäftsstelle und bieten entsprechende Verschlüsselungen an. Eine Weitergabe von Daten an Dritte erfolgt nicht.