Datenschutz

Grundlagen:

Kirchliches Datenschutzgesetz – 2018

Die zur Durchführung dieses Gesetzes erforderlichen Regelungen trifft der Generalvikar. Er legt insbesondere fest:
a) den Inhalt eines Musters der schriftlichen Verpflichtungserklärung gemäß § 5 Satz 2 und
b) die technischen und organisatorischen Maßnahmen gemäß § 26.

(§ 56 KDG)

Kontaktadressen:

Internetportal der IT-Abteilung: https://sensus.drs.de/

Katholisches Datenschutzzentrum Frankfurt/M

Haus am Dom, Domplatz 3, 60311 Frankfurt
Tel.: 069 800871-880
Fax: 069 800871-8815
E-Mail: info@kdsz-ffm.de
Internet: kdsz-ffm.de

Umsetzungshilfen:

Schulungen zum Datenschutz ab Herbst 2018

Allgemeines Infoblatt der Diözese – Stand 2018

Zahlreiche Arbeitshilfen gibt es unter: https://www.datenschutz-kirche.de

Information zur Umgang mit Bildern – Konferenz der Diözesan-Datenschutzbeauftragten – Stand 2018

Formulierungshilfe zur Verpflichtungserklärung zum Datenschutz – Konferenz der Diözesan-Datenschutzbeauftragten – Stand 2018

Verpflichtungserklärung der SE Kapfenburg – Stand 2018 – nicht offiziell freigegeben

Verpflichtungserklärung des Dekanats Ostalb – Stand 2018 – nicht offiziell freigegeben

Fragen aus dem Dekanat und Antworten aus dem Büro des Generalvikars zum Datenschutz:

Fragen zu den Bestandsdaten:

Kann man die Zustimmung zur Datenerhebung auch einholen, indem man diese ankündigt und darum bittet, bei Einwänden zu widersprechen?

=> nach der aktuellen Gesetzeslage nein. Nach der Rechtslage ist eine aktive Zustimmung notwendig.

Muss eine Zustimmungserklärung zur Datennutzung handschriftlich unterschrieben werden oder genügt es, wenn diese beispielsweise per Mail erteilt wird?

=> Unterschrift ist besser, aber aufgrund der praktikablen Handhabung wäre sicher auch eine Mail ist in Ordnung (besser als nichts).

Eine Digitale Zustimmung ist ebenfalls möglich. Im Sinne einer automatischen Rückmeldung bei Zustimmung: „Wenn Sie einverstanden sind drücken Sie auf „bestätige“.“ Dies generiert eine Rückmeldung an den Absender, welche dieser als Zustimmung werten kann.

 

Fragen zur Datennutzung:

Dürfen KG die Geburtsdaten ihrer Gemeindemitglieder dafür verwenden, um Geburtstagsbesuche zu organisieren?

Wenn ja, dürfen diese Daten dann auch an ehrenamtliche Weitergegebenen werden?

Ja, der Besuchsdienst dient dem pastoralen Anliegen der KG. Die Ehrenamtlichen dürfen nur die Daten erhalten, die für den Besuch zwingend notwendig sind. Z.B. keine Gesamtliste und nur die Angaben, die notwendig sind (Name, Adresse und Geburtstag). Die Ehrenamtlichen sind zudem auf den Datenschutz zu verpflichten (Verpflichtungserklärung) und darüber zu informieren, wie mit den Listen umzugehen ist (Rückgabe an das Pfarrbüro, sichere Vernichtung (das heißt nicht nur Entsorgung über das Altpapier => Aktenvernichtung).

Dürfen für Zielgruppen interessante Fortbildungsangebote ohne Zustimmung beispielsweise an KGR-Mitglieder, Ministranten und Lektoren verschickt werden?
Sofern die Information der Erfüllung eines pastoralen Anliegens dient oder Sie die personenbezogenen Daten auch zu diesem Zweck erhalten haben, ja.
Über die KG dürfen die Informationen (sofern es im pastoralen Interesse der KG liegt – davon gehe ich aus) jeder Zeit versandt werden.
Sofern der Versand über das Dekanat abgewickelt wird, wäre es daher gut, wenn diese Information bei der Information zur Datenerhebung in der KG (erstmaliges Ausfüllen der Liste) bereits beschrieben wird.

Was bedeutet es, dass situationsbezogen die Zustimmung zur Datennutzung eingeholt werden muss? Reicht eine Zustimmung für die gesamte EK-Vorbereitung oder braucht es eine Zustimmung für jedes EK-Event?

Ich nehme an, diese Frage bezieht sich auf Bildrechte, oder welche Daten meinen Sie hier? Nach der Rechtslage benötigt man pro Einzel-Veranstaltung eine Zustimmung. Um eine praktikable Handhabung zu ermöglichen, raten wir jedoch, die Zustimmung so zu formulieren, dass sie für den kompletten Zeitraum der Abwicklung der Katechese oder des Sakraments beschrieben wird.

Müssen Daten tatsächlich automatisiert nach einer gewissen Zeit gelöscht werden? Wenn ja, gibt es Vorgaben für dieses Zeitfenster? Z.B. KGR-Zugehörigkeit, etc.

Verhältnis: Datenschutz – Archivierungspflicht?

=> Hierzu müssen noch Aussagen getroffen werden. (Erstellung eines Merkblatts, einer Handreichung, etc.) Daher bitte ich hier noch um Geduld und einstweilige Handhabung wie bisher.
=> Die Archivordnung der Diözese gilt weiterhin.
=> Zudem gelten Bestimmungen, die bislang ebenfalls Gültigkeit hatten z.B. müssen Bewerberdaten nach Abschluss eines Bewerbungsverfahrens gelöscht werden. Es darf lediglich dokumentiert werden, wie viele Bewerbungen eingegangen sind, etc. – jedoch keine Adressdaten und persönliche Angaben zu den einzelnen Bewerbern.
=> Die Registerführung im Pfarrbüro ist ordnungsgemäß zu führen, das heißt z.B. dass die Liste der Erstkommunionkinder selbstverständlich sowohl in den Kirchbüchern, als auch digital abgelegt wird. Es sind jedoch entsprechende Schutzmaßnahmen zu treffen. Z.B. Kirchbücher in abschließbarem Schrank, keine Zugangsmöglichkeit für Dritte, Passwortgeschützter PC oder Datei, Sicherung der Datei auf einem gesicherten Server (keine Cloud, etc.)

Inwiefern dürfen Daten innerkirchlich abgefragt bzw. weitergebenen werden? Kirchengemeinde – Kirchengemeinde? Z.B. Eine Sekretärin vertritt eine Kollegin der SE. Beide sind jedoch bei unterschiedlichen KG angestellt. Darf die eine auf die DaviP-Daten der fremden Kirchengemeinde zugreifen?

=> Keine Datenweitergabe, wenn keine vertragliche Grundlage besteht! Wenn ein Arbeitsverhältnis besteht und somit eine rechtliche Grundlage zur Aufgabenerfüllung (Vertretung) dann ja, andernfalls wäre es eine unberechtigte Weitergabe an Dritte.

Darf das Dekanat Daten (z.B. die Liste des Dekanatsrats) an einen kirchlichen Verein (z.B. Caritas oder keb) weitergeben?

=> Zu welchem Zweck? Grundsätzlich keine Weitergabe an Dritte, es sei denn es liegt eine Rechtsgrundlage vor, die die Weitergabe vorsieht oder rechtfertigt.

Darf das Dekanat oder eine Kirchengemeinde die rechtmäßig gespeicherten Daten von Ehrenamtlichen nutzen, um für Veranstaltungen kirchlicher Vereine Werbung zu machen, ohne dass dafür explizit deren Zustimmung eingeholt worden ist?

Sofern die „kirchlichen Vereine“ keine Dritten sind, sondern Einrichtungen der KG und das Anliegen der Aufgabenerfüllung pastoraler Aufgaben dient. Bitte prüfen Sie hierzu § 6 KDG!
Bitte auch berücksichtigen, wer welche Daten zu welchem Zweck erhoben oder zur Verfügung gestellt bekommen hat.

Fragen zu Veröffentlichungen:

Wie muss mit Bildern umgegangen werden, die schon vor Inkrafttreten des KDG (z.B. auf einer Homepage) veröffentlicht worden sind?

=> Da bereits vor dem KDG datenschutzrechtliche Vorgaben vorhanden waren, wurden diese hoffentlich berücksichtigt. Insofern keine Änderung.
=> Erläuterung der Diözesandatenschutzbeauftragten liegt bei. Hierzu werden wir sicher noch ein verständlicheres Merkblatt erstellen, aber auch hier bitte ich noch um Geduld, bis die Stelle der Betrieblichen Datenschutzbeauftragten hoffentlich bald besetzt sein wird.
=> Gottesdienste und offizielle Veranstaltungen der KG sind öffentliche Veranstaltungen. Die aktuelle Rechtsprechung, nach der das Kunsturhebergesetz weiterhin Gültigkeit hat (Urteil Köln), ist auch für uns bindend. Das heißt Handhabung wie bisher in Bezug auf Gruppen, Prozessionen, etc.
=> Bitte berücksichtigen Sie die Einschränkung für minderjährige Personen (unter 16 Jahre).

Muss tatsächlich für jedes Bild eine Zustimmungserklärung der abgelichteten eingeholt werden oder dürfen Gruppenbilder, auf denen keine Person in besonderer Weise abgebildet ist, auch ohne Zustimmung veröffentlicht werden?

=> siehe oben.

Dürfen kirchliche Amtshandlungen ohne Zustimmung veröffentlicht werden, da diese einen öffentlichen Charakter haben?

Taufen, Eheschließungen, EK, Firmung?

=> siehe oben

Wie verhält es sich mit den Daten Verstorbener?

Kann eine KG den Namen mit Sterbedatum ohne Zustimmung der Hinterbliebenen im Vorfeld einer Beerdigung veröffentlichen?

=> Bitte mit den Hinterbliebenen im Trauergespräch klären. Vorher keine Veröffentlichung.
=> Es kann als pastorales Anliegen gewertet werden, dass der Name und das Sterbedatum im Gottesdienst verlesen wird. Dies ist möglich. Das Datum der Beerdigung, etc. darf nicht ohne Einverständnis veröffentlicht werden.
Eine Veröffentlichung im Schaukasten/ Gemeindeblatt/ auf dem Friedhof an Allerheiligen, etc. ist nur mit Zustimmung der Hinterbliebenen möglich.

Dürfen in Kirchen Gedenkbücher ausliegen, in denen der Namen der Verstorbenen Gemeindemitglieder und deren Geburts- und Sterbedatum genannt sind?

=> diese Frage werde ich gerne mit Diözesanjustiziar Prof. Dr. Hammer besprechen. Nach meiner Einschätzung dürfte dies rechtlich schwierig zu begründen sein.

Sind Sitzungsprotokolle von öffentlichen Sitzungen öffentlich? Wenn ja, ab wann? Erst ab Beschluss durch den KGR?

Keine neue Regelung – Rechtslage ist unverändert. Offiziell werden Protokolle durch die Genehmigung in der darauffolgenden KGR-Sitzung. Sofern das Protokoll unter Vornahme von Änderungen genehmigt wurde sind diese vor einer Veröffentlichung einzuarbeiten.

Dürfen persönliche, dienstliche Mailadressen und Telefonnummern digital und analog bekannt gemacht werden,…

=> Was bedeutet persönlich? Und zu welchem Zweck?
Die Frage ist, ob der Mailverkehr personenbezogene Daten beinhaltet und diese ihrem Schutzniveau entsprechend geschützt sind. (zu weiteren Erläuterungen entsteht derzeit beim Verband Deutscher Diözesen eine Durchführungsverordnung zum KDG)

…wenn es keine schriftliche Zustimmung der Betroffenen Personen gibt.

=> nein

…wenn es eine schriftliche Zustimmung der Betroffenen Personen gibt.

=> ggf. ja, wenn zum einen ein zwingender Grund besteht und zum anderen die oben genannten Folgen abgewogen und berücksichtigt wurden.