Datenschutz – Hinweise für Kirchengemeinden

Liebe Verantwortliche in den Kirchengemeinden,

auf dieser Seite hat unser Datenschutzbeauftragter Ralf Burmeister Hilfreiches für den Datenschutz in ihren Kirchengemeinden zusammengestellt.

Datenschutz ist kein Selbstzweck. Ziel unserer Bemühungen zum Datenschutz: Es soll deutlich werden, dass wir in den Kirchengemeinden sorgsam mit den uns anvertrauten Daten umgehen. Dazu müssen wir bestimmte Abläufe transparent gestalten.

Bei Einzel-Fragen wenden Sie sich bitte an Ralf Burmeister (siehe unten).

Ihr Sup. Christian Berndt

Was sind personenbezogene Daten?
Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind.

  • Beispiele:

– Name, Alter, Familienstand, Geburtsdatum
– Anschrift, Telefonnummer, E-Mail-Adresse
– aber auch: Zeugnisse und sonstige Werturteile
– Gemeindegliederdaten, Beschäftigtendaten, Sozialdaten

Auch Daten, über die sich mittelbar ein Personenbezug  herstellen lässt, sind personenbezogene Daten.

  • Beispiele:
    – Kontonummer
    – IP-Adressen
    – Personalnummer

Was bedeutet das Datengeheimnis?
Kenntnisse über personenbezogene Daten, die Haupt- und Ehrenamtliche

  • im Rahmen ihrer Tätigkeit
  • im persönlichen Gespräch
  • durch Akten/Dateien/Listen
  • durch Beobachtung

erlangt haben, müssen immer vertraulich behandelt werden und dürfen grundsätzlich nicht weitergegeben werden (Datengeheimnis). Das Datengeheimnis gilt auch noch nach Beendigung der Tätigkeit fort.

Wie gehen wir in Kirchengemeinden vor?
Das  neue Datenschutzgesetz der EKD sieht vor, dass die verantwortliche Stelle in der Lage sein muss die Einhaltung des Datenschutzes nachzuweisen. Hierzu  soll in den Kirchenbüros ein Ordner eingerichtet werden, wo alle KV-Beschlüsse und Vereinbarungen der Dienstbesprechungen abgelegt werden, die den Datenschutz betreffen. So sind z.B. folgende Fragen zu dokumentieren:

Sind alle ehrenamtlichen Mitarbeitenden auf das Datengeheimnis verpflichtet?

Anlage Merkblattt Ehrenamtliche

Anlage Verpflichtung von Ehrenamtlichen

Welche Listen werden geführt?
In vielen Fällen ist das Führen von Listen, die personenbezogene Daten beinhalten, unabdingbar. Dazu gehören Anwesenheitslisten, Gruppenlisten, Telefonverzeichnisse etc. Diese Listen dürfen nur den Personen zugänglich sein, die diese Daten tatsächlich für ihre Arbeit brauchen.

Grundsätzlich muss im Vorfeld geprüft werden, ob und welche Daten dabei erforderlich sind und welchem Zweck sie dienen. Sobald die Listen nicht mehr notwendig sind, sind sie zu vernichten. (z.B. sollten Abfragezettel zu Essensunverträglichkeiten im Hinblick auf Konfirmandenfreizeiten gleich nach der Konfirmandenzeit geschreddert werden)

Ist die IT-Sicherheit gewährleistet?
Unter IT-Sicherheit versteht man den Schutz der Daten, die mit der Informationstechnik erhoben wurden. Schutzziele sind die Vertraulichkeit, die Verfügbarkeit und die Integrität (Daten dürfen nicht unbemerkt verändert werden).

Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man von sogenannten „technischen und organisatorischen Maßnahmen“.

Eine gute Handreichung mit verschiedenen Fragen zur IT-Sicherheit (mit der Schnittmenge der technischen und organisatorischen Maßnahmen beim Datenschutz) liefert das Muster-IT-Sicherheitskonzept des Beauftragten für den Datenschutz der EKD für kleine Einrichtungen.

Anlage Muster-IT-Sicherheit-klein

Kommunikation intern

E-Mails
(Unverschlüsselte) E-Mails können mit verhältnismäßig geringem Aufwand mitgelesen werden. Daher wird empfohlen, nur Informationen, die auch in einer Postkarte stehen könnten, als (unverschlüsselte) E-Mail zu versenden. KV-Protokolle enthalten in der Regel personenbezogene Daten und sollten daher sicher übermittelt und abgespeichert werden. Es muss sichergestellt sein, dass nur die Berechtigten die Informationen erhalten und einsehen können.

Folgende Möglichkeiten zur datenschutzgerechten Übermittlung stehen unter anderem zur Verfügung:
– Versenden von vertraulichen Informationen bzw. personenbezogenen Daten über verschlüsselte Anhänge, z.B. mit einem Zip-Programm.

Anlage EKD Versendung von Protokollen

Das Versenden kann auch über die elektronische Kommunikationsplattform der Landeskirche intern-e geschehen. Durch die persönliche Anmeldung und die gesicherte Verbindung wird ein hohes Maß an Sicherheit gewährleistet.
– Anmeldung bei intern-e, Einrichten eines geschlossenen Bereichs, z.B. für den Kirchenvorstand, Einladung per E-Mail an die entsprechenden Personen (KV-Mitglieder), Hochladen der entsprechenden Dokumente. Die Nutzer werden per E-Mail informiert, wenn neue Dokumente eingestellt wurden.

Informationen zu intern-e: http://www.intern-e.de/ueber

Anmeldung über: https://www.intern-e.evlka.de/toro/register

Cloud-Speicher
Möglicherweise werden gemeinsam genutzte Daten, wie Protokolle der KV-Sitzungen,  auf sogenannten Cloud-Speichern bereitgehalten. Bekannte Dienste sind Dropbox, OneDrive, GoogleDrive oder iCloud. Da die Server dieser Dienste nicht in Europa bzw. der Schweiz stehen und somit nicht das hohe europäische Datenschutzniveau sichergestellt werden kann, ist eine kirchliche Nutzung nicht datenschutzkonform. Es gibt Cloudanbieter mit Servern in Deutschland, z.B. Magenta Cloud. Auch intern-e bietet eine Speichercloud mit dem Namen „Drive“.

Lokaler Speicher
Damit Familienmitglieder keine Kenntnis von vertraulichen Inhalten bekommen, dürfen personenbezogene Daten aus den kirchlichen Bezügen nicht auf einem gemeinsam genutzten Familiencomputer gespeichert werden bzw. müssen die Zugriffsrechte dann dementsprechend zugeteilt sein.

Messenger
Am weitesten ist der Messenger Whatsapp verbreitet. Durch die meist fehlenden Einwilligungen zum Hochladen der gesamten Adressdaten zu Whatsapp sowie die genutzten Serverstandorte außerhalb der EU bzw. der Schweiz ist eine datenschutzkonforme Nutzung im kirchlichen Bereich derzeit nicht möglich.

Intern-e bietet seit kurzem für Android einen Messengerdienst an. Die  IOS –Variante soll zeitnah zur Verfügung stehen. Überdenken Sie die Nutzung von Whatsapp.

Anlage Stellungnahme-Messenger

Kommunikation extern
Hinweise zur externen Kommunikation gibt die Broschüre „Datenschutz für kirchliche Öffentlichkeitsarbeit in der  Evangelisch-lutherischen Landeskirche Hannovers“:

Anlage Datenschutz-Broschuere_web

Gemeindebrief
Es macht aus Sicht des Datenschutzes einen Unterschied, ob der gedruckte Gemeindebrief lediglich den Gemeindegliedern zugestellt wird oder ob der Gemeindebrief öffentlich ausgelegt oder im Internet veröffentlicht wird. Durch die Verbreitung, insbesondere im Internet, ist eine größere Missbrauchsmöglichkeit schützenswerter Daten von Personen gegeben.

Veröffentlichung im gedruckten Gemeindebrief
Die Veröffentlichung von Amtshandlungsdaten (Taufe, Konfirmation, Trauung, Bestattung) und Geburtstags- oder Ehejubiläen ist im gedruckten Gemeindebrief zulässig, es sei denn, der Betroffene hat ausdrücklich widersprochen. Auf die Widerspruchsmöglichkeit sollte im Gemeindebrief regelmäßig hingewiesen werden. Bitte drucken Sie keine Adressen ab!

Veröffentlichung des Gemeindebriefes im Internet
Bei einer Veröffentlichung des Gemeindebriefes im Internet bedarf es generell der vorherigen  schriftlichen  Einwilligung  der Betroffenen in die Bekanntgabe ihrer Daten. Dabei muss auch der konkrete Umfang der veröffentlichten Daten genau festgelegt werden. Ein Widerruf dieser Einwilligung ist jederzeit möglich und ist strikt zu beachten. Generell wird empfohlen, von der Veröffentlichung von Daten über Amtshandlungen oder Geburtstags- und Ehejubiläen abzusehen. Sofern Sie den kompletten Gemeindebrief auf Ihrer Homepage veröffentlichen, müssten  die  entsprechenden  Seiten  mit diesen Angaben geschwärzt bzw. gelöscht werden.

Anlage Muster Einwilligung Internet

Fotos und Videos
Die Veröffentlichung von Fotos und Videos – sowohl  im  Gemeindebrief  als  auch auf  der  Internetseite der Gemeinde – berührt nicht allein das Datenschutzgesetz sondern auch das Kunsturhebergesetz. In diesem Gesetz ist das Recht am eigenen Bild geregelt. Es besagt, dass jeder Mensch grundsätzlich selbst darüber bestimmen darf, ob und in welchem Zusammenhang Bilder von ihm veröffentlicht werden. Hier haben sich durch das neue Datenschutzgesetz keine neuen Verpflichtungen ergeben.

Nach wie vor muss die Einwilligung der abgebildeten Person vorliegen, sie muss aber nicht zwingend schriftlich eingeholt werden. Dies erleichtert jedoch die Nachweisbarkeit bei Streitfällen.

Es gibt Ausnahmen, wann keine Einwilligung notwendig ist, nämlich wenn die Person auf dem Foto nur als Beiwerk, z.B. neben einer Landschaft erscheint. Auch wenn die Person als Teil einer großen Masse im Rahmen einer Versammlung oder Veranstaltung abgebildet wird, ist keine Einwilligung nötig.

Anlage Muster Einwilligung von Fotos

Anlage Fotos im Gemeindebrief

Internetauftritt

Sofern bislang ein rechtssicheres Impressum gemäß Telemediengesetz vorhanden war, muss nichts verändert werden.
Im Impressum muss enthalten sein:
Rechtlich verantwortlich gemäß § 5 TMG:
Name, ladungsfähige Anschrift, Telefon, E-Mail Adresse
Inhaltlich verantwortlich gemäß § 55 Abs. 2 RStV
Name, ladungsfähige Anschrift, Telefon, E-Mail Adresse

Datenschutzerklärung für Internetauftritt
Kirchengemeinden oder Einrichtungen, die ihre Internetseite beim evangelischen Medienservicezentrum gehostet haben, haben automatisch die richtige Datenschutzerklärung über das System eingespielt bekommen.

Bei allen Internetseiten, die eigenständig gehostet werden, sind individuelle Lösungen notwendig. Je nachdem, welche technischen Gegebenheiten vorliegen, welche Daten erhoben werden (z.B. Kontaktformular, Cookies, Analysetools) und welche sozialen Medien eingebaut sind (facebook, Instagram, youtube u.ä.) müssen die Datenschutzerklärungen daran angepasst werden.

Es gibt die Möglichkeit, kostenlose Datenschutzgeneratoren zu benutzen, z.B. https://www.activemind.de/datenschutz/datenschutzhinweis-generator

Die so erstellte Datenschutzerklärung muss jedoch noch an die Vorschriften des DSG-EKD angepasst werden. Hierbei ist der örtlich Beauftragte für den Datenschutz für den Amtsbereich des Kirchenkreisamtes Winsen, Ralf Burmeister (Tel. 04171 65 42 38, ralf.burmeister@evlka.de), gerne behilflich.

Örtlich Beauftragter für den Datenschutz
Name: Ralf Burmeister, Kirchenkreisamt Winsen
Anschrift: Kirchstr. 1, 21423 Winsen (Luhe)
Telefon: 04171  65 42 38
E-Mail: ralf.burmeister@evlka.de

Aufsichtsbehörde:
Der Beauftragte für den Datenschutz der EKD
Böttcherstraße 7, 30419 Hannover
Telefon: +49 (0)511 768128-0
Fax: +49 (0)511 768128-20
E-Mail: info@datenschutz.ekd.de
Webseite: https://datenschutz.ekd.de

Diese Seite wird weiter ausgebaut.